SAFEIS重磅发布《2022年区块链安全白皮书》

1月13日，SAFEIS安全研究院正式发布《2022年区块链安全白皮书》，《白皮书》的成功发布，是基于我们对区块链的持续探索、国内外政策的深入研究、长期以来对数据的沉淀整理以及中国信息协会区块链专业委员会的大力指导。

《白皮书》基于2022年区块链安全事件，从类型、数量、涉事金额等维度，总结出行业全年安全态势；

回顾了各国区块链政策、区块链技术在各领域的应用落地情况；

提炼了区块链面临的主要安全问题、区块链主流安全技术、安全应用；

详细剖析了典型安全风险，并提出解决方案；

对区块链技术、行业面临的问题进行了分别分析；

最后，展望了未来发展趋势。

2022年，涉事金额超过10万美元的区块链安全事件，数量超过204起，其中，漏洞攻击占比最高，多达59起。

2022年，涉事金额超过10万美元的区块链安全事件，涉事总金额超过753亿美元，其中重大崩盘占比最高，超过 600 亿美元。

2022年，区块链主要面临七大安全风险：代码漏洞风险、预言机风险、合约风险、中心化风险、应用风险、协议风险、算法风险。

2023年，区块链行业将面临严峻的中心化风险。

我们由此可知，2022年对区块链而言，是跌宕起伏的一年，亦是载入史册的一年：以太坊进入POS时代；美联储加息、LUNA暴雷、FTX交易所破产引发加密市场深陷熊市；俄乌冲突引发矿业能源危机……

但区块链仍在跌跌撞撞中取得了很多进展：区块链高频进入诸多国家（包括中国在内）的规划文件；各国纷纷细化对区块链的监管政策，区块链进入合规时代；香港接棒新加坡，剑指区块链新中心；区块链技术应用大范围落地，赋能供应链、医疗、公共服务等多个行业……

在区块链跌撞前行的背后，区块链安全问题也愈加突显，辞旧迎新之际，《白皮书》回顾2022年全球区块链安全态势。

SAFEIS安全研究院统计了 2022 年区块链领域安全事件，涉事金额超过 10 万美元事件的多达 204 起。其中，漏洞攻击事件 59 起，Run Pull 事件 54 起，闪电贷攻击事件 21 起，涉虚拟币案件 18 起，数据泄露攻击事件 14 起，钓鱼攻击事件 10 起，加密骗局事件 8 起，前端攻击事件 5 起，价格操纵攻击事件 4 起，预言机攻击事件 3 起，套利攻击事件 3 起，重大崩盘事件 2 起，治理攻击事件 2 起，病毒攻击事件 1 起。

2022 年，安全事件涉事总金额超过 753 亿美元，其中，重大崩盘事件超过 600 亿美元，涉虚拟币案件约 112 亿美元，漏洞攻击事件约 24 亿美元，数据泄露攻击事件约 8 亿美元，加密骗局事件约 3.4 亿美元，闪电贷攻击事件约 2.6 亿美元，价格操纵攻击事件约 1.3 亿美元，Run Pull 事件约 7684 万美元，预言机攻击事件约 3736 万美元，套利攻击事件约 1015 万美元，钓鱼攻击事件约 1110 万美元，前端攻击事件约 495 万美元，治理攻击事件约 220 万美元，病毒攻击事件约 120 万美元。

代码漏洞风险：2022 年 10 月 7 日，全球最活跃的公链之一BNB Chain被黑客攻击，涉及资产价值超 5 亿美元。根据链上数据及代码显示，事情的起因是BSC跨链桥的验证方式存在 BUG，该BUG可能允许攻击者伪造任意消息。攻击者伪造信息通过了BSC跨链桥的验证，促成了本次攻击。纵观以往，大部分进行漏洞攻击的黑客都是利用了代码中的漏洞，导致受损的验证器节点批准了盗窃行为。

预言机风险：2022年4月28日，DEUS Finance的合约被恶意攻击，造成了约1570万美元（折合人民币约1.03亿）的损失。由于 DeiLenderSolidex合约是用预言机来确定用户抵押品的价值，攻击者使用了被恶意操纵的交易对池的价格来操纵预言机合约。通过这种方式，攻击者可以利用高价格和之前提供的抵押品，从借贷池（DeiLenderSolidex）中总计借贷逾1724万枚DEI，这一数额远大于之前攻击者提供的抵押品金额。

合约风险：2022年8月2日，跨链解决方案 Nomad遭到黑客攻击，损失资金超过1.9亿美元。Nomad官方对智能合约进行了常规升级，但升级后的智能合约副本存在致命缺陷，主要就是将零哈希标记为有效根，这个设置具有自动验证每条消息的功能，这便让黑客可以轻而易举的盗取桥上的巨额资产。而普通用户只需要找到一个有效交易，用钱包地址替换掉已有地址并重新广播，此外也有的用户从Moonbeam网络通过Nomad跨链0.01个BTC 到以太坊网络，却收到了100个BTC。

中心化风险：2022年11月4日，加密领域媒体 CoinDesk 披露了一份私人财务文件，指出中心化交易所FTX与其姊妹公司Alameda Research存在债务的问题，涉嫌挪用客户资金。一时之间引发用户信任危机，并触发资金挤兑最终遭遇暴雷，短短数天之内宣告破产。根据美国联邦破产法院的文件，FTX集团在破产申请中披露的负债高达100亿至500亿美元，而新管理层只找到小部分资产，包括存放在离线冷钱包中的约7.4亿美元加密货币，以及约5.6亿美元现金。FTX的债务可能涉及超过100万名债权人，包括欠前50名最大债权人近31亿美元、前十大债权人约14.5亿美元。美国检察官直言，这是「美国史上最大的金融诈骗案之一」。

应用风险：2022年10月24日，有推特用户表示，向手机客户端的币安App充值的5枚ETH 一直未到账，经调查发现其手机内的币安App客户端为黑客团队包装的伪造币安App ，充值地址已被黑客替换为黑客控制的虚假充值地址。根据链上数据统计，该名黑客所管理的诸多虚假充值地址之一自2022年9月26日起短短3个月就已经累计收款超过100万USDT，向其打款的地址数量超500个。

协议风险：2022年9月15日 ，以太坊完成「合并」，主网与PoS共识层信标链（Beacon 链）结合。标志着以太坊工作量证明（PoW）的淘汰，以及向权益证明（PoS）的完全过渡。这需要对以太坊的区块链协议进行重大修改。以太坊「合并」就是从协议安全风险角度出发，进行的一次升级，同时，长达3年的测试阶段也考虑了协议演进风险。

算法风险：区块链技术主要使用的算法有：哈希算法、共识算法、加密算法。此外，区块链技术中还有许多其他算法，例如：脑钱包算法可能存在隐私保护风险，随机数生成算法可能存在伪随机性风险。

尽管区块链技术本身是去中心化的，但是在实际应用中，很多区块链应用都存在中心化风险。这些风险包括单点故障风险、控制权集中风险、共识机制缺陷风险和分叉风险等。

2022年加密行业经受三箭资本破产、Terra崩盘、FTX交易所暴雷等诸多中心化风险洗礼后，加密市场信心受到重创，当年雷曼兄弟集团营运表面上也非常亮眼，与全球各大银行都有紧密的关联，后来才被次贷风暴戳破背后的债务问题，触发全球性的金融危机。而2022年纷至沓来的中心化风险也分别造成了中心化平台挤兑、中心化交易所信任危机、机构投资失去信心这三个潜在问题。

区块链安全事件层出不穷，我们认为，提高安全意识，主动规避风险，刻不容缓，包括：

1、对所有链接提高警惕，即使这些链接由亲朋好友发送；

2、对于所有涉及到交易的信息，多渠道验证信息的真实性；

3、勿向任何人透露个人信息、钱包信息、银行信息等；

4、创建强密码，以防止诈骗者轻易侵入账户，并且各平台密码保持一定差异性，此外，还需要添加两步验证 (2FA)；

5、包括Telegram在内的国内外社群平台账号，要将安全设置全部开启并调整为最高等级，最大限度规避风险；

6、定期检查登录设备IP，如果出现非常用地址的IP登录账户，就要提高警惕；

7、保持设备安全功能的开启，比如防火墙、杀毒软件等。

SAFEIS安全研究院是集技术创新、产品研发、行业分析、政策研究人才培养于一体的区块链研究机构，研究方向包括但不限于区块链技术升级、产业融合应用等安全问题。研究院聚焦于为全球区块链技术的迭代与落地贡献力量，致力于区块链人才体系构建，旨在成为业内标杆。

SAFEIS安全研究院专家智库秉持开放包容、多元互鉴的原则，内部团队由全球头部互联网公司的技术专家、曾就职于公检法系统的业务精英组成，在不断强化专家团队的同时，还大力吸引全球范围内人才的加入，共同维护区块链安全生态。

中国信息协会是由中央国家机关工委主管、业务受国家发改委指导的全国性社会团体。在全国多个省市地区设立了地方信息协会，形成了全国性组织网络。协会发挥信息化行业中政府与企业的桥梁和纽带作用，牵头制定信息化行业标准，承接多项信息化国家级课题研究，发布系列白皮书及权威报告。区块链专业委员会（专委会）是隶属于中国信息协会的全国行业性组织，致力于区块链技术的应用推广和规范行业健康发展。其协会成员来自国内顶尖高校专家、各赛道头部企业。

SAFEIS安全研究院是SAFEIS旗下，集技术创新、产品研发、行业分析、政策研究人才培养于一体的区块链研究机构，研究方向包括但不限于区块链技术升级、产业融合应用等安全问题。研究院聚焦于为全球区块链技术的迭代与落地贡献力量，致力于区块链人才体系构建，旨在成为业内标杆。

本次《区块链安全白皮书》的发布，是行业对区块链安全的一次有益探索，SAFEIS 安全研究院专家智库秉持开放包容、多元互鉴的原则，欢迎与有关部门、业界同仁，共同维护区块链安全。