速覽 2024 區塊鏈安全與反洗錢年度報告

這裏

2024 年，區塊鏈行業在安全與創新的交鋒中前行。在這個背景下，本報告回顧了 2024 年區塊鏈行業關鍵監管合規政策及反洗錢動態，總結了 2024 年區塊鏈安全事件並對典型欺詐手法進行了梳理。此外，我們還邀請了 Web3 反詐騙平臺 ScamSniffer 撰寫關於釣魚 Wallet Drainers 的內容，同時，我們對朝鮮黑客的洗錢手法和獲利情況進行了分析和統計。我們期望這份報告為讀者提供有益的信息，幫助從業者和用戶更全面地了解區塊鏈安全現狀及解決方案，為促進區塊鏈生態的安全發展貢獻一份力量。

根據慢霧區塊鏈被黑事件檔案庫 (SlowMist Hacked) 統計，2024 年共發生安全事件 410 起，損失高達 20.13 億美元。對比 2023 年（共 464 件，損失約 24.86 億美元），損失同比下降 19.02%。

注：本報告數據基於事件發生時的代幣價格，由於幣價波動和部分未公开事件的損失未納入統計等因素，實際損失應高於統計結果。

從項目賽道來看，DeFi 仍然是最常受到攻擊的領域。2024 年 DeFi 安全事件共 339 件，佔總安全事件數的 82.68%，損失高達 10.29 億美元，對比 2023 年（共 282 件，損失約 7.73 億美元），損失同比上升 33.12%。

從生態來看，Ethereum 損失最高，達 4.65 億美元。其次是 BSC，達 8,735 萬美元。

從事件原因來看，合約漏洞導致的安全事件最多，達 99 件，導致損失約 2.14 億美元。其次為账號被黑導致的安全事件。

此節選取了 2024 年損失 Top10 的安全攻擊事件。詳情見文末的 PDF 文件內容。

Rug Pull 是一種騙局，其本質是惡意項目方造勢吸引用戶投資，等到時機成熟便「拉毯子」，卷款跑路。根據慢霧區塊鏈被黑事件檔案庫 (SlowMist Hacked) 統計，2024 年 Rug Pull 事件高達 58 起，導致損失約 1.06 億美元。其中，zkSync 生態損失最高，達 3,695 萬美元，BSC 生態發生了最多的跑路事件，達 28 起。

隨着 Meme 幣熱潮的到來，許多用戶在投機和 FOMO 情緒驅使下，忽視了潛在風險。一些發幣方甚至無需向用戶描繪愿景或提供白皮書，僅憑一個概念或口號，便能炒作出熱度吸引用戶購买代幣。低廉的作惡成本導致跑路事件層出不窮。用戶資金被惡意項目方 Rug 後，往往面臨漫長且困難的追回過程。對此，慢霧安全團隊建議用戶在參與項目之前，充分了解項目的背景和團隊信息，謹慎選擇投資項目，以規避潛在風險。

注：本小節專注分析 EVM 兼容鏈上的 Wallet Drainer 攻擊，由 ScamSniffer 傾情撰寫，在此表示感謝。

Wallet Drainer 是一種部署在釣魚網站上，通過誘導用戶籤署惡意交易來盜取加密資產的攻擊方式。2024 年，此類攻擊造成約 4.94 億美元損失，同比增長 67%。雖然受害者數量僅增長 3.7%（達到 33.2 萬地址），但單次攻擊損失顯著增加，最大單筆被盜金額達 5,548 萬美元。

1. 重要節點

2. 市場格局演變

截至 2024 年，基於釣魚籤名的已知損失達 7.9 億美元。盡管下半年此類攻擊有所減少，但這可能預示着攻擊者正在轉向其他攻擊方式，如惡意軟件等更具隱蔽性的手段。隨着 Web3 生態的發展，保護用戶資產安全的挑战依然存在。無論攻擊方式如何變化，持續的安全意識和防護能力建設始終是保護資產安全的關鍵。

此節選取我們於 2024 年披露的部分欺詐手法：

1. 挖礦詐騙

2. 套利詐騙

3. 空投詐騙

4. 盜 X 行騙

5. 貔貅盤

6. 惡意木馬

本節分為反洗錢及監管動態、反洗錢數據、朝鮮黑客、混幣工具四部分。

2024 年，加密貨幣的監管環境發生了重大發展，其中最突出的是歐盟實施了 MiCA 法規，美國推進了穩定幣立法。執法方面，今年世界各地出臺了更為嚴格的措施來打擊非法活動，穩定幣監管、跨境加密政策和針對加密領域主要參與者的執法行動取得了顯著進展，具體政策及執法行動見文末的 PDF。

1. 資金凍結數據

2. 資金歸還數據

2024 年發生了 410 起安全事件，在遭受攻擊後能全部或部分收回損失資金的事件共有 24 起，根據已披露的數據，共計約 1.66 億美元被返還，佔總安全損失（約 20.13 億美元）的 8.25%。

2024 年，朝鮮黑客組織涉嫌多起網絡盜竊案，導致數億美元的加密貨幣被盜。以下是朝鮮黑客組織犯下的重要事件列表（數據來源 SlowMist Hacked）：

本節着重分析朝鮮黑客的攻擊手法，並以慢霧 (SlowMist) 跟進的 BingX 事件為例介紹朝鮮黑客的洗錢方法。

1. Tornado Cash

2. eXch

3. Railgun

Railgun 已實施私人無罪證明 (PPOI)，利用零知識證明確保用戶能夠在不損害隱私的情況下驗證其資金與非法活動無關。這項創新在隱私和合規性之間取得了關鍵的平衡，使惡意行為者更難利用該平臺洗錢。

2024 年，區塊鏈行業在持續創新和變革的浪潮中面臨新的機遇與挑战；種種安全事件和反洗錢動態為我們提供了深刻的警示，也促使我們更加重視行業規範與技術保障；通過對 2024 年區塊鏈安全事件和洗錢案例的分析，我們希望能夠喚起各方對行業安全的重視。

未來，隨着監管框架逐步完善以及技術手段的不斷升級，我們有理由相信，區塊鏈行業將朝着更加安全、透明和合規的方向邁進。希望這份報告能為讀者提供有價值的信息，幫助讀者更全面地了解區塊鏈行業的安全和反洗錢現狀，也期待我們共同努力，為建設一個更加安全、穩定和可信的區塊鏈生態貢獻力量。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播信息之目的，不構成任何投資建議，如有侵權行為，請第一時間聯絡我們修改或刪除，多謝。