慢雾发布《区块链安全及反洗钱分析报告》 漏洞是引发安全事件主因

首页 / 业界 / 报告 /  正文
来源:安全419
发布于:2022-08-04
2022年8月3日,慢雾科技正式发布了2022年上半年《区块链安全及反洗钱报告》(以下简称“报告”),对报告期内的区块链的生态与监管情况、安全态势进行了阐述,并详尽分析了区块链安全现状,对区块链相关的攻击手法、典型攻击事件并扩展到具体的反洗钱领域进行了分析说明。


加密货币市场走向合规化 全球区块链市场整体仍蓬勃发展

尽管近两年的国际形势变化愈加复杂多变,全球经济遭遇重大挑战,但从区块链技术本身来看,仍在不断的进步。报告指出,全球区块链行业正在经历着一场不断加速的变革,区块链技术的效率、安全性和可扩展性都得到了改善。

在政策监管方面,就加密货币而言,报告将各国政府的监管态度总结为三种:拥抱支持、模糊不定、严令禁止。但从整体看,报告认为2022年是加密货币监管新纪元的开端,加密货币市场也就此开始走向合规化。

在产业赋能方面,报告认为区块链与传统行业的融合速度正在加速,随着知识产权管理应用的强势崛起、新的行业联盟链层出不穷、区块链在数据等领域更多的应用落地等,都表明区块链在驱动各行业业务升级中发挥日益重要的作用。在数字化转型浪潮之下,区块链对于数字经济的整体发展也有着较强的支撑作用,可以有利于促进数据共享、提升协作效率、优化业务流程、降低运营成本等,同时还有助于建立可信体系。因此,区块链对于推动各行业数字化转型和业务升级都将发挥重要作用。

在市场发展方面,报告指出,由于加密货币价格暴跌、DeFi协议崩溃和CeFi破产等大事件影响,加密货币在上半年经历了难以置信的动荡,但与此同时,诸多新兴趋势也在形成,又带动加密货币用户以及Web3开发人员数量呈现出上升趋势。报告援引CoinMarketCap 数据显示,截至2022年6月30日,全球加密货币总市值超过9051亿美元,全球区块链市场整体上仍在蓬勃发展。

漏洞问题是引发区块链项目安全事件主因

同很多行业一样,发展的越好越会成为攻击者的目标,区块链行业也是一样,尤其是围绕加密货币的犯罪行为近期愈加猖獗。报告援引慢雾区块链被黑事件档案库(SlowMist Hacked)的统计数据显示,2022年上半年发生相关安全事件共计187起,损失高达19.76亿美元,其中损失最大的则是跨链桥。


依据报告数据来看,区块链项目自身的漏洞仍然是安全事件的主因,占比达到了77%,造成的损失更是达到约18.4亿美元,占比达93%,由此可见,漏洞问题可谓是区块链项目的头号威胁。

在反洗钱方面,慢雾根据典型安全事件攻击手续费来源图分析发现,典型安全事件的攻击手续费大多都来自 Tornado.Cash 提款,也有从换币平台、交易平台提款或从其他个人地址转移的情况。在洗钱资金去向方面,报告分析指出,洗钱的主要流程发生在ETH链或BTC链,通过对上半年典型安全事件的整体分析,洗钱的主要流程发生在 ETH 链或 BTC 链,其中在ETH方面主要流向Tornado.Cash(74.6%);BTC方面则主要流向ChipMixer(48.9%)。


上半年DeFi安全事件损失超16.3亿美元

报告数据显示,截至6月30日,2022年上半年中,DeFi 安全事件约 100 起,损失超 16.3 亿美元。其中在 BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为 47 起、29 起、8 起、5 起、2 起、1 起、7 起,所造成损失分别为 1.4 亿美元、3.08 亿美元、5491 万美元、6383 万美元、1310 万美元、830 万美元、10.43 亿美元。


值得注意的是上半年损失金额上亿美元的事件 4 起中就有 3 起来自跨链桥。NFT 赛道安全事件约 48 起,损失超 6281 万美元。在上半年,全球共发生 4 起交易平台安全事件,损失超 7770 万美元。

如何降低甚至规避大部分风险? 慢雾建议个人用户遵守2+6安全原则

报告明确指出,区块链已成为网络黑产的新风口,呈现出越来越明显的组织化与专业化趋势,“勒索”、“欺诈”及“盗窃”已成为加密货币巨大安全威胁。

为此,慢雾科技也在报告中建议机构和企业能够建立全面的网络安全防护系统,防护从各个层次入侵的网络安全威胁,并通过威胁感知体系快捷获取病毒木马、钓鱼诈骗、网络安全预警、漏洞报告在内的安全情报,一旦发生安全威胁能够及时进行处理。

对于个人而言,报告则给出相对更为详尽的“2+6”的安全原则:

其中的“2”其实是引用了当前安全行业的热门概念——零信任的原则,那就是永不信任,持续验证。

1、永不信任。不仅仅是保持怀疑,而且是始终保持怀疑。
2、持续验证。如要相信,那必须要有能力去验证你怀疑的点,并且要把这一能力转化为习惯。

另外的“6”则是更具体到执行层面的原则:

1、网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
2、做好隔离,也就是鸡蛋不要放在一个篮子里。
3、对于存有重要资产的钱包,不做轻易更新,够用就好。
4、所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该是你预期的。
5、重视系统安全更新,有安全更新就立即行动。
6、不乱下载程序。

除了上述内容之外,报告还对2022年上半年的典型安全事件以及攻击者的攻击手法和工具等方面进行了梳理和介绍,并对反洗钱进行了详尽的分析,有兴趣进一步了解的朋友,可以点击本段文字下载完整版报告查阅。