2022年,區塊鏈行業迎來新的發展時期,但各類安全風險也在不斷升級。
成都鏈安新推出的《安全研究季報》欄目,將為大家盤點每季度全球區塊鏈安全態勢。
今天,跟著我們一起來回顧,2022年q1區塊鏈安全生態都發生了什麼。
one ,
2022年q1區塊鏈安全生態概覽
安全事件造成的損失高達約12億美元
2022年第一季度 ,根據成都鏈安【鏈必應-區塊鏈安全態勢感知平臺】監測到的資料統計,攻擊類安全事件造成的損失高達約12億美元,較去年同期(2021年q1)的1.3億美元上漲約9倍。同時也比2021年的任何一個季度損失的金額都要高。
2022年3月,ronin攻擊事件造成6.25億美元資金被盜,超越2021年8月poly network被攻擊的6.1億美元,登上defi駭客攻擊損失榜第一位。當然,不是每個專案都能像poly network一樣能夠追回資金。截止本報告撰寫時(4月),ronin的駭客依舊在分批次進行洗錢。
擴充套件閱讀:
超6億美元資金被盜!ronin跨鏈橋被攻擊事件簡析
成都鏈安關於poly network被攻擊事件全解析
從鏈平臺來看
ethereum和bnb依舊是被攻擊頻次最高的兩條鏈,但高攻擊頻次並不意味著高損失金額。2022年第一季度,我們監測到solana鏈典型攻擊事件2起,損失金額卻高達3億7400萬美元,遠遠多於bnb chain上的損失。
從資金流向來看
80%的情況下,駭客都會最終將盜取資金轉入tornado.cash進行混幣。有10%的情況,駭客會將資金暫時留在自己的地址,有時要等待幾個月,甚至幾年才對贓款進行轉移。有少部分駭客會主動歸還盜取資金。
從攻擊手法來看
合約漏洞利用和閃電貸攻擊是駭客最常使用的手段。50%的攻擊手法為合約漏洞利用。
從審計情況來看
在被攻擊的專案中,70%的專案經過了第三方安全公司的審計。然而在剩餘30%未經審計的專案中,因攻擊事件遭受的損失卻佔了整個損失金額的60%以上。
從專案型別來看
defi專案依舊是駭客攻擊的熱點領域,佔了總共被攻擊專案數量的60%。而跨鏈橋雖然被攻擊的次數不多,但涉及的金額卻巨大。
two ,
q1發生典型攻擊事件超30起跨鏈橋類專案損失慘重
2022 年第一季度,區塊鏈領域共發生典型安全事件約30起。總損失金額約為12億美元,與去年同期相比增長了823%。
在前20排名裡,損失金額最高的ronin為6.25億,約是金額最低的build finance(112萬美元)的558倍。
從統計圖表可以看到,ronin和wormhole兩個專案的損失金額達到了9億5000萬美元,佔2022年q1總損失金額的80%。值得注意的是,這兩者均為跨鏈橋類專案。
three
被攻擊專案型別方面defi仍為駭客攻擊的重點領域
2022 年第一季度,區塊鏈領域,defi專案仍為駭客攻擊的重點領域,共發生19起安全事件,約60%的攻擊發生在defi領域。
此外,針對nft的攻擊事件在2022年第一季度有所上升,跨鏈橋專案被攻擊了4次,造成的損失卻高達9億5000萬美元,佔到2022年一季度損失金額的80%,跨鏈橋安全事件頻發,涉及金額巨大。
four ,
鏈平臺損失金額方面ethereum損失金額佔比最高
2022 年第一季度,ethereum和solana鏈上攻擊損失金額排名前2,分別為6億5448萬和3億7400萬美元。
ethereum被攻擊的頻次也是最多的,佔到了總頻次的45%;排名第二的是bnb chain,佔比19%。
solana鏈上的兩次攻擊事件都造成了鉅額損失:wormhole損失3億2600萬美元,cashio損失4800萬美元。兩者的攻擊手法同為合約漏洞利用。
鏈平臺損失金額佔比
此外,一些tvl排名靠前的公鏈在2022年第一季度未檢測到重大安全事件,如:terra、avalanche、tron等。
five ,
攻擊手法分析合約漏洞利用和閃電貸最常見
2022 年第一季度,區塊鏈安全生態領域,約50%的攻擊方式為合約漏洞利用,24%的攻擊方式為閃電貸。
有12%的攻擊為私鑰洩露、釣魚攻擊和社會工程學攻擊。此類攻擊源於專案方沒有保管好私鑰或警惕性不足。
被駭客利用的合約漏洞中,最常見的漏洞為重入漏洞(30%),其次分別為業務邏輯不當(24%)、call注入攻擊(18%)和驗證不當或不足(18%);其中絕大部分漏洞都可以透過安全審計儘早發現和修復。
six ,
典型安全事件分析
案例一:treasuredao被攻擊事件
背景:
3月3日,treasuredao nft 交易市場被曝發現漏洞,導致100多個nft被盜。然而在事件發生幾小時後,攻擊者卻開始歸還被盜nft。
詳情:
交易發起者透過合約的buyitem函式傳入了數值為0的_quantity引數,從而無需費用就能購買tokenid為5490的erc-721代幣。
專案合約的 buyitem 函式程式碼
從程式碼上來看,合約的buyitem函式在傳入_quantity引數後,並沒有做代幣型別判斷,直接將_quantity與_priceperitem相乘計算出了totalprice,因此safetransferfrom函式可以在erc-20代幣支付數額只有0的情況下,呼叫合約的buyitem函式來進行代幣購買。
然而在呼叫buyitem函式時,函式只對購買代幣型別進行了判斷,並沒有對代幣數量進行非0判斷,導致erc-721型別的代幣可以在無視_quantity數值的情況下直接購買,從而實現了漏洞攻擊。
建議:
本次安全事件主要原因是erc-1155代幣和erc-721代幣混用導致的邏輯混亂,erc-721代幣並沒有數量的概念,但是合約卻使用了數量來計算代幣購買價格,最後在代幣轉賬時也沒有進行分類討論。
建議開發者在開發多種代幣的銷售販賣合約時,需要根據不同代幣的特性來進行不同情況的業務邏輯設計。
擴充套件閱讀:怪事?盜了又歸還?treasuredao安全事件分析
案例二:build finance專案遭遇治理攻擊
背景:
2 月 15 日,dao 組織 build finance 表示遭遇惡意治理攻擊,攻擊者透過獲得足夠多的投票成功了控制其 token 合約。
詳情:
在2020年9月4日的一筆交易中,build finance合約建立者透過se**overnance函式將治理許可權轉移。透過查詢內部的storage,發現許可權轉移給了0x38bce4b地址。繼續跟進0x38bce4b地址,發現是一個timelock合約,而合約中可以呼叫se**overnance函式的只有executetransaction函式。
build finance被攻擊流程
繼續跟進發現,在2021年1月25日,0x38bce4b地址呼叫executetransaction函式將許可權轉移到了0x5a6ebe地址。2022年2月11日,由於投票設定的閾值較低導致提案透過,0x5a6ebe地址的治理許可權變更為了0xdcc8a38a地址。在獲取到治理許可權後,攻擊者惡意鑄幣並耗盡了交易池的流動性。
建議:
dao合約應該設定合適的投票閾值,實現真正的去中心化治理,避免很少的投票數量就使得提案透過併成功執行,建議可以參考openzeppelin官方提供的治理合約的實現。
擴充套件閱讀:build finance遭遇惡意治理接管,被洗劫一空!
案例三:ronin6億美元盜幣案
背景:
3 月 23 日,sky mavis 的 ronin 驗證器節點和 axie dao 驗證器節點遭到破壞,攻擊者使用被黑的私鑰來偽造假提款,獲利約6.25億美元。而ronin network直到3月29日才發現自己遭受到了攻擊。
詳情:
sky mavis 的 ronin 鏈目前由 9 個驗證節點組成。為了識別存款事件或取款事件,需要九個驗證者簽名中的五個。攻擊者設法控制了 sky mavis 的四個 ronin 驗證器和一個由 axie dao 執行的第三方驗證器。此後 ronin 官方表示,所有證據都表明這次攻擊或與社會工程學相關。
ronin駭客洗錢過程(更新至3月30日)
建議:
1、注意簽名伺服器的安全性;
2、簽名服務在相關業務下線時,應及時更新策略,關閉對應的服務模組,並且可以考慮棄用對應的簽名賬戶地址;
3、多籤驗證時,多籤服務之間應該邏輯隔離,獨立對簽名內容進行驗證,不能出現部分驗證者能夠直接請求其它驗證者進行簽名而不用經過驗證的情況;
4、專案方應實時監控專案資金異常情況。
seven ,被盜資金流向分析
tornado.cash或為駭客洗錢慣用途徑
80%的情況裡,駭客在得手後,會立刻或幾天內將盜取資金轉入tornado.cash進行混幣。
10%的情況裡,駭客會暫時將贓款留在自己地址,等待幾個月至幾年才將資金轉出。例如去年12月被盜的交易所ascendex,駭客等到今年2月、3月才開始進行分批次洗錢。而今年ronin的攻擊者目前依然在進行頻繁的洗錢操作。
有少部分駭客會歸還盜取資金。cashio的攻擊者在盜取4800萬美元的資金後,公開留言表示將向價值在10萬美元以下賬戶進行退還,並聲稱“我的目的只是從不需要的人那裡拿錢,而不是從需要的人那裡拿錢”。
目前tornado.cash依舊為駭客慣用的洗錢途徑。
eight ,專案審計情況分析
30%未經審計的專案損失金額佔總量的60%
專案審計情況:
70%的被攻擊專案經過了第三方安全公司的審計;
30%未審計的專案,損失金額達7.2億美元,佔第一季度總損失金額的60%;
專案上線之前的審計依舊重要。在未審計的專案中,50%的攻擊手法都為合約漏洞利用。因此,儘早審計和及時修復程式碼漏洞,可以避免上線後專案被攻擊造成的嚴重損失。
專案審計情況及總損失金額
nine ,2022年q1結語
安全事件頻發,涉及金額大幅增加
2022年第一季度 ,區塊鏈領域攻擊類安全事件造成的損失高達約12億美元,比2021年的任何一個季度損失的金額都要高。跨鏈橋專案被盜取金額巨大,defi專案被攻擊頻次最高,這兩個領域今後或許也是駭客重點盯上的攻擊目標。
專案方應及時關注資金異常情況,成都鏈安【鏈必應-區塊鏈安全態勢感知平臺】可以讓專案方和使用者及時發現風險交易,從而快速採取措施。例如立刻暫停相關服務,或告知使用者取消授權等,避免後續更大的損失。
專案安全審計依舊重要,約50%的攻擊方式為合約漏洞利用,這其中絕大多數漏洞都可以透過安全審計及早發現和修復。
