2021-2023 加密黑客損害全研究：不止被盜，3 成項目半年後代幣也會下跌 50%

2024-08-28 00:08:17

撰文： Mitchell Amador

編譯：深潮 TechFlow

摘要

截至目前，尚無人能准確估算鏈上黑客攻擊的預期損失，這實在令人遺憾。不過，我們可以通過對過去幾年的黑客攻擊進行統計分析來得出一個估計！我分析了 2021 年至 2023 年的黑客攻擊，以得出鏈上黑客攻擊真實成本的代表性估計。我們稱之為 Amador 的黑客影響估計。

Amador 的黑客影響估計：如果你的協議被黑客攻擊，你預計應該損失約 1600 萬美元，你的代幣價格將下跌 52% 的市值，低迷的代幣價格預計將持續至少 6 個月（而且可能更長），並且恢復需要耗費 3 個月的時間和精力。

如果你的產品是一個平臺（無論是 L1/L2 區塊鏈還是金融基礎協議），預計你的協議及其依賴項會被摧毀，正如 Terra-Luna 等前車之鑑所示。

我們將這些發現匯總在這裏。去看看吧！當它們可用時，我們將在那裏添加更多統計數據和數據點。

鏈上黑客攻擊的真實損失到底有多高？

到目前為止，沒人真正知道。但可以通過分析歷史黑客來發現預測性估計。在這篇文章中，我們將回顧過去幾年的歷史數據，以對跨影響類別的典型未來黑客攻擊（不僅僅是被盜資金）。從這裏，我們將創建一個啓發式的方法來估算你喜歡的協議的典型黑客攻擊成本，我稱之為 Amador 的黑客影響估計。

令人震驚的是，盡管在過去三年中加密行業遭受了數百次黑客攻擊，但我們今天卻沒有良好的黑客影響估計。對此，我們必須歸咎於衡量黑客攻擊真實影響的困難。

實際上，淨盜竊價值（即廣泛使用的標准數據）嚴重低估了造成的損害。它忽略了黑客攻擊造成的其他所有損害方式，其中許多造成的財務損失甚至超過黑客攻擊本身，盡管這些損害方式更難以量化。對於非安全從業者來說，最不被認可的總黑客損害的貢獻因素包括：

市場影響：市場影響是指黑客攻擊對公开交易的代幣（或假設的股權）價格造成的損害，這種損害可能持續很長時間。這種影響遠不如立即被黑客攻擊的價值那么為人所知，且大多數安全從業者對其重要性仍然低估。
依賴影響：依賴影響是指源自原始黑客攻擊的二次效應，對其他資產造成損害。有三大類依賴影響：平臺依賴、金融依賴和聲譽影響。區塊鏈本身受到黑客攻擊，以至於損害了在該區塊鏈上構建的所有資產 / 合同，就是一個平臺依賴影響的例子。Luna 價格的下跌摧毀了 Terra 穩定幣的價值，是金融依賴影響的一個很好的例子（盡管它並不是大多數 DeFi 黑客攻擊的那種黑客攻擊）。平臺的安全性缺乏（例如 BNB Chain）導致用戶增長和採用下降，這是聲譽影響的一個例子。
人才和組織影響：這裏的損害難以量化，通常表現為由於黑客攻擊後的響應和恢復而導致的時間、金錢和人才的損失。考慮到一次黑客攻擊及其恢復可能消耗小型初創團隊幾個月的工作，組織影響本身總是代價高昂，有時甚至是致命的。除了最具預防准備的組織外，所有組織在黑客攻擊後都必須應對這種影響。

換句話說，典型的黑客攻擊造成的損害遠超被盜資金所能表明的程度！

本文的其余部分將描述在典型黑客攻擊情況下評估每種影響類型的估計，通過查看歷史中位數，或者在數據不可用時，根據我的第一手經驗進行估計。

資金被盜的影響

數據顯示，2021 年發生了 107 起黑客攻擊，2022 年發生了 134 起，2023 年發生了 247 起，總計 488 起公开已知的黑客攻擊（2021-2023 年）。

x 軸：年份，y 軸：黑客攻擊數量

這些黑客攻擊在 2021 年影響了2,334,863,067 美元，2022 年影響了3,773,906,837 美元，在 2023 年影響了1,699,632,321 美元，2021-2023 年影響的資金總計為7,808,402,225 美元。

x 軸：年份，y 軸：被盜資金金額（美元）

為了明確，影響資金是指被黑客攻擊、盜取或以其他方式損失的資金，但不包括白帽黑客和調查人員歸還或追回的資金。

根據這些數據，對 2021 到 2023 年數據集進行一些簡單的數學計算，得出以下見解：

平均每次黑客攻擊導致被盜資金為 16,000,824 美元。
中位數黑客攻擊導致被盜資金為 1,000,000 美元。
黑客攻擊呈現冪律分布；許多黑客攻擊規模較小，但當發生大規模攻擊時，其損失是中位數攻擊的百倍以上。

市場影響

估計市場影響一直是一項歷史挑战。Immunefi 制作了第一份此類報告，它回顧了 2022 年黑客攻擊及其對 2022 年 63 次黑客攻擊樣本的影響。該樣本顯示，黑客攻擊後 2 天基礎代幣價格平均下跌 13%，黑客攻擊後 5 天平均下跌 19.5%。

為了豐富我們的回顧，我們決定用盡可能多的 2021 年、2022 年和 2023 年的黑客攻擊數據來更新這個數據集。我們將引用中位數價格變動。考慮到可能出現的極端異常情況，擴展的數據集使得中位數成為更可預測的估計。

新的數據集涵蓋了 176 起黑客攻擊。結果相當令人震驚：

從黑客攻擊當天到攻擊後兩天到六個月的代幣價格中位數下跌情況：

數據表明，黑客攻擊後中位數價格下跌和長期價格抑制的情況如下：

黑客攻擊後兩天下跌 10%，
黑客攻擊後五天下跌 19%，
黑客攻擊後一個月下跌 27%，
黑客攻擊後三個月下跌 43%，
黑客攻擊後六個月下跌 53%。

在中位數之外，觀察最嚴重的案例，結果更為驚人。黑客攻擊後三個月，32% 的攻擊案例中代幣價格下跌超過 50%，11% 的案例下跌超過 90%。黑客攻擊後六個月，35% 的被攻擊項目持續經歷超過 50% 的價格下跌，16% 的項目下跌超過 90%。

黑客攻擊後 6 個月的價格變動分布。歷史數據表明，黑客攻擊後代幣價格遭受強烈且持續的壓制。

這展示了黑客影響的冪律分布，表明單一的嚴重黑客攻擊可能是致命的。此外，它還顯示，黑客影響會隨着時間的推移而加劇，在攻擊後至少六個月內對市場產生持續影響。

市場影響可能在一年時繼續加劇，但由於我們的數據集僅涵蓋三年的黑客攻擊，我們需要等到 2024 年的數據完全匯總後才能驗證這一假設。

需要注意的是：我們不能 100% 確定這種影響是由黑客攻擊引起的。許多因素可能對代幣價格施加下行壓力，包括一些我們在本研究中可能未意識到的因素。最明顯的混淆因素是代幣價格與宏觀市場條件之間的相關性。然而，這些數據如此嚴重和顯著，似乎主要源於黑客攻擊，因此我們採取這樣的立場。

綜合所有數據，我們預計典型的黑客攻擊將在前五天對其代幣價格造成約 -19% 的中位市場影響，並在接下來的六個月內加劇至 -53%（可能會無限期持續），並且有 16% 的可能性這種損害超過項目市值的 90%。

黑客攻擊後六個月的價格變化分布顯示，77.8% 的被攻擊項目在六個月後經歷了持續的價格抑制。

顯然，市場影響可能非常可怕！

一旦你意識到大多數代幣項目將其流動代幣用作財庫和增長燃料，你就能理解為什么安全從業者如此重視市場影響。即使黑客攻擊沒有對你造成直接損害，過大的市場影響也可能同樣致命。

依賴影響（或二次影響）

有一種主要的未被充分認識的黑客影響，我們稱之為依賴影響，或偶爾稱之為二次影響。它描述了由初始黑客攻擊引發的損害級聯。以下是這種影響的一些例子：

平臺依賴影響是指基礎平臺宕機（例如在區塊鏈的拒絕服務攻擊中，這會影響在受影響平臺上運行的貨幣市場或永續市場）所造成的損害，這可能對在該平臺上運行的所有應用程序造成破壞。盡管這種情況很常見（加密領域有無數平臺），但鏈上和鏈下經濟之間的有限聯系使得這種影響的發生頻率到目前為止有限，而區塊鏈技術本身已經證明具有顯著的韌性。隨着鏈上和鏈下經濟的連接，我們應該預期這種影響會變得更加普遍和嚴重。
金融依賴影響是指黑客攻擊對依賴資產造成的二次影響。具有金融依賴風險的資產包括穩定幣（如 MakerDAO、CDP 清算）、流動質押代幣（如 LIDO、Rocketpool 等）、衍生品協議（如 Pendle）以及幾乎所有在流動性池中配對的代幣。金融依賴影響是最難評估的類別之一，因為它可能很容易被忽視；幾乎任何涉及代幣盜竊的黑客攻擊都將直接或間接地導致對其他代幣的依賴。

依賴影響的典型例子是 Terra-Luna 的崩潰。對穩定幣協議股權代幣的金融攻擊導致穩定幣脫鉤，形成了一個無法恢復的下行螺旋。Terra-Luna 的崩潰不僅摧毀了 400 億美元的 Luna 股權，還摧毀了 10 億美元的未償還 UST Terra 穩定幣，以及所有與 Terra-Luna 相關的去中心化金融（DeFi）價值，例如 Anchor Protocol 的 15 億美元股權價值，以及無數其他基於 Terra 的協議。對 Terra 生態系統的傷害幾乎是完全的；今天 Terra 生態系統的價值下跌了 99%，基本上已不復存在。

我和一些同事正在積極研究，以了解依賴影響的真實發生情況。鑑於這項研究正在進行中，我們不會通過將典型的依賴影響納入我們的黑客影響規則來得出過早的結論。當研究完成後，我們將在此分享我們的發現並更新這篇文章。初步來看，依賴影響似乎遠比通常理解的要嚴重得多。

人才和組織影響

人才和組織影響通常有兩種形式：人才流失和運營或程序變更。

人才影響涉及黑客攻擊後人員的流失，這可能是由於被認為的過錯或無能、對新安全人才的需求，或者因黑客事件而導致的士氣低落。無論如何，黑客項目失去以前的安全領導者並不少見。

問題進一步復雜化的是，黑客事件使得招聘新安全領導者變得更加困難，因為這表明組織的弱點。

第二種形式是由於黑客攻擊而進行的意外的運營或程序投資（幾乎總是與安全相關的）。雖然這些投資是積極的，但它們會分散寶貴的注意力，從而減緩核心產品的進展。

在這裏量化影響是具有挑战性的，但我確實有一些與多個項目進行战情室合作的第一手經驗，將根據這些經驗進行估算。

根據我的經驗，黑客攻擊後通常會失去之前的安全領導。這可能是首席信息安全官（CISO）、安全工程師，甚至是擔任安全角色的工程領導者。他們的離職可以是雙方同意的，因為在自己負責的情況下經歷黑客攻擊是非常令人沮喪的事件，或者是出於某種原因被解僱。我認為，他們也往往會被過早解僱，因為組織需要 1.5 到 4 個月的時間來招聘有效的安全替代者。這對被攻擊項目來說意味着時間的損失。

黑客攻擊往往會使團隊陷入一種震驚狀態，這種狀態遠遠超出黑客事件本身。組織會投入至少兩周的時間進行損害評估和控制，以及兩到三個月的補救安全工作（這突然成為每個人待辦事項清單上最重要的事情），這將導致核心產品路线圖的優先級降低。

上述示例中的數字是較為積極的結果。人才影響可能更為嚴重，因為它會影響項目的財務續航能力，正如 Kyberswap 的例子所示：在 2023 年 11 月，KyberSwap 遭遇了 4900 萬美元的攻擊。可以理解的是，他們希望補償用戶，但為此，團隊不得不裁減 50% 的員工以維持公司的運營，並暫停其流動性協議計劃和 KyberAI 項目。Kyber提供給黑客的 10% 賞金最終並沒有幫助。

將這些影響因素計算成簡單的影響計算是不可行的，因此我們只能總結這些獨特的影響，並保持原樣：如果你被黑客攻擊，預計會花費 3 個月進行補救安全工作，失去 3 個月的核心產品路线圖和目標的進展，失去現任安全領導，並在 3 個月後找到替代者。這就像是 3 個月的努力消失在空氣中。這對任何初創公司來說都是相當大的損害，盡管通常不是致命的。

那么，黑客攻擊的成本究竟是多少呢？

將所有信息匯總後，我們現在有了進行估算所需的數據。讓我們按量化損害和嚴重性進行總結：

1. 平均黑客攻擊在被利用時影響約 1600 萬美元。

2. 中位數黑客攻擊導致基礎代幣市場資本化在 6 個月內劇烈下跌 52%。79% 的被攻擊項目在 6 個月後繼續經歷價格抑制，而這種由黑客引起的市場影響的最終持續時間未知，可能是無限的。

3. 中位數黑客攻擊不會造成財務或平臺性質的依賴影響，但當這種影響發生時，往往是絕對災難性的，風險是依賴於基礎平臺的資產完全毀滅。在具有依賴影響的嚴重錯誤報告中，典型的潛在影響高達該平臺上可提取價值的總和！

4. 雖然更難以估算，但中位數黑客攻擊應導致大約 3 個月的時間和精力損失，包括補救安全工作、失去的路线圖時間、團隊流失和替換、現任安全領導者的損失，以及在確保你再也不被黑客攻擊方面的極大焦慮。

我們現在擁有了一切所需的信息，以創建一個簡單的規則來評估鏈上黑客攻擊的真實成本。如果你的協議被黑客攻擊：

1. 預計被盜價值約為 16,000,824 美元。

2. 預計你的代幣市場資本化將下跌 52%，這種價格抑制將持續至少 6 個月，並且可能無法從這種價格抑制中恢復（77.8% 的被攻擊代幣在 6 個月後顯示出持續的價格抑制）。

3. 預計在恢復和重建過程中損失 3 個月的時間和精力。

一個與上述估算相符的現實示例是 Indexed Finance 的黑客攻擊，2021 年 10 月 14 日被盜 1600 萬美元。當時代幣市場資本化為 1100 萬美元，6 個月後降至 380 萬美元，顯示出黑客攻擊後的持續價格抑制。團隊從這一事件中未能完全恢復，Indexed Finance 到 2022 年中基本上已不復存在。因此，我們對黑客影響的估算似乎有效地預測了黑客攻擊的影響。

如果你的產品是一個平臺（無論是 L1/L2 區塊鏈還是金融原語協議），並且你被黑客攻擊，典型的黑客攻擊嚴重性特徵就是絕對致命：你的協議及其依賴者面臨完全被消滅的風險。

這是十分令人恐懼的事情。