陷入地缘危机的以色列 却
Fairyproof:2023年第三季度区块链生态安全报告
2023.10.13
综述
2023 年第三季度,加密市场整体上表现得依旧波澜不惊。但生态中安全事故的发生频率却超过前两个季度。在这个季度约有 5.72 亿美元的加密资产在各类安全事故中蒙受损失。
Fairyproof 研究了第三季度公开报道的 198 起典型案例,对案例进行了统计、分析,并探讨了这些事件所反映的安全生态中的特性以及用户可以采取的相关防范措施。
背景介绍在详细呈现 Fairyproof 的研报结果之前,有必要对本报告中的相关术语进行解释、说明。
CCBS
CCBS 指代“中心化加密资产或区块链服务机构”。它通常指人为运作管理的非链上服务平台,其核心技术主要依赖传统的中心化技术,其日常运维活动主要为链下活动。传统的加密资产交易所(如 Binance)、加密资产发行承兑平台(如 Tether)即为此类典型。
闪电贷(FLASHLOAN)
闪电贷是黑客在攻击以太坊虚拟机平台上智能合约的一种常见和流行的方式。闪电贷是知名 DeFi 应用 AAVE[1]团队发明的一种合约调用方式。这种合约调用让用户无需任何抵押物便可以直接从支持这种功能的 DeFi 应用中借出加密资产,只要用户在一个区块交易内归还该资产即可使该交易有效[2]。起初这个功能的发明是为了给 DeFi 用户更灵活、便利的手段进行各项链上的金融活动。但后来,闪电贷因其灵活性高使得其使用得最多的场景变成了黑客借出 ERC-20[3]代币然后用其进行攻击。在发起一笔闪电贷之前,用户需要将借出(资产)和归还(资产、利息及相关手续费)的逻辑清晰地在一个合约中描述,然后调用该合约发起闪电贷。
跨链桥(CROSS-CHAIN BRIDGE)
跨链桥是连结多个独立区块链的一种基础设施,它让部署于不同区块链的代币在各个区块链之间相互流通。
随着越来越多区块链有了自己的生态、应用和加密资产,这些应用和资产对跨区块链通信和交易的需求显著增长。这也使得跨链桥成为黑客眼中热门的攻击对象。
报告重点
Fairyproof 详细研究了 2023 年第三季度发生的 198 起典型安全事件,在本报告中对这些事件造成的损失金额、成因等各种要素进行了统计分析,并给出了相应的防范建议和措施。
2023年第三季安全事件的统计及分析
Fairyproof 研究团队详细研究了 2023 年第三季度较为突出的 198 起安全事件,从遭受攻击的目标和造成攻击的根源两方面列举了统计结果并对其进行了分析研究。
这 198 起安全事件造成的加密资产损失总额达 5.72 亿美元,Tradingview 显示的主流加密资产总值达 10560 亿美元。损失资产占总市值的比例为 0.05%。
基于受害对象划分的安全事故
Fairyproof 研究的安全事件按其受害对象分可以分为以下四类:
1. 中心化加密资产或区块链服务机构(CCBS,下文所指 CCBS 即为此概念)
2. 区块链(Blockchains)
3. 去中心化应用(dApps)
4. 跨链桥(Cross-chain Bridges)
本报告所指的 CCBS 安全事件是指受到攻击或损害的对象是 CCBS 系统。在这些事件中,CCBS 所保管的资产被盗或运作的服务被迫中断。区块链安全事件是指区块链主网、侧链或依附区块链主网的第二层扩展系统受到攻击或损害。通常在这些事件中,黑客从系统内、系统外或者两方面都发起攻击,导致系统软件或硬件失常,资产损失。
dApp 安全事件是指 dApp 受到攻击而无法正常工作,从而使黑客有机会盗取 dApp 中管理的加密资产。
跨链桥安全事件是指跨链桥受到攻击,导致其无法正常工作,甚至导致其经手交易的加密资产被盗。
Fairyproof 对总共 198 起事件按上述四类进行了划分,其比例分布图如下所示:
由图中可知,dApp 安全事件的数量占总数的 86.87%,超过其它任何类别。其中 198 起为 dApp 安全事件,4 起为 CCBS 安全事件,14 起为区块链安全事件,4 起为跨链桥安全事件,172 起为 dApp 安全事件。
区块链安全事件
涉及区块链的安全事件可以进一步细分为以下三类:
i. 区块链主网(Blockchain mainnets) ii. 侧链(Side chains)
iii. 第二层扩展系统(Layer 2 solutions)
区块链主网也被称为 Layer 1,它是独立的区块链,有自己的网络、协议、共识和验证者。区块链主网可以验证交易、数据和区块,所有这些验证工作都由自己的验证者完成并最终取得一致性。比特币和以太坊就是典型的区块链主网。
侧链是与区块链主网并行运作的一条单独的区块链。它也有自己的共识和验证者,但是它会以某种方式(如双向锚定[4])和区块链主网连结,第二层扩展系统是依赖于区块链主网的系统,它需要区块链主网提供安全和最终一致性[5]。它主要为了解决区块链主网的可扩展性,能以更低的费用、更低的价格处理交易。自从 2021 年以来,依附于以太坊的第二层扩展系统有了飞速地发展。
