行走笔记：派盾，数字货币反洗钱暨Defi行业安全报告（2021上半年）

科技是一把双刃剑，在区块链技术创新发展的同时，也伴随着背后一系列的违法犯罪以及重大的网络安全事件。链上的白帽和安全公司不断的与黑客进行斗智斗勇，而链下的警方也是重拳出击，打击违法犯罪活动，保护公民的合法财产及权益。

本篇笔记来自7月24日杭州世界区块链大会创新融合与区块链安全治理论坛。由区块链安全公司派盾创始人兼CEO蒋旭宪带来《数字货币反洗钱及Defi行业安全2021年上半年报告》。

以下，Enjoy：

有幸和大家分享一下我们的研究报告。报告的主题是《数字货币反洗钱及Defi行业安全2021年上半年报告》。这份报告是目前行业发展的现状。

如果我们回顾一下，过去六个月，数字货币行业的监管、合规是行业发展的基调。区块链行业也得到了快速的增长。从年初美国的合规交易所Coinbase的上市，到美国的支付公司Paypal，新加坡的星展银行都为各自的用户开放了和数字货币相关的服务。大家也应该知道最近各大公链的基础设施也在逐步完善。Defi这个行业从去年夏天一直火热到现在。今年年初开始NFT也频繁的出圈。这些都展现出行业在不停的向前发展。

但同时我们也要看到，国家也注意到了行业中不怎么健康的噪音。比如诈骗、虚拟货币的犯罪、洗钱之类的。也包括了年初开始的对挖矿行业的关停政策，也包括了对虚拟资产服务提供商明确提出了反洗钱以及融资相关的要求。

我们的报告是在这样的大背景下产生的。主要分为四个部分。

第一部分：未经监管的虚拟货币跨境流出现状

在介绍现状之前，我想先介绍一下我们研究的思路。我们把全球主流的各大虚拟货币交易所几十家，根据它们的注册地和经营地以及服务用户的范围，交易的币种和服务条款。我们大致将交易所划分为国内交易所和国外交易所。

国内的交易所包括大陆的，也包括香港的。通过分析和跟踪各大交易所虚拟货币的交易流向，我们可以大致算出未经监管的虚拟货币跨链流出的现状规模。

今年上半年以来，从国内交易所流到国外交易所的资金规模达到了283亿美元，和去年全年比较，数据还增长了62％。去年全年未经监管的跨链流出是165亿。其背后很大原因也是来自于币价的上升，尤其是BTC从去年的不到1万美元到现在3万多，包括其他虚拟货币的币价上涨。

因为我们主要分析的是各大交易所资金的流动情况。但现实生活中，因为合规要求，有不少的用户可能从从交易所内把自己的虚拟货币提到个人的钱包。这部分的数据并没有统计。所以我们的统计只能算是一个比较保守的统计，现实中可能还会更加严重。

另外我们也注意到，资金流向在今年5、6月国家监管加强以来，规模是逐步的下滑。同时从国内交易所流向国外交易所的时候，确实是从小的，合规层面不怎么符合要求的，慢慢转到大的，合规的交易所去。

我们还注意到，有些资产不仅流到了海外的交易所，更流向了新兴的行业，就是DeFI。相信大家也有不少是Defi的用户。

第二部分：Defi行业的安全现状

左边的图是在以太坊中，Defi的一个重要的指标—锁仓量。去年年底以太坊上Defi的总锁仓量才150亿美元左右，到今年的六月底、七月初，锁仓量大概达到了600亿美元。也不仅仅是以太坊这一条链。

今年2、3月份，币安智能链BSC，5、6月份起来的Polygon，包括火币Heco链，这些锁仓的总体规模已经超过了1000亿美元。如果和去年年底以太坊链上Defi的锁仓量规模做对比，近半年时间，数字至少翻了五、六倍。

但资产在锁仓规模很大的时候，我们也要注意到。我们追踪了每个月在链上发生安全事件的次数和损失的资产规模。这个数字是呈指数增长的。在2021年上半年，Defi上总共发生安全事件86起，总损失7.69亿美元。

这个数据和去年比，去年上半年因为安全事件导致的资产损失是3580万美元，同比增长超过了1000％。

这就说明，资产的流向也会很大程度上吸引那些所谓的黑客、攻击者的注意力。Defi协议是一种开放的、公开的、开源的协议。如果其中有安全隐患，就会让用户的资产遭受损失。

在今年之前，安全事件主要发生在以太坊。以太坊也算是第一条支持智能合约的公链。而今年上半年以来，安全事件同样在其他链上发生。在全部86件安全事件中，BSC上的就有34起，以太坊是28起，Polygon是11起。

安全事件的损失中，发生在以太坊上的有1.1亿美元，BSC上损失的资产金额达到了3.7亿美金，Polygon是最近几个月刚刚火起来的，因为安全事件导致的资产损失也达到了2.26亿美元。

去年年底开始，大家如果尝试过在以太坊上发交易，对交易费用会深有体会，价格是太贵了。以太坊上高昂的交易费用也就触发了交易所公链以及Layer 2侧链的发展。现在确实达到了多链并发的现状。每条链上的交易数，BSC和Polygon都超过了500、600万条。

也因为每条链，无论是以太坊的主链，交易所的公链还是Layer 2的侧链，如Polygon这种都有足够多的资产。比如以太坊上至少有600亿美元的锁仓，BSC上有200亿美元的锁仓，Polygon上至少有76亿美元的锁仓。这种锁仓条件下，用户自然就会有拿着资产去跨链的需求。

也是从今年开始，跨链的各种解决方案开始慢慢被提出。但从攻击者角度看，这些跨链的协议也为攻击者提供了很大的便利。

经过我们的分析，在BSC链上将近有一半的被盗资产是通过跨链协议转到别的公链上，再通过其他公链上的混币服务进行洗白的。这也算是在区块链行业发展过程中，给行业治理带来了很大的挑战。

第三部分：涉及虚拟货币重大安全事件概况

我们分析了今年上半年86起安全事件中主要的攻击手法。哪些攻击手段造成了最大的危害。发现攻击手段中最主要的还是跑路的机制。在生态发展的初始阶段，攻击者认为“跑路”的攻击手段是最直接、最简单也是最有效的。（币乎作者“吴说”前几天发表了一篇题为《Defi科学家精彩自述》的文章，记录了StableMagnet事件发生的全过程以及如何第一次联手链下英国警方的力量，收回资产抓获嫌疑人的。可以一读。这个项目就是典型的创立时协议设计就为跑路做好了一切准备——行走注）

第二种常见的攻击手段来自闪电贷。闪电贷算是区块链领域一种独特的攻击方式。攻击者会以很少的成本，获得巨大的资金，比如上亿，上十亿美元的资金。拿巨量的资金进行接待层面的攻击，在攻击结束后，再把闪电贷款还回去。这其中可以极大的放大攻击者的获利。

第三种是在Polygon上我们观察到所谓银行挤兑的方式，造成了极大的用户资产的损失。

虽然目前我们看到Defi安全方面的损失是很大的，整体通过Defi协议遭受的损失金额达到了7.5亿美金。但相比整体锁仓规模1000亿美金而言，损失的比例只有0.7％。

这么说不是想说损失的金额少，只是想说明Defi行业确实是在持续快速的发展，而且还在发展早期。我个人还是对行业抱有信心的。这也是行业成长必不可少的环节。

我们呈现这些数据，如此大的损失并不想给行业带来更多负面的消息。相反，我认为这些是非常健康的数据。

把重大安全事件汇总起来，和前几年相比，我们统计的今年上半年的重大安全事件一共有1375起，其中勒索软件事件1172起；黑客攻击143起，其中DeFI协议的黑客攻击是86起，其他还包括对交易所、钱包、浏览器的攻击；诈骗事件，金额比较大的有60起。

这些数据和去年同期相比，是急剧的上升。尤其是关于勒索软件，从去年下半年开始大为爆发。今年上半年造成了5000多万美金的损失，平均每天全球范围内有7起勒索软件的攻击。与去年同期比，有2585％的增长。

我们通过分析发现，大家可能也意识到了，虚拟货币或加密资产给勒索软件提供了很好的闭环，也触发了勒索软件的“商业模式”。以前的勒索软件是找不到很好的变现模式的。而加密货币给了勒索软件非常好的解决方案。

我们预期，未来很长一段时间，加密货币用于勒索软件的规模会越来越大。不论是攻击的次数还是受损失的规模都会越来越大。大家还是要有所注意和防范。这也是传统的网络安全公司需要去解决的问题。不仅要防止勒索软件从外部攻击、渗透或者劫持公司或个人的文件或数据，也需要和执法部门，和区块链安全公司合作，去追踪、打击使用加密货币进行勒索的软件方。我们最近也在分析勒索软件具体汇聚的地方。全球确实有那么几家，专门为勒索软件提供加密货币服务的商业模式。

基于黑客攻击，今年上半年的损失有超过12亿美元。有7.5亿美元左右是基于DEFI协议的安全攻击。和去年同期比较，包括数量和损失规模上，只有6％的稍微增长。这个数据是比较有意思的。如果大家反思一下，去年上半年，关于虚拟货币的安全事件，更多集中在交易所。中心化交易所有很大规模的资产，自然也引起了黑客攻击者的注意。

而去年下半年，今年上半年，很多用户的资产是转移到了去中心化的Defi协议上，那自然的攻击事件和损失就发生在Defi协议上。所以虽然整体规模和去年同期差不多，但背后攻击者的场景已经从中心化的交易所慢慢移到了去中心化的Defi协议上。

而目前虚拟货币最大的问题，依然来自于诈骗。早期在行业中，投资者和用户可能对行业不怎么熟悉，所谓的韭菜会不断的因为高额的回报被吸引进来。今年这方面的损失是130亿美元，因为监管方面的加强和措施落地，数量上确实比去年同期有了20％的下降，但损失规模确有了1000％以上的增长。其中就包括比较大的两起事件，一个是南非加密货币交易所的跑路，一个是韩国的加密货币交易所的跑路。

第四部分：趋势及总结

如果大家回看这份报告，希望大家能记得以下三点：

1、2021年上半年，未经监管的出境资产规模达到了283亿美元。最近强监管措施的出台，使得资产流出的规模有所下滑；

2、虚拟货币重大安全事件的损失在今年上半年达到了142.4亿美元，勒索损失增速2585％；

3、各大公链DEFI应用和协议井喷增长，但Defi安全事件也占到了黑客攻击的60％。我们认为，安全已经成为了各大公链生态维稳的基石。

以上是笔记的全部内容。

之前行走讲过，BTC站稳42000U一周，证明牛市回归。如今趋势已经确定，可能当下正是我们重新开始布局项目的时候，自然去介绍趋势、分析具体项目的文章会更吸引眼球。但行走希望用这些和“安全”相关的笔记作为牛市重启的开端。时刻有危机意识，时刻警钟长鸣，对于未来可能会出现的牛市和在牛市之中的我们都很重要。