慢雾：区块链安全回顾

本文为Coinlive和慢雾原创Web3年度回顾；如需转载请注明出处。

根据慢雾黑客入侵事件数量档案库，2022年共发生安全事件295起，损失高达37.28亿美元。与 2021 年的 97.95 亿美元相比，下降了 62%。但是，这不包括由于市场动荡造成的资产损失。

各种 DeFi 生态、跨链桥和 NFT 中至少有 245 起安全事件。此外，交易所、公链、钱包等安全事件分别超过10起、11起、5起和24起。

从时间上看，攻击发生频率最高的是5月和10月，高达38起。 3 月份的损失最大，约为 7 亿美元。

1）区块链生态系统安全概述

公共区块链

公链是Web3领域最基础的基础设施，也是业内最具竞争力的基础设施之一。 2022年最让人吃惊的事件非Terra事件莫属。 2022 年 5 月 8 日，加密货币市场出现了历史上最具破坏性的崩溃。发生了价值 2.85 亿美元的巨额 Terra 网络算法稳定币 UST 的转储。这引发了一系列连锁反应，Terra 的原生代币 LUNA 的价格在没有任何征兆的情况下突然暴跌。短短一天时间，LUNA市值缩水近400亿美元，TVL生态圈几乎化为乌有。这一事件可能是 2022 年加密冬天的导火索。

DeFi/跨链桥

据 DeFi Llama 统计，截至 12 月底，DeFi 的总锁定价值为 398 亿美元。同比下降 75%。以太坊一马当先，占据了 DeFi TVL 的 58.5%（233 亿美元）。 TRON 以 43 亿美元的 TVL 紧随其后，BNB Chain（BNB）占据 42 亿美元。有趣的是，2022 年 5 月，以太坊的 TVL 在 DeFi 中的占比下降了 35%，而 TRON 的 TVL 占比增加了 47%。

据SlowMist Hacked统计，2022年BNBChain发生安全事件至少90起，损失总额约7.85亿美元，在各平台损失金额中排名第一。相反，以太坊上发生了50多起安全事件，总损失达5.28亿美元。还有 Solana，发生了大约 11 起安全事件，总共损失了 1.96 亿美元。

据Dune Analytics统计，以太坊跨链桥TVL为83.9亿美元，较上半年下降31%。目前，Polygon Bridges 的 TVL 最高（30 亿美元）。排名第二的是Arbitrum Bridges（12.8亿美元），其次是Optimism Bridges（8.5亿美元）。跨链桥允许用户将他们的加密资产从一条链转移到另一条链，主要解决多链扩展的问题。然而，跨链桥接智能合约由于资金量大，且缺乏安全审计，受到黑客的关注。

据慢雾黑客统计，2022年跨链桥接安全事件15起。损失达12.1亿美元，占2022年总损失的32.45%。

综上所述，对于项目来说，要想尽可能的消除漏洞，降低安全风险，就需要有效的努力——在项目上线前，进行全面深入的安全审计。同时，建议项目方通过多重签名机制加强资产保护。在进行协议交互或移植代码时，项目方需要充分了解移植合约的框架以及自身项目框架的设计。如果两种协议兼容，就足以防止任何导致经济损失的情况发生。对于用户而言，随着区块链玩法的多样化，用户在进行投资前应仔细了解项目背景。在参与任何项目之前，请提高警惕并注意项目的风险，检查项目是否开源并经过审计。

非同质化代币

NFT在2022年的表现非常抢眼。据 NFTScan 统计，今年以太坊 NFT 的总交易量高达 1.98 亿笔。这明显高于 2020 年和 2021 年的数据。 BNBChain 一年的 NFT 交易量为 3.45 亿笔，而 Polygon 的 NFT 交易量为 7930 亿笔。

另一方面，据慢雾黑客不完全统计，NFT方面的安全事件共计56起。损失总额超过 6.543 亿美元，其中大部分归因于网络钓鱼攻击，占案件的 40%（22 起）。其次，地毯拉扯在 12 起事件中占 21%。

钱包/交易所

2 月 8 日，美国司法部 (DOJ) 宣布他们已设法追回价值 36 亿美元的比特币。这些比特币与2016年发生在加密货币交易所Bitfinex的黑客事件有关。34岁的伊利亚·利希滕斯坦和他的妻子，31岁的希瑟·摩根在纽约被捕，两人被控合谋实施洗钱和欺诈。这也是美国司法部历史上最大的一次金融扣押。

11 月 6 日，Binance 的创始人 CZ 在 Twitter 上发布了他清算账面上所有剩余 FTT 的决定，引发了两大交易所之间的对抗。尽管Alameda的CEO和FTX的CEO，SBF试图通过一系列的推文来稳定用户的信心，反驳他们之前曝光的消息。然而，这仍然导致 FTX 的流动资金池枯竭，导致他们破产。 FTX 最终倒闭，SBF 被捕。缺乏透明度引发了用户对中心化交易所的信任危机，凸显了缺乏审慎监管的问题。无论是对消费者的保护更加谨慎，还是制度更加明确，监管的节奏都会更加明朗。

FTX 崩溃后，硬件钱包的销量猛增。用户最多的钱包，MetaMask月活跃用户达到3亿。根据 Finbold 的统计，基于排名前 21 的加密货币存储应用，2022 年 1 月至 10 月期间，加密钱包在 Android 和 iOS 上的下载量均为 1.02 亿次。虽然这一数据低于 2021 年熊市时的 1.88 亿次下载量，它仍然高于任何其他年份。月度统计显示，年初加密钱包下载量面临下滑。然而，在 Terra/LUNA 崩溃以及 FTX 崩溃之后，它们经历了大幅增长。

其他

区块链技术的不可逆性和匿名性，不仅有效地保护了隐私，也为网络犯罪提供了“保护伞”。随着元宇宙、NFT等概念的流行，加密货币被盗、诈骗等事件时有发生。许多不法分子发出伪装成区块链的“加密资产”进行欺诈。这样的制作的先进性和专业性远远超出我们的想象。

中国人民银行支付结算司数据显示，2021年欺诈性支付的支付方式中，使用加密货币的金额仅次于银行转账，金额达7.5亿美元。而在 2020 年和 2019 年，分别只有 180 美元和 3000 万美元。逐年增长的趋势是显而易见的。值得注意的是，恋爱诈骗中的加密货币转移正在迅速上升。在 2021 年的恋爱诈骗总额中，有 1.39 亿美元是通过加密货币支付的，分别是 2020 年和 2019 年的 5 倍和 25 倍。

根据美国联邦贸易委员会（FTC）的一份报告，自 2021 年初以来仅一年多时间，已有超过 46,000 人报告遭遇加密货币骗局，损失总和超过 10 亿美元。根据该报告，最常见的加密货币骗局类型与投资有关，占 10 亿美元总额中的 5750 亿美元。骗子最常见的付款方式包括 BTC (70%)、USDT (10%) 和 ETH (9%)。

2）攻击方式

295起安全事件中，攻击方式主要分为3种：1）基于项目自身设计缺陷以及合约中各种漏洞的攻击，2）rug pulls、phishing、methods等诈骗类型, 3) 私钥泄露造成的资产损失。

2022年最常见的攻击方式是由于项目本身的设计缺陷以及合约中的各种漏洞造成的。此类案件大约有92起，造成总损失10.6亿美元，占所有攻击事件的40.5%。此类攻击的主要原因是闪贷，约有 19 起，损失总额达 6.133 亿美元。其他原因包括重新进入、价格操纵、验证问题等。

私钥泄露造成资产损失的概率约为 6%，但总损失高达 7460 亿美元。仅次于合约漏洞利用，私钥被盗损失最大的是浪人事件，其次是Harmony。它们都来自跨链桥。

在 Web3 的世界中，用户的安全意识往往存在差异，导致针对用户的钓鱼攻击层出不穷、种类繁多、频繁发生。例如，攻击者使用恶意手段接管项目的官方社交媒体平台（例如 Discord、Twitter），或伪装成他们的官方社交媒体帐户。然后他们会发布造币厂和空投的钓鱼链接，有时甚至会转载真实的官方账号来迷惑用户。例如，在搜索引擎上使用广告宣传虚假网站或与官方网站高度相似的域名和内容，以使其可信。这包括创建模仿他们的电子邮件、诱人的赠品来让用户落入他们的陷阱。其他示例包括利用新用户缺乏信息来提供虚假的应用程序下载链接。不管是什么，最重要的是提高你的意识。同时，如果您发现自己中了他们的圈套，请立即将您的资产转移出去，及时防止损失，并留好证据。必要时寻求业内安全机构的协助。

最坏的情况来自地毯拉扯。 Rug pulls 通常指的是创始人放弃其项目，带着资金跑路。更常见的情况是项目有恶意。拉地毯可以通过多种方式发生。例如，当开发商开始提供初始流动性时，会推高价格。然后，他们将提取流动性并创建一个加密项目。他们会通过各种营销手段吸引加密用户进行投资，也会选择合适的时机毫无征兆地抽走用户的投资资金。他们将继续出售这些加密资产并最终消失，投资该项目的用户将遭受巨大损失。又如，他们发布了一个网站，但在收到数万存款后就关闭了。仅2022年一年，拉地毯事件就有50起，损失达1880亿美元。它们在 BSC 生态系统和 NFT 中最为常见。

2022 年的新方法包括前端恶意攻击、DNS 攻击和 BGP 劫持。最离奇的案例是由于人为配置和操作失误造成的资产损失。

3) 网络钓鱼/诈骗技术

本部分仅揭示慢雾科技披露的部分网络钓鱼/诈骗技术。

恶意网络浏览器书签窃取 Discord 令牌

现在的浏览器都有自己的书签管理器，但在提供便利的同时，也很容易成为攻击者的目标。通过恶意创建的钓鱼页面，它可以将 JavaScript 代码插入到您保存的书签中。有了它，它基本上可以做任何事情，包括通过 Discord 的 webpackChunkdiscord_app 前端包获取信息。当 Discord 用户点击它时，恶意 JavaScript 代码将开始在用户的 Discord 域内执行。它会窃取你的Discord令牌，之后攻击者可以直接自动接管与Discord账户相关的权限来管理项目。接收 Discord 令牌类似于登录 Discord 帐户。它可以做登录帐户可以做的所有事情，例如创建 Discord webhook 机器人，以及在频道中发布虚假公告进行网络钓鱼。下图为受害者点击钓鱼书签：

下图展示了攻击者接收令牌和受害者个人信息后编写的 JavaScript 代码。它是通过 Discord 服务器的 webhook 接收的。

如图所示，假设用户已经登录到网页Discord，假设受害者已经保存了钓鱼页面的恶意书签，那么当他们登录到Discord网页并点击书签时，就会触发恶意代码。因此，受害者的 Token 和其他个人信息将通过攻击者设置的 Discord webhook 发送到攻击者的通道。

虚假订单 NFT 钓鱼

举例如下钓鱼网站，签名内容包括：

制造商：用户的地址

接受者：0xde6135b63decc47d5a5d47834a7dd241fe61945a

交易所：0x7f268357A8c2552623316e2562D90e642bB538E5（OpenSea V2的合约地址）

这是一种常见的 NFT 钓鱼技术，诈骗者可以用 0ETH（或任何其他货币）购买你拥有的所有 NFT。也就是说，这个订单会诱使用户签署销售自己的 NFT。一旦用户签署了这个订单，骗子就可以直接通过 OpenSea 购买他们的 NFT。但他们购买的价格是由骗子决定的，这意味着骗子可以不花一分钱“购买”用户的 NFT。

此外，签名基本上由攻击者存储。不能通过 Revoke.Cash 或 Etherscan 等网站撤销其有效性，以取消对签名的授权。但是，它可以取消您列出订单的权限，从根本上杜绝此类钓鱼风险。

红线窃取木马

此类攻击通过 Discord 邀请用户参与新游戏项目的 Beta 测试。伪装成“提供折扣”、群聊等方式向您发送程序下载。他们通常会发送一个 zip 文件，该文件将提取出大约 800mb 的 .exe 文件。一旦你在你的设备上运行它，它就会扫描所有文件并过滤掉包含“钱包”一词和其他相关关键字的文件。然后将其上传到攻击者的服务器，他们将达到窃取加密货币的目的。

Redline Stealer 是一种恶意木马，于 2020 年 3 月被发现，在地下论坛中单独出售。该恶意软件从浏览器收集信息，例如已保存的凭据、自动完成的数据以及信用卡信息。新版Redline增加了窃取加密货币的功能，可以自动扫描已经安装的加密货币钱包的信息。然后，它将被上传到远程控制设备。该恶意软件能够上传和下载文件、执行命令以及定期发回有关受感染设备的信息。它会经常攻击加密货币钱包相关目录，对钱包文件进行扫描：

空白支票 eth_sign 网络钓鱼

连接你的钱包并点击“认领”后，将出现一个弹出窗口要求你签名。同时，MetaMask 会显示红色警告提醒。然而，不可能从这个弹出窗口中弄清楚这个签名请求到底要求什么。这实际上是一种非常危险的签名类型，它本质上是来自以太坊的“空白支票”。通过这种网络钓鱼，诈骗者可以使用您的私钥进行任何交易。

这个 eth_sign 方法可以签署任何散列。自然地，它可以在之后对 bytes32 进行签名。因此，攻击者只需要我们连接的 dApp 就可以获取我们的地址并分析和查询我们的账户。这可以通过签署 eth_sign 来创建任何数据（例如，本机令牌传输、调用合同）。

另一种网络钓鱼是，如果您拒绝上述签名，它会自动在您的 MetaMask 中显示另一个签名弹出窗口，在您放松警惕时诱骗您签名。收到你的签名信息后，使用SetApprovalForAll方法，“已批准资产”下会变成“你所有的NFT”。这意味着一旦你签名，骗子就可以不受限制地窃取你所有的 NFT。

这种网络钓鱼方式非常容易让用户迷惑。此前，当遇到授权钓鱼时，MetaMask 会客观地向我们展示数据，告知我们攻击者希望我们签名。尽管如此，当攻击者使用 eth_sign 方法让用户签名时，MetaMask 只向我们展示了一系列 bytes32 哈希值。

相同结束码+TransferFrom零转账骗局

在用户的交易记录下，会不断出现转入0USDT的未知地址。此事务也是通过 TransferFrom 函数完成的。这主要是因为在token的合约中，TransferForm函数并没有规定授权的转账金额必须大于0，所以在没有用户账户授权的情况下也可以成功转账0USDT。恶意攻击者利用这种情况不断地以活跃的链上用户为目标来发起 TransferFrom。因此，这将触发一个 Transfer 事件。

除了这种0USDT转账的骚扰，还伴随着攻击者针对交易频繁、规模大的用户。他们会不断空投少量代币，比如0.01USDT或者0.001USDT。攻击者地址的末尾将与用户地址的末尾几乎相同。很多时候，当用户从他们的交易历史中复制地址时，他们会复制错误，从而导致资金损失。

以上只是一些常见的攻击方法和情况的例子。实际上，黑客和攻击者不断地寻找新的方法来应对任何情况。所以，他们总会想出新的方法，而我们这边，要做的永远是不断地获取知识。

对于个人用户，遵守以下安全规章制度可以规避大部分风险：

2 条主要安全规则：

• 零信任。简单的说就是时刻保持警惕，时刻保持警惕。
• 持续验证。如果你想相信，你必须能够验证你的怀疑，并让这种能力成为一种习惯。

安全规定：

• 互联网上的知识应始终与其他 2 个参考文献交叉引用。证实它们并始终保持怀疑。
• 隔离好，意思是不要把所有的鸡蛋都放在一个篮子里。
• 有重要资产的钱包，不要随便更新，够用就够了。
• 所见即所签。即使你看到的是你期望签署的，一旦你签署了，接下来发生的事情也应该是意料之中的。
• 注意系统的安全更新。一旦有新的安全更新，立即采取行动。
• 不要匆忙下载任何程序。

鉴于此，我强烈建议阅读并掌握慢雾科技的《区块链黑暗森林自我保护手册》。