GoPlus 2022年度盘点:影响加密行业的五大安全风险

作者:GoPlus社区

2022年即将画上句号,今年我们见证了全球宏观经济陷入低谷,以及加密行业因泡沫破灭经济崩盘持续熊市,而与、钓鱼和黑客事件相关的安全风险也是层出不穷此起彼伏,这让原本并不景气的行情雪上加霜。

在2022年即将结束之际,GoPlus也针对Token/NFT等区块链主要风险集中的领域进行盘点,希望在总结经验教训的同时,更能给大家带来警示,希望大家在2023年能够更好抵御相关风险。

一、Token风险

1.主要风险

根据GoPlusToken检测的最新数据显示,在GoPlus已经检测过的超过200万的Token中,存在风险隐患的超过100万。其中主要的以及非常严重的风险有以下几种:

币安发言人:不会对有关GOPAX收购猜测或传言发表评论:金色财经报道,币安拒绝就媒体报道称其正在就收购韩国数字资产交易所 GOPAX 一事发表评论,该交易所一位发言人称:“我们不会对猜测或传言发表评论”。GOPAX 在 2022 年 12 月 31 日发布公告称,他们已完成“全球最大区块链基础设施公司” 的尽职调查,但指出“这家公司将首次进入韩国市场”,这似乎与币安情况不符,因为币安曾于 2020 年在韩国开展业务,之后因为监管收紧而退出。韩国监管机构要求加密货币交易所获批并与本地银行建立合作伙伴关系后才能运营,账户需要支持实名制且需满足 KYC 合规要求。(雅虎财经)[2023/1/4 9:52:32]

2.貔貅代币

貔貅代币总量大幅增长

GoPlus Security 新增针对合约自毁和为个人地址改税的风险检测:8月11日消息,据官方推特,GoPlus Security Token安全检测API新增两个字段,针对目前市面新型作恶手段“合约自毁”与“针对个人地址改税”进行风险检测,使用GoPlus Security安全数据的项目方只需更新至V1.1.12版本皆可获得这两项新增服务,保护用户免受资产损失。

据悉,GoPlus Security Token安全检测API因其用户驱动的特性,根据用户提交的样本数据,可以第一时间接触市面最新攻击方式,并迅速应对丰富风险检测模型,通过向合作伙伴免费提供更新字段的方式,迅速触达C端用户,在最短时间内保护更多投资者的交易安全。

除了Token安全检测API外,GoPlus Security还推出了恶意地址库API、NFT安全检测API、风险授权检测API、dApp安全信息API等,作为Web3的安全基础设施,从多方面守护Web3安全。[2022/8/11 12:17:40]

GoPlusToken检测的最新数据显示,加密市场的貔貅代币总量大幅增长,达到101267,2022年新增貔貅代币为64661,与2021年同期相比,增长达83.39%。

加密艺术平台Algopainter将在KickPad进行IDO:加密艺术平台Algopainter将在KickPad进行IDO。据悉,Algopainter允许用户根据具体算法风格挑选数字艺术家为其创造NFT艺术品。[2021/4/20 20:40:45]

热门公链是貔貅代币的主要发生地

在所有的貔貅代币中,92.8%来自BNBChain,6.6%来自以太坊,而这两条公链也是最为活跃、Token最多的公链之一。以下是主要公链貔貅代币分布:

貔貅代币出现了众多新的发展趋势?

受到年底FTX事件影响,大量用户将数字资产从中心化交易所向去中心化钱包转移,导致链上活跃用户激增,攻击者也变得更加活跃。GoPlus数据显示,仅在FTX事件发生的一周内,新增貔貅攻击方式超过120种,攻击次数增长6倍。

GOPAX的联合创始人:韩国加密货币市场非常非常投机:北京时间4月3日,韩国交易所 GOPAX的联合创始人兼首席执行官Junhaeng Lee周二在Deconomy会议上表示韩国投资者的投机思维被视为主要驱动因素。正如他所说的那样,当价格飙升时,投资者受到巨大利益的诱惑,就会涌入市场。他告诉CoinDesk:“韩国市场非常非常投机。”Lee还指出,他的公司已经与律师建立了一个令牌审查委员会,让项目团队到其办公室来验证他们的技术背景以及平台设计是否可行。Lee表示该平台上的所有用户都已完成整个认证流程,力求完全符合FSC的规定。[2018/4/4]

GoPlusSecurity对Honeypot新增攻击方式的分析表明,随着资产发行合约攻防的加剧,攻击方式愈加呈现复杂化和动态化的趋势,以下我们梳理了几种常用的攻击方式:

1.混淆代码

通过降低代码可读性,增加无效逻辑或混乱的调用关系,通过复杂的实现逻辑,增加安全引擎的分析难度。

2.伪造知名合约

这类攻击合约会通过假扮为知名的项目合约,比如伪造合约名称、伪造合约实现过程,误导引擎,从而增加风险检测的误判概率。

3.采用更加隐蔽的触发方式

这类攻击合约将攻击的触发条件埋得很深,比如将触发条件隐藏在用户的交易行为中,并且通过对交易行为进行一种更加复杂化的处理,从而实现实时修改合约状态和盗取用户资产的目的。

4.伪造交易数据

为了让交易看起来更加真实,攻击者还会随机触发空投、对敲等行为,这样一是可以引诱更多用户上钩,二是可以让交易行为看起来更自然。

二、NFT风险

NFT合约成为新的风险聚集区

除了Token以外,NFT也存在各种安全风险。根据GoPlusNFT检测到的数据统计,众多NFT在合约层面都存在一定的安全隐患。截至12月30日,NFT合约隐患主要有以下几类:

三、恶意地址风险

2022年各类钓鱼、事件层出不穷,相关的恶意地址也显著增多。

根据GoPlus针对EVM公链的恶意地址统计显示,暗网交易、钓鱼、混币服务、貔貅相关地址成为主要的恶意行为。

四、授权合约风险?

当前授权合约局不断,很多项目方通过授权合约获取用户资产的操纵权,从而取用户资产。

授权合约的几种常见风险

五、dApp风险

dApp风险是一个非常庞大的话题,其中涉及了太多类型的风险,非常复杂。在这里重点关注dApp的主要合约是否存在恶意行为,以及目前dApp的审计情况。

根据GoPlusdApp安全信息数据显示,GoPlus目前收录了市面上主要dApp总数超过6000个。在这6000+dApp中,可以查到公开审计报告的仅有925个,约占收录总数的15.3%;并且主要合约中存在未开源情况的dApp达到949,约占15.7%;而其主要合约或合约创建者有恶意行为的dApp也有67个,约占1.1%。

从上我们可以看出,真正进行审计的dApp都占比较低,dApp领域的安全依然任重而道远。

总结

2022年即将过去,我们将迎来更加光明的2023年。不过,区块链世界的安全风险并不会随着时间流逝而自动消失,反而会以越来越难以发现、越来越隐秘的形式不断出现。

面对这些层出不穷且不断进化的安全风险,我们认为,加密安全是一个需要持续关注的话题,持续意味着安全防护并非一次性的,而是需要持续维护和升级应对方案,对于GoPlus而言,这是指提升我们API安全检测的灵敏度,拓展检测的覆盖面和攻击面,以及随着黑客攻击手段的变化不断迭代相应的检测手段和防御策略。

2023年,区块链世界的用户、机构、安全服务商应该共同行动起来,为实现Web3安全的未来之路而努力。

希望大家在新的一年,可以更多安全放心地探索区块链世界。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

BNB详解 ETHF 链生态:DeFi、Web3 基础设施等 20?个细分赛道

作者:ETHF 共识,决定了一条公链的天花板,坚持ETHPoW原生具备的正统性,就会获得共识。以太坊发展至今,已经经历了多次分叉,而此次的ETHPoW硬分叉无疑是迄今为止争议最大的一次,一边是以太坊忠实矿工的权益,一边是以太坊效能的提.

波场Cobo 神鱼:2023 寻找新的叙事逻辑

撰文:神鱼Cobo,联合创始人兼CEO 关于加息和FTX 首先,2022年最大的宏观影响因素是加息,这对包括加密货币在内的全球资产带来压力,加上加密货币市场内部出现了类似FTX崩溃这样的事件,使得加密货币市场受到了巨大的打击.

[0:0ms0-1:730ms