數字資產:2023年上半年區塊鏈安全分析報告

作者：比特叢林

隨著數字化進程的不斷深入，區塊鏈技術已成為許多領域的重要驅動力，它不僅為金融、醫療、物流等傳統行業帶來了顛覆性的變革，而且也為參與者帶來了更加開放和透明的體驗。然而，隨著區塊鏈技術的廣泛應用，與之相關的安全問題也變得愈發嚴峻。近年來，區塊鏈安全事件頻發，不僅對個人和企業造成了巨大損失，而且也對區塊鏈技術的發展帶來了挑戰。

本報告對2023年上半年的區塊鏈安全事件進行梳理和分析，旨在探究區塊鏈安全存在的隱患，以及分析區塊鏈安全事件的成因，并提出相應的解決方案和建議。我們希望通過這份報告引起各方對區塊鏈安全問題的關注，共同推動區塊鏈技術的安全發展，為數字化世界的未來奠定堅實的基礎。

2023年上半年共發生主要攻擊事件192起，總損失金額約為9.2億美元。

損失金額超過 1 億美元的安全事件共 4 起：

·Euler Finance閃電貸攻擊事件損失 1.97 億美元

·Blockchain for dog nose wrinkles詐騙項目造成損失 1.27 億美元

·BonqDAO & AllianceBlock操縱價格造成損失 1.2 億美元

Polygon網絡DeFi TVL達15億美元，創2022年11月中旬以來新高:金色財經報道，據DeFiLlama數據，Polygon網絡DeFi鎖定總價值（TVL）自今年年初以來獲得了上升勢頭，目前TVL為15億美元，24小時增漲6.27%，TVL創2022年11月中旬以來新高。[2023/2/5 11:48:09]

·Atomic Wallet錢包被盜造成損失1億美元

損失金額在1000萬美元至1億美元區間的事件 12 起

損失金額在100萬美元至1000萬美元區間的事件 40 起。

根據分析安全事件使用的攻擊手法，其中頻率最高的攻擊手法為Rug Pull與合約漏洞，均為32次攻擊。其次為閃電貸攻擊，共發生了20次，占所有事件數量的14.93%。

在發生數量TOP8的攻擊手段中，閃電貸損失金額最大，共造成2.5億美元的損失。位于其后的是區塊鏈騙局，雖然只發生了七次，但是造成的損失達2.3億美元。

德國上市礦企Northern Data 2022年挖礦收入1.9億歐元:金色財經報道，德國上市礦企Northern Data在股東信中介紹了2022年的經營業績，公司的收入幾乎全部來自BTC挖礦，全年收入在1.9-1.94億歐元之間，調整后的EBITDA為4000-7500萬歐元；Northern Data沒有背負金融債務，有機會在2023年鞏固和擴大在BTC挖礦領域的市場地位。（eqs-news）[2022/12/21 21:58:37]

而合約漏洞和Rug Pull雖然發生總數相對較多，占所有攻擊手法的47.76%，但其造成的損失遠不及前兩者，僅有6649萬美元的損失。這些攻擊手段的高發生率和巨大的損失金額再次凸顯了加密貨幣市場中的風險。盡管區塊鏈技術有著很大的潛力和應用前景，但是它仍然面臨著安全風險和技術挑戰。

Rug Pull事件頻發，其中75%的項目跑路金額在1000萬美元以下、28%的項目跑路金額在100萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失，沒有Roadmap或白皮書，團隊成員信息可疑，項目上線到最后跑路周期不超過三個月。

此類安全事件帶來的損失，不容忽視，需要加強對項目背景的調查，提高對陌生信息的防范意識，以及通過提前預防，從而提高防范能力，避免損失的發生。

BAYC將通過TokenProof分發ApeFest 2022門票:金色財經消息，BAYC與TokenProof達成合作，將通過TokenProof分發ApeFest 2022門票。

據悉，TokenProof是一種安全的代幣證明解決方案，使用戶無需連接和攜帶錢包即可證明NFT的所有權。[2022/6/2 3:58:48]

鏈上應用（On-chain Application），也稱為去中心化應用（Decentralized Application，DApp），是構建在區塊鏈或分布式賬本技術之上的應用程序。使用區塊鏈的特性和功能進行數據存儲、交易處理和智能合約執行。

2023年上半年，鏈上應用共發生 157 次安全事件，占總事件數量的 81%。鏈上應用總損失金額達到了 7.4億 美元 ，占總損失金額的 79%。鏈上應用為這半年中被攻擊頻次最高、損失金額最多的類型。

鏈上應用類型的安全事件在上半年六個月發生的頻率幾近相同，安全事件出現原因的前三分別是Rug Pull、合約漏洞、Twitter 被黑。

建議：

項目方在設計、構建項目時充分考慮項目的安全性，在實現功能的同時考慮到校驗功能是否會被繞過、是否存在缺陷，在項目上線前充分進行安全審計。

用戶投資鏈上應用前盡量多方考察、慎重決策，謹慎投資。

聚幣Jubi已于2021年2月5日上線EGLD/USDT:據官方消息，聚幣Jubi已于2021年2月5日16:00（UTC+8） 上線EGLD（Elrond）。現存入EGLD即可獲得存幣即挖礦雙倍算力獎勵。

Elrond是一個高吞吐量的公鏈，專注于通過自適應性的分片技術和新的安全權益證明共識機制來提供安全、高效、可擴展性和交互性。[2021/2/5 18:59:23]

交易所（Exchange）是指提供數字資產買賣和交易服務的平臺或機構。它允許用戶以一種數字資產（如比特幣、以太坊等）交換另一種數字資產，或者以法定貨幣（如美元、歐元等）購買或出售數字資產。

2023年上半年，交易所是安全事件發生數量排名第二的類型，上半年共發生11起交易所領域內的安全事件，共造成了7318萬美元的損失。主要被攻擊原因為合約漏洞。

有關交易所的安全事件每個月都有發生。而且由于安全事件損失的金額也不在少數。

用戶要小心處理釣魚和惡意鏈接：避免點擊不信任的鏈接，尤其是通過電子郵件或社交媒體收到的鏈接。

定期檢查賬戶活動；不集中存儲所有資金；更新和保護設備；選擇值得信任的安全公司進行提前審計。

公有鏈(Public Blockchain)簡稱公鏈，是指全世界任何人都可隨時進入讀取、任何人都能發送交易且能獲得有效確認的共識區塊鏈。側鏈是平行于主鏈的一條區塊鏈，可以理解為是區塊鏈的一種擴展協議。以滿足特定的業務需求，例如跨鏈資產交換、私有鏈擴展和特定行業的區塊鏈解決方案。

動態 | 印度總理莫迪授予青年加密企業家2020年Bal Shakti Puraskar獎:印度總理納倫德拉·莫迪（Narendra Modi）向該國的一位青年企業家頒發了2020年Bal Shakti Puraskar獎，以表彰其創建的加密貨幣追蹤應用程序。莫迪1月24日在個人推特上表示：“我很高興才華橫溢的Harshita Arora被授予Bal Shakti Puraskar獎……她一直專注于廣泛的領域。她對科學、技術和人類福祉的熱情是顯而易見的。”據悉，獲獎者Harshita Arora現年18歲，她自己設計了一款名為Crypto Price Tracker的應用程序，這是一款針對加密貨幣的投資組合管理和價格跟蹤工具。（Bitcoin.com）[2020/1/26]

2023年上半年，公鏈/側鏈是安全事件發生數量排名第三的類型。主要被攻擊原因為智能合約漏洞。

選擇可靠的共識機制。

使用安全的加密算法生成和存儲密鑰，使用多重簽名技術增加交易的安全性。

進行定期的安全審計，包括代碼審查、安全性測試和漏洞掃描，以識別潛在的安全漏洞和弱點。

跨鏈橋（Cross-Chain Bridge）是一種允許在不同區塊鏈網絡之間傳輸數字資產的技術解決方案。跨鏈橋通常會在起始鏈上的智能合約中鎖定或銷毀通證，并通過目標鏈上的另一個智能合約解鎖或鑄造通證。跨鏈通信本質上需要在安全、信任和靈活性三個維度上做出權衡。由于這些復雜因素的存在，跨鏈橋成為了Web3領域主要的攻擊對象。

2023年上半年就發生了8次跨鏈橋安全事件，損失金額為1137萬美元。

在2022年，12次跨鏈橋安全事件共造成了約18.9億美元損失，居所有項目類型損失的第一位。相比于去年，跨鏈橋在今年的上半年已經發生了7次安全事件，再加上近日出現的Poly Network 和Multichain的安全事件已出現了10起安全事件，跨鏈橋安全事件有比去年更為嚴重的發展態勢。主要被攻擊原因為智能合約漏洞、閃電貸等。

項目方在設計跨鏈消息傳輸協議時將安全放在第一位。

區塊鏈錢包是區塊鏈中一個重要組成部分，是一種數字貨幣存儲和管理工具，它允許用戶安全地保存、接收和發送各種加密貨幣，如比特幣、以太坊和其他代幣。錢包安全一直是區塊鏈行業的一個熱門話題，一旦錢包受到攻擊，攻擊者可以輕易地竊取用戶的私鑰和助記詞等敏感信息，進而掌握用戶的數字資產。這些數字資產的價值可能非常高，一旦被盜，損失也會非常慘重。因此，為了最大限度地保障用戶的數字資產安全，我們建議用戶采取一些安全措施。

2023年上半年中，錢包被攻擊的安全事件相比于其他類型數量較少，但是，當錢包受到攻擊，損失便是較大的數額。如Atomic與MyAlgo的錢包事件，兩次攻擊事件造成了高達1.09億美元的損失。

事件數量總數排名第三的類型為錢包，該類別發生安全事件的原因大多是私鑰、助記詞泄露。

選擇可信的錢包提供商：選擇一個有良好聲譽和可靠歷史記錄的錢包提供商。確保了解他們的安全實踐，如何保護用戶數據和私鑰等敏感信息。

使用雙重身份驗證：啟用雙重身份驗證可以增加您賬戶的安全性。這種方法需要您在登錄時輸入除用戶名和密碼外的另一種身份驗證方式，例如驗證碼或指紋識別。

不要分享您的私鑰：私鑰是您加密貨幣的所有權證明。不要與任何人分享您的私鑰，包括錢包提供商。如果有人要求您提供私鑰，那么這很有可能是一種詐騙行為。

定期備份您的錢包：定期備份您的錢包可以確保您在錢包丟失或遭受攻擊時可以恢復您的加密貨幣。您可以將備份保存在安全的地方，例如離線設備或硬件錢包中。

小心處理未知的電子郵件或信息：不打開或下載未知來源的電子郵件或信息。這些可能包含惡意軟件或鏈接，可能會導致您的錢包被攻擊。

確保您的計算機和手機設備是安全的：確保您的計算機和手機設備具有最新的防病和安全更新，以保護您的設備免受攻擊。

不要在公共場所使用未知的Wi-Fi網絡，因為這些網絡可能不安全，可能會被黑客用來攻擊您的錢包。

確保您的錢包軟件是最新的：確保您的錢包軟件是最新版本。新版本通常包含安全更新和修復，可以幫助您保護您的錢包免受攻擊。

關注有關錢包安全的最新信息：了解有關錢包安全的最新信息和事件，以幫助您保持對錢包安全的了解，并采取適當的預防措施。

通過對2023年上半年區塊鏈安全事件的整理，發現鏈上應用是半年來被攻擊頻次最高、損失金額最多的項目類型。鏈上應用領域共發生157次安全事件，其中32次都基于合約漏洞進行攻擊。

面對頻出的安全事件，研發者應該進一步遵循安全編碼、審計合約代碼、使用成熟的安全庫等保障用戶權益；而作為使用智能合約的用戶也應該謹慎選擇合約，并在使用前仔細檢查其代碼和安全性，選擇專業的安全公司進行審計。當安全事件發生時，用戶能做到的很有限，只有不斷提高自身的安全意識，提前發現漏洞，解決漏洞，做好防范才能盡可能避免被攻擊。

本報告提供的信息僅供參考和研究，信息來源于公開渠道，作者已經盡力核實準確性和完整性，但不能保證其準確性和完整性，也不承擔因使用或依賴該信息而產生的任何損失或損害的責任。本報告不應視為對任何特定區塊鏈項目或加密貨幣投資的推薦或建議，讀者應該自行進行研究和決策。本報告的內容不能替代讀者的判斷和決策，也不能保證所述情況的持續存在或實現。

金色財經

企業專欄

閱讀更多

金色薦讀

Block unicorn

區塊鏈騎士

金色財經 善歐巴

Foresight News

深潮TechFlow

Tags：區塊鏈數字資產加密貨幣CHA有人靠區塊鏈4天就掙了30萬數字資產類應用案例包括加密貨幣交易所排名star kay Chain

POL幣最新價格