EXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中Binance以24交易量135.95亿稳居第一。 交易量排名前10名的去中心化交易所分别为:Uniswap V3(Ethereum)、Orca、Uniswap V3(Arbitrum One)、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3(Ethereum)、THORWallet DEX、THORSwap 、Raydium、Ferro Protocol,其中Uniswap以一己之力占据前十名多位。 据零时科技数据统,计2023年,加密货币交易所发生安全事件19起,累计损失资产金额超12亿美元。 据零时科技区块链安全威胁情报平台数据统计,2023年,发生安全事件损失Top6的交易平台为:Curve,Coinbase, OKX,Platypus Finanace, Uniswap,Coins.ph ,损失金额分别为4.4亿美元,3.6亿美元,1.8亿美元,1亿美元,6000万美元和4000万美元。 以各交易平台安全事件损失分布来看,Couve占比36.6%,CoinBase占比30%,Platypus Finanace占比15%,位居前三。 据零时科技数据统计,从安全事件数量来看,交易平台的攻击类型主要为黑客攻击安全漏洞、资产被盗、钓鱼攻击、闪电贷攻击,分别占比59%、31.8%、27%、9%、9%。从损失金额大小分布来看,黑客攻击占据59%,为安全事件主要类型,安全漏洞占比40%,资产被盗占比33.3%。 下图为部分2023年交易所安全事件典型案例: 交易平台安全风险及措施建议 回顾以往所有交易所的安全事件,零时科技安全团队认为,从一个交易平台整体安全架构来看,交易平台面临的安全风险主要有:开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。 零时科技安全团队曾出版《区块链安全入门与实战》,其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤,如信息收集、社会工程等,还介绍了各种攻击面,如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。 对于交易所安全风险,零时科技安全团队给出如下措施建议: 从交易平台角度: 1)培养内部人员的安全意识,加强交易所的生产环境、测试环境和调试环境安全隔离,尽量使用专业的网络安全防护产品。 2)通过与专业安全公司展开合作,进行代码审计、渗透测试,了解系统是否存在隐性漏洞和安全风险,建立完善和全面的安全防护机制。日常运营中,进行定期安全测试,加强安全加固工作。 3)升级账户的密钥结构及风控措施,建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制,加强后端冷热钱包安全加固,比如控制转账频率、大额转账、冷热钱包隔离等。 由于大部分用户除了使用交易所进行交易外,更多时候充当钱包存储数字资产。 因此,从用户角度: 1)不要随意安装未知来源的软件。 2)电脑服务器应避免打开不必要的端口,相应漏洞应及时打补丁,主机建议安装有效可靠的杀毒或其他安全软件,在WEB浏览器上安装挖矿脚本隔离插件等。 3)不要随意点击陌生人发的不明链接。 4、 钱包-加密资产管理之伤 Web3的钱包即区块链数字钱包,也称加密货币钱包或数字资产钱包,是存储和管理、使用数字货币的工具,在区块链领域有举足轻重的地位,是用户接触数字货币的入口。如今,随着生态的发展,数字钱包已经成为多链多资产的管理平台。 据零时科技区块链安全威胁情报平台数据统计,截至2023年12月,数字钱包项目数量共有153个。据 Blockchain.com数据统计,2023 年全球有超过 4 亿人在使用加密资产。其中拥有加密钱包的用户在 2022 年达到 8100 万,而到 2023 年 11 月加密钱包用户数已经达到2.21 亿,数量呈指数级增长。 作为Web3的入口,钱包早已成为黑客眼中的“香饽饽”。据零时科技数据统计,2023年,数字钱包发生安全事件35起,累计损失资产金额超6亿美元。 2023年,被攻击损失Top5的钱包安全事件主要来自:BitKeep、Solana、Cropto.com 、Transit、Bable Finanace,分别损失金额为:2亿美元、1.3亿美元、1.2亿美元、1亿美元和4000万美元。其中BitKeep被攻击损失金额最高。 据零时科技数据统计,从安全事件数量来看,数字钱包的攻击类型主要为:黑客攻击、资产被盗、安全漏洞、钓鱼攻击和诈骗,分别占比44.9%、35.5%、27%、13.4%、9.8%。攻击占比最高,居于首位。 其中各主要攻击类型对应的安全事件损失占比分别为:黑客攻击造成损失最高,占比48.2%;安全漏洞造成损失其次,占比41%;资产被盗损失位列第三,占比28%。 钱包被攻击,一般分为两种情况。一种是机构的钱包,另外一种是个人钱包。 数字钱包安全风险及措施建议 经零时科技安全团队分析,区块链数字钱包存在多种形式,主要面临的安全风险包括但不限于如下几方面: 机构端方面:运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。 用户端方面:面临私钥丢失或被盗:如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥/助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼(预售、APP下载、中签陷阱)等风险。 面对这些风险如何保护钱包安全? 从机构端,零时科技安全团队建议: 无论是中心化还是去中心化钱包, 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试,针对数字钱包的安全审计,零时科技安全团队包括但不限于如下测试项: 1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能; 2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测,虚拟机检测,完整性检测;数字钱包需具有第三方程序劫持检测功能,防止第三方程序劫持钱包盗取相关用户信息。 3、钱包交易安全.钱包发出的所有交易必须进行签名,签名时必须通过输入支付密码解密私钥,交易签名生成后必须清除内存中解密后的私钥,防止内存中的私钥被窃取而泄漏等。 4、钱包日志安全.为了方便用户进行审计钱包操作行为,防止异常操作和未授权的操作,需记录钱包的操作日志,同时钱包日志必须通过脱敏处理,不得含有机密信息。 5、节点接口安全审计.接口需要对数据进行签名,防止黑客对数据被篡改;接口访问需要添加token认证机制,防止黑客进行重放攻击;节点接口需要对用户连接速率进行限制,防止黑客模拟用户操作进行CC攻击。 对用户端,零时科技安全团队建议: 1)做好私钥存储措施:如私钥尽量手抄和备份,或使用云平台和邮件等社交网络传输或存储私钥。 2)使用强密码,并且尽可能开启两步验证MFA(或2FA),时刻保持安全意识提高警惕。 3)在更新程序版本时注意验证 hash 值。安装杀毒软件,并尽可能使用防火墙。监视你的账户/钱包,确认没有恶意交易。 4)其中硬件钱包适合数字资产额度较大,需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产,供日常使用,硬件钱包保存大额资产,这样可以实现便利性和安全性兼备。 如果资金被盗怎么办? 如果发生无意的授权操作,在资金未被盗之前,尽快将钱包资金转出,并且取消授权;如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况,请立即联系零时科技安全团队进行资产追踪。 5、 DeFi-Web3安全重灾区 DeFi全称:Decentralized Finance,一般翻译为分布式金融或去中心化金融。DeFi项目大体分为五类:预言机、DEX、抵押借贷、稳定币资产、合成衍生品。 TVL全称:Total Value Locked 即总锁定价值。用户所抵押的资产总值,是衡量DeFi生态发展的最重要指标之一,通常TVL增长代表项目发展的越好。 零时科技区块链安全威胁情报平台数据统计,截至2023年12月,DeFi项目共计1297个。据DeFi Llama 数据显示,DeFi 总锁仓价值达到390.51 亿美元规模。其中以太坊占比58.59%,以230.2亿美元的 TVL排名第一,其次是Tron,占比11.1%,以40.36亿美元的TVL排名第二,BSC紧追其后,占比10.47%,以40.12亿美元TVL排名第三。许多新兴公链如Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态,也吸引了 大量用户和资金沉淀。 DeFi突出的智能合约安全问题已成为DeFi行业的最大挑战。此外,没有任何DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时,也不一定有 DeFi 服务商来赔偿投资者,加之很多隐秘互连的问题,可能引起一连串的金融事故。 根据零时科技数据统计,截至2023年12月 ,共发生DeFi安全事件24起,累计损失资产金额超7.2亿美元。 以各生态发生的DeFi安全事件数量分布来看,Ethereum生态分别发生6起,占比均为25%,位列第一,BSC(BNB Chian)共发生5起,占比20%,占比均为24%,位列第二,Solana生态发生3起,占比15%,位列第三。 以各DeFi发生安全事件损失分布来看,排名前三的公链生态是,Ethereum生态DeFi事件损失金额超2.16亿美元,占比30%,位列第一;Solana位列第二,损失金额1.44亿美元,占比20%;BNB Chain位列第三,损失金额为1.3亿美元,占比18%。由此可见,生态越是活跃,越受到黑客关注,损失也最为突出。 据零时科技数据统计,从DeFi攻击类型来看,主要为:黑客攻击、资产被盗、闪电贷攻击和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为:黑客攻击占比50%,居于首位;安全漏洞占比29%,位居第二;资产被盗占比20%,位居第三;闪电贷攻击占比 16%, 位居第四。 从主要攻击类型损失分布来看,黑客攻击造成损失最高,占比48.6%,资产被盗次之,占比34.7%,安全漏洞位列第三,占比43%。 DeFi安全风险及措施建议 DeFi项目面对多重安全风险,从群体来分,分别为项目端(协议执行)和用户端;从安全种类来分,分别为各协议之间组合性的安全,包括组合之间的一些缺陷、智能合约安全、开源的安全,高收益伴随着高风险,缺乏监管等导致的一些安全问题。 从安全审计角度看,DeFi项目面临的风险见下图: 从协议执行过程,DeFi风险包括:智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。 从用户角度,DeFi用户面临的风险有:技术风险:智能合约存在漏洞,受到安全性攻击;流动性风险:平台的流动性耗尽;密钥管理风险:平台的主私钥可能被盗取。安全意识风险:被钓鱼,遇到套利跑路欺诈项目等。 零时科技安全团队建议,作为项目方和用户,可以从以下四点应对风险: 1)项目方在上线DeFi项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能地找多家共同审计,尽可能多地发现项目设计缺陷,以免在上线之后出现不必要的损失。 2)建议用户参与这些项目投资时一定要做好把关,要对这个项目有一定的了解,或者是看它有没有经过安全审计后再上线。 3)增加个人安全意识,包括上网的行为和资产保存以及钱包使用等习惯,养成良好的安全意识习惯。 4)项目高收益高风险,参与需谨慎,不懂项目,尽量不参与,避免造成损失。 6、 NFT-钓鱼攻击的池塘 NFT是Non-Fungible Token的简称,是基于区块链的非同质化代币,同时它是存储在区块链上的一种独特的数字资产,常作为虚拟商品所有权的电子认证或凭证,可以购买或出售。 根据NFTScan数据,截至12月31日,已收录的NFT项目4624个,共计1,476,479,394个NFT。当前NFT总市值达到256亿美元,持有者达到473.38万人。从各类项目市值分布来看,PFP(Picture for proof),即个人资料图片类NFT市值遥遥领先,这也是目前使用场景最多的NFT,其次是收藏品。从目前八大主流公链上看NFT资产和合约,Polygon在资产和合约数上遥遥领先。 从交易规模来看:在24小时内按销量排名前 10 位的NFT交易平台中,Blur排名第一,OKX NFT紧跟其后,OpenSea排名第三。从交易商来看,24小时内按交易者、买家和卖家数量排名前 10 的市场中,Blur位列第一,OKX NFT排名第二、OpenSea排名第三。 随着NFT价值凸显,黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势,但NFT的热度不减。 据零时科技不完全统计,截至2023年12月,NFT赛道发生安全事件共计44起,累计损失资产金额约为6200万美元。 从NFT赛道的攻击类型来看,主要为:黑客攻击、安全漏洞、资产被盗、钓鱼攻击和,对应安全事件数量占比分别为50%、35%、25%、23%。 从NFT主要攻击类型损失金额占比看,黑客攻击造成损失最多,占比50%;资产被盗次之,占比30%;安全漏洞居于第三,占比30%。 NFT安全风险及措施建议 目前在NFT赛道,黑客攻击方式多种多样。以群体来分,面临风险的对象一般为平台和用户。 对于中心化平台端,可能面临的安全风险有:账号风险、商业化竞争风险、安全意识风险、内部人员风险、市场风险等。 对于用户端,Discord攻击成为今年的主要攻击手法。 对于以上安全风险,零时科技安全团队给出以下措施建议: 对于普通用户,保护好自己的Discord,需要注意以下几点:确保密码足够安全,使用字母数字特殊字符创建长的随机密码;开启2FA身份验证,密码虽然本身足够复杂但是不能依靠一个方式来保护;不要点击来自未知发件人或看起来可疑的链接,考虑限制谁可以与您私信;不要下载程序或复制/粘贴你不认识的代码;不要分享或屏幕共享你的授权令牌;不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。 对于服务器所有者:审核您的服务器权限,尤其是对于 WebHook 等更高级别的工具;进行任何更改时,请保持官方服务器邀请更新并在所有平台上可见,尤其是当大多数新服务器成员来自Discord 以外的社区时;同样,不要点击可疑或未知的链接!如果账户遭到入侵,可能会对管理的社区产生更大的影响。 对于项目:建议合约应严格判断用户输入购买数量合理性;建议合约限制零资金购买NFT的可能性;建议对于ERC721及ERC1155协议的NFT Token进行严格区分,避免混淆情况发生假冒Discord官方案例。目前多个聊天软件均会发现恶意 mint 链接,也有不少用户资金被盗,为了避免此类盗币事件,建议大家在进行mint 操作时,验证链接来源可靠性,同时确保实际签署交易的内容和预期相符。 7、安全教育-Web3安全盾牌 知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到,网络安全意识如果不提高,未来面临的商业机密等各项安全事件势必会影响企业发展。Web3去中心化自组织的参与方式,让个人意识到,如果不提高安全意识,就会沦为黑客的提款机。 目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识,零时科技也在各平台布道了上百篇网络安全知识。 除此外,零时科技也自研了安全意识评估管理平台,主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构,网络安全意识评估平台以网络钓鱼技术为基础,帮助企业构建私有云化的网络安全意识评估管理平台,集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。除此之外,基于零时科技安全团队的专业实力,也为企业网络安全咨询和培训服务,从源头坚实安全盾牌。 结语 Web3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管Web3行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍Web3行业的健康发展。 相反,如同对弈的双方,Web3世界的“白帽子”,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。 漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界! 免责声明 本报告版权为零时科技所有,报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析,由于区块链具有匿名性特征,虽零时安全团队认为报告中所引用数据具有可靠性,但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同,本报告中所得结论可能与市场存在一定偏差。 本报告中的内容仅供参考,报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议,读者应具有独立的判断能力,不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失,均不由零时科技承担。 本报告所涉及的项目及第三方,对本报告的客观性和独立性不造成任何影响。 本报告中信息具有时效性,所载数据、资料及观点仅限于定稿日前。 本报告的目的旨在帮助用户了解Web3安全现状,提高网络安全意识,进而降低用户直接或间接可能面临的风险。限于各种局限因素,内容恐有疏漏,烦请各位读者不吝指正。 来源:金色财经lg...