《2022年度区块链安全及反洗钱分析》发布
2022年是勒索组织异常猖獗的一年。这一年,全球网络空间处于严峻的勒索攻击威胁之中,不仅仅是企业,政府部门、公益组织、关键信息基础设施、甚至是整个国家和地区,都成为了勒索组织攻击的目标。
通过对高价值数据进行加密、窃取,勒索组织有了向用户勒索的筹码。区块链技术不可逆、匿名性特征在有效保护隐私的同时,也为网络犯罪提供了“保护伞”。很多不法分子打着区块链旗号发行所谓的虚拟资产,实施诈骗,黑灰产的先进与专业度已经远超想象。
近日,慢雾科技发布了《2022年度区块链安全及反洗钱分析》,聚焦于 2022 年区块链行业所发生的重大事件,主要介绍区块链行业各赛道的安全状况,延伸并提炼出常见攻击手法,并披露其中几种钓鱼手法。接着对部分安全事件的被盗资金流向进行分析,并通过归纳总结,公布一种针对混币器资金追踪的高级分析方法。
一、区块链安全现状
根据慢雾区块链被黑事件档案库统计,2022 年安全事件共 303件,损失高达37.77 亿美元。相比 2021 年的 97.95 亿美元下降约 61%。其中 DeFi、跨链桥、NFT 等安全事件 255 起,交易所安全事件 10 起,公链安全事件 11 起钱包安全事件 6 起,其他类型安全事件 21 起。
303 起安全事件中,攻击手法主要分为三类:由项目自身设计缺陷和各种合约漏洞引起的攻击;包含 Rug Pull、钓鱼、Scam 类型的手法;由私钥泄露引起的资产损失。
2022 年最常见的攻击手法是由项目自身设计缺陷和各种合约漏洞引起,约 92 起,造成损失近 11亿美元。其中较为主要的是利用闪电贷引起的攻击,约 33 起,造成损失 3.48 亿美元,其他包括重入问题、价格操纵、验证问题等等。
因私钥被盗引起的资产损失发生率约为 6.6%,损失金额却达到 7.62 亿美元。因私钥被盗的事件中,损失最大的来自 Ronin 事件,其次是 Harmony,都是来自跨链桥。
总的来说,2022 年其他较为新型的手法为前端恶意攻击、DNS 攻击以及 BGP 劫持;最为奇葩的则是人为配置操作失误导致的资产损失。
在网络钓鱼攻击方面,慢雾科技公布了常见的钓鱼攻击手法,包括浏览器恶意书签盗取 Discord Token、“零元购” NFT 钓鱼、Redline Stealer 木马盗币、空白支票 eth_sign 钓鱼等,并对钓鱼事件进行分析和总结。
二、区块链反洗钱
众所周知,造成区块链安全事件的黑客、黑色产业链、欺诈者和 Rug Pull 项目方一直是洗钱的主力,其中最臭名昭著的莫过于朝鲜 LAZARUS GROUP 黑客组织,给区块链生态安全带来巨大的威胁。
在黑客、黑色产业链、欺诈者和 Rug Pull 项目方洗钱过程中,自然少不了一些洗钱工具的帮忙,常见的洗钱工具有 ETH/BSC 链上的 Tornado.Cash,BTC 链上的 Coinjoin 工具(ChipMixer 等)、混币器(Blender、CryptoMixer 等)、隐私钱包(Wasabi、Samourai 等)、换币平台(ChangeNOW、SimpleSwap、FixedFloat 等)和一些交易平台。
通过对部分安全事件被盗资金的 ETH 和 BTC 流向进行分析,得到 ETH/BTC 资金流向图,能够初步评估出洗钱资金的态势。
根据部分安全事件 ETH 资金流向图,74.6% 洗钱资金流向 Tornado.Cash,资金量高达 300160ETH;23.7% 洗钱资金保留在黑客地址,暂未进一步转移,资金量为 95570 ETH;1.5% 洗钱资金流向交易平台,资金量为 6250 ETH。
根据部分安全事件 BTC 资金流向图,48.9% 洗钱资金流向 ChipMixer,资金量高达 3460 BTC;36.5% 洗钱资金保留在黑客地址,暂未进一步转移,资金量为 2,586 BTC;6.2% 洗钱资金流向Blender,3.8% 洗钱资金流向 CryptoMixer,2.1% 洗钱资金流向未知主体,1.3% 洗钱资金流向renBTC,0.7% 洗钱资金流向 Wasabi Coinjoin,0.1% 洗钱资金流向 Binance 交易平台。
三、遵守下列原则,规避大部分区块链风险
在 Web3 世界,用户的安全意识往往是参差不齐,这也导致了针对用户的钓鱼攻击花样多多且频繁发生。对于个人用户来说,遵守以下安全法则及原则,可以避免大部分风险:
1、两大安全法则
零信任:简单来说就是保持怀疑,而且是始终保持怀疑。
持续验证:你要相信,你就必须有能力去验证你怀疑的点,并把这种能力养成习惯。
2、安全原则
网络上的知识,凡事都参考至少两个来源的信息,彼此佐证,始终保持怀疑。
做好隔离,也就是鸡蛋不要放在一个篮子里。
对于存有重要资产的钱包,不做轻易更新,够用就好。
所见即所签。即你看到的内容就是你预期要签名的内容,当你签名发出去后,结果就应该是你预期的,绝不是事后拍断大腿的。
重视系统安全更新,有安全更新就立即行动。
不乱下程序。
来源:FreeBuf
免责声明:以上内容(如有图片或视频亦包括在内)均为平台用户上传并发布,本平台仅提供信息存储服务,对本页面内容所引致的错误、不确或遗漏,概不负任何法律责任,相关信息仅供参考。
本站尊重他人的知识产权、名誉权等法律法规所规定的合法权益!如网页中刊载的文章或图片涉及侵权,请提供相关的权利证明和身份证明发送邮件到qklwk88@163.com,本站相关工作人员将会进行核查处理回复
推荐阅读
-
江苏高院公布某“MFA区块链项目”合同纠纷案例,认定虚拟货币交易行为无效
江苏高院公众号发布《2023年江苏法院涉外商事审判典型案例》,其中披露田某某、潘某某及案外人签订《合作协议》,约定共同经营“MFA...
-
山东警方破获一起“投资虚拟币”诈骗案,两名犯罪嫌疑人被捕
据栖霞公安公众号,翠屏派出所于8月30日接到群众崔女士报警称:其在网上投资某虚拟币被诈骗34万元。接到报警后,翠屏派出所联合刑侦大...
-
警惕!虚拟货币骗局,吞噬财富的隐形恶魔
-
如何识别并防范6种虚拟货币诈骗!
数字货币/虚拟货币是什么?虚拟货币(Cryptocurrency)又称数字货币、加密货币,是由非国家政府开发者发行及管控的全球通用...
-
投资“虚拟币”被骗44万余元,警方提醒防范投资理财陷阱
近日,记者从芜湖市公安局反电诈中心了解到,市民李某轻信陌生网友,落入“虚拟币”投资电诈陷阱,损失44万余元。警方提示,公民投资和交...
-
青岛警方抓获“留学”公司利用虚拟货币洗黑钱成员,涉案资金超800万元
2024年2月份,胶州市公安局马店派出所发现一名涉嫌电信网络诈骗的网上逃犯薛某出现在胶州附近,民警立即行动,于2月24日在薛某住处...
-
警惕“区块链”成为新的骗局重灾区
作为一种全新的数据管理方式,区块链凭借着去中心化、可追溯等优势以及广泛应用前景,风靡一时。与此同时,各类概念炒作、跟风赚“吆喝”的...
-
质押虚拟币挖矿!昆明经侦通报5起经济犯罪典型案例
质押虚拟币挖矿、私分集体资金、虚增贸易收入、制造交通事故骗保、网上非法“刷单”……5月14日,昆明市公安局经侦部门召开“5·15”...
-
深圳监管发声,向虚拟货币炒作说“不”!
深圳市地方金融管理局发布《关于虚拟货币交易炒作的风险提示》。该风险提示指出,近期,虚拟货币交易炒作活动抬头,一些团伙以虚拟货币、&...
-
官方提示!严防以虚拟货币噱头开展诈骗活动
据深圳市地方金融管理局网站消息,深圳市防范和处置非法集资工作专班办公室近日发布关于虚拟货币交易炒作的风险提示。风险提示称,近期,虚...