前言
慢雾科技发布《2022上半年区块链安全及反分析报告》,聚焦于2022年上半年区块链行业所发生的重大事件,主要介绍区块链行业各赛道的安全状况,延伸并提炼出上半年发生的典型安全事件以及常见攻击手法。同时对典型安全事件的被盗资金流向进行分析,并通过归纳总结,首次公布一种针对混币器资金追踪的高级分析方法。由于篇幅限制,这里仅罗列分析报告中的关键内容,完整内容可通过文末PDF下载。
慢雾:Harmony Horizon bridge遭攻击简析:据慢雾安全团队消息,Harmony Horizon bridge 遭到黑客攻击。经慢雾 MistTrack 分析,攻击者(0x0d0...D00)获利超 1 亿美元,包括 11 种 ERC20 代币、13,100 ETH、5,000 BNB 以及 640,000 BUSD,在以太坊链攻击者将大部分代币转移到两个新钱包地址,并将代币兑换为 ETH,接着将 ETH 均转回初始地址(0x0d0...D00),目前地址(0x0d0...D00)约 85,837 ETH 暂无转移,同时,攻击者在 BNB 链暂无资金转移操作。慢雾 MistTrack 将持续监控被盗资金的转移。[2022/6/24 1:28:30]
一、背景
慢雾:警惕高危Apache Log4j2远程代码执行漏洞:据慢雾安全情报,在12月9日晚间出现了Apache Log4j2 远程代码执行漏洞攻击代码。该漏洞利用无需特殊配置,经多方验证,Apache Struts2、Apache Solr、Apache Druid、Apache Flink等均受影响。Apache Log4j2是一款流行的Java日志框架,建议广大交易所、钱包、DeFi项目方抓紧自查是否受漏洞影响,并尽快升级新版本。[2021/12/10 7:30:00]
本节分为区块链生态与监管、区块链安全态势及反态势三部分。区块链生态与监管
从政策监管来看,2022年无疑是加密监管新纪元的开端,加密货币市场正在步向合规化;从产业赋能来看,区块链产业发展机遇与挑战并存,区块链技术正在从“可用”走向“好用”;从市场发展来看,虽然加密货币在上半年经历了令人难以置信的动荡,但全球区块链市场整体上仍在蓬勃发展。区块链安全态势
动态 | 慢雾:10 月发生多起针对交易所的提币地址劫持替换攻击:据慢雾区块链威胁情报(BTI)系统监测及慢雾 AML 数据显示,过去的 10 月里发生了多起针对数字货币交易所的提币地址劫持替换攻击,手法包括但不限于:第三方 JS 恶意代码植入、第三方 NPM 模块污染、Docker 容器污染。慢雾安全团队建议数字货币交易所加强风控措施,例如:1. 密切注意第三方 JS 链接风险;2. 提币地址应为白名单地址,添加时设置双因素校验,用户提币时从白名单地址中选择,后台严格做好校验。此外,也要多加注意内部后台的权限控制,防止内部作案。[2019/11/1]
根据慢雾区块链被黑事件档案库统计,截至6月30日,2022上半年安全事件共187件,损失高达19.76亿美元。
声音 | 慢雾:使用中心化数字货币交易所及钱包的用户注意撞库攻击:据慢雾消息,近日,注意到撞库攻击导致用户数字货币被盗的情况,具体原因在于用户重复使用了已泄露的密码或密码通过撞库攻击的“密码生成基本算法”可以被轻易猜测,同时用户在这些中心化服务里并未开启双因素认证。分析认为,被盗用户之所以没开启双因素认证是以为设置了独立的资金密码就很安全,但实际上依赖密码的认证体系本身就不是个足够靠谱的安全体系,且各大中心化数字货币交易所及钱包在用户账号风控体系的策略不一定都一致,这种不一致可能导致用户由于“惯性思维”而出现安全问题。[2019/3/10]
区块链反态势
匿名性与不可逆是加密货币交易的天然属性,正是这样的原因,在加密货币犯罪频发的情况下,区块链反处于一个至关重要的位置,也是阻止黑客成功变现的最后防线。面对黑客无孔不入的威胁,不同的群体也不约而同的“组建”起反同盟,其中包括交易平台/资金管理平台/项目方、监管方和区块链安全公司。2022上半年这些群体的反动态如何?在反分析过程中,始终存在着几个核心的问题:发起攻击的手续费来自哪里?的资金去了哪里?详情见文末的PDF文件内容。二、区块链安全现状
本节分为区块链生态安全概览、攻击手法概览及典型安全事件三部分。区块链生态安全概览
根据慢雾区块链被黑事件档案库统计,截至6月30日,DeFi安全事件约100起,损失超16.3亿美元。其中在BSC、ETH、Fantom、Solana、Polygon、Avalanche、跨链桥上发生的安全事件数量分别为47起、29起、8起、5起、2起、1起、7起,所造成损失分别为1.4亿美元、3.08亿美元、5491万美元、6383万美元、1310万美元、830万美元、10.43亿美元。值得注意的是上半年损失金额上亿美元的事件4起中就有3起来自跨链桥。NFT赛道安全事件约48起,损失超6281万美元。在上半年,全球共发生4起交易平台安全事件,损失超7770万美元。攻击手法概览
187起安全事件中,攻击手法主要分为四类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含RugPull、钓鱼攻击等手法的Scam;由于私钥泄露引起的资产损失;前端恶意攻击,这四种主要攻击手法占比安全事件总数量的95%。典型安全事件
此节选取了上半年部分典型安全事件,选取标准为损失较大,发生次数较多,影响范围较广及手法较新的事件。三、典型安全事件反分析
工具和方法
1、工具:MistTrackMistTrack反追踪系统是一套由慢雾科技创建的专注于打击加密货币活动的SaaS系统,具有资金风险评分模块、交易行为分析模块、资金溯源追踪模块、资金监控模块等核心功能。通过标记1千多个地址实体、2亿多个地址标签,10万多个威胁情报地址,以及超过9000万个与恶意活动相关的地址,MistTrack为反分析和研究提供了全面的情报数据帮助。通过对任意钱包地址进行交易特征分析、行为画像以及追踪调查,MistTrack在反分析评估工作中起到至关重要的作用。2、方法:从区块链反资金态势中我们可以看到很多被黑事件发生后,在ETH/BSC链上的资金都不约而同的流向了一片灰暗之地——Tornado.Cash,Tornado.Cash已成为ETH/BSC链上反的主战场。我们将提出一个针对Tornado.Cash资金转出的分析方法。而在BTC链上,通过区块链反资金态势我们可以看到ChipMixer和Blender是黑客的常用平台。Blender目前已被美国财政部制裁,ChipMixer流入资金量巨大,我们同样需要提出一个针对ChipMixer资金转出的分析方法。反分析详述
本小节使用MistTrack基础分析工具对11起典型安全事件展开了反分析,通过反分析清晰阐述“攻击手续费来源是什么”、“钱去了哪里”的问题,并创造性的提出了一种数据分析方法来分析Tornado.Cash和ChipMixer的提款。四、写在最后
本分析报告内容基于我们对区块链行业的理解、慢雾区块链被黑档案库SlowMistHacked以及反追踪系统MistTrack的数据支持。但由于区块链的“匿名”特性,我们在此并不能保证所有数据的绝对准确性,也不能对其中的错误、疏漏或使用本报告引起的损失承担责任。同时,本报告不构成任何投资建议或其他分析的根据。本报告中若有疏漏和不足之处,欢迎大家批评指正。完整报告
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。