Chengdu Lianan은 매 분기 글로벌 블록체인 보안 상황을 조사하는 "Security Research Quarterly" 칼럼을 새로 시작했습니다.
첫 번째 레벨 제목
1. 2022년 1분기 블록체인 보안 생태계 개요
보안 사고로 인한 손실은 약 12억 달러에 달했습니다.
2022년 1분기 Chengdu Lianan[Chain Bing-Blockchain Security Situational Awareness Platform]에서 모니터링한 통계에 따르면,공격 보안 사고로 인한 손실은 약 12억 달러로 지난해 같은 기간(2021년 1분기)의 1억 3천만 달러보다 약 9배 증가했습니다.또한 2021년 어느 분기의 손실보다 더 많은 금액입니다.
보조 제목
체인 플랫폼의 관점에서
보조 제목
자본 흐름의 관점에서
보조 제목
공격 방식의 관점에서
보조 제목
감사의 관점에서
보조 제목
프로젝트 유형에서
첫 번째 레벨 제목
2. 1분기에 30건 이상의 전형적인 공격 사건이 발생했습니다.
교차 체인 브리지 프로젝트는 큰 손실을 입습니다.
2022년 1분기에는 블록체인 분야에서 약 30건의 전형적인 보안 사고가 발생할 것입니다. 총 손실액은 대략12억 달러, 작년 동기 대비823% 증가。
상위 20위 순위 중 가장 손실액이 많은 로닌은6억 2500만, 이는 Build Finance 중 가장 낮은 금액(112만 달러)에 해당합니다.558회。
통계 차트에서 볼 수 있듯이 Ronin과 Wormhole 두 프로젝트의 손실 금액이 도달했습니다.9억 5천만 달러, 2022년 1분기 총 손실의 80%를 차지합니다.첫 번째 레벨 제목
3. 공격 대상 프로젝트의 종류
DeFi는 해커의 초점 영역으로 남아 있습니다.
2022년 1분기 블록체인 분야에서 DeFi 프로젝트는 여전히 해커 공격의 핵심 영역으로 총 19건의 보안 사고가 발생했으며, 약 60%의 공격이 DeFi 분야에서 발생했습니다.
또한 2022년 1분기에 NFT에 대한 공격이 증가했으며, 크로스체인 브리지 프로젝트가 4번 공격을 받아 손실이 발생했습니다.최대 9억 5천만 달러첫 번째 레벨 제목
4. 체인 플랫폼의 손실 금액
이더리움은 손실 비율이 가장 높습니다.
2022년 1분기,이더리움과 솔라나 체인의 공격 손실은 각각 6억 5,448만 달러와 3억 7,400만 달러로 2위를 차지했습니다.
이더리움은 전체 빈도의 45%를 차지하는 가장 빈번한 공격이며, 두 번째는 BNB 체인으로 19%를 차지합니다.
Solana 체인에 대한 두 공격 모두 막대한 손실을 입혔습니다. Wormhole은 3억 2,600만 달러, Cashio는 4,800만 달러였습니다. 공격 방식은 둘 다 동일합니다.이미지 설명。
체인 플랫폼 손실률
첫 번째 레벨 제목
5. 공격 방식 분석
계약 익스플로잇과 플래시 론이 가장 일반적입니다.
2022년 1분기 블록체인 보안 생태 분야에서 공격 방법의 약 50%가 계약 취약성 익스플로잇이고 공격 방법의 24%가 플래시 론입니다.
공격의 12%는 개인 키 유출, 피싱 공격 및 사회 공학 공격이었습니다. 이러한 유형의 공격은 프로젝트 당사자가 개인 키를 유지하지 못하거나 경계심이 부족하기 때문에 발생합니다.
해커가 악용하는 계약 허점 중에서 가장 일반적인 허점은 다음과 같습니다.재진입 취약점(30%), 다음에부적절한 비즈니스 로직(24%), 호출 주입 공격(18%), 불량하거나 불충분한 유효성 검사(18%)첫 번째 레벨 제목
보조 제목
배경:
배경:
세부:
세부:
이미지 설명
아이템 계약의 buyItem 함수 코드
코드 관점에서 볼 때 계약의 buyItem 함수는 _quantity 매개변수를 전달한 후 토큰 유형을 판단하지 않고 _quantity와 _pricePerItem을 직접 곱하여 totalPrice를 계산하므로 safeTransferFrom 함수는 ERC-20 토큰으로 지불할 수 있습니다. 금액이 0이면 컨트랙트의 buyItem 함수를 호출하여 토큰을 구매하세요.
제안:
제안:
이번 보안 사고의 주된 원인은 ERC-1155 토큰과 ERC-721 토큰의 혼용으로 인한 논리적 혼선이다. 마지막으로, 토큰이 전송될 때 분류 논의도 없습니다.
보조 제목
배경:
배경:
세부:
세부:
이미지 설명
Build Finance가 공격받는 과정
제안:
제안:
보조 제목
배경:
배경:
세부:
세부:
이미지 설명
제안:
제안:
1. 서명 서버의 보안에 주의하십시오.
2. 서명 서비스가 오프라인 상태가 되면 정책을 적시에 업데이트하고 해당 서비스 모듈을 닫고 해당 서명 계정 주소를 폐기한 것으로 간주할 수 있습니다.
3. 다중 서명 검증 시 다중 서명 서비스는 논리적으로 분리되어야 하며 서명 내용은 독립적으로 검증되어야 합니다.일부 검증자가 검증하지 않고 직접 다른 검증자에게 서명을 요청할 수 있는 일이 있어서는 안됩니다.
첫 번째 레벨 제목
7. 도용자금 흐름 분석
Tornado.Cash는 해커가 돈을 세탁하는 일반적인 방법일 수 있습니다.
80%의 경우 해커는 도난당한 자금을 Tornado.Cash로 전송하여 통화 혼합을 위해 즉시 또는 성공 후 며칠 내에 전송합니다.
10%의 경우 해커는 훔친 자금을 일시적으로 자신의 주소에 두고 자금을 이체하기 전에 몇 달에서 몇 년을 기다립니다. 예를 들어 작년 12월에 도난당한 AscendEX 거래소는 해커들이 돈을 일괄적으로 세탁하기 위해 올해 2월과 3월까지 기다렸습니다. 올해도 로닌 공격자들은 여전히 빈번한 자금 세탁 작업을 수행하고 있습니다.
소수의 해커가 도난당한 자금을 반환합니다. 4,800만 달러의 자금을 훔친 후 Cashio의 공격자는 공개적으로 100,000달러 미만의 계좌로 환불하겠다고 밝혔으며 "내 목적은 돈이 필요한 사람에게서가 아니라 필요하지 않은 사람에게서 돈을 가져가는 것"이라고 주장했습니다. 사람들은 돈을 받는다."
첫 번째 레벨 제목
여덟, 프로젝트 감사 상황 분석
미감사 프로젝트 손실의 30%가 전체 손실의 60%를 차지했습니다.
프로젝트 감사 상태:
공격받은 프로젝트의 70%는 타사 보안 회사의 감사를 받았습니다.
미감사 프로젝트의 30%, 손실액은 미화 7억 2천만 달러로 1분기 총 손실액의 60%를 차지했습니다.
이미지 설명
첫 번째 레벨 제목
9. 2022년 1분기 종료
보안 사고가 자주 발생하고 관련 금액이 크게 증가했습니다.
2022년 1분기에 블록체인 분야의 보안 사고에 대한 공격으로 인한 손실은 약 12억 달러로 2021년 어느 분기보다 많은 손실을 입었습니다. 크로스체인 브릿지 프로젝트는 엄청난 양의 도난을 당했고 DeFi 프로젝트는 가장 빈번하게 공격을 받았고 이 두 영역도 향후 해커의 초점이 될 수 있습니다.
프로젝트 당사자는 적시에 자금의 비정상적인 상황에 주의를 기울여야 합니다.Chengdu Lianan [Chain Bing-블록체인 보안 상황 인식 플랫폼]은 프로젝트 당사자와 사용자가 적시에 위험한 거래를 발견할 수 있도록 하여 신속하게 조치를 취할 수 있습니다. 측정. 예를 들어 관련 서비스를 즉시 중단하거나 사용자에게 승인 취소를 알리는 등의 조치를 취하여 추후 더 큰 손실을 방지합니다.
프로젝트 보안 감사는 여전히 중요하며 공격 방법의 약 50%가 계약 익스플로잇이며 이러한 취약점의 대부분은 보안 감사를 통해 조기에 발견 및 복구할 수 있습니다.
