巴比特讯,7月24-25日,“2021世界区块链大会·杭州”在杭州未来科技城学术交流中心开幕。本次大会由杭州时戳信息科技有限公司(巴比特)主办,杭州未来科技城管委会等机构支持。
7月24日下午,PeckShield(派盾)创始人兼CEO 蒋旭宪出席大会并发表主题演讲《数字货币反洗钱暨DeFi行业安全报告—2021上半年报告》。
蒋旭宪在演讲中讲述了该报告的要点,内容覆盖了DeFi行业安全现状,行业重大安全事件概况,趋势及总结等。根据报告,2021年上半年DeFi安全事件损失金额达到了7.69亿美元,总共发生安全事件86起。如果这个数据和去年相比,去年上半年总共损失就是3580万美元,同比增长超过了1000%。
以下是整理的部分内容:
今天非常荣幸和大家分享我们的一份研究报告,我们的研究报告是《数字货币反洗钱暨DeFi行业安全报告2021年度上半年报告》。
这个研究报告是来自于目前行业的现状,如果大家回顾过去6个月或者今年上半年以来,数字货币行业的监管、合规、创新算是行业发展基调,一直以来,区块链技术得到了快速增长。如果看到今年初,美国交易所Coinbase上市,以及美国支付公司PayPal、新加坡的星展银行DBS都给用户开放了和虚拟货币相关的服务。大家也知道最近的区块链底层公链基础设施逐步完善,DeFi行业从去年暑假开始一直火到现在,今年年初开始NFT也频繁出圈,这都展示出这个行业在不断往前发展。
同时,我们也看到国家也注意到行业里不怎么健康的噪音和声音,刚才提到诈骗、犯罪、反洗钱,全球各个国家都加强了对区块链技术的布局,我们国家也非常重视区块链,各个地方都在建设区块链产业园区。包括今年年初“挖矿”行业的监管和关闭,也包括对虚拟资产服务提供商明确提出了反洗钱等的要求。我们报告就是在这种大背景下产生的。
本报告主要分为:DeFi行业安全现状;行业重大安全事件概况;趋势及总结等。
DeFi行业安全现状
DeFi是区块链的应用和区块链的场景。以太坊重要的行业指标参量,从去年1月1日-12月底,以太坊的锁仓量才150亿左右,到今年6月底7月初达到了600亿美元,而且不仅仅是以太坊一条链。今年年初2月份、3月份的BSC,5、6月份开始的Polygon,还包括Heco链,链上的资产规模加起来已经超过了1000亿美元。如果和去年年底以太坊的150亿相比,这个数字至少翻了五六倍。
但是,这个资产在上面锁仓规模大的时候,我们也注意到了,目前我们追踪了链上每个月发生的安全次数以及受损失资金的规模,是呈指数级的增长。2021年上半年DeFi安全事件损失金额达到了7.69亿美元,总共发生安全事件86起。如果这个数据和去年相比,去年上半年总共损失就是3580万美元,同比增长超过了1000%。
资产的流向在很大程度上吸引了所谓的黑客攻击者的注意力,大家知道DeFi协议是开放、公开的、开源的协议,如果有安全问题的话,就会让用户资产遭受挫折。以前主要是以太坊,以太坊有智能合约支持,也是第一条支持智能合约的公链。
今年上半年以来,除了以太坊以外,还有其他公链的冒出,BSC、Polygon。以86起安全事件来看,在BSC上的安全事件是34起,以太坊是28起,Polygon是11起。资金规模损失,以太坊是1.1亿美元,但是BSC由于DeFi的安全事件损失金额到达了3.7亿,Polygon最近几个月火起来了,资产损失也达到了2.26个亿。
去年年底开始包括今年上半年,如果有尝试在以太坊上发过交易的话,肯定对上面交易费用深有体会,费用真的太贵了,触发了交易所或者基于侧链的发展,现在已经达到了各链发展的现状,我记得每条链上的交易数BSC和Polygon每天上链交易数都超过了500~600万条。
第二点,因为跨链,各大公链包括以太坊,还包括了交易所自己的链,还包括Polygon的侧链,因为现在每个链都有足够多的资产,刚才提到以太坊上至少还有600亿美元锁仓,BSC有200亿美元锁仓,Polygon里至少有76亿美元锁仓,各自锁仓里,用户就有拿资产跨链的需求,今年开始跨链的各种解决方案慢慢开始冒出来了。我们注意到根据服务角度来看,跨链的协议也提供了很大的便利。基于我们的分析发现,在BSC上,将近有一半以上的被盗资产是通过跨链协议转到其他的公链上,通过别的公链混币服务进行洗白的,这也是在区块链行业发展的时候对行业治理带来的很大挑战。
我们分析上半年86起安全事件主要是哪些攻击手法造成的伤害,我们发现攻击手法最主要的是跑路机制。在一个生态发展的初始阶段,攻击者认为简单的跑路是最直接,也是最简单、最粗暴、最有效的。第二种比较常见的攻击手段来自闪电贷,闪电贷算是区块链里独特的攻击,攻击者以很少的成本就可以获得巨量资金,上亿甚至十几亿美元资金,在攻击结束之后再把闪电贷还回去,从这里可以极大地的放大攻击者的获利。大家发现闪电贷造成了巨大的经济损失,还包括早期的跑路情况,最近我们在Polygon上关注到银行挤兑的方式,造成了极大地的资产损失。
虽然我们看到目前攻击损失规模很大,但是锁仓规模里,损失比例应该是0.7%,不到1%,相对较小。倒不是说这个数字小,因为这个行业还是在发展早期,我这个行业还是抱有信心的,这也是行业成长不可缺少的环节。我不想说这么多损失让大家得到的是负面的消息,相反,我认为这是非常健康的数据。
行业的重大安全事件概况
报告的第三部分是我们分析过涉及虚拟资产重大安全事件的概况。和前几年相比,我们发现统计相对资产损失比较大的事件,是1375起,其中勒索软件攻击已经达到了1172起,黑客攻击DeFi协议是86起,还包括交易所、钱包、浏览器,总共加起来有143起,还有诈骗事件,曝出来规模比较大的有60起。和去年同期比较,规模已经急剧上升,尤其指出的是勒索软件,其实从去年下半年开始勒索软件大规模爆发。根据上半年我们跟踪的损失,勒索软件已经造成了5370万美金的损失,平均每天7起,损失同比增长了2585%。
通过分析发现,加密资产给勒索软件提供了很好的闭环,也触发了所谓勒索软件服务的商业模式,相当于以前那些勒索软件找不到很好的变现模式,勒索软件特别是加密货币能得到非常的解决方案。我们预计甚至从去年下半年开始接下来很长一段时间,勒索软件用虚拟货币的规模会越来越大,不仅是攻击的次数,还包括受损失的资产规模。所以,以后大家对这方面要有所注意和防范,这也算是安全公司需要解决的新问题。不仅要防止勒索软件从外部攻击渗透,或者是企业使用加密个人文件数据的时候,也需要执法部门或者区块链数字上的追踪公司,去追踪打击这些具体受惠方。之前我们分析勒索软件具体汇聚的地方,而且全球范围内,确实有那么几家专门提供勒索软件服务的商业模式。
基于黑客攻击,我们发现今年上半年的损失是12亿美元,刚才提到了其中有7.5亿左右,相当于是基于DeFi协议的安全攻击。和去年上半年同期相比,数量和损失规模上只是稍微增长了6%。如果大家反思一下,去年上半年关于虚拟货币的安全事件更多会集中在交易所,中心化的交易所有很大的金融资产,也引起了黑客攻击的注意。去年下半年和今年上半年很多攻击集中到了DeFi的协议,自然损失也就发生在DeFi协议上。虽然看到规模差不多,但后面攻击者的场景已经从中心化慢慢移到了去中心化。
这里还要说一下,我认为目前虚拟货币最大的问题还是来自诈骗。在行业早期的时候,投资者对诈骗不太熟悉,所谓的用户也就是韭菜,很多人会因为高回报的吸引,上半年就损失了上亿,因为监管加严和措施落地,数量上比去年上半年有20%的下降,但是损失规模却有了1000%以上的增长。最近有两起,一个是来自南非大规模的交易所的跑路,还有来自韩国一家交易所跑路。
趋势及总结
第一,2021年上半年未受监管的出境资产规模高达283亿美元,最近强监管措施的出台,使得规模逐渐下滑;第二,虚拟货币重大安全事件的损失在今年上半年达到了142.4亿美元,勒索损失增速和去年同期相比达到了2585%;第三,各大公链DeFi应用的井喷和各协议,但是DeFi安全事件也是占黑客攻击事件的60%,我们也认为安全成为了各大公链DeFi协议生态维稳的基石。