一級標題
一級標題
一、2022年Q1區塊鏈安全生態概覽
安全事件造成的損失高達約12億美元
2022年第一季度,根據成都鏈安【鏈必應-區塊鏈安全態勢感知平台】監測到的數據統計,攻擊類安全事件造成的損失高達約12億美元,較去年同期(2021年Q1)的1.3億美元上漲約9倍。二級標題
二級標題
二級標題
二級標題
二級標題
二級標題
二級標題
二級標題
二級標題
二級標題
一級標題
一級標題
二、Q1發生典型攻擊事件超30起
跨鏈橋類項目損失慘重
2022 年第一季度,區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元,與去年同期相比增長了823%。
在前20排名里,損失金額最高的Ronin為6.25億558倍558倍。
從統計圖表可以看到,Ronin和Wormhole兩個項目的損失金額達到了9億5000萬美元一級標題一級標題
三、被攻擊項目類型方面
DeFi仍為黑客攻擊的重點領域
2022 年第一季度,區塊鏈領域,DeFi項目仍為黑客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在DeFi領域。
此外,針對NFT的攻擊事件在2022年第一季度有所上升,跨鏈橋項目被攻擊了4次,造成的損失卻一級標題一級標題
四、鏈平台損失金額方面
2022 年第一季度,
2022 年第一季度,Ethereum和Solana鏈上攻擊損失金額排名前2,分別為6億5448萬和3億7400萬美元。
Ethereum被攻擊的頻次也是最多的,占到了總頻次的45%;排名第二的是BNB Chain,佔比19%。
圖片描述圖片描述。
一級標題
一級標題
五、攻擊手法分析
合約漏洞利用和閃電貸最常見
2022 年第一季度,區塊鏈安全生態領域,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。
有12%的攻擊為私鑰洩露、釣魚攻擊和社會工程學攻擊。此類攻擊源於項目方沒有保管好私鑰或警惕性不足。
重入漏洞(30%)重入漏洞(30%),其次分別為圖片描述一級標題
二級標題
背景:
背景:
詳情:
詳情:
圖片描述
項目合約的buyItem 函數代碼
建議:
建議:
建議:
圖片描述
二級標題
背景:
背景:
詳情:
詳情:
圖片描述
建議:
建議:
建議:
二級標題
背景:
背景:
詳情:
詳情:
圖片描述
建議:
建議:
1、注意簽名服務器的安全性;
2、簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模塊,並且可以考慮棄用對應的簽名賬戶地址;
一級標題
一級標題
七、被盜資金流向分析
Tornado.Cash或為黑客洗錢慣用途徑
80%的情況裡,黑客在得手後,會立刻或幾天內將盜取資金轉入Tornado.Cash進行混幣。
10%的情況裡,黑客會暫時將贓款留在自己地址,等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所AscendEX,黑客等到今年2月、3月才開始進行分批次洗錢。而今年Ronin的攻擊者目前依然在進行頻繁的洗錢操作。
一級標題
一級標題
八、項目審計情況分析
30%未經審計的項目損失金額佔總量的60%
項目審計情況:
70%的被攻擊項目經過了第三方安全公司的審計;
一級標題
圖片描述
一級標題
九、2022年Q1結語
安全事件頻發,涉及金額大幅增加
2022年第一季度,區塊鏈領域攻擊類安全事件造成的損失高達約12億美元,比2021年的任何一個季度損失的金額都要高。跨鏈橋項目被盜取金額巨大,DeFi項目被攻擊頻次最高,這兩個領域今後或許也是黑客重點盯上的攻擊目標。
項目方應及時關注資金異常情況,成都鏈安【鏈必應-區塊鏈安全態勢感知平台】可以讓項目方和用戶及時發現風險交易,從而快速採取措施。例如立刻暫停相關服務,或告知用戶取消授權等,避免後續更大的損失。
項目安全審計依舊重要,約50%的攻擊方式為合約漏洞利用,這其中絕大多數漏洞都可以通過安全審計及早發現和修復。
