2023區(qū)塊鏈攻擊漏洞及弱點

區(qū)塊鏈攻擊漏洞及弱點2023PAGE5PAGE5目錄十大DLT攻擊類型 8交易所黑客攻擊 8DeFi擊 11案例研究 123.51%擊 143.1案例研究 153.2緩解51%攻擊 154.釣魚 154.1案例研究 17局 17案例研究 18件 19勒索軟件即服務（RaaS） 19打擊勒索軟件 20將損害降至最低的最佳做法 20SIM擊 21SIM卡交換攻擊的工作原理 21防止SIM卡交換攻擊 21案例研究 22投資騙局 23高調(diào)倍增騙局 24案例研究 24緩解倍增騙局 2610.勒索 2610.1防止勒索攻擊 27額外紅利：錢包安全 28偽造的軟件錢包 28偽造的硬件錢包 29總結(jié) 31PAGE13PAGE13執(zhí)行摘要注意：對于虛擬資產(chǎn)的頂級攻擊將會針對企業(yè)區(qū)塊鏈再次發(fā)生有一種強烈的誤解，認為分布式賬本技術(shù)(DLT)系統(tǒng)的不可篡改性使其本碼學原語到共識機制漏洞或智能合約漏洞的范圍。自12（集中式或分散式也可以針對持有加密資產(chǎn)的個人。這份報告覆蓋了針對加密貨幣和DLT的十大攻擊類型交易所黑客攻擊DeFi51%攻擊釣魚（為了獲得私鑰）抽地毯/退出騙局勒索軟件SIM投資騙局高調(diào)倍增騙局勒索陷阱。虛擬資產(chǎn)的承載性質(zhì)，使攻擊者的注意力集中于從虛擬資產(chǎn)服務提供商(VASP)SIMTwitter帳戶接管工具，已被重新部署以控制用戶的雙因子認證（2FA），并最終接管加密帳戶，竊取用戶的資金。合約和安全協(xié)議中的疏忽也可能導致中心化和去中心化交易所的重大損失。在過去五年中，43個交易所被黑客公然入侵，超過49個DeFi協(xié)議被利用，造成超過28億美元的損失。14個DeFi45PaloAltoNetworks《20212020312,4932019171勒索軟件攻擊2017-2021攻擊類型主要攻擊數(shù)總金額交易所退出1443.83億美金交易所黑客攻擊4317.02億美金DeFi黑客攻擊4911.22億美金DeFi抽地毯71.24億美金51%攻擊140.24億美金（使用雙花攻擊）十大DLT交易所黑客攻擊1800MtGox2014850,000BTC，4.518SMSSMSSQL用于交易操作的軟件漏洞未打補丁的交易所軟件利用API（（90（通常需要一個帶有簽名指令的USB（iOS或APIAPI——通過這些API存在實體的保險庫中。與紙相比，物理金屬裝置可更防火。實XRP202099的XRP過去三年較集中的交易所黑客攻擊事件日期交換所損失金額2019Q1Cryptopia1600萬美元2019Q1Coinbene1.05億美元2019Q1DragonEx100萬美元2019Q2Bitrue470萬美元2019Q2Binance4070萬美元2019Q2GateHub1000萬美元2019Q2Silkkitie200萬美元2019Q2Bitpoint3200萬美元2019Q2BitcoinsNorway未披露的2019Q4Upbit4900萬美元2020Q1Exmo1050萬美元2020Q1Altsbit7250萬美元2020Q1Coinhako未披露的2020Q1Crex2411,200美元2020Q3KuCoin2.81億美元2020Q3Eterbase160萬美元2020Q32gether140萬美元2020Q3Cashaa300萬美元2020Q4LiveCoinHack未披露的DeFi(Know-Your-Customer，KYC)例如:202158AlphaHomoraRariCapitalETH1000RariCapitalHomoraBankibETH密貨幣交易所dYdXETHETH。雖然對Rari對Alpha的集成進行了審計，但在審計期間沒有檢測到該漏洞。根據(jù)CipherTrace9.94202190%20212021DeFi10億美元DeFi其他黑客：$371M其他黑客：$387M其他黑客：$371MDeFi黑客：DeFi$994M2019 2020 月）資料來源：CipherTrace加密貨幣情報DeFi黑客攻擊和欺詐行為繼續(xù)呈指數(shù)級增長$800M$600M$400M$200M2020Q1 2020Q2 2020Q3 2020Q4 2021Q1 2021Q2 2021Q3資料來源：CipherTrace加密貨幣情報案例研究810PolyNetwork6.12DeFiDeFi（PolyNetwork）DeFi（DEX）2.35PolyNetworkNetworkDeFi，DeFiDeFi過去三年較大規(guī)模的去中心化黑客攻擊日期協(xié)議金額2020Q1bZX$318,0002020Q1bZX$636,0002020Q2Bancor$135,2292020Q2Bisq$250,0002020Q2UniSwap$300,0002020Q2Lendf.me2500萬美元2020Q3Balancer$500,0002020Q3YearnFinance(emmence)1500萬美元2020Q3Opyn$371,0002020Q3bZX810萬美元2020Q4CoverProtocol440萬美元2020Q4CoverProtocol400萬美元2020Q4Value:DeFi600萬美元2020Q4Axion$500,0002020Q4WarpFinance770萬美元2020Q4wLEO$42,0002020Q4CheeseBank330萬美元2020Q4OriginProtocol700萬美元2020Q4PickleFinance1970萬美元2020Q4Akropolis200萬美元2020Q4HarvestFinance2400萬美元2021Q1Roll(WHALE,RARE,andPICA)570萬美元2021Q1DODODEX380萬美元2021Q1PAIDNetwork316萬美元2021Q1Furucombo(iouCOMBO)1400萬美元2021Q1CREAMFinance+AlphaFinance(AlphaHomora)3750萬美元2021Q1Year.Finance1100萬美元2021Q2EasyFi8100萬美元2021Q2Eleven.Finance450萬美元2021Q2Alchemix650萬美元2021Q2BoggedFinance300萬美元2021Q2BeltFinance620萬美元2021Q2RariCapital1000萬美元2021Q2Value.Defi(governanceRecoverUnsupported())1000萬美元2021Q2Value.Defi(vSwapAMMvSwappools)1100萬美元2021Q2bEarn1100萬美元2021Q2Xtoken2450萬美元2021Q2PancakeBunny4500萬美元2021Q2SpartanProtocol3050萬美元2021Q2BurgerSwap720萬美元2021Q3Chainswap80萬美元2021Q3Chainswap800萬美元2021Q3ThorChain500萬美元2021Q3ThorChain800萬美元2021Q3AnySwap790萬美元2021Q3Bondly590萬美元2021Q3Levyathen150萬美元2021Q3PopsicleFinance2000萬美元2021Q3PolyNetwork6.11億美元3.51%攻擊51%攻擊是對工作量證明（ProofOfWork）區(qū)塊鏈的一種攻擊，即一群控制著網(wǎng)絡50%以上的挖礦哈希值的礦工利用這種控制力阻止新的交易被確認，或推翻在控制下完成的交易，導致雙花攻擊（double-spendattack）。一旦發(fā)生這種情況，往往沒有任何區(qū)塊鏈技術(shù)可以阻止這種攻擊。51%的攻擊導致的最大損失是喪失區(qū)塊鏈的信心。知名的51%攻擊影響范圍包括：KryptonShiftMonaCoinBitcoingoldZencashLitecoinCashFeathercoinVertcoinBitcoinGoldEthereumClassicVergeBitcoinSV案例研究2020851%7000兩個采礦日。四個主要的交易所受到雙花的影響，造成460萬美元的損失。51%攻擊51%63049%釣魚在加密空間中越來越常見的是非常有針對性的魚叉式釣魚攻擊。在這些類型的攻擊中，犯罪分子擁有關(guān)于受害者的額外細節(jié)，他們可以利用這些細節(jié)來定制他們的攻擊，而且往往看起來是來自更值得信賴的來源。LedgerLedger叉式釣魚攻擊的例子，該攻擊似乎來自LinkedIn

Ledger數(shù)據(jù)泄露后的釣魚攻擊樣例針對加密貨幣用戶的常見網(wǎng)絡釣魚攻擊途徑包括：4.1案例研究202012，CipherTraceMetaMaskChromemaskmeha[.]io，MetaMask當$WHALEMedium$WHALE并引用欺詐性的https[:]//installmetamask[.]comMetaMask/抽地毯與退出騙局類似；兩者都涉及內(nèi)部人員帶著大部分（如果不是全部）的用戶資金離開。雖然二者經(jīng)?；Q使用，但退出騙局更經(jīng)常與已建立的實體或項目意外關(guān)閉（“退出”）202011DeFiSharkTron1000DeFi（）DeFiCompounder.Finance中，寫在智能合約中的一個隱藏的后門使得開發(fā)者在2020年11月從項目的流動池中抽出1080萬美元。DeFiUnicats10WhaleFarm5.1案例研究2019QuadrigaCX2019114·（GeraldCotten）一個多月前去世。他的遺孀在QuadrigaCX的資金和CEO29QuadrigaCX131（NovaScotia）·（JenniferRobertson）2.5（1.95QuadrigaCXuadrigaCX（ErnstandYoungEY）20196QuadrigaQuadriga安永還聲稱，科頓將Quadriga的用戶資金視為個人銀行賬戶，已確認向科頓及其·（JenniferRobertson）1200QuadrigaQuadriga（Quadriga在ColonialPipelineKaseyaRevil、NetwalkerDarkside2021639/116REvilREvil勒索軟件即服務（RaaS）在RaaS黑客能力，但非常愿意并能夠滲透目標。（RaaSRaaS15-300-85%。打擊勒索軟件（YC將損害降至最低的最佳做法公司可以采取幾個步驟來最大限度地減少勒索軟件攻擊造成的損害。預防措施包括：如CipherTrace應對措施包括：SIM在SIM欺騙SIM（SIMSIM硅谷REACT·12400SIMSIM通過使用SIM客的SIMSIM阻止SIMSMSSIM2FA/MFA此外，客戶還可以致電其電話提供商并啟用單獨的PIN。例如：全部T-Mobile帳戶6-15PINPINPIN1案例研究2018238022018SIM1400201873SIM50020500201811React1002120212102020SIM1SIM卡交換攻擊通常有三種主要類型：2（）SIM有關(guān)避免SIM卡交換攻擊的其他有用建議，請訪問不列顛哥倫比亞大學（theUniversityofBritishColumbia）的隱私問題網(wǎng)站。投資騙局BitConnect您購買BitConnectCoins（BCC）BitConnectCoins（BitConnect.Co）。其他人借了BitConnectBitConnect1%，BitConnect1%（Ponzi（20181（TexasStateSecuritiesBoard），BitConnectBitConnect（ICO）如BitConnect（BCC）BCC）。20215邦法院對虛擬資產(chǎn)BitConnect20(SEC《證券法》（SecuritiesAct），無論這種行為是何時發(fā)生。高調(diào)倍增騙局這些詐騙通常針對的是不太熟悉加密貨幣的用戶，騙子通常會偽裝成比爾·蓋茨（BillGates）（ElonMusk）2020743012.5案例研究2020年7月15日，多個知名的加密貨幣交易所、公眾人物和各種實體的Twitter帳戶被黑客接管，以宣傳比特幣倍增騙局。與加密貨幣相關(guān)的流行用戶AngeloBTCCEO（ChangpengCoinDeskCoinbase、Gemini、Kucoin（Tron）（JustinSun）Twitter5000BTC0.1BTC20BTC，Cryptoforhealth·（JeffBezos）（Uber）（BarackObama）·（JoeBiden）（ElonMusk）緩解倍增騙局Twitter（AML）（ACH）勒索Yahoo!、ExperianFacebook詐騙者進一步聲稱已經(jīng)獲取了受害者的通訊記錄，并威脅他們說，如果沒有收到贖金，他們就會把視頻發(fā)送到名單上的人。贖金通常在幾百美元到一千多美元不等。CipherTrace對在線勒索支付地址的分析表明，大多數(shù)這些在線勒索郵件都是極具欺詐性的，但這些郵件足夠嚇人，即使是無辜的受害者也可能出于恐懼而支付贖金。防止勒索