2024 Blockchain安全與反洗錢年度報告

2025年1月03日 19:11

一、概述

2024年，Blockchain行業(yè)在安全與創(chuàng)新的交鋒中前行。在這個背景下，本報告回顧了2024年Blockchain行業(yè)關鍵監(jiān)管合規(guī)政策及反*洗*錢動態(tài)，總結了2024年Blockchain安全事件并對典型欺詐手法進行了梳理。此外，我們還邀請了Web3反詐騙平臺ScamSniffer撰寫關于釣魚WalletDrainers的內(nèi)容，同時，我們對朝鮮黑客的*洗*錢手法和獲利情況進行了分析和統(tǒng)計。我們期望這份報告為讀者提供有益的信息，幫助從業(yè)者和用戶更全面地了解Blockchain安全現(xiàn)狀及解決方案，為促進Blockchain生態(tài)的安全發(fā)展貢獻一份力量。二、Blockchain安全態(tài)勢

根據(jù)慢霧Blockchain被黑事件檔案庫(SlowMistHacked)統(tǒng)計，2024年共發(fā)生安全事件410起，損失高達20.13億美元。對比2023年（共464件，損失約24.86億美元），損失同比下降19.02%。

注：本報告數(shù)據(jù)基于事件發(fā)生時的Tokens價格，由于幣價波動和部分未公開事件的損失未納入統(tǒng)計等因素，實際損失應高于統(tǒng)計結果。

從事件原因來看，合約漏洞導致的安全事件最多，達99件，導致?lián)p失約2.14億美元。其次為賬號被黑導致的安全事件。

RugPull

RugPull是一種*騙*局，其本質是惡意項目方造勢吸引用戶投資，等到時機成熟便“拉毯子”，卷款跑路。根據(jù)慢霧Blockchain被黑事件檔案庫(SlowMistHacked)統(tǒng)計，2024年RugPull事件高達58起，導致?lián)p失約1.06億美元。其中，zkSync生態(tài)損失最高，達3,695萬美元，BSC生態(tài)發(fā)生了最多的跑路事件，達28起。

隨著Meme幣熱潮的到來，許多用戶在投機和FOMO情緒驅使下，忽視了潛在風險。一些發(fā)幣方甚至無需向用戶描繪愿景或提供白皮書，僅憑一個概念或口號，便能炒作出熱度吸引用戶購買Tokens。低廉的作惡成本導致跑路事件層出不窮。用戶資金被惡意項目方Rug后，往往面臨漫長且困難的追回過程。對此，慢霧安全團隊建議用戶在參與項目之前，充分了解項目的背景和團隊信息，謹慎選擇投資項目，以規(guī)避潛在風險。

釣魚

注：本小節(jié)專注分析EVM兼容鏈上的WalletDrainer攻擊，由ScamSniffer傾情撰寫，在此表示感謝。

WalletDrainer是一種部署在釣魚網(wǎng)站上，通過誘導用戶簽署惡意交易來盜取加密資產(chǎn)的攻擊方式。2024年，此類攻擊造成約4.94億美元損失，同比增長67%。雖然受害者數(shù)量僅增長3.7%（達到33.2萬地址），但單次攻擊損失顯著增加，最大單筆被盜金額達5,548萬美元。

Pink退出（5月底）：市占28%，份額被Inferno吸收。

Angel接管Inferno（10月底）：Angel份額下降，Inferno維持40-45%市占。

2.市場格局演變

Q1-Q2：三大主導（Angel：42%，Pink：28%，Inferno：22%）

Q3：雙頭競爭（Inferno：43%，Angel：25%）

Q4：新格局（Inferno及Angel：45%，Acedrainer：20%，其他新Drainer：25%）

截至2024年，基于釣魚簽名的已知損失達7.9億美元。盡管下半年此類攻擊有所減少，但這可能預示著攻擊者正在轉向其他攻擊方式，如惡意軟件等更具隱蔽性的手段。隨著Web3生態(tài)的發(fā)展，保護用戶資產(chǎn)安全的挑戰(zhàn)依然存在。無論攻擊方式如何變化，持續(xù)的安全意識和防護能力建設始終是保護資產(chǎn)安全的關鍵。

欺詐

此節(jié)選取我們于2024年披露的部分欺詐手法：

1. Mining詐騙

2. 套利詐騙

3. 空投詐騙

4.盜X行騙

5. 貔貅盤

6. 惡意木馬三、反*洗*錢態(tài)勢

本節(jié)分為反*洗*錢及監(jiān)管動態(tài)、反*洗*錢數(shù)據(jù)、朝鮮黑客、混幣工具四部分。

反*洗*錢及監(jiān)管動態(tài)

2024年，Crypto的監(jiān)管環(huán)境發(fā)生了重大發(fā)展，其中最突出的是歐盟實施了MiCA法規(guī)，美國推進了穩(wěn)定幣立法。執(zhí)法方面，今年世界各地出臺了更為嚴格的措施來打擊*非*法活動，穩(wěn)定幣監(jiān)管、跨境加密政策和針對加密領域主要參與者的執(zhí)法行動取得了顯著進展，具體政策及執(zhí)法行動見文末的PDF。

反*洗*錢數(shù)據(jù)

1.資金凍結數(shù)據(jù)

在InMist情報網(wǎng)絡合作伙伴的大力支持下，2024年度慢霧(SlowMist)協(xié)助客戶、合作伙伴及公開被黑事件凍結資金共計超過1.12億美元。

2024年Tether凍結了約5.4億美元的USDT；2024年Circle凍結了約1,336萬美元的USDC。

混幣工具

1.TornadoCash

3.Railgun

Railgun已實施私人無罪證明(PPOI)，利用零知識證明確保用戶能夠在不損害隱私的情況下驗證其資金與*非*法活動無關。這項創(chuàng)新在隱私和合規(guī)性之間取得了關鍵的平衡，使惡意行為者更難利用該平臺*洗*錢。四、總結

2024年，Blockchain行業(yè)在持續(xù)創(chuàng)新和變革的浪潮中面臨新的機遇與挑戰(zhàn)；種種安全事件和反*洗*錢動態(tài)為我們提供了深刻的警示，也促使我們更加重視行業(yè)規(guī)范與技術保障；通過對2024年Blockchain安全事件和*洗*錢案例的分析，我們希望能夠喚起各方對行業(yè)安全的重視。

未來，隨著監(jiān)管框架逐步完善以及技術手段的不斷升級，我們有理由相信，Blockchain行業(yè)將朝著更加安全、透明和合規(guī)的方向邁進。希望這份報告能為讀者提供有價值的信息，幫助讀者更全面地了解Blockchain行業(yè)的安全和反*洗*錢現(xiàn)狀，也期待我們共同努力，為建設一個更加安全、穩(wěn)定和可信的Blockchain生態(tài)貢獻力量。五、免責聲明

本報告內(nèi)容基于我們對Blockchain行業(yè)的理解、慢霧Blockchain被黑檔案庫SlowMistHacked以及反*洗*錢追蹤系統(tǒng)MistTrack的數(shù)據(jù)支持。但由于Blockchain的“匿名”特性，我們在此并不能保證所有數(shù)據(jù)的絕對準確性，也不能對其中的錯誤、疏漏或使用本報告引起的損失承擔責任。同時，本報告不構成任何投資建議或其他分析的根據(jù)。本報告中若有疏漏和不足之處，歡迎大家批評指正。導讀到此，完整版本的鏈接如下，也可直接點擊閱讀原文跳轉，歡迎閱讀并分享:)

中文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(CN).pdf

英文：https://www.slowmist.com/report/2024-Blockchain-Security-and-AML-Annual-Report(EN).pdf