成都链安CEO杨霞:打通区块链生态安全信息屏障,守护区块链生态安全
Posted 商业资讯汇
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了成都链安CEO杨霞:打通区块链生态安全信息屏障,守护区块链生态安全相关的知识,希望对你有一定的参考价值。
区块链安全标准研究,包括系统级区块链安全体系,是从数据安全、共识安全、隐私保护、智能合约安全和内容安全等方面推动区块链安全标准化,为区块链开发、运营、管理和使用等提供指导。
从2019年政府将区块链定义为核心技术自主创新重要突破口,到2020年发改委将区块链纳入新基建范畴,再到“十四五”规划中把区块链划为数字经济重点产业,一系列政策都为区块链市场发展提供了积极的引导信号,是区块链技术从项目试点走向商业推广阶段的强心剂。
但区块链技术是一把双刃剑,潜藏了多方面的风险,比如区块链系统自身的安全问题越来越突出,数据泄漏、资金损失和系统运行故障等安全事件层出不穷。不法分子利用区块链匿名、无国界的特点开展洗钱、犯罪资金转移、绕开外汇管制等非法活动,对经济和社会造成恶劣影响,给监管带来巨大挑战。而安全是整个区块链行业的基石,是区块链行业的刚需。我们有幸邀请到成都链安科技有限公司(以下简称“成都链安”)创始人&CEO杨霞,为我们分享成都链安守护区块链生态安全的企业故事。
成都链安科技有限公司创始人&CEO杨霞
信息化观察网:我们知道成都链安在区块链安全行业有着很高的建树,请您简单介绍一下成都链安?
杨霞:好的,成都链安是一家致力于区块链安全生态建设的全球领先区块链安全公司,也是最早将形式化验证技术应用到区块链安全的公司,总部位于四川成都。公司由电子科技大学教授联合创立,团队成员均来自从事信息安全行业多年的国内外知名院校教授、博士后、博士以及知名企业精英,现有团队成员近200人,技术人员占比超过85%。已在北京、深圳、杭州、海南等多地设有分公司和办事处。
目前我们已与公安、工信部、中国通信院、网信办等执法监管机构,以及包括蚂蚁链、腾讯区块链、微众银行、万向区块链、布比等国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务;为上千家执法单位提供了虚拟货币犯罪案件前、中、后期全链条打击技术支持服务,成功协助破获案件总涉案金额数百亿。
信息化观察网:在您看来,区块链安全风险主要包括哪些呢?
杨霞:这个风险主要包含两个方面,一个是系统自身的危险,比如代码安全风险、运营过程中的安全风险等等。在区块链领域,同样能够受到传统的DDoS攻击、网络钓鱼、域名攻击等,而链平台安全则包括共识安全、账户安全、签名安全、P2P安全等。智能合约作为以区块链系统为平台的可执行脚本,更加容易遭受到攻击。
另外一个就是金融安全风险,不法分子利用区块链匿名、无国界的特点开展洗钱、资金转移、绕开外汇管制等非法活动,对经济和社会造成严重影响,给监管带来巨大挑战。
信息化观察网:一般来说区块链安全研究方向主要包括哪些方面呢?
杨霞:业内对于区块链安全方面的研究集中于三个方面,一是区块链安全标准研究,二是区块链全生命周期安全研究,三是区块链监管。
区块链安全标准研究,包括系统级区块链安全体系,是从数据安全、共识安全、隐私保护、智能合约安全和内容安全等方面推动区块链安全标准化,为区块链开发、运营、管理和使用等提供指导。
区块链的整个生命周期主要分为研发和运行两个阶段,设计开发阶段包括提供安全辅助工具,进行漏洞检测和脆弱性评估。对区块链平台、智能合约等进行漏洞扫描,发现并及时修复漏洞,确保交付安全的区块链系统。系统运行阶段则按照纵深防护的理念,依靠异常检测机制,及时发现异常行为。典型的检测机制包括运营监控、安全态势感知和线上合约安全扫描等。
区块链监管方面,我们主要研究借助区块链技术进行的新型涉网犯罪打击,从而协助监管部门共同净化网络环境、净化社会环境。
信息化观察网:作为全球最早一批也是中国最头部的专门从事区块链安全的公司,成都链安在链上安全方面是如何操作的?
杨霞:成都链安自成立起就一直致力于区块链安全赛道,自主研发的“链必安”一站式区块链安全服务平台,涵盖“六大安全产品”、“六大安全服务”,可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全检测、安全监管、安全预警、安全咨询等全方位安全服务,提供区块链系统“研发-运行-监管”全生命周期的安全保障解决方案。
安全产品包括:虚拟货币案件智能研判平台、智能合约形式化验证平台、区块链检测平台、区块链安全态势感知平台、区块链安全舆情平台、智能合约安全开发IDE。
安全服务包括:智能合约安全审计服务、链平台安全检测服务、虚拟资产追踪溯源和调查取证服务、安全舆情服务、安全咨询服务、安全应急响应服务。
信息化观察网:众所周知,安全问题已成为制约区块链技术发展的重要因素,而联盟链的安全威胁同样不容忽视,联盟链上的智能合约安全检测方法有哪些呢?
杨霞:在开发阶段和上线前,确保合约的安全性和逻辑正确性是很重要的,因此需要采用相应安全检测来满足安全性需求。
针对智能合约的代码安全性,可以使用自动化/半自动化安全检测来扫描合约代码,寻找代码中的安全缺陷。目前常见的检测方法可分为静态扫描、动态扫描以及形式化验证。
形式化验证技术是除了静态和动态扫描以外,另一种智能合约正确性与否的验证方法。作为一种数学方法,形式化验证可以有效确定一个程序的代码是否正确。此处“正确”的意思是,程序的运行结果符合预期。值得一提的是,“形式化验证技术”也是成都链安的核心技术之一。
信息化观察网:“形式化验证技术”作为成都链安的核心技术,可以简单介绍一下吗?除了形式化验证技术,成都链安还有哪些核心技术?
杨霞:形式化验证作为代码安全最高严苛的方法之一,其效果已经在航空航天,军事等领域得到了验证。在当前区块链以及智能合约的安全业务里,形式化验证正在凸显着巨大的潜力。这种基于「数学推理」的验证方法,一方面能够精确证明代码是否存在安全漏洞,同时能有效解决传统技术如测试等对人经验的严重依赖和无法穷举的问题。
我们是全球最早将此技术应用于智能合约安全审计的区块链安全公司,同时,成都链安团队采用形式化验证,模糊测试等多重技术作为核心技术,研发了面向智能合约的高度自动化的安全检测工具:智能合约形式化验证平台,其工具的自动化检测精度高达97%,可以“一键式”自动检测智能合约的几百种安全问题、自动发现智能合约中存在的已知、未知漏洞及业务逻辑问题,并给出专业的修复建议。在精确定位风险代码位置的同时给出修改建议,帮助开发者提高智能合约的安全能力。
同时,我们依托网络安全、人工智能、区块链大数据等多种技术打造“自主创新、自主可控”的全链条、一体化解决方案,服务于整个区块链生态。我们既是全球区块链安全生态的贡献者,也是全球区块链生态的引领者。
信息化观察网:上面我们提到联盟链的安全威胁同样不容忽视,联盟链面临哪些安全问题?
杨霞:联盟链安全问题时刻都存在,面临的安全挑战十分严峻。目前联盟链的发展还处于初期阶段,联盟链生态安全体系还并不够强大,大量风险都还是未知数,若被攻击者盯上,结果将十分严重。
联盟链安全是行业发展的重中之重,引起了行业的极大重视。2021年9月,由公安部第一研究所、中国科学院信息工程研究所等单位联合发布了团队标准《联盟区块链安全技术要求》,该标准主要阐述了联盟区块链安全体系结构,主要也提出了联盟区块链系统安全、联盟区块链安全体系建设、联盟区块链监管审计安全以及联盟区块链运行环境安全评估规则。其中联盟区块链监管审计安全主要包括:自身审计、第三方审计以及第三方监管。
所以,在这样的背景下,联盟链上线前的安全审计工作就显得尤为重要了,需要将所有未知的安全风险扼杀在摇篮之中,避免因为图一时的便利导致无法承受的结果。
信息化观察网:在行业领域内,成都链安目前获得了哪些荣誉和奖项呢?未来还有哪些愿景呢?
杨霞:公司已获前海母基金、联想创投、复星高科、成创投、任子行等知名机构的多轮投资。是工信部“网络安全技术应用试点示范项目”单位、CNVD国家区块链安全漏洞平台技术支持单位、中国信通院区块链安全检测的主要技术合作单位、中央网信办“国家区块链创新应用试点”参与单位、国家互联网应急中心“区块链安全技术检测中心”的主要技术合作单位、四川省区块链安全工程技术研究中心依托单位、四川省区块链基础设施—蜀信链安全检测和准入测试支撑单位。并作为中国信通院可信区块链联盟理事单位和安全组副组长、全国信息安全标准化技术委员会成员单位、中国物流与采购联合会区块链应用分会常务理事单位、北京金融科技产业联盟会员单位、四川省区块链协会理事单位、四川省互联网行业联合会副会长单位等多个区块链相关行业协会成员。参与了多项国家级区块链安全技术标准和白皮书的撰写,承担了多项国家级、省部级项目,依托技术优势现已申请软件发明专利和软件著作权30多项。
基于对公司实力和行业认可,公司荣获成都市新经济“双百工程”重点培育企业、全国硬科技企业之星TOP100榜单、中国产业区块链优秀案例(2021年度)、2020中国区块链企业百强企业、2020金熊猫全球区块链创新创业大赛一等奖、2020四川省区块链优秀企业、2020中国区块链技术创新典型企业、2020首届人民网内容科技创新创业大赛全国总决赛“创业人气奖”、中国区块链安全领军企业等诸多荣誉。
但是,路漫漫其修远兮,吾将上下而求索,我们将继续努力,以“让区块链生态更安全”为使命,以“成为全球第一的区块链安全公司”为愿景,不断打造区块链安全监管技术和安全保障体系,为区块链生态的安全发展保驾护航。
成都链安xFootprint 2022 Web3 安全研报
报告完整版:2022 上半年 Web3 安全态势深度研报
数据来源:Footprint Analytics
2022年上半年 Web3 安全态势综述
2022年上半年,Web 3领域共监测到主要安全事件约79起,因各类攻击造成的损失达到了19亿1287万美元。
Footprint Analytics - 上半年安全事件数量及损失金额
我们可以从以下这组数据看到上半年的Web3安全领域的整体概况:
上半年发生7起跨链桥攻击事件,共损失11亿3599万美元;53%的攻击方式为合约漏洞利用;约26.6%的攻击方式为闪电贷;上半年共发生5起损失过亿的安全事件;整个DeFi市场TVL从1月初的2760亿美元跌到了6月末的800亿美元,下跌71%;黑客通过Tornado Cash共洗钱11亿4070万美元;约71%的攻击发生在DeFi领域。
在第一季度和第二季度的安全报告中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
数据一
2022年上半年,共发生了7起跨链桥攻击事件
2022年上半年,共发生了7起跨链桥攻击事件,共计损失金额约11亿3599万美元,占了上半年总损失金额的59%。
Footprint Analytics - 上半年跨链桥损失金额(按项目)
Footprint Analytics - 上半年跨链桥损失金额(按链平台)
数据二
53%的攻击方式为合约漏洞利用
2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。
通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。
在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。
Footprint Analytics - 各漏洞利用次数及造成的损失金额
单次损失金额最高的是签名验证漏洞。2022年2月3日,Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。
单次金额损失第二的漏洞是重入漏洞。2022年4月30日,Fei Protocol官方的Rari Fuse Pool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。
在审计过程中最常见出现的总体来说分为四大类:1.ERC721/ERC1155重入攻击;2.逻辑漏洞;3.鉴权缺失;4.价格操控。
根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。
数据三
2022年上半年,使用闪电贷进行攻击的案例达到了21次
今年上半年使用闪电贷进行黑客攻击的案例总计21次,占比26.6%,涉及金额高达3亿3291万美元。其中上半年影响较大的攻击手法主要有闪电贷加治理攻击,闪电贷加价格操纵攻击,闪电贷加重入攻击等。
Footprint Analytics - 上半年各月闪电贷攻击次数及损失金额
Footprint Analytics - 各链平台闪电贷攻击频次及损失金额
1)2022年4月17日,算法稳定币项目Beanstalk Farms遭到闪电贷加治理攻击,黑客获利7600万美元,协议损失达1亿8200万美元。
2)2022年4月28日 ,多链衍生品平台DEUS Finance遭遇闪电贷加价格操纵攻击,造成了约1570万美元的损失。
3)2022年4月30日,Fei Protocol官方的Rari Fuse Pool遭受闪电贷加重入攻击,黑客获利28380 ETH,价值约8000万美元。
闪电贷攻击频出不穷,那么项目方应该如何防范或者减缓闪电贷攻击呢?我们这里提出几条可能的建议:
要求关键交易跨越两个区块
如果一个资本密集型交易需要跨越至少两个区块,用户需要至少在两个区块时间段取出贷款,那么闪电贷攻击将会失效。但是要达到这一效果,两个区块之间用户价值必须锁定,以防止其偿还贷款。
时间加权平均定价(TWAP)
在价格操纵案例中,建议使用时间加权平均价格(TWAP)来跨多个区块计算流动性池中的价格。因为整个攻击交易序列需要在同一个区块内处理,但如果不操纵整个区块链就无法操纵 TWAP,从而可以避免闪电贷导致的瞬时价格异常。
更高频率的价格更新机制
同样在价格操作案例中,可以适当增加流动性池向预言机查询并更新价格的频率,随着更新次数的增加,池中代币的价格会更新得更快,并使价格操纵无效。
更严格的治理逻辑
在涉及到项目治理时,应该多方面考虑治理逻辑的严谨性,避免出现Beanstalk Farms那样的逻辑漏洞,一旦有个微小的漏洞,就有可能通过闪电贷无限放大,最后造成巨大的损失。
业务逻辑设计和实现时确保安全可靠
项目方在进行业务逻辑的设计和开发人员进行开发实现时,应充分考虑业务逻辑的完整性和安全性,注意极端情况。必要时,应找专业的审计机构进行审计和研究,防范各种可能的风险。
数据四
上半年共发生5起损失过亿的安全事件
2022年上半年,共发生了5起损失过亿的安全事件,分别为:
RoninNetwork: 6.25亿美元
Wormhole: 3.26亿美元
Beanstalk Farms: 1.82亿美元
Elrond: 1.13亿美元
Harmony: 1亿美元
这5起黑客攻击事件造成的总损失就达到了13.46亿美元,占2022年上半年总损失金额的70%。
在Q2的季报里,我们看到了一些项目在被攻击后TVL直接归零,后续也没有再重启。那么这些损失过亿的项目被攻击后都如何了呢?
Ronin: 损失6.25亿美元,资产已转入Tornado Cash
3月29日,Axie Infinity的以太坊侧链Ronin Network遭到黑客攻击,损失约6.25亿美元。Ronin 侧链由 9 个验证器节点组成,要确认存款或取款,需要五个验证者签名。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。
攻击发生之后,Ronin攻击者将部分盗取资金转入Huobi、FTX、Binance、Crypto.com 等交易所,但各大交易所均发文表示将全力协助追回被盗资金。
随后,攻击者对被盗资产分散到了多个地址,并分批次通过Tornado Cash进行清洗。5月20日,Ronin攻击者将最后一笔盗取资金转入Tornado Cash,所有资产清洗完成。此时的ETH单价已从3,330美元下降到了约2,000美元,黑客实际获利比攻击时少了1.6亿美元。
使用链必追-虚拟货币案件智能研判平台对被盗资金进行分析,可以看到最终所有被盗资金都流向了Tornado Cash。
Harmony:4.2万枚ETH转入Tornado Cash
6月24日,Harmony 跨链桥 Horizon Bridge 遭到攻击,损失金额逾 1 亿美元。
6月26日,Harmony创始人表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。资金从跨链桥的以太坊一侧被盗。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。
Harmony 表示已经开始联合执法部门和所有交易平台对黑客进行全球追查。与此同时,Harmony 也将黑客盗币返还让利的金额从最初的100万美元提升至 1000 万美元。然而黑客还是通过Tornado Cash对赃款进行了洗钱。
截止到6月30日,通过链必追-虚拟货币案件智能研判平台对被盗资金进行分析,可以看到黑客已将约4.2万枚ETH(价值约4620万美元)转移至Tornado Cash。
数据五
整个DeFi TVL从1月初的2798亿美元跌到了6月末的824亿美元,下跌70.5%
整个DeFi TVL从1月初的2798亿美元跌到了6月末的824亿美元,半年下跌70.5%。其中,TVL在5月和6月累计跌幅就达到了63.2%,光是5月5日至5月13日几天内就跌去了44.5%。
从攻击活动损失金额和攻击次数综合来看,3月、4月为黑客活跃程度最高的月份,同样3月、4月的TVL也处在半年的相对高点。5月TVL骤降,黑客攻击频次和盗取金额随之大幅降低。6月TVL持续降低,黑客活跃度较5月有所增加,但相对于3、4月仍是低位。
1月TVL虽然处于半年来最高位,但黑客活跃程度却相对较低。通过比对2021年1月的数据,我们发现2021年1月因黑客活动造成的损失约为25万美元,也处于全年相对的低位。因此,2022年1月黑客活跃度较低的原因或是因为1月是历来黑客活动的淡季。
抛开淡季的因素,黑客攻击事件与市场行情走势是有一定关联性的。链上资金的增加会吸引更多黑客的目光。
Footprint Analytics - 上半年DeFi损失金额及TVL走势
Footprint Analytics - 上半年DeFi被攻击次数及TVL走势
除了DeFi以外,NFT、GameFi等各大赛道上半年也出现了明显的周期波动。其中GameFi的市值走势与加密货币市值走势(以BTC为例)大致趋同,均在五六月份出现了比较明显的市值缩水。而NFT的交易量在2月达到了今年上半年以来的最高峰,随后持续走低,直至上半年结束时都处于比较低迷的状态。
Footprint Analytics - 以太坊NFT市场交易量走势
Footprint Analytics - 上半年GameFi及BTC市值走势
数据六
黑客通过Tornado Cash共洗钱11亿4070万美元
2022年上半年,约有11亿4070万美元的被盗资金被黑客转进了Tornado Cash,约占总损失金额的60%。约有6亿3536万美元的被盗资金暂时还存放在黑客地址。
Footprint Analytics - 上半年被盗资金流向
数据统计显示,2022年上半年共有95000枚以太坊(约合23亿4000万美元)存入了Tornado Cash。也就是说,存入Tornado Cash里的资金至少有48.7%都来源于黑客。这还是在假设剩余所有人使用Tornado Cash作为交易隐私工具的情况下。事实上还有相当一部分人使用Tornado Cash进行加密货币犯罪交易,此类数据不在本报告的统计范围之内。
虽然混币技术增强了链上交易的匿名性和隐私性,但也被滥用于洗钱等犯罪,混币技术增加了犯罪资产的链上追踪难度。但是黑客采用Tornado Cash进行洗钱过程中,也会暴露出一些数据痕迹。通过对黑客所有转到Tornado的地址和金额进行金额聚合,同时对单位时间内所有从Tornado Cash转出的目的地址和金额进行金额聚合,进而对混币充币金额与混币提币金额进行关联匹配,从而达到黑客入金地址与出金地址关联进行违法资金的追踪。
成都链安同时致力于全链条打击虚拟货币犯罪能力建设体系,提供全链条打击虚拟货币犯罪的服务+产品,在虚拟货币反洗钱和监管方面很有经验,曾协助执法机构完成数起进入Tornado Cash案件的技术支持。
数据七
约71%的攻击发生在DeFi领域
根据数据显示,2022年上半年,整个区块链生态共发生79起较大的安全事件,其中涉及DeFi安全的共有56起,占比71%;损失金额达5.5亿美元。在web3.0世界里,DeFi已经成为黑客攻击的重灾区。
Footprint Analytics - 被攻击项目分类及损失金额
那么,DeFi为何成为了web3.0世界里黑客攻击的重灾区呢?
第一,DeFi活跃度高。作为区块链最火的领域,DeFi从诞生开始就备受关注。活跃度高,参与的项目和用户自然也越多,也就更容易被黑客列为攻击目标。
第二,资金量大。统计数据显示,截止6月30日,DeFi总锁仓量高达824亿美元。虽然今年以来,加密行业市值缩水,DeFi的TVL也大量下滑,在加密行业整体市值下跌的大背景下,DeFi相对来说仍保持着巨额资金。如此巨大的资金量,则无疑是对黑客最好的吸引。
DeFi生态系统
第三,DeFi业务逻辑复杂。如今,DeFi 生态越来越庞大,其业务的复杂度也越来越高。又因为DeFi产品之间也有较强的可组合性,这导致不同DeFi产品之间产生了流通性和资产共享。因此,DeFi业务逻辑上的复杂度,加上产品之间的组合和交互,就很可能会导致一些安全问题,从而被黑客抓住其中的机会。
第四,不少开发者缺乏安全意识,低估了漏洞的风险。数据显示,上半年DeFi项目中共发生33起因合约漏洞遭受的攻击。其中,最常见的是由代码逻辑错误引发的安全问题。
Footprint Analytics - 各链平台因合约漏洞造成的损失占该链平台平均TVL百分比
全面的外部安全审计、符合安全规范的编码和测试网络环境下的模拟测试是确保DeFi项目安全的最佳实现。
上述提到的代码级别技术规范问题,如果在项目上线前,接受第三方安全审计,是可以将问题扼杀在摇篮之中。或许正是出于这样的考虑,许多DeFi项目逐渐开始认识到安全审计的重要性,并选择资质过硬的安全公司加以执行。
数据八
NFT领域主要安全事件10起,损失约为6490万美元;
2022年上半年,共监测到NFT领域主要安全事件10起,统计到的损失约为6490万美元,主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年Discord钓鱼事件频发,几乎每天都有Discord服务器受到攻击,个人用户因点击钓鱼链接而遭受损失的情况频繁发生。
Footprint Analytics - NFT攻击事件损失(按攻击手法分类)
NFT合约安全
上半年发生了多起NFT合约相关的安全事件,主要原因还是没有进行全面的安全审计。那么NFT合约在审计过程中都会出现哪些常见问题呢?
成都链安审计团队在审计NFT系列合约时,发现NFT合约主要的问题包括以下几类:
(1)签名冒用和复用:
签名数据缺少重复执行验证(例如:缺少用户nonce),导致可以重复使用签名数据铸造NFT;
签名检查不合理(例如:未检查签名者为零地址的情况),导致任意用户均可通过检查进行铸币;
(2) 逻辑漏洞:
合约管理员可以通过私募等特殊方式铸币而不受总量的限制,导致NFT的实际量超过预期;
拍卖NFT时,获胜者可在领取交易顺序依赖攻击,修改竞拍价格,导致竞拍获胜者可以低价获取NFT;
(3) ERC721&ERC1155重入攻击
当合约使用转账通知功能时(onERC721Received函数),NFT合约会主动向转账的目标合约发送一次调用,那么这就可能导致重入攻击;
(4) 授权范围过大
用户在进行质押或者拍卖时,仅需要对单个代币授权,但合约要求_operatorApprovals授权,一旦用户授权成功,那么就存在NFT被盗的风险。
(5) 价格操控
NFT的价格依赖于某合约的代币持有量,导致攻击者利用闪电贷拉高代币价格,使得质押的NFT被异常清算。
从上半年发生的NFT合约安全事件来看,审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对NFT合约进行审计也是非常有必要的。
钱包安全
区块链中钱包安全的重要性不言而喻,对于个人用户而言,今年由于钓鱼事件频发造成大量用户钱包资产被盗;对于项目方而言,今年也发生多起私钥泄露相关事件,造成大量项目资产被盗。下面将针对危害个人用户的钓鱼攻击和危害项目方的私钥泄露事件分别进行介绍。
钓鱼
目前的钓鱼手法通常会以各种方式诱骗用户对钱包授权,从而危害钱包安全,以下是几种常见的钓鱼手法:
假空投
该类钓鱼网站主要是利用假空投等手段,诱骗用户访问钓鱼网站。在用户连接钱包后,就会出现“CLAIM NOW”等引诱用户进行点击的按钮,用户点击之后就会对钓鱼网站的黑地址进行授权。
诱骗用户填写助记词
该类钓鱼网站主要是在网页连接钱包处,或者其他位置诱骗用户点击,之后弹出一个伪造的网页,提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词,那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。
APP假钱包
该类假APP钱包通常通过以下三种方式诱骗用户下载,第一种方式是通过购买搜索引擎的广告位,诱骗用户访问虚假的钱包官网进行下载;第二种方式是向受害者发送邮件、海报等,引诱用户下载假钱包;第三种方式是通过社工的方式,首先获取受害者信任,然后再诱骗其下载假APP钱包。
Discord钓鱼
该类钓鱼方式主要是NFT项目的Discord 被攻击,攻击者获取到Discord的管理员权限,然后在Discord中发布钓鱼链接,诱骗用户点击从而危害其钱包安全。或者直接获取到服务器的管理员权限,要求用户通过共享屏幕等方式进行身份验证,从而盗取用户私钥等信息。
如何有效防范钓鱼攻击?
反钓鱼插件
由于NFT项目的火爆,各种钓鱼网站层出不穷,仅靠用户自己进行识别已经很难防范,因此建议用户在浏览器上安装防反钓鱼插件。这类插件可以识别出用户当前访问的web3站点是否为钓鱼、诈骗等类型的恶意网站。
结语
从整个加密货币市场上半年行情走势来看,DeFi、NFT、GameFi等各大赛道发展总趋势都是持续走低。整个DeFi总锁仓量从1月初的2798亿美元跌到了6月末的824亿美元,半年下跌70.5%。分析发现,黑客攻击事件频率与市场行情走势呈现出一定的关联性。五六月份在TVL大幅缩水的情况下,黑客攻击事件相对于前几个月有所减少,更多的链上资金会吸引更多黑客的目光。
上半年发生7起跨链桥攻击事件,共损失11亿3599万美元。跨链桥的攻击手法主要为合约漏洞利用、私钥泄露和线下程序缺陷。对项目方而言,安全审计、线下风控、定期检查签名服务器、对签名者严格审查、版本更新时重新进行安全评估、制定漏洞赏金计划等都是保障跨链桥项目安全运行的有效手段。
在上半年的攻击事件中,约53%的攻击方式为合约漏洞利用。通过对审计过程中常见漏洞和实际被利用漏洞进行比对,可以发现,大部分漏洞在审计阶段都能检测出来,如逻辑漏洞、重入漏洞等。
另外还有26.6%的闪电贷攻击事件造成了3亿3291万美元的损失,除了采用一些措施如时间加权平均定价(TWAP)、更高频率的价格更新机制、更严格的治理逻辑等之外,还可使用一些工具及时监控闪电贷。
上半年,共发生了5起损失过亿的安全事件,而好消息是,这5个被攻击的项目均在一段时间后发布了补救措施并重新上线。在过往的事件里,反倒是一些资金量中小规模的项目方,在遭到了重大攻击后将会很难重启。
2022年上半年,约有11亿4070万美元的被盗资金被黑客转进了Tornado Cash,约占总损失金额的60%。虽然混币技术增强了链上交易的匿名性和隐私性,但也被黑客滥用于洗钱等犯罪。成都链安在过往的案例中,已有数次成功分析黑客数据痕迹并追踪Tornado Cash的经验。截止报告发布时,美国财政部已经宣布将Tornado Cash列入制裁名单。
作为一家致力于区块链安全生态建设的全球领先区块链安全公司,也是最早将形式化验证技术应用到区块链安全的公司,成都链安目前已与国内外头部区块链企业建立了深度合作;为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。自主研发的“链必安”一站式区块链安全服务平台可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全保障解决方案。
Footprint Analytics 用于发现和可视化区块链数据的工具,涵盖了 NFT 和 GameFi 等领域的相关数据。目前为止,Footprint 采集、解析和清理了 17 条公链的数据,为用户构建了无代码拖拽式做表面板,与此同时,Footprint 也支持使用 SQL、Python 进行数据分析。
Twitter: https://twitter.com/Footprint_Data
Discord: https://discord.com/invite/3HYaR6USM7
以上是关于成都链安CEO杨霞:打通区块链生态安全信息屏障,守护区块链生态安全的主要内容,如果未能解决你的问题,请参考以下文章
Beosin成都链安发布在线EOS-IDE免费版本 EOS智能合约在线编辑编译运行调试部署一步到位
成都链安:Apache Tomcat远程代码执行漏洞预警(CVE-2020-9484)