前言
慢霧科技發布《2023?區塊鏈安全與反洗錢年度報告》,我們期望這份報告為讀者提供有益的信息,幫助從業者和用戶更全面地了解區塊鏈安全現狀及解決方案,為促進區塊鏈生態的安全貢獻一份力量。
由于篇幅限制,這里僅羅列分析報告中的關鍵內容,完整內容可通過文末 PDF 下載。
一、概述
2023 年區塊鏈行業是振奮又動蕩的一年。在此背景下,本報告將回顧 2023 年區塊鏈行業關鍵監管合規政策及動態,總結 2023 年區塊鏈安全事件及反洗錢態勢,對部分洗錢工具進行統計,并對典型安全事件及典型釣魚騙局手法進行詳細剖析,提出預防方案和措施建議。此外,我們還邀請了 Web3 反詐騙平臺 Scam Sniffer 撰寫關于釣魚團伙 Wallet Drainers 的內容,同時我們對黑客團伙 Lazarus Group 的洗錢手法和獲利資金進行了分析和統計。
二、區塊鏈安全態勢
根據慢霧區塊鏈被黑事件檔案庫(SlowMist?Hacked) 統計,2023 年安全事件共 464 件,損失高達 24.86 億美元。?對比 2022 年(共 303 件,損失約 37.77 億美元),損失同比下降 34.2%。
區塊鏈安全事件總覽
從項目賽道來看,DeFi 仍然是最常受到攻擊的領域。2023 年 DeFi 安全事件共 282 件,占事件總數的 60.77%,損失高達 7.73 億美元,對比 2022 年(共 183 件,損失約 20.75 億美元),損失同比下降 62.73%。
(2023 各賽道安全事件分布及損失)
(2022 和 2023 DeFi 安全事件分布及損失對比圖)
從生態來看,Ethereum 損失最高,達 4.87 億美元。其次是 Polygon,達 1.23 億美元。?
(2023 各生態安全事件分布及損失)
從事件原因來看,跑路事件最多,達 117 件,損失約 8300 萬美元。其次為賬號被黑導致的安全事件。
(2023 安全事件手法圖)
典型攻擊事件
此節選取了 2023 年損失 Top10 的安全事件。詳情見文末的 PDF 文件內容。
(2023 損失 Top10 的安全攻擊事件)
根據慢霧區塊鏈被黑事件檔案庫(SlowMist?Hacked) 統計,2023 年跑路 Rug Pull 事件高達 117 起,導致損失約 8300 萬美元。其中,Base 生態損失最高,達 3250 萬美元。其次是 BSC 生態,達 2305 萬美元。
(2023 致損前十跑路事件及損失)
(2023 各生態跑路事件分布及損失)
Rug Pull 是一種騙局,通常是項目方主動作惡,以多種方式發生:比如項目方啟動初始流動性,推高價格后撤回流動性;比如項目方先創建一個加密項目,通過營銷手段吸引加密用戶投資,并在合適的時機毫無征兆地卷走用戶投資的資金,拋售加密資產,最終銷聲匿跡;比如推出一個網站,在吸引了數十萬存款后關閉;比如項目方在項目中留下了后門代碼。無論如何,任何一種類型的 Rug Pull 都會讓投資者遭受損失。
同時,本節介紹了一個由合約存儲引起的極其隱蔽的 Rug Pull 案例:在項目代幣沒有任何增發記錄的情況下,惡意用戶使用未被記錄的大量增發代幣卷走了池子中的資金。
近年來,加密貨幣市場逐漸變成騙子們實施欺詐的沃土。騙子常常通過虛假賬戶冒充名人、交友殺豬盤、宣傳虛假的交易平臺、龐式騙局等進行詐騙,甚至隨著技術的發展,騙子還會用人工智能軟件來讓騙局更具說服力。本節將介紹一個主要發生在香港的加密貨幣騙局——JPEX 事件。據相關說法,JPEX 的暴雷可能成為香港歷史上最大的金融欺詐案。
(JPEX 事件時間線圖)
釣魚/騙局手法
此節選取我們于 2023 年披露的部分釣魚/騙局手法:
1、WalletConnect 釣魚風險
2、Permit 簽名釣魚
3、假 Skype App 釣魚
4、偽裝成轉賬地址的釣魚網址
7、SIM 卡交換攻擊
三、反洗錢態勢
本節分為反洗錢及監管動態、安全事件反洗錢、黑客團伙畫像及動態、洗錢工具四部分。
反洗錢及監管動態
在 2023 年,加密貨幣的世界持續經歷動蕩不安。在上一輪加密牛市期間,SBF 和 CZ 這兩位行業巨頭的每一個舉動似乎都能對市場產生深遠影響。然而在 11 月份,聯邦陪審團以對 FTX 的倒閉導致的欺詐和共謀的指控,判定 SBF 有罪。僅僅幾周后,幣安接受了指控,支付了 43 億美元的罰款,CZ 也同意了放棄對幣安的控制權。隨著加密資產行業在風雨飄搖的“寒冬”與熊市之間跌宕起伏,各國政府和國際組織對此也表現出更為謹慎的態度,各國對于加密貨幣的監管政策還在逐步形成中。具體政策及執法行動見文末的 PDF。
安全事件反洗錢
1、資金凍結數據
在 InMist 情報網絡合作伙伴的大力支持下,2023 年度 SlowMist 協助客戶、合作伙伴及公開被黑事件凍結資金共計超過 1250 萬美元。
2023 年遭受攻擊后仍能全部或部分收回損失資金的事件共有 31 起。在這 31 起事件中,被盜資金總計約 3.84 億美元,其中的 2.97 億美元被返還,占被盜資金的 77%。在這 31 起事件中,有 10 個協議的資金被全部退回。
(2023 追回全部被盜資金的事件)
黑客團伙畫像及動態
根據 2023 年的公開信息,截止到 6 月份,仍然沒有任何重大加密貨幣盜竊案被歸因為朝鮮黑客 Lazarus Group。從鏈上活動來看,朝鮮黑客 Lazarus Group 主要在清洗 2022 年盜竊的加密貨幣資金,其中包括 2022 年 6 月 23 日 Harmony 跨鏈橋遭受攻擊損失的約 1 億美元的資金。朝鮮黑客 Lazarus Group 除了在清洗 2022 年盜竊的加密貨幣資金以外,其他的時間也沒有閑著,這個黑客團伙在黑暗中蟄伏著,暗中地進行 APT 相關的攻擊活動。這些活動直接導致了從 6 月 3 日開始的加密貨幣行業的 “黑暗 101 日”。
在 “黑暗 101 日” 期間,共計有 5 個平臺被盜,被盜金額超 3 億美元,其中被盜對象多為中心化服務平臺。
根據我們的分析,朝鮮黑客 Lazarus Group 的洗錢方式也隨著時間在不斷進化,隔一段時間就會有新型的洗錢方式出現,洗錢方式變化的時間表見文末 PDF。
2、釣魚團伙 Wallet Drainers
注:本小節由 Scam Sniffer 傾情撰寫,在此表示感謝。
Wallet Drainer 作為一種加密貨幣相關的惡意軟件,在過去的一年里取得了顯著的"成功"。這些軟件被部署在釣魚網站上,騙取用戶簽署惡意交易,進而盜取其加密貨幣錢包中的資產。這些釣魚活動以多種形式不斷地攻擊普通用戶,導致許多人在無意識地簽署惡意交易后遭受了重大財產損失。在過去一年,Scam Sniffer 監控到這些 Wallet Drainers 已經從大約 32 萬受害者中盜取了將近 2.95 億美金的資產。
值得一提的是,3 月 11 號這一天有接近 700 萬美金被盜。大部分是因為 USDC 匯率波動,遭遇了假冒 Circle 的釣魚網站。也有大量的被盜臨近 3 月 24 號 Arbitrum 的 Discord 被黑以及后續的空投。
每次波峰都伴隨著關聯群體性事件。可能是空投,也可能是黑客事件。
隨著 ZachXBT 揭露 Monkey Drainer 后,他們在活躍了 6 個月后宣布退出,然后 Venom 接替了他們的大部分客戶。隨后 MS, Inferno, Angel, Pink 也都在 3 月份左右出現。隨著 Venom 在 4 月份左右停止服務,大部分的釣魚團伙轉向了使用其他的服務。按照 20% 的 Drainer 費用, 他們通過出售服務獲利至少 4700 萬美金。
洗錢工具
1、Sinbad 混幣器
2、Tornado Cash
3、eXch
4、Railgun
四、總結
本報告總結了 2023 年區塊鏈行業的關鍵監管合規政策及動態,包括但不限于全球范圍內對于加密貨幣的監管態度以及一系列關鍵的政策變化。同時,我們還總結了 2023 年的區塊鏈安全事件和反洗錢動態,對部分洗錢工具進行了分析,對那些典型的安全事件和釣魚騙局進行了說明,并提出了相應的防范和應對措施。希望這份報告能為讀者提供有價值的信息,幫助讀者更全面地了解區塊鏈行業的安全和反洗錢現狀,使每一位行業參與者都能從中受益,為推動區塊鏈生態安全的發展貢獻出一份力量。
五、免責聲明
本報告內容基于我們對區塊鏈行業的理解、慢霧區塊鏈被黑檔案庫 SlowMist Hacked 以及反洗錢追蹤系統 MistTrack 的數據支持。但由于區塊鏈的“匿名”特性,我們在此并不能保證所有數據的絕對準確性,也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時,本報告不構成任何投資建議或其他分析的根據。本報告中若有疏漏和不足之處,歡迎大家批評指正。
導讀到此,完整版本,歡迎閱讀并分享 :)
https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf
喜來順財經
