2022年区块链安全白皮书 指导单位﹕中国信息协会区块链专业委员会二零二三年一月十三日 SAFEIS安全研究院介绍 SAFEIS安全研究院是集技术创新、产品研发、行业分析、政策研究、人才培养于一体的区块链研究机构,研究方向包括但不限于区块链技术升级、产业融合应用等安全问题。研究院聚焦于为全球区块链技术的迭代与落地贡献力量,致力于区块链人才体系构建,旨在成为业内标杆。 SAFEIS安全研究院专家智库秉持开放包容、多元互鉴的原则,内部团队由全球头部互联网公司的技术专家、曾就职于公检法系统的业务精英组成,在不断强化专家团队的同时,还大力吸引全球范围内人才的加入,共同维护区块链安全生态。 2022年区块链安全白皮书 SAFEIS安全研究院 指导单位 中国信息协会区块链专业委员会 二零二三年一月十三日 目录 Catalogue 1.1各国纷纷推进区块链发展5 01区块链为各行业发展带来新机遇 1.2区块链技术逐步在不同产业落地应用9 1.3区块链产业应用的安全问题13 02 区块链安全的技术体系 2.1区块链技术安全机制16 2.2区块链生态安全应用18 03 2022年区块链安全风险及解决方案 3.1代码漏洞风险21 3.2预言机风险23 3.3合约风险25 3.4中心化风险27 3.5应用风险30 3.6协议风险31 3.7算法风险33 04 2023年区块链行业面临的问题与发展展望 4.1区块链技术本身存在诸多待解决的问题35 4.2行业将在2023年面临严峻的中心化风险36 4.3行业发展下对安全的新需求将催生安全新范式37 4.4区块链安全急需「标准化」建设38 附录1:2022年区块链安全大事记39 附录2:2022年各领域区块链技术典型应用59 前言 Preface 2022年注定被人类铭记:新冠疫情反复、俄乌冲突爆发、多国持续加息、通货膨胀高企、极端气候频现、英国政坛动荡。全球经济受多重因素冲击步履蹒跚,区块链亦在宏观经济的阴影下跌撞前行:Terra生态崩塌、FTX交易所破产等历史性黑天鹅接力出现,引发币市长熊;俄乌冲突、极端气候引发加密矿业能源危机。 虽然跌跌撞撞,但区块链仍在努力前行:区块链高频进入包括中国在内、诸多国家的规划文件;香港接棒新加坡,剑指区块链全球新中心;区块链技术应用大范围落地,赋能多个行业;以太坊进入PoS新时代;投资热度不减,助力区块链发展。 事物的发展是螺旋式上升,在发展过程中遇到挫折是必然的,区块链不止一次遭遇至暗时刻,但都战胜挑战,迎来新高峰。SAFEIS相信科技的力量,区块链技术有着改变世界的潜力﹐必将迈向下一个春天。 2022年5-6月,加密货币的日均交易量近乎腰斩,下半年在震荡中处于低位。 进入区块链行业的风险投资金额2021年为291亿美元,而2022年仅前三季度已达到 282亿美金。极为接近2021全年水平。根据前三季度数据,可以合理推测,即使经历了「至暗时刻」,2022年的区块链行业风险投资总额依旧超过2021年。 数据来源:coinmarketcap 140 124.57 105 105.03 95.7 7066.41 80.49 62.17 38.9 35 7.258.356.996.897.16.299.5410.03 0 1Q193Q191Q203Q201Q213Q211Q223Q22 数据来源:theBlockResearch 近年来,区块链技术已经广泛应用于金融、供应链、医疗、数字身份等多种领域,不过,这些领域对安全的探索还相对空白。而在区块链技术不断发展的背后,是过去一年业内安全事故频发,用户资产屡屡受损。区块链安全已经成为一个急需解决的问题。 SAFEIS安全研究院统计了2022年区块链领域安全事件,涉事金额超过10万美元事件 的多达204起。其中,漏洞攻击事件59起,RugPull事件54起,闪电贷攻击事件21起, 涉虚拟币案件18起,数据泄露攻击事件14起,钓鱼攻击事件10起,加密骗局事件8起,前 端攻击事件5起,价格操纵攻击事件4起,预言机攻击事件3起,套利攻击事件3起,重大 崩盘事件2起,治理攻击事件2起,病毒攻击事件1起。 2022年,安全事件涉事总金额超过753亿美元,其中,重大崩盘事件超过600亿美元, 涉虚拟币案件约112亿美元,漏洞攻击事件约24亿美元,数据泄露攻击事件约8亿美元,加 密骗局事件约3.4亿美元,闪电贷攻击事件约2.6亿美元,价格操纵攻击事件约1.3亿美元, RugPull事件约7684万美元,预言机攻击事件约3736万美元,套利攻击事件约1015万美 元,钓鱼攻击事件约1110万美元,前端攻击事件约495万美元,治理攻击事件约220万美元, 安全事件类型占比 病毒攻击事件约120万美元。 59(29.21%)漏洞攻击 59(26.47%)RugPull 21(10.29%)闪电贷攻击 18(8.82%) 涉虚拟币案件 14(6.86%) 数据泄露攻击 10(4.9%)钓鱼攻击 8(3.92%)加密骗局 5(2.45%)前端攻击 4(1.96%)价格操纵攻击 3(1.47%) 预言机攻击 3(1.47%)套利攻击 2(0.98%)重大崩盘 2(0.98%)治理攻击 1(0.49%) 病毒攻击 安全事件资金分布 120000010000008000006000004000002000000 漏洞攻击 RugPull 闪电贷攻击 设虚拟币案件 数据泄露攻击 钓鱼攻击 加密骗局 前端攻击 价格操纵攻击 预言机攻击 套利攻击 治理攻击 病毒攻击 *因重大崩盘事件涉及资金占比超年度累计资金的79%,为避免影响数据统计直观效果,表格内并未将其统计在内 区块链安全涉及到许多前沿技术、概念,如:加密算法、数字签名等。行业每年会发布大量相关白皮书、报告,对区块链技术、加密货币以及应用生态,都有精彩的讨论,但SAFEIS注意到,目前缺少针对区块链安全本身的科普与年度总结。 为了让大众更全面地了解区块链安全的全球最新进展,并更好地保护自身财产安全,SAFEIS决定撰写本白皮书,希望能对新手用户和资深从业者,都有所帮助。本白皮书旨在介绍区块链安全的基本概念和技术,探讨区块链安全面临的最新挑战,介绍常见解决方案,并展望2023年区块链行业的发展方向与可能面临的问题。 本白皮书由SAFEIS安全研究院团队撰写,数据来自SAFEIS独家数据和市场研究机构,并由研究院整理。内容和观点来自研究人员分析,如有不当之处,欢迎业界予以指正。 01 区块链为各行业发展带来新机遇 4 1.1各国纷纷推进区块链发展 区块链是一种按照时间顺序连接数据区块的链式数据结构,并以密码学方式保证不可篡改、不可伪造。近年来,随着区块链技术不断发展,区块链技术的应用范围也在不断扩展,并促成2022年区块链技术应用落地爆发。同时,多个国家和地区纷纷对区块链推出积极政策(详情请见下表)。 中国大陆:对区块链技术与产业应用的结合给出了积极信号,「区块链」一词多次出现在国务院以及高级别单位的文件指导中,「区块链」与「大数据」、「元宇宙」等技术被寄予厚望,承担起助力产业增长的重任。值得注意的是,北京和上海都在启动数字资产交易平台。 美国:作为最早发展区块链、对区块链以及加密货币自由度最高的国家之一,法律法规趋向于理性,在尝试平衡区块链行业的监管与自由市场。 欧洲:在2022年10月里程碑式地通过了法案《加密资产市场监管(MiCA)》,这个法案将适用于整个欧盟并超越成员国立法,欧盟将在区块链领域作为一个相对统一的市场,合规成本将大大降低。 新加坡和中国香港:加密货币「避风港」新加坡开始转弯,在前期默许行业「野蛮」生长后,开始跟进监管,相关人士表示「新加坡也必须向外界展示,当局对风险的注重和把控」。而过去几年「迷失」又动荡的中国香港重整旗鼓,抢滩区块链行业,全面拥抱加密货币,颇有和新加坡竞争「加密货币金融中心」的地位之意。2022年10月,香港特区政府在金融科技周的第一天发表《有关虚拟资产发展政策宣言》,表示对全球从事虚拟资产业务的创新人员持开放和兼融的态度,并明确提出「乐意联系全球虚拟资产业界,邀请有关交易所在香港开拓商机」。 发布国家 发布机构 文件名称 主要内容 中国 工信部 《“十四五”信息通信行业发展规划》 建设区块链基础设施,通过加强区块链基础设施建设增强区块链的服务和赋能能力,更好地发挥区块链作为基础设施的作用和功能,为技术和产业变革提供创新动力。 中国 中央网信办 《国家区块链创新应用试点名单》 通知指出,要加强组织领导。各地区省级网信办和行业主管监管部门要高度重视国家区块链创新应用试点工作,加强对本地区试点工作的组织协调、政策资金支持、工作指导和推进落实。 中国 工信部 《组织开展2022年区块链典型应用案例征集工作的通知》 为加速推动区块链技术应用落地,促进区块链和经济社会发展深度融合,现面向全国征集区块链典型应用案例。 中国 国务院 《扎实稳住经济一揽子政策措施的通知》 鼓励平台企业加快人工智能、云计算、区块链、操作系统、处理器等领域技术研发突破。 中国 国务院 《关于加快建设全国统一大市场的意见》 强化标准验证、实施、监督,健全现代流通、大数据、人工智能、区块链、第五代移动通信(5G)、物联网、储能等领域标准体系。 中国 工业和信息化部、中央网信办 《关于加快推动区块链技术应用和产业发展的指导意见》 明确到2025年,区块链产业综合实力达到世界先进水平,产业初具规模。区块链应用渗透到经济社会多个领域,在产品溯源、数据流通、供应链管理等领域培育一批知名产品,形成场景化示范应用。 中国 工信部 《“十四五”信息通信行业发展规划》 建设区块链基础设施,通过加强区块链基础设施建设增强区块链的服务和赋能能力,更好地发挥区块链作为基础设施的作用和功能,为技术和产业变革提供创新动力。 中国 国务院 《国家标准化发展纲要》 强化标准在计量量子化、检验检测智能化、认证市场化、认可全球化中的作用,通过人工智能、大数据、区块链等新一代信息技术的综合应用,完善质量治理,促进质量提升。 中国 全国人大 《“十四五”规划和2035年远景目标纲要》 加快推动数字产业化,培育壮大人工智能、大数据、区块链、云计算、网络安全等新兴数字产业,提升通信设备、核心电子元器件、关键软件等产业水平。 中国 上海市政府 《上海市培育“元宇宙”新赛道行动方案(2022—2025年)》 在上海数据交易所试点开设数字资产交易板块,培育健全数字资产要素市场,逐步完善数字资产、数字艺术品、数字影视版权等合规交易机制。 中国香港 财经事务及库务局 《有关虚拟资产发展政策宣言》 表达出了前所未有的开放和欢迎的态度,“对全球从事虚拟资产业务的创新人员抱持开放和兼融的态度。特区政府正与金融监管机构缔造便利的环境,以促进香港虚拟资产行业得以可持续和负责任地发展。”推出一系列试验计划,包括为2022年香港金融科技周发行非同质化代币(NFT)、绿色债券代币化及数码港元;将考虑向个人开放虚拟资产交易;加紧制定虚拟资产服务提供者发牌制度,虚拟资产交易所有望在香港建立广泛的分销渠道,拥抱香港庞大的金融市场。 发布国家 发布机构 文件名称 主要内容 美国 白宫 《关于确保数字资产负责任创新的行政命令》 美国有史以来第一个整体政府措施来应对风险和利用数字资产及其基础技术所带来的潜在利益。该命令制定了涵盖六个关键优先事项的数字资产国家政策:消费者和投资者保护、金融稳定、非法融资、美国在全球金融体系和经济竞争力方面的领导地位、金融包容性和负责任的创新。 美国 白宫 《加密货币行业监管框架草案》 该框架遵循数字资产行政命令,动用了美国证券交易委员会和商品期货交易委员会等现有监管机构的力量,还规定通过G7、G20、反洗钱金融行动特别工作组(FATF)和金融稳定委员会(FSB)扩大美国与其合作伙伴之间的合作。 美国 共和党、民主党 《负责任的金融