2022年Q1全球区块链安全生态报告攻击类安全事件造成的损失达12亿美元

2022年，区块链行业迎来了新的发展时期，但各种安全风险也在加大。 今天，和我们一起回顾一下吧。 2022年Q1区块链的安全生态发生了什么？

2022年Q1区块链安全生态简介安全事件造成的损失约达12亿美元2022年第一季度，成都链安【需链-区块链安全态势感知平台】监测的数据统计显示

攻击类安全事件造成的损失约达12亿美元，比去年同期(2021年Q1 )的1.3亿美元上升了约9倍。 亏损金额比2021年任何一个季度都高。 2022年3月

，并不是所有的项目都可以像Poly Network一样回收资金。 截至本报告撰写时(4月)，Ronin的黑客仍然分批次洗钱。 从连锁平台看

Ethereum和BNB仍然是攻击频率最高的两条链条，但攻击频率高并不意味着损失额高。 2022年第一季度，我们监测了两起Solana链典型攻击事件，损失金额达3.74亿美元

比在BNB Chain的损失多得多。 从资金流来看，80%的情况下，黑客最终会偷钱并汇款到Tornado.Cash，混合货币。 可能为10%

，黑客把资金暂时留在自己的住所，有时等几个月，甚至几年才转移赃物。 在黑客中，不少人会主动归还偷来的资金。 从攻击手法来看，合同漏洞的利用和电击信贷攻击是黑客最常用的手段

。 50%的攻击手法是合同的不完备利用。 从审计情况来看，70%的被攻击项目都是由第三方安全公司审计的。 但是，在剩下的30%未经审计的项目中

攻击事件中遭受的损失占总体损失额的60%以上。 从项目类型来看，DEFI项目仍然是黑客攻击的热点区域，占总攻击项目数的60%。 虽然链桥被攻击的次数很少

但是，所涉金额巨大。 Q1发生30多起典型攻击事件链桥类项目损失2022年一季度，区块链领域发生典型安全事件约30起。 总损失额约为12亿美元

比去年同期增长823%。 在前20名中，损失额最高的Ronin为6.25亿，约为金额最低的Build Finance(112万美元)的558倍。 从统计图表中可以看出

、Ronin和Wormhole两个项目的损失额达9.5亿美元，占2022年Q1总损失额的80%。 值得注意的是，这两个都是跨链桥类项目。 关于被攻击项目的类型

DeFi仍然是黑客的重点领域2022年一季度，区块链领域、DeFi项目仍然是黑客的重点领域，共发生19起安全事件，约60%的攻击发生在DeFi领域。 另外

针对NFT的攻击事件在2022年第一季度上升，跨链桥项目被攻击4次，但损失金额达到9.5亿美元，占2022年第一季度损失金额的80%，跨链桥安全事件频发，涉及金额巨大

在链损失额中，Ethereum损失额最高占2022年第一季度，在Ethereum和Solana链中攻击损失额排名前两名

分别为6亿5448万美元和3亿7400万美元。 Ethereum被攻击的频率也最多，占总频率的45%； 第二位是BNB Chain，占19%。

Solana链上的两次攻击事件都造成了巨额损失。 Wormhole的损失为3.26亿美元，Cashio的损失为4800万美元。 两者的攻击手法是利用同一合同的漏洞。 连锁平台损失额的比例

此外，有些公共链在2022年第一季度未检测到重大安全事件，例如Terra、Avalanche和Tron，都是TVL排名靠前的。 攻击手法最常见的是分析合同漏洞的利用和电击信贷

2022年一季度，在区块链安全生态领域，约50%的攻击方式为合同漏洞利用，24%的攻击方式为电击贷。 12%的攻击是私钥泄露、钓鱼攻击和社会工程攻击

。 这种攻击是由项目方没有保管私钥或警惕性不足引起的。 在黑客使用的合同漏洞中，最常见的漏洞是重入漏洞(30% )

、其次是业务逻辑不完备(24 )、呼叫注入攻击(18 )、验证不完备或不足(18 )； 这些漏洞中的大部分可以通过安全审计尽早发现和修复。 典型安全事件分析

情况1(treasureDao被攻击事件的背景) 3月3日，TreasureDAO NFT交易市场被发现存在漏洞，100多个NFT被盗。 但是，事发几小时后

攻击者开始归还被盗的NFT。 详细信息：交易发起方通过合同的buyItem函数传递了值为0的_quantity参数

因此，您可以免费购买Tokenid5490的ERC-721令牌。 从项目合同的buyItem函数代码来看，合同的buyItem函数在传递_quantity参数后

调用合同的buyItem函数进行令牌购买。 但是，调用buyItem函数时，函数只判断购买令牌的种类，没有判断令牌数为0以外

，可以无视_quantity的数值直接购买ERC-721类型的令牌，实现了漏洞攻击。 建议：

此次安全事件的主要原因是ERC-1155令牌和ERC-721令牌混用导致的逻辑混乱。 ERC-721令牌没有数量概念，但合同使用数量计算令牌购买价格，最终在令牌转账时也没有进行分类讨论。

建议开发人员在开发多个令牌的销售合同时，应根据令牌的特性设计不同情况的业务逻辑。 案例Build Finance项目遭遇治理攻击的背景：

2月15日，DAO组织Build Finance宣布遭遇恶意治理攻击，攻击者通过获得足够多的投票成功管理了Token合同。 详细信息：

在2020年9月4日的交易中，Build Finance合同的创建者通过setGovernance函数转移了治理权限。 通过搜索内部的Storage，发现权限已迁移到0x38bce4b地址

。 继续关注0x38bce4b地址，发现是Timelock合同。 在合同中只能调用setGovernance函数。

Build Finance继续跟进攻击过程，2021年1月25日，发现0x38bce4b地址通过调用executeTransaction函数将权限转移到了0x5a6ebe地址

。 2022年2月11日，由于投票设置阈值低，提案被通过，0x5a6ebe地址的管理权限变更为0xdcc8A38A地址。 取得治理权限后，攻击者恶意铸造硬币，耗尽了交易池的流动性。

建议：达沃合同应设置适当的投票阈值，实现真正的非中心化治理，避免提案以较少的票数通过并成功执行。 该方案可以参考openzeppelin官方提供的治理合同的实现。

案例Ronin6亿美元货币盗窃案背景： 3月23日，Sky Mavis的Ronin验证器节点和Axie DAO验证器节点被破坏

，攻击者使用黑色私钥伪造假提款，利润约为6.25亿美元。 Ronin Network直到3月29日才意识到自己受到了攻击。 详细信息：

Sky Mavis的Ronin链目前由9个身份验证节点组成。 为了识别存款事件或取款事件，9个验证者的签名中需要5个

。 攻击者试图控制Sky Mavis的四个Ronin验证器和Axie DAO运行的第三方验证器。 之后Ronin官方表示，所有证据都表明与这次攻击或社会工程有关。

Ronin黑客洗钱流程(3月30日更新)建议： 1、注意签名服务器安全2、签名服务在相关业务中离线时，应立即更新策略，关闭相应的服务模块

此外，还可以考虑放弃对应签名账户的地址； 3、多签名验证时，多签名服务之间应该在逻辑上隔离，独立验证签名内容，不会出现部分验证者不经过验证而直接要求其他验证者签名的情况；

4、项目方应实时监测项目资金异常情况。 如果被盗资金流向了分析Tornado.Cash或为黑客洗钱的80%惯用手段，黑客拿到手后

，马上或几天内偷了钱，转到Tornado.Cash上混币。 10%的情况下，黑客会将赃物暂时留在自己的住所，等待几个月到几年再提取资金。 例如，去年12月被盗的交易所AscendEX

黑客从今年2月、3月开始分批次洗钱。 今年Ronin的攻击者现在也在频繁地洗钱。 一些黑客归还所盗资金。 Cashio的攻击者在窃取了4800万美元的资金后

，官方消息表示将退款给10万美元以下的账户，并声称“我的目的只是从需要的人那里取钱，而不是从需要的人那里取钱”。 即使现在，Tornado.cash仍然是黑客的常用洗钱方法。

项目审计情况分析30%未审计项目损失额占总体60%的项目审计情况： 70%被攻击项目经第三方安全公司审计的30%未审计项目

、亏损金额达7.2亿美元，占第一季度总亏损金额的60%； 项目上线前的审计仍然很重要。 在未审计的项目中，50%的攻击方法被用于合同不完备。 因此，尽早审计并及时纠正代码漏洞

可以避免上线后项目被攻击造成的重大损失。 项目审计情况和总损失额2022年Q1结语安全事件频发，涉及金额在2022年第一季度大幅增加

项目方应及时关注资金异常情况。 成都链安【链应-区块链安全态势感知平台】能让项目方和用户及时发现风险交易，并迅速采取措施。 例如，立即暂停相关服务、通知用户许可证的取消等

避免后续更大的损失。 项目安全审计仍然至关重要，约50%的攻击方式是利用合同漏洞，其中大多数攻击方式都是通过安全审计提前发现并修复的。