《2022年度区块链行业安全事件白皮书（30页）.pdf》由会员分享，可在线阅读，更多相关《2022年度区块链行业安全事件白皮书（30页）.pdf（30页珍藏版）》请在三个皮匠报告上搜索。

1、 目录目录 第一章:震荡与机遇 3 一、疯狂的十四年 3 二、安全事件激增 3 三、监管驻场 5 第二章:2022 年度安全事件刨析 7 一、2022 年度行业安全简介 7 二、2022 年度十大安全事件详解 8 1)Axie Infinity 8 2)币安链 9 3)Solana/Slope 10 4)FTX 12 5)Transit Swap 13 6)Optimism 15 7)MetaMask 16 8)Gate.io 17 9)3Commas 18 10)Harmony Horizon 20 第三章:全链路纵深防御 22 一、网络安全框架 22 二、安全开发体系 23 三、链上安全

2、24 四、钱包安全 25 尾声 27 文章引用 28 作者 Joe Cai Jessica Ji Alex Wang 第一章第一章:震荡与机遇震荡与机遇 一、一、疯狂的十四年疯狂的十四年 自 2008 年 10 月 31 日行业圣经bitcoin a peer-to-peer electronic cash system发布以来，区块链行业已经经历了 14 年的疯狂与沉淀，在以飞速的形式进行发展。区块链生态不仅得到了行业从业者的青睐，也吸引了大批量Web2.0的从业者开荒着这片尚待开拓的Web3.0西部荒野，更不谈大批来自不同行业国家监管、组织以及名人，都对行业做出了相当程度的关注。而作为一个

3、还在少年期的行业，快速成长的同时也便随着“青春期”必有的种种困扰。行业安全事件不断高频的出现、全球共识监管标准的缺失、中心化和去中心化的博弈等等都成为了行业特性所带来的特有痛点。2022 年 TOKEN2049 作为新加坡最重要的 Web 3.0 活动之一，吸引了来自全球加密行业的参与者，聚集在一起交流行业和监管的发展趋势。而新加坡作为最积极搭建行业基线标准的监管之一，也积极推动着行业法规的立法和相关政策法规的更新。而同样在亚洲，另一个行业中心-香港也在悄悄的快速发展。在香港金融科技周开幕式上，香港证券及期货事务监察委员会(SFC)宣布香港正成为一个虚拟资产中心，并且香港政府也将允许个人投资者

4、在持牌平台上进行投资。这对区块链行业来说，是监管认同行业发展、并将关注度转向行业的重要一步。而作为区块链安全从业者，我们见证了区块链比其他行业更高频、涉案金额更多、影响更大的安全事件，蚕食着行业 BUIDLER日夜辛苦搭建的生态体系，而事件背后往往会有大量的受害者为事件买单。为何行业事件会如此高频的发生？经历过安全审计的项目为何仍然会暴雷发生重大安全事故？2022 年度何种类型的安全事件最为流行？行业在快速发展的同时又该如何搭建属于自己的 Web3.0 安全体系？笔者将带领大家一起解答这些问题。二、二、安全事件安全事件激增激增 对于区块链企业来说，由于数字资产一般采用集中化的方式进行存储，导致

5、一旦数字资产的载体（如钱包客户端）爆出高危漏洞被不法分子发现并利用，就会发生重大信息安全事件如私钥被盗导致大额非授权资金盗取。当前，区块链行业仍在发展阶段，许多行业内企业并没有重视信息安全也没有投入相应的成本搭建最基础的安全基线，再加上资产的集中存储等重大风险项，导致黑客主观非常愿意对此类系统进行渗透攻击。而在前瞻技术的深度融合及大范围使用正在推动商业模式的不断创新，随之相关的网络安全风险以及对应的攻击暴露面也之增加。包括ISO、ISACA、CSA和NIST等组织在内所建立的诸多信息安全体系，都在跟着科技不断的进步而变革。下面就让我们通过数据和案例来看一下过去 14 年行业发生的安全事件趋势：

6、1)区块链攻击事件数量和被盗金额逐年增长区块链攻击事件数量和被盗金额逐年增长：随着区块链行业全球大力发展，从 2017年 ICO 时代开始，到 2019 年 DeFi 的盛行，再到 2021 年的 NFT 跨圈，各类数字资产和区块链应用被各国监管部门和各行各业的企业所关注。尤其是在 2020 至2022 年期间，区块链各类应用的曝光度在社交媒体平台（如 Twitter、Discord、Telegram）上大幅增加，各种广告也映入普通民众的眼帘（如C NBA广告，Coinbase Super Bowl 广告等等），使得黑客组织看到巨大的攻击敞口。根据来自于慢雾区块链行业被黑数据统计（如图 1），

7、2012到 2017年期间共发生 23起针对区块链行业的网络安全事件，对应的涉案金额为 23 亿美元。而从 2018 年开始，可以清晰的观察到行业的安全事件在不断增长的同时，被攻陷的项目数量和涉案金额也在每两年稳定的扩大，成为不可忽视的趋势。图1：20122022年区块链安全事件与损失金额（数据来源-慢雾）2)全球区块链行业黑客产业化：全球区块链行业黑客产业化：黑客专业组织（如具有朝鲜政府背景的 APT-38 Lazarus）从 2017 年开始就将攻击的关注度从传统行业转移到区块链行业中，经典案例如 2017 年的 Bithumb、2020 年的 KuCoin，以及 2022 年 3 月发生

8、的 Ronin 事件。由于多数的区块链数字资产本身带有匿名特性和点对点交易的弱监管和便捷性，再加上行业的爆发性增长让专业黑客团队看到巨大的利益窗口，最终再配上行业特有的混币/洗币技术（如 Tornado.cash）将整个区块链黑客产业链条形成了完整的利益链闭环。3899425521263032381231338323050100150200250300350202220212020201920182012201720122022区块链安全事件与损失金额区块链安全事件与损失金额安全事件数量（件）损失金额（亿美元）图2：Chainalysis 报告 朝鲜APT组织2017年2021年期间成功攻下的

9、项目数量和资产金额 3)攻击对象和攻击途径的多元化：攻击对象和攻击途径的多元化：2017 年区块链攻击事件多数只针对区块链公司或者其产品，但在2019年Defi和2020年NFT兴起之后，更多行业外的人，如社会名流、运动员、演员、Web2.0行业人员等等社会群体分分进军行业、推广数字资产，而他们也自然成为被针对式攻击的对象。如周杰伦 NFT 被盗事件（价值 416 万美元的 NFT被非授权钱包钓鱼转账）就是因为授权了恶意的铸币钱包连接导致钱包中的 NFT 被全部窃取。而另一方面，2022 年第四季度也时有暴发针对各大社交媒体平台（如 twitter、discord、telegram）的管理员账

10、号窃取事件，如 BAYC 无聊猿官方社交平台账号被盗后，黑客通过虚假空投发布指向恶意钱包授权，不知真相的用户在点击授权后，钱包中的 BAYC NFT 就遭到了非授权转移。三、三、监管驻场监管驻场 从 2022 年年度黑天鹅事件 FTX 中可以看出，只搭建流于表面的安全与合规，往往比不主动迎合监管合规更具有风险。表面合规虽然会吸引大量向往合规的用户（如大型机构），但他们预期的是一个完全基于监管体系搭建的、低风险的交易平台，而等待他们的却是一个看似坚固的纸屋子。虽然行业监管还处于摸索期，各国监管部门无法无视行业快速的发展，在近几年分别出具了相应的监管要求，来规范行业的安全基线。图3：SFC网络安全

11、监管要求 而根据近些年的观察，区块链行业主流的安全监管要求可以分为以下三大类趋势：区块链区块链行业针对性行业针对性，针对企业级资金托管针对企业级资金托管要求要求 98%:2%的冷热资产配比 针对区块链行业特色事件的详细响应流程（如硬分叉、空投）针对资金托管（热钱包和冷钱包）的安全保险 私钥安全声明周期（如离线生成私钥），以及在安全的环境（如 HSM）中保存 风险为导向风险为导向 以风险为导向建立风险模型，对风险进行及时识别、评估 建设数据安全相关流程与制度去防范数据的非法访问、改动、传输等风险。包括数据存储、数据传输和数据使用 建立威胁情报监控及响应机制，可以利用外部威胁情报服务，去监控、响应

12、最新的信息安全威胁事件 传统安全传统安全控制控制 定期（年度）安全审计&风险评估-帐户使用安全,使用强密码、多因素认证、设备指纹异地登陆告警等-落地漏洞识别机制，及时修复系统漏洞-控制网络边界，以监控/限制未经授权的网络流量-部署恶意软件保护措施（杀毒软件、DLP、SOC）-外包供应商风险评级/评估 第二章第二章:2022 年度安全事件刨析年度安全事件刨析 一、一、2022 年度行业安全简介年度行业安全简介 本团队在 2022 年度共收录 239 起网络安全事件。纵观 2022 年度，每个月的攻击次数较为平均，攻击对象主要为交易所、钱包、去中心化协议、公链、跨链桥、社交媒体以及钱包私钥和NFT

13、资产。在各类攻击目标中，针对私钥的攻击损失金额最大，约达7.32亿美元。而针对去中心化协议 DeFi 的攻击最为频繁，共 112起（占比约 47%），是 2022 年频率最高的被攻击对象（如图 4 所示）。图4：2022年度安全事件分类及对应数量 而针对这些事件，发生的主要原因而针对这些事件，发生的主要原因可以可以归类归类为以下为以下几项内容几项内容：1)人员人员安全意识薄弱安全意识薄弱，黑客利用社会工程成功（鱼叉/撒网），诱导用户泄露敏感数据，造成身份盗用事件或账户资金的非授权转移 2)冷、热钱包管控缺失冷、热钱包管控缺失，如生成私钥未在安全受控环境，钱包软件部署在未受安全工具的保护，导致钱

14、包私钥/助记词/Seed 文档在钱包生成期间、备份期间、使用期间被非授权访问，最终致使资产被窃 3)资产风险监控缺失资产风险监控缺失，对资产未进行有效风险监控及告警响应，导致当出现非授权转账时，无法使用自动或人为控制对资产的非授权转移进行及时、有效的干预 4)底层代码未经过安全验证，底层代码未经过安全验证，存在恶意漏洞，被恶意人员进行利用攻击系统 5)使用不安全第三方系统使用不安全第三方系统/组件组件，未对供应链上系统/组件的使用进行安全的监控、评估和响应 6)不安全不安全的人员操作，的人员操作，在日常办公中员工为图工作便利，肆意开放过大的资产权限，导致资产访问不受控 7)常规常规安全管控缺失

15、，安全管控缺失，如关键内部系统未开启 2FA 认证，未对特权账号采用适当管理措施，关键内部系统/组件暴露于公网，网络策略配置不当，测试环境与生产环境未进行隔离划分、公司未有效投入有效的网络安全资源（体系、制度、流程、工具和专业安全人事）去及时监控、预防和响应网络安全事件 8)区块链相关漏洞，区块链相关漏洞，如恶意授权、重放漏洞等等，均会导致合约的交互变得不安全、不可信任 下面就让我们共同来看一下由本团队评出的 2022 全年度十大安全事件详细介绍与事件刨析。图 5 为十大行业事件汇总图，在这之后我们将针对每一个事件的背景、事件亮点、事件时间线、主要攻击手段和事件根本原因进行详细介绍和解析。图5

16、：2022年度10大行业安全事件汇总 二、二、2022 年度年度十大十大安全事件详解安全事件详解 1)Axie Infinity 背景介绍背景介绍 Axie Infinity，是一款以区块链技术为背景的、通过收集宠物进行战斗的集换式卡牌游戏(TCG)，而 Ronin Network 是 Axie Infinity 游戏的重要基础设施支撑，包括所有交易和资产链上记账。2022 年 03 月 29 日，Axie Infinity 侧链 Ronin Network 发布社区预警，Ronin Network 出现致命安全漏洞，Ronin Bridge(跨链桥)共 17.36 万枚 ETH 和 2550

17、 万枚 USDC 被盗，损失约 6.2 亿美元。美国联邦调查局发表声明，表示本次攻击事件是由朝鲜为背景的黑客组织 APT38，也称为 Lazarus Group 执行的。事件亮点：事件亮点：GameFi 之星的沦陷 跨链桥私钥被盗 内部 IT 基础设施被黑客渗透 事件回溯事件回溯 主要攻击手段主要攻击手段 针对式钓鱼攻击针对式钓鱼攻击 针对内部特定员工群体进行钓鱼攻击以获得内部资源权限 内网渗透攻击内网渗透攻击(横向横向/纵向提权纵向提权)针对内部网络进行横向和纵向提权攻击，获得内部资源权限 白名单授权利用白名单授权利用 利用白名单授权过多的问题，获得节点权限 根本原因分析根本原因分析 内部员

18、工安全意识薄弱内部员工安全意识薄弱 员工安全意识薄弱，未能识别响应钓鱼攻击 邮箱系统无有效防钓鱼邮件功能 无有效针对钓鱼邮件的响应机制（受到钓鱼无第一时间响应）内部内部 IT 架构安全监控机制缺失架构安全监控机制缺失 缺乏有效人工审计和自动化安全监控监控系统（如防火墙、WAF、SOC、SOAR），黑客打入内部无系统警告、无拦截 内部资源无边界划分，导致黑客可以进行任意/无限制的提权操作 异常资金监控缺失异常资金监控缺失 缺乏对钱包等重要资金存放系统的自动化，以识别对异常交易进行实时监控、阻断和响应 签名白名单持续开放签名白名单持续开放 白名单未按需开放，通道长期开放给予黑客充分的时间进行信息收

19、集和攻击 2)币安链币安链 背景介绍背景介绍 币安链(BinanceChain，BNB)2019 年 4 月启动，主要服务于币安去中心化 DeFi 生态。2022 年 10 月，BNB 公链遭受了 5.7 亿美元损失的漏洞利用攻击，最终成功套现约 1.1亿美元。黑客欺骗 BSC 代币跨链桥（Bridge）向黑客地址非授权发送了 200 万枚 BNB代币。2022 年度跨链桥相关的事件层出不穷，虽然跨链桥对于连接不同区块链非常有用，但它们被广泛认为比不上比特币和以太坊等基础层网络安全，因为它们通常使用中央存储点来锁定存放的资产，这也间接引诱黑客攻击事件的增加。事件亮点事件亮点 头部交易所遭受攻击

20、 默克尔树交易伪造漏洞 洗钱套现手法创新 中心化处理方式（资金冻结、节点停块），引发公链去中心化的讨论 事件回溯事件回溯 主要攻击手段主要攻击手段 默克尔权限漏洞利用默克尔权限漏洞利用 利用 IAVL树验证漏洞发起攻（IAVL 树用于验证通过跨链桥发送到币安公链消息的合法性），这可能允许攻击者伪造任意消息 质押套现质押套现 通过在 Venus 平台（加密借贷协议）中质押 BNB，成功借入约 1.5 亿美元的稳定币（USDT，USDC 和 BUSD）黑客将大约 8950 万美元的被盗资金转移到其他公链上，包括以太坊、FantomFDN，和 Arbitrum 根本原因分析根本原因分析 供应链漏洞供

21、应链漏洞 BSC 采用的 IAVL 代码是由 Cosmos 开发，而 BSC 采用的代码版本因验证漏洞而过时，币安未能有效关注部分第三方组件的安全性 不全面的纵深安全测试不全面的纵深安全测试 缺乏深入的安全评估（例如代码审查），并在过往的安全评估中对部分关键/高危漏洞的识别存在遗漏 3)Solana/Slope 背景介绍背景介绍 Solana 成立于 2017 年，被定位为高性能公链，专为 DeFi 或 NFT 项目等去中心化应用程序而设计。2022年 8 月 2日，Solana 发生大规模货币盗窃事件，大量用户的 SOL和 SPL 代币被非授权转出。整个攻击持续约 4 小时左右，黑客从 9,

22、229 个钱包中窃取了总计约 400 多万美元的数字资产。链上交易显示，受影响钱包的私钥已被泄露，并用于签署恶意交易。在事件发生后，Solana 基金会集结了事件响应小组，包括两家安全审计公司 OtterSec 和SlowMist 对代码和服务器进行了 12 天的密集审计。经过持续的跟踪分析显示，受影响钱包主要包括 Slope 和 Phantom。事件亮点事件亮点 大量用户钱包遭受影响 钱包私钥大批量泄露 供应链组件安全漏洞 事件回溯事件回溯 主要攻击手段主要攻击手段 钱包私钥明文漏洞钱包私钥明文漏洞 第三方组件漏洞利用第三方组件漏洞利用 Slope使用的Sentry存在配置问题，导致出现客户

23、端私钥回传至 Sentry（异常日志记录服务）的致命漏洞 洗钱套现洗钱套现 使用 DEX（Transit Swap、UniSwap 和 MetaMask Swap）进行套现 OTC 个人钱包地址 使用 Tornado.Cash（交易匿名化平台）进行混币套现 根本原因分析根本原因分析 安全开发能力缺失安全开发能力缺失 未落地有效的安全开发机制，导致私钥存在明文记录在客户端缓存的情况。钱包应用程序需要使用钱包的私钥来解锁钱包并签署交易，私钥被明文临时加载到内存中 未针对客户端进行有效安全审计识别该开发漏洞（针对 Slope 6.24 发布的版本）不安全的运维配置不安全的运维配置 在数据库表、数据库

24、日志文件、磁盘已删除文件恢复后的数据中，发现了私钥和助记词信息 没有验证客户端到服务器的安全通讯，设计 TLS 通讯加密，但未成功部署，导致策略失效，造成潜在的通讯劫持风险 事件监控能力缺失事件监控能力缺失 无有效敏感字段监控机制/自动化系统，用于识别敏感数据传入/传出的场景。本案例中，客户端将大量私钥回传至 Sentry 服务器，未对大量收集的哈希地址有监控及响应策略 4)FTX 背背景介绍景介绍 2022 年度新鲜出炉的行业黑天鹅事件，FTX 受到了来自各行各业的关注。在如此聚光灯之下，FTX 及其关联公司在 2022 年 11 月 11 日，声明已根据美国破产法第 11 章申请破产保护。

25、FTX 曾拥有超过 500 万注册用户，直至 2022 年 11 月 发生破产事件前，FTX 估值高达 250亿美元，曾是全球第二大的加密货币交易所。而在FTX宣布破产数小时后，FTX遭到未知攻击，超过 4.15 亿美元的数字资产从 FTX 的加密钱包中被盗走。FTX 不同实体下保管的钱包均受到影响，大量资金从 FTX 转出并通过 DEX 出售。此事的后续影响仍在 2023 年延续，包括 FTX 的破产重组和 SBF（FTX 前 CEO）的判决等等。事件亮点事件亮点 CEX 年度黑天鹅事件 头部交易所破产 内部员工作恶 事件回溯事件回溯 主要攻击手段主要攻击手段 后门攻击后门攻击 内部恶意员工

26、通过植入系统后门获得特殊权限，为未来恶意操作布局 恶意客户端恶意客户端 FTX 破产后的数小时，APP 遭到攻击，不明真相的用户使用恶意客户端进行充值提现，导致超过 6 亿美元从 FTX 的加密钱包中被盗走 洗钱套现洗钱套现 使用 DEX（Uniswap、1inch 和 CowSwap）进行套现 黑客使用在交易所 Kraken上经过 KYC 的个人账户向被盗用的钱包地址发送了少量 TRX 以支付交易费用，但也可能是黑客盗取的 Kraken 账户 根本原因分析根本原因分析 未有效保护虚拟资产：未有效保护虚拟资产：在接近破产和破产重组期间，公司 IT 资产未受到足够有效的安全保护，导致恶意人员作恶

27、，将大量资产进行转移 内部恶意员工作恶内部恶意员工作恶：经过 FTX 新任 CEO 以及多方行业安全公司（如 Kraken），初步确认黑客为来自权限较高的内部员工。公司未能有效识别此类安全/内控风险，存在内部作恶的情况 特权账号管理：特权账号管理：未落地有效的特权账号管理机制，对高权限账号的管理存在管理缺失，形成被恶意人员利用的情况 5)Transit Swap 背景介绍背景介绍 Transit Swap 是 TokenPocket 孵化的跨链聚合闪兑平台，集去中心化闪兑、聚合交易、一站式跨链等功能。旨在打通以太坊、币安智能链（BSC）、Polygon 等公链资产的跨链流动性通道，为用户和项目

28、提供跨链交易服务。2022 年 10 月 2 日，Transit Swap 被黑客攻击，导致用户资产被非法转移。此次事件有多黑客参与攻击，他们利用 Transit Swap 协议在进行代币兑换时并未对用户传入的数据进行严格检查导致任意外部调用的漏洞，窃取了用户对 Transit Swap 授权的代币，导致此次攻击共造成价值 2890 万美元的资金损失。事件亮点事件亮点 跨链 DEX 聚合器被攻陷 多名黑客同时段攻击 合约授权利用 事件回溯事件回溯 主要攻击手段主要攻击手段 合约漏洞合约漏洞利用利用 Transit Swap 的智能合约代码中存在漏洞，该漏洞直接允许黑客利用transferFro

29、m()函数完成交易 Transit Swap 协议在进行代币兑换时，并未对用户传入的数据进行严格检查，导致存在任意外部调用的漏洞 根本原因分析根本原因分析 未规范使用授权功能未规范使用授权功能 在执行链上操作时，用户未被授权执行 Approve 操作，攻击者利用了合约校验漏洞将用户“批准”的代币转移到了自己的账户中。用户使用代币未遵循最小授权原则 使用未经验证合约的协议使用未经验证合约的协议 未根据实际业务，限定调用的合约以及函数，外部调用的权限过大 使使未使用白名单机制未使用白名单机制 白名单通道长期开放，给予黑客充分的时间进行信息收集和攻击 6)Optimism 背景介绍背景介绍 Opti

30、mism:Optimism 是一家以太坊扩展解决方案提供商，拥有一个基于以太坊的Layer 2 扩容解决方案“Optimistic Rollup”，通过将交易从区块链转移到另一个区块链，达到降低矿工费并增加吞吐量的目的，为本次事件主角之一 Wintermute:当前加密货币市场上规模最大的做市商之一，本次事件的主角至二 本次事件中，加密货币做市商 Wintermute 被黑客窃取了属于 Optimism 基金会的 2000 万个 OP 代币。Wintermute 错误地向 Optimism 提供了一个尚未部署在第 2 层网络上的多重签名以太坊地址。黑客通过在 Layer 2 网络上进行交易重放

31、并成功部署了多重签名 Gnosis Safe 智能合约账户，最终控制了 2000 万个 OP 代币。事件亮点事件亮点 做市商运营操作失误 漏洞利用窗口期极端，难以复现 跨链交易重放漏洞 事件回溯事件回溯 主要攻击手段主要攻击手段 多签地址多签地址重放攻击重放攻击 黑客利用 Optimism 公链存在的重放漏洞，在 Optimism 公链上创建了和以太坊主网上一致的地址合约 根本原因分析根本原因分析 运营运营失误失误 对于大额转账，缺乏有效的资金入账确认，运营人员未确认是否拥有钱包地址的实际控制权 事件事件响应响应缓慢缓慢 发生事件后，WinterMute 未及时梳理方案将代币进行恢复，让黑客抢

32、先完成钱包恢复 重放重放漏洞漏洞 发起交易未遵循 EIP-155，附带唯一识别的 chainID（链的编号），防止交易重放攻击 7)MetaMask 背景介绍背景介绍 MetaMask（俗称小狐狸）是用于与以太坊区块链进行交互的软件加密货币钱包，可以通过浏览器扩展程序或移动应用程序让用户访问其以太坊钱包，与去中心化应用进行交互。MetaMask 作为活跃度最高的钱包之一，用户群体十分庞大，这也导致其成为钓鱼攻击的重点对象之一。在2022年，高频出现的恶意钱包钓鱼攻击已成为个人用户的噩梦，黑客经常通过发送包含恶意签名的“免费领取空投”来引诱用户连接钱包并完成授权，导致钱包资产被非授权转出。不过此

33、类钓鱼攻击的手法，并未止步于此，近期也出现了相同首位号钱包的空投骗局，还有 TransferFrom 零转账骗局等等。事件亮点事件亮点 新型钱包钓鱼攻击 攻击代码开源，简单易上手 近期频发，攻击受众群体广 最快速的钓鱼攻击方式 事件回溯事件回溯 本事件为撒网式钓鱼攻击，时间跨度广，因此将不进行时间溯源。主要攻击手段主要攻击手段 在本次事件中，可以看到黑客发送了会触发网页插件钱包的执行连接操作（connect）并完成交易授权(Approve)的恶意链接至用户。由于该类型的攻击复现成本及其低廉，而大多数的钱包并不会对该类型的恶意签名明细进行校验并进行告警和用户提示，这对于新手用户来说就要单纯依赖自

34、身的安全意识进行防范。钓鱼攻击钓鱼攻击 下图为盲签攻击复现，首先黑客通过钓鱼攻击发送恶意链接给用户，用户点击Claim(领取)，自动连接 MetaMask 网页插件钱包，提示申请 Approve(签名授权)钱包恶意签名钱包恶意签名 由于是盲签导致用户无法实际看到签署的内容（部分用户也不会查阅），大意导致了签名了恶意内容，致使钱包资产转出（如 NFT，ETH 等）根本原因分析根本原因分析 用户用户安全意识薄弱安全意识薄弱 不应信任任何来自于陌生人的钱包签名授权，也不应贪图免费领取的空投，而随意进行签名授权 恶意签名拦截机制恶意签名拦截机制缺失缺失 市场上多数钱包无有效识别恶意签名的机制，但仍可使

35、用安全插件有效降低此类攻击的成功概率 8)Gate.io 背景介绍背景介绍 Gate.io 成立于 2013 年，是全球知名的加密货币交易所，曾在 2020 年荣获国际第三方安全机构 CER 安全测评排名第一。在 2022 年 10 月 22 日，加密平台 Gate 官方 Twitter 账户被盗用，黑客利用该账户发文，诱导用户进入虚假网站连接钱包。Gate.io 的官方 twitter 账号就被非授权入侵，并发送了钓鱼推文，虽然事件影响并未公布，但作为老牌交易所之一，此次事件必定对公司的名声以及用户带来了一定的损失。事件亮点事件亮点 老牌交易所社交媒体恶意利用 事件回溯事件回溯 主要攻击主要

36、攻击手段手段 社交媒体账号入侵社交媒体账号入侵 接管 Gate.io Twitter 账户，发布包含恶意连接的即时讯息 针对式钓鱼攻击针对式钓鱼攻击 黑客发送了钓鱼信息，诱骗用户访问 。一旦点击“Claim”，会出现连接钱包并发起 eth_sign 签名钓鱼，导致钱包中资产被盗 根本原因分析根本原因分析 社交媒体账号安全管理缺乏社交媒体账号安全管理缺乏 共用账号管理机制 在社交网站上发布个人/公司敏感信息的保护规则，导致员工泄露过多可用于社交媒体攻击的信息 未定期检查社交媒体账号的隐私设置和安全配置（如使用强密码、开启 2FA等）未定期更改密码，检查隐私授权 使用使用不安全的第三方插件不安全的

37、第三方插件 使用了不安全的第三方插件，导致恶意后门记录账号密码，实施进一步攻击 社区用户缺乏对于可疑的社交媒体信息的识别社区用户缺乏对于可疑的社交媒体信息的识别 就算信息来自于可信人员也要进行多次确认，避免中招于可信账号被盗所发出的恶意信息 9)3Commas 背景介绍背景介绍 3Commas 成立于 2017 年，主打量化交易并允许用户部署自动交易机器人来执行不间断的加密货币交易。2022 年 12 月 28 日，未知的黑客团伙盗取并公开了 10 万组 3Commas 用户的 API 密钥，造成用户交易账户被非授权盗取金额高达 2000 万美元。3Commas 创始人兼首席执行官 Yuriy

38、 Sorokin 发布公告说明币安、OKX、FTX 和其他一些交易平台的用户均受到 API 非授权交易的影响。该事件在 2023 年仍在持续调查中，3Commas 已聘请多家安全机构进行事件调查取证。事件亮点事件亮点 交易 API 密钥泄露 事件回溯事件回溯 主要攻击手段主要攻击手段 针对式钓鱼针对式钓鱼攻击攻击 由3Commas官方判断，本次事件高概率为针对IT基础设施的鱼叉钓鱼攻击，但经过 3Commas 内部调查仍未发现有效的证据 API 密钥保管系统入侵密钥保管系统入侵 在引入 Sign Center 前，3Commas 并未对 API 密钥进行有效保护。而造成数次大量的API密钥失窃

39、，可以基本断定为黑客成功入侵了API密钥保存系统，或为恶意内部员工所为，但3Commas对以上两种攻击手法均未发现有效的证据 根本原因分析根本原因分析 事件响应事件响应缓慢缓慢 虽然本次事件 3Commas 或外部机构截至今日并未能识别出事件的直接造成原因，但可以确定的是 3Commas 事件响应速度的缓慢导致了本次事件的升级。在 2022 年 10 月份就已有用户爆出非授权交易的情况，并提出了 API 密钥泄露的可能，但 3Commas 在获得该情报后并未投入有效资源对事件进行调查，最终导致了 10 万组 API 密钥失窃并公开 内部调查取证能力缺失内部调查取证能力缺失 虽然 3Commas

40、 内部调查结果均未发现造成事件原因的直接证据，但从经验判断，如果内部系统确定已被入侵，那可以判断存在以下两种可能：a)黑客完成入侵后删除所有相关日志，造成事件无法被溯源 b)内部系统并未开启能够用于事件调查的审计/安全日志，导致事件无法被有效溯源 API 私钥保存系统遭到入侵（未证实）私钥保存系统遭到入侵（未证实）10)Harmony Horizon 背景介绍背景介绍 Horizon是由 Layer1公链 Harmony开发的与以太坊间的资产跨链桥。2022年 6月 24日上午，价值超过 1 亿美元的加密资产从 Horizon Bridge 被窃取，（这是一项允许资产在Harmony 区块链和

41、其他区块链之间转移的服务）。本次事件的响应团队确认事件是由私钥泄露导致。本次事件共影响约 64，000 个钱包受到影响，黑客已通过 Uniswap 将基于被窃资产转换为总计 85，867 ETH。事件亮点事件亮点 关键岗位（开发工程师）被钓鱼成功并安装监控木马 监控线程被监控获得敏感信息 大量用户钱包遭受攻击 事件回溯事件回溯 主要攻击手段主要攻击手段 关键岗位针对式钓鱼攻击关键岗位针对式钓鱼攻击 诱骗软件开发工程师在办公电脑上安装恶意软件 办公聊天线程监控获得关键权限办公聊天线程监控获得关键权限 监控办公聊天、邮件沟通细节，以获得跨链桥连接器操作细节 获得非公共跨链桥基础设施代码的访问权限

42、根本原因分析根本原因分析 人员安全意识人员安全意识薄弱薄弱 能够接触公司关键资产的重要岗位缺乏安全意识，安装恶意软件引发事件 办公办公环境环境恶意软件恶意软件查杀控制失效查杀控制失效 办公环境无有效针对恶意软件的拦截控制，恶意软件安装生效 跨链桥签名过弱跨链桥签名过弱 2/5 签名阈值过低，多签安全系数较低，无法有效保护关键资产 第三章第三章:全链路纵深防御全链路纵深防御 一、一、网络安全框架网络安全框架 即便各类攻击事件的不断发生，加密货币的市场规模依然不断攀升。面对这一状况，各国监管机构在不断愈加开放包容的同时，监管的力度也不断加强，甚至明确各组织须指定网络安全负责人，并建设“网络安全风险

43、框架”，来履行网络安全的管理和监督职责。那如何搭建一个切实可行的网络安全风险框架呢？加密货币业务虽然是一个创新课题，但“链下”部分的应用模式仍然保留了传统应用的属性，国际通用的安全框架，如 ISO 27001，NIST，COBIT 等体系仍然有一定的借鉴意义。对于加密货币特有的“链上”和钱包等模式，及其特别安全风险，也可以参考加密货币安全标准（“CCSS”）。上述通用标准虽然得到了广泛的认可，具有很大的参考价值，但是仍然需要安全专家们根据组织的业务模式和系统架构进行调整和扩充，才切实可行，真正知道组织安全工作的落地，完成安全目标。比如，若组织的大量业务系统都部署在云环境中，那组织应该加强第三方

44、安全管理，同时 CSA 的 CCM 也不失为一个参考标准。若组织的业务是提供加密硬件服务，那 FIPS 也应纳入参考标准中。另一方面，对于受监管的持牌机构来说，监管的态度和要求毫无疑问绝对是开展安全工作的“重中之重”；对于非持牌机构而言，监管要求同样有借鉴意义和参考价值。本团队结合自身在加密货币的行业经验，并综合上述因素，搭建了如下“网络安全风险框架”，通过在 14 个安全领域设计和部署适当的安全措施，全面提供组织的网络安全能力。为了有效的推动体系落地，在建设过程中需要注意：搭建监控机制，监督体系运行搭建监控机制，监督体系运行 有效的监控机制不但有助于了解体系运行情况，以及时修复控制缺陷；还便

45、于安全专家们及时发现体系的不足之处，以持续改进，形成 PDCA 闭环，不断提升体系的成熟度。良好的监控机制，通常具有如下特点：可量化 构建安全度量体系，通过监控指标持续监督运行情况 持续性 搭建二道方向，定期开展基于风险的内部评估工作 自动化 部署监控工具，覆盖核心资产，强化主动管理 部署技术控制，强化主动管理部署技术控制，强化主动管理 然而，仅仅通过“监控机制”通过事后监督来纠正体系运行中的偏差，在安全需求极高的加密货币行业仍然是不充分的。安全专家们仍然需要通过部署大量的预防性和检测型控制，在前期进行阻断或遏制负面影响，此时，通过各类安全服务和安全产品来部署技术控制通常是最佳选项。安全专家们

46、在部署控制时，都会基于“纵深防御”的基本原则，覆盖应用、主机和网络等多层次；也会基于业务需求和系统架构，制定适用的策略，以联动分析，及时响应。但是，在控制的具体实施时，安全专家还需要关注安全控制能否监控所有的核心资产，并联通变更管理，确保核心资产的覆盖率。二、二、安全开发体系安全开发体系 在保证所开发的应用系统的安全性方面，另一个不得不提的就是安全开发 DevSecOps 体系，通过在整个研发生命周期中嵌入安全控制措施，来实现安全检测左移，提高所开发系统的安全性能。当然未必所有的企业都适合用于 DevSecOps 体系，但其理念仍然值得借鉴。持续安全持续安全 “安全左移”一经提出，就备受关注，

47、体长在项目初期的需求阶段，就应考虑安全因素，确定安全需求和安全标准。但是，随着开发流程的快速迭代，“右侧”安全也被逐渐关注，DevSecOps 体系所提倡的“持续安全”理念，将安全需求融入到 DevOps 的各阶段亦可以被各种开发体系所借鉴。无感知安全无感知安全 DevSecOps 提倡将安全需求自然的融入到开发工作中，让开发人员在开发流程中实现大部分的安全需求，从而减少沟通成本，提高开发效率，避免形成安全孤岛。不过要想贯彻 DevSecOps 理念，离不开安全培训和安全工具的支持。良好的安全技术培训可以建立和培养安全文化，将其融入到开发体系中，开发和运维人员可以自发自愿的将安全原则和安全要求

48、贯彻到日常的工作中。安全工具的部署则可以帮助开发人员便捷和高效的实现安全需求，促进无感知安全。在 DevSecOps 体系中，常见的安全工具有：三、三、链上安全链上安全 区块链匿名的本质是伪匿名或非实名，是实际发生的交易操作无法直接关联到个人身份信息的一种概念。举例来说，在区块链第二大公链以太坊上发生的任意一笔交易，都会记录包括交易发起地址、收款地址、交易哈希值、时间戳、交易金额、交易费率等等字段，任何人都可以通过自配全节点或第三方查询工具如 etherscan 对链上交易细节进行查阅。通过这个概念，我们就可以看出链上的交易是无所遁形的，而对于行业内的公司来说，设立一个良好的链上追踪工具和威胁

49、情报将会有效的帮助快速的响应具有行业特色的安全事件。链上监控及响应链上监控及响应 不同于其他行业，区块链行业的安全事件在发生后必将会在链上留存相对完整的证据链，因此当发生链上异常事件时（如非授权转账），能否及时做出告警并实施响应将会影响最终实际的损失程度。以下为控制列举：资产监控资产监控：检测高风险活动，实现对数字资产的持续交易监控，并可以根据组织的反洗钱 AML 策略配置实时警报。地址管控：地址管控：全面监控由实体控制的所有地址，以获取有关其资金来源或目的地的实时情报，可实现用户对数字资产的安全访问。异常用户活动识别异常用户活动识别：查看特定加密地址、交易和实体，通过特定规则识别可疑账户活动

50、。可视化交易关系可视化交易关系：创建钱包及其之间交易的详细网络可视化。识别与黑客、勒索软件、欺诈等的直接和间接关联。持续监控风险钱包：持续监控风险钱包：使用基于风险的方式跟踪与特定实体相关的地址和交易，识别并监控风险交易全链路（如交易所到 Tornado Cash）。威胁情报威胁情报 由于行业的特殊性，当发生一起黑客攻击事件后，整个攻击链完成的速度，包括非授权资金转移、混币/洗钱等关键步骤的速度将会非常之快，因此新闻的时效性尤其重要。而针对特定新闻的追踪，包括：监管要求 行业信息安全事件 行业意见领袖 KOL 行业安全厂商 各类安全平台公布的系统漏洞 以上类型的新闻/事件都需要被第一时间由专人

51、进行评估并完成响应。如当有新的系统漏洞被公布后，公司内部的安全人员就需要对漏洞的适用性、影响性和修复方案进行评估。在评估完成后，若该漏洞判断为适用，公司内部将需要按照既定流程对漏洞进行修复和再次复扫。一个好的威胁情报网络，将会有效应急响应的时效提前。四、四、钱包安全钱包安全 钱包(Wallet)作为区块链行业最核心的基础应用之一，是用户与区块链之间交互的重要桥梁。钱包类型与功能种类繁多，又是作为数字资产存储的直接载体，其机密性、完整性用性均为十分重要。因此企业在使用钱包系统作为数字资产托管场景的时候，需要重点关注以下安全工作事项以防止所属数字资产被非授权窃取：钱包应用第三方风险评估钱包应用第三

52、方风险评估 钱包应用漏洞识别&修复 钱包安全设计(security by design)钱包安全基线 第三方组件准入&持续监控 数据加密通讯 钱包钱包生命周期生命周期管理管理 私钥/种子/助记词生成算法随机有效性验证 钱包创建安全流程（离线生成、安全备份、职责分离、独立监控）钱包创建人员职责分离(Segregation of Duty)私钥/种子/助记词安全存储（私钥加密存储、异地备份、存储介质管理）私钥/种子/助记词安全使用（安全操作空间、交易确认、职责分离、独立监控、交易复核）钱包安全响应流程（私钥泄露 Key Compromise）威胁情报监控 安全运营安全运营监控监控/测试测试/审计审

53、计 审计/安全日志监控&响应 钱包运行环境安全加固 网络通讯安全保障 运维配置变更管理 敏感数据防泄漏监控&拦截 安全渗透测试识别漏洞&修复 尾声尾声 随着区块链、NFT、元宇宙等新技术概念的普及，Web3.0 将会逐渐成为未来网络的主要形态，在全球互联网发展中扮演着重要角色。同时，Web 3.0 时代的网络安全格局正在发生变化，这一点可以从越来越多的成功利用区块链和智能合约漏洞所造成的巨大损失中得到证明。Web 2.0安全实践关注的不是避免它，而是处理其后果；Web 3.0 网络安全转向以预防为重点的体系结构、工程和代码。Web 3.0 生态系统本质上更加开放。然而，当前的技术工作模型缺乏监

54、视/数据收集驱动的生态系统来支持Web 3.0，并且需要确保代码在发布时尽可能无漏洞。Web 3.0 对网络安全、隐私和监视甚至防止黑客攻击产生了一定的影响。在开放环境中，组织和个人面临的安全隐患不是减少了而是增加了。因此，网络安全专业人员在制定行业标准以及应对监管要求，是至关重要的。同样值得注意的是，去中心化技术并不会自动产生去中心化的权力。未来的监管将侧重于鼓励监管机构加大监管力度，以防止数字资产引发系统性金融风险。鼓励金融稳定监督委员会减轻和识别由数字资产构成的系统性金融风险，并提出适当的政策建议，以弥补监管缺口。文章引用文章引用 1.Behnke,R.(2022a,June 30)Ex

55、plained:The harmony horizon bridge hack.https:/ 31)Explained:The ronin hack.https:/ Security Alliance(2020,December 15)Digital wallet security development and application practice.https:/www.c- 17)FTX says$415 million of crypto was hacked.https:/ 5.Salvo,M.D.(2022,December 29)3Commas admits it was s

56、ource of API leak that led to hacks.https:/decrypt.co/118094/after-repeated-denials-3commas-admits-it-was-source-for-earlier-hacks 6.Sarkar,A.(2022,October 22)Gate.io users at risk as scammers fake giveaway on hacked Twitter account.https:/ 7.Securities and Futures Commission(n.d.)Guidelines for red

57、ucing and mitigating hacking risks associated with internet trading.https:/www.sfc.hk/-/media/EN/assets/components/codes/files-current/web/guidelines/guidelines-for-reducing-and-mitigating-hacking-risks-associated-with-internet-trading/guidelines-for-reducing-and-mitigating-hacking-risks-associated-

58、with-internet-trading 8.Slope Finance(2022,August 11)Slope update 11 August 2022.https:/slope- 9.SlowMist(2022a,October 2)Cross-chain DEX aggregator transit swap hacked analysis.https:/ 10.SlowMist(2022b,October 9)SlowMist:A brief analysis of BNB crosschain bridge hacked.https:/ 11.SlowMist Hacked(n

59、.d.)SlowMist Hacked statistical.https:/hacked.slowmist.io/statistics/?c=all&d=all 12.Sorokin,Y.(2022,December 29)Notice on API data disclosure incident.https:/3commas.io/blog/notice-on-api-data-disclosure-incident 13.Stankovic,S.(2022,June 9)Wintermute makes optimistic assumption,loses 20M tokens.https:/ 7)BNB chains$566M hack:Binance networks major bridge attack unpacked.https:/