官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
2022年是勒索组织异常猖獗的一年。这一年,全球网络空间处于严峻的勒索攻击威胁之中,不仅仅是企业,政府部门、公益组织、关键信息基础设施、甚至是整个国家和地区,都成为了勒索组织攻击的目标。
通过对高价值数据进行加密、窃取,勒索组织有了向用户勒索的筹码。区块链技术不可逆、匿名性特征在有效保护隐私的同时,也为网络犯罪提供了“保护伞”。很多不法分子打着区块链旗号发行所谓的虚拟资产,实施诈骗,黑灰产的先进与专业度已经远超想象。
近日,慢雾科技发布了《2022年度区块链安全及反洗钱分析》,聚焦于 2022 年区块链行业所发生的重大事件,主要介绍区块链行业各赛道的安全状况,延伸并提炼出常见攻击手法,并披露其中几种钓鱼手法。接着对部分安全事件的被盗资金流向进行分析,并通过归纳总结,公布一种针对混币器资金追踪的高级分析方法。
一、区块链安全现状
根据慢雾区块链被黑事件档案库统计,2022 年安全事件共 303件,损失高达37.77 亿美元。相比 2021 年的 97.95 亿美元下降约 61%。其中 DeFi、跨链桥、NFT 等安全事件 255 起,交易所安全事件 10 起,公链安全事件 11 起钱包安全事件 6 起,其他类型安全事件 21 起。
303 起安全事件中,攻击手法主要分为三类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含 Rug Pull、钓鱼、Scam 类型的手法;由私钥泄露引起的资产损失。
2022 年最常见的攻击手法是由项目自身设计缺陷和各种合约漏洞引起,约 92 起,造成损失近 11亿美元。其中较为主要的是利用闪电贷引起的攻击,约 33 起,造成损失 3.48 亿美元,其他包括重入问题、价格操纵、验证问题等等。
因私钥被盗引起的资产损失发生率约为 6.6%,损失金额却达到 7.62 亿美元。因私钥被盗的事件中,损失最大的来自 Ronin 事件,其次是 Harmony,都是来自跨链桥。
总的来说,2022 年其他较为新型的手法为前端恶意攻击、DNS 攻击以及 BGP 劫持;最为奇葩的则是人为配置操作失误导致的资产损失。
在网络钓鱼攻击方面,慢雾科技公布了常见的钓鱼攻击手法,包括浏览器恶意书签盗取 Discord Token、“零元购” NFT 钓鱼、Redline Stealer 木马盗币、空白支票 eth_sign 钓鱼等,并对钓鱼事件进行分析和总结。
二、区块链反洗钱
众所周知,造成区块链安全事件的黑客、黑色产业链、欺诈者和 Rug Pull 项目方一直是洗钱的主力,其中最臭名昭著的莫过于朝鲜 LAZARUS GROUP 黑客组织,给区块链生态安全带来巨大的威胁。
在黑客、黑色产业链、欺诈者和 Rug Pull 项目方洗钱过程中,自然少不了一些洗钱工具的帮忙,常见的洗钱工具有 ETH/BSC 链上的 Tornado.Cash,BTC 链上的 Coinjoin 工具(ChipMixer 等)、混币器(Blender、CryptoMixer 等)、隐私钱包(Wasabi、Samourai 等)、换币平台(ChangeNOW、SimpleSwap、FixedFloat 等)和一些交易平台。
通过对部分安全事件被盗资金的 ETH 和 BTC 流向进行分析,得到 ETH/BTC 资金流向图,能够初步评估出洗钱资金的态势。
根据部分安全事件 ETH 资金流向图,74.6% 洗钱资金流向 Tornado.Cash,资金量高达 300160ETH;23.7% 洗钱资金保留在黑客地址,暂未进一步转移,资金量为 95570 ETH;1.5% 洗钱资金流向交易平台,资金量为 6250 ETH。
根据部分安全事件 BTC 资金流向图,48.9% 洗钱资金流向 ChipMixer,资金量高达 3460 BTC;36.5% 洗钱资金保留在黑客地址,暂未进一步转移,资金量为 2,586 BTC;6.2% 洗钱资金流向Blender,3.8% 洗钱资金流向 CryptoMixer,2.1% 洗钱资金流向未知主体,1.3% 洗钱资金流向renBTC,0.7% 洗钱资金流向 Wasabi Coinjoin,0.1% 洗钱资金流向 Binance 交易平台。
三、遵守下列原则,规避大部分区块链风险
在 Web3 世界,用户的安全意识往往是参差不齐,这也导致了针对用户的钓鱼攻击花样多多且频繁发生。对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:
1、两大安全法则
零信任:简单来说就是保持怀疑,而且是始终保持怀疑。
持续验证:你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
2、安全原则
网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有重要资产的钱包,不做轻易更新,够用就好。
所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该是你预期的,绝不是事后拍断大腿的。
重视系统安全更新,有安全更新就立即行动。
不乱下程序。
扫码下载《2022年度区块链安全及反洗钱分析》
扫描二维码 即刻下载知识大陆APP