GoPlus 2022年度盤點：影響加密行業的五大安全風險

GoPlus 社區

2022-12-31 22:27:49

在 2022 年即將結束之際，GoPlus 也針對 Token/NFT 等區塊鏈主要風險集中的領域進行盤點。

分享至

微信掃碼

作者：GoPlus 社區

2022 年即將畫上句號，今年我們見證了全球宏觀政治經濟陷入低谷，以及加密行業因泡沫破滅經濟崩盤持續熊市，而與詐騙、釣魚和黑客事件相關的安全風險也是層出不窮此起彼伏，這讓原本並不景氣的行情雪上加霜。

在 2022 年即將結束之際，GoPlus 也針對 Token/NFT 等區塊鏈主要風險集中的領域進行盤點，希望在總結經驗教訓的同時，更能給大家帶來警示，希望大家在2023年能夠更好抵禦相關風險。

一、Token風險

1.主要風險

根據 GoPlus Token檢測的最新數據顯示，在GoPlus已經檢測過的超過200萬的Token中，存在風險隱患的超過100萬。其中主要的以及非常嚴重的風險有以下幾種：

2.貔貅代幣

（1）貔貅代幣總量大幅增長

GoPlus Token 檢測的最新數據顯示，加密市場的貔貅代幣總量大幅增長，達到101267，2022 年新增貔貅代幣為64661，與2021年同期相比，增長達83.39%。

（2）熱門公鏈是貔貅代幣的主要發生地

在所有的貔貅代幣中，92.8%來自 BNB Chain，6.6%來自以太坊，而這兩條公鏈也是最為活躍、Token最多的公鏈之一。以下是主要公鏈貔貅代幣分佈：

（3）貔貅代幣出現了眾多新的發展趨勢

受到年底 FTX 事件影響，大量用戶將數字資產從中心化交易所向去中心化錢包轉移，導致鏈上活躍用戶激增，攻擊者也變得更加活躍。 GoPlus 數據顯示，僅在 FTX 事件發生的一周內，新增貔貅攻擊方式超過 120 種，攻擊次數增長6倍。

GoPlus Security 對 Honeypot新增攻擊方式的分析表明，隨著資產發行合約攻防的加劇，攻擊方式愈加呈現複雜化和動態化的趨勢，以下我們梳理了幾種常用的攻擊方式：

1.混淆代碼

通過降低代碼可讀性，增加無效邏輯或混亂的調用關係，通過複雜的實現邏輯，增加安全引擎的分析難度。

2.偽造知名合約

這類攻擊合約會通過假扮為知名的項目合約，比如偽造合約名稱、偽造合約實現過程，誤導引擎，從而增加風險檢測的誤判概率。

3.採用更加隱蔽的觸發方式

這類攻擊合約將攻擊的觸發條件埋得很深，比如將觸發條件隱藏在用戶的交易行為中，並且通過對交易行為進行一種更加複雜化的處理（比如嵌套多層判斷條件後才出發交易中斷、增發或轉移等典型的螳螂風險行為），從而實現實時修改合約狀態和盜取用戶資產的目的。

4.偽造交易數據

為了讓交易看起來更加真實，攻擊者還會隨機觸發空投、對敲等行為，這樣一是可以引誘更多用戶上鉤，二是可以讓交易行為看起來更自然。

二、NFT 風險

NFT 合約成為新的風險聚集區

除了 Token 以外，NFT 也存在各種安全風險。根據 GoPlus NFT 檢測到的數據統計，眾多NFT在合約層面都存在一定的安全隱患。截至12月30日，NFT 合約隱患主要有以下幾類：

三、惡意地址風險

2022年各類釣魚、詐騙事件層出不窮，相關的惡意地址也顯著增多。

根據 GoPlus 針對 EVM公鏈的惡意地址統計顯示，暗網交易、釣魚詐騙、混幣服務、貔貅相關地址成為主要的惡意行為。

四、授權合約風險

當前授權合約騙局不斷，很多詐騙項目方通過授權合約獲取用戶資產的操縱權，從而騙取用戶資產。

授權合約的幾種常見風險

五、dApp風險

dApp風險是一個非常龐大的話題，其中涉及了太多類型的風險，非常複雜。在這裡重點關注dApp的主要合約是否存在惡意行為，以及目前dApp的審計情況。

根據GoPlus dApp安全信息數據顯示，GoPlus目前收錄了市面上主要dApp總數超過6000個。在這6000+dApp中，可以查到公開審計報告的僅有925個，約占收錄總數的15.3%；並且主要合約中存在未開源情況的dApp達到949，約占15.7%；而其主要合約或合約創建者有惡意行為的dApp也有67個，約占1.1%。