撰文:歐科雲鏈研究院

近期,歐科雲鏈研究院上線《2022 年全球區塊鏈生態安全態勢報告》,報告指出2022 年區塊鏈安全領域8 成以上損失集中在DeFi 和跨鏈橋,釣魚攻擊是最常見攻擊手法。

主要結論

  • 2022 年前11 個月,OKLink 共監測到區塊鏈生態相關安全事件275 起,較2021 年同期增加了30%,但總損失約27.69 億美元,折合人民幣近200 億,與2021 年同期相比下降約50%。
  • 2022 年8 月安全事件頻發,是2016 年至今單月攻擊事件數量(96 起)最多的1 個月。
  • 90% 左右的區塊鏈安全事件發生在ETH(47%)和BSC(41%),95% 損失集中在ETH(65%)、SOL(20%)和BSC(10%)3 條鏈上。
  • 超過80% 的安全事件損失集中在DeFi 和跨鏈橋領域。
  • DeFi 是2022 年區塊鏈生態遭遇攻擊的重災區,無論是安全事件數量和損失金額佔比都超過5 成,遙遙領先於其他類型項目。
  • 2022 年損失最大的10 起安全事件中有5 起與跨鏈橋有關。
  • 釣魚攻擊(27%)是2022 年區塊鏈生態中最常見的攻擊手法,而因私鑰洩露和私鑰丟失導致的損失是最大的。

回首2022,區塊鏈行業在動盪中向前發展,在變革中孕育希望。儘管依舊存在諸多不確定,但經過數輪牛熊,所有至今仍能堅守區塊鏈陣線的每個人必定都堅信:區塊鍊是有用並已經能夠發揮作用的技術。

如今,區塊鏈技術的應用價值正在眾多領域得到驗證,但同時,各類區塊鏈安全風險也伴隨著技術演進而不斷顯現。在2022 年行將結束之際,歐科雲鏈研究院將帶你一起回顧下過去一年區塊鏈安全生態的發展情況。

2022 年全球區塊鏈生態安全概述

據歐科雲鏈OKLink 不完全統計,2022 年前11 個月共監測到區塊鏈生態相關安全事件275 起,與2021 年同期相比增加30%;2022 年因安全事件造成的損失金額總計約27.69 億美元,折合人民幣近200 億元,較2021 年同期下降50%。

受損金額大幅下降一方面是因為近年來伴隨著全球區塊鏈生態安全問題愈加嚴峻,各方採取了更為有效的應對措施,另一方面則是由於過去一年虛擬資產市場暴跌導致其安全事件中受損資產的價值縮水。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖1:近3 年區塊鏈生態安全情況走勢。數據來源:OKLink;製圖:歐科雲鏈研究院

2022 年區塊鏈安全事件爆發的峰值出現在8 月份,單月發生96 起,其餘月份均保持在30 起以下。 2022 年8 月也是2016 年至今區塊鏈攻擊事件最頻繁的月份,當月損失金額約2.56 億美元。

損失金額方面,2022 年因安全事件損失最多的月份是3 月,當月損失7.19 億美元,佔2022 年前11 個月總損失的25.95%。 1、2 月安全形勢也較為嚴峻,單月損失均超3 億美元。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖2:2022 年區塊鏈生態安全情況逐月走勢。數據來源:OKLink;製圖:歐科雲鏈研究院

儘管2022 年我們總是聽到區塊鏈安全事件的消息,但大部分安全攻擊所導致的實際損失並沒有想像中的「觸目驚心」:我們分析了2022 年區塊鏈生態安全事件損失金額的數量級後發現,近80% 的安全事件損失金額在百萬美元以下,其中有超過4 成的損失僅為數十萬美元乃至更少。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖3:2022 年區塊鏈生態安全事件損失量級分佈。數據來源:OKLink;製圖:歐科雲鏈研究院

2022 年前11 個月損失過億的安全事件共有8 起,分別是:

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

製圖:歐科雲鏈研究院

2022 年區塊鏈生態安全態勢分析

90% 的區塊鏈安全事件發生在ETH 和BSC 兩條鏈上

2022 年,究竟哪些鏈發生安全事件最頻繁?哪些鏈的損失最大?

據OKLink 不完全統計,以太坊生態2022 年共發生各類安全事件126 起,總損失金額接近16.5 億美元,安全事件數量及損失金額均居首位。 BSC 鏈2022 年安全問題同樣嚴峻,共發生108 起安全事件,僅次於以太坊。

整體來看,2022 年區塊鏈安全事件和損失都主要聚集在頭部區塊鏈生態中:近90% 的區塊鏈安全事件發生在ETH(47%)和BSC(41%)兩條鏈上;95% 的區塊鏈安全事件損失金額集中在ETH(65%)、SOL(20%)和BSC(10%)3 條鏈上。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖4:2022 年各鏈安全事件分佈情況。數據來源:OKLink;製圖:歐科雲鏈研究院

80% 以上的安全損失集中在DeFi 和跨鏈橋領域

2022 年,哪種類型的應用更易遭受安全攻擊?

OKLink 監測數據顯示,DeFi、社交媒體、跨鏈橋和NFT 相關項目在2022 年更易遭受攻擊,約92% 的安全事件都發生在這四大領域。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖5:2022 年各細分賽道的安全事件分佈情況。數據來源:OKLink;製圖:歐科雲鏈研究院

在損失金額方面,2022 年前11 個月,超過80% 的安全事件損失都集中在DeFi 和跨鏈橋領域。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖6:2022 年各細分賽道的安全事件損失金額分佈情況。數據來源:OKLink;製圖:歐科雲鏈研究院

具體來看:

  • DeFi 仍是區塊鏈生態遭遇攻擊的重災區,無論是安全事件數量和損失金額佔比都超過5 成,遙遙領先於其他類型的應用項目。
  • 作為多鏈生態的重要基礎設施,跨鏈橋在承擔巨量資金流動,為用戶帶來極大便利的同時,也成為了黑客眼中的香餑餑。 2022 年損失最大的10 起安全事件中有5 起與跨鏈橋有關。
  • 交易所安全問題是交易所和用戶關注的首要問題,也是決定交易所發展存亡的關鍵。相較於DeFi 與跨鏈橋,儘管交易所在2022 年發生安全事件的頻次較低,但相關安全事件的平均損失金額(約7000 萬美元/ 起)遠高於其他賽道。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖7:2022 年各細分賽道安全事件平均損失金額。數據來源:OKLink;製圖:歐科雲鏈研究院

釣魚攻擊是最常見的攻擊手法

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

2022 年區塊鏈生態中最常見的攻擊手法是釣魚攻擊,佔比高達27%;各類以區塊鏈技術與創新為名的網絡騙局(20%)緊隨其後,閃電貸攻擊(10 %)位居第三。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖8:2022 年安全事件攻擊手法分佈情況。數據來源:OKLink;製圖:歐科雲鏈研究院

從損失金額角度看,因私鑰洩露和私鑰丟失導致的損失金額最大,高達9.3 億美元,佔總損失的40% 左右。

從2022 年區塊鏈生態安全事件的攻擊手法及損失金額分佈情況看,因主觀操作不當或警惕性不足所導致的安全損失佔比較高,釣魚攻擊和各類騙局雖然高發,但造成的實際損失合計不到總損失的1.3%。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖9:2022 年各類攻擊手法造成的損失金額情況。數據來源:OKLink;製圖:歐科雲鏈研究院

各條鏈在2022 年所遭受的攻擊類型也存在一定差異化,這可能與各鏈的生態側重及發展方向有關。其中:

釣魚攻擊是以太坊鏈上最常見的攻擊手法,而導致損失最大的則是私鑰洩露。其餘類型攻擊手法所導致的安全事件數量與損失金額均處於正常水平。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖10:ETH 鏈的常見攻擊手法。數據來源:OKLink;製圖:歐科雲鏈研究院

而在BSC 生態中,欺詐騙局是最高發的作案手法,受損形勢最嚴峻的則是閃電貸攻擊。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

圖11:BSC 鏈的常見攻擊手法。數據來源:OKLink;製圖:歐科雲鏈研究院

從不同類型的應用項目來看,作案份子選擇的攻擊手法也存在差異:NFT 領域最常見的攻擊手法是釣魚攻擊,還記得2022 年上半年周杰倫的NFT 被「釣魚」事件嗎?各類網絡騙局是DeFi 賽道中最高發的安全事件類型,而在今年備受關注的跨鏈橋安全事件中,重放攻擊和兼容性漏洞利用並列第一。

2022年全球區塊鏈生態安全報告:8成以上損失集中在 DeFi 和跨鏈橋,釣魚攻擊是最常見手法

數據來源:OKLink;製圖:歐科雲鏈研究院

給用戶的10 個安全小Tips

安全無小事,每個人都應該做自己資產安全的「第一責任人」。

為此,歐科雲鏈研究院建議

  • 保管好您的私鑰,不輕易洩露給任何人;
  • 不輕信來源不明的鏈接,謹慎打開陌生郵件或網址;
  • 不輕信小道消息,對重要信息要反複驗證;
  • 給陌生人轉賬前,可對其地址進行健康評估;
  • 鏈上簽名前多檢查一遍,有疑惑的就不輕易授權;
  • 做好資產隔離,不把所有資產放在一個籃子裡;
  • 不要高估自己的投資能力,抄底是門「技術活」;
  • 數據不會說謊,學會使用各類鏈上數據分析工具;
  • 對自己負責,不做超出承受能力的投資決定;
  • 如遭遇詐騙,及時向專業機構和公安機關求助。