撰文:
编译:深潮 TechFlow
摘要
截至目前,尚无人能准确估算链上黑客攻击的预期损失,这实在令人遗憾。不过,我们可以通过对过去几年的黑客攻击进行统计分析来得出一个估计!我分析了 2021 年至 2023 年的黑客攻击,以得出链上黑客攻击真实成本的代表性估计。我们称之为 Amador 的黑客影响估计。
Amador 的黑客影响估计:如果你的协议被黑客攻击,你预计应该损失约 1600 万美元,你的代币价格将下跌 52% 的市值,低迷的代币价格预计将持续至少 6 个月(而且可能更长),并且恢复需要耗费 3 个月的时间和精力。
如果你的产品是一个平台(无论是 L1/L2 区块链还是金融基础协议),预计你的协议及其依赖项会被摧毁,正如 Terra-Luna 等前车之鉴所示。
我们将这些发现汇总在这里。去看看吧!当它们可用时,我们将在那里添加更多统计数据和数据点。
链上黑客攻击的真实损失到底有多高?
到目前为止,没人真正知道。但可以通过分析历史黑客来发现预测性估计。在这篇文章中,我们将回顾过去几年的历史数据,以对跨影响类别的典型未来黑客攻击(不仅仅是被盗资金)。从这里,我们将创建一个启发式的方法来估算你喜欢的协议的典型黑客攻击成本,我称之为 Amador 的黑客影响估计。
令人震惊的是,尽管在过去三年中加密行业遭受了数百次黑客攻击,但我们今天却没有良好的黑客影响估计。对此,我们必须归咎于衡量黑客攻击真实影响的困难。
实际上,净盗窃价值(即广泛使用的标准数据)严重低估了造成的损害。它忽略了黑客攻击造成的其他所有损害方式,其中许多造成的财务损失甚至超过黑客攻击本身,尽管这些损害方式更难以量化。对于非安全从业者来说,最不被认可的总黑客损害的贡献因素包括:
- 市场影响:市场影响是指黑客攻击对公开交易的代币(或假设的股权)价格造成的损害,这种损害可能持续很长时间。这种影响远不如立即被黑客攻击的价值那么为人所知,且大多数安全从业者对其重要性仍然低估。
- 依赖影响:依赖影响是指源自原始黑客攻击的二次效应,对其他资产造成损害。有三大类依赖影响:平台依赖、金融依赖和声誉影响。区块链本身受到黑客攻击,以至于损害了在该区块链上构建的所有资产 / 合同,就是一个平台依赖影响的例子。Luna 价格的下跌摧毁了 Terra 稳定币的价值,是金融依赖影响的一个很好的例子(尽管它并不是大多数 DeFi 黑客攻击的那种黑客攻击)。平台的安全性缺乏(例如 BNB Chain)导致用户增长和采用下降,这是声誉影响的一个例子。
- 人才和组织影响:这里的损害难以量化,通常表现为由于黑客攻击后的响应和恢复而导致的时间、金钱和人才的损失。考虑到一次黑客攻击及其恢复可能消耗小型初创团队几个月的工作,组织影响本身总是代价高昂,有时甚至是致命的。除了最具预防准备的组织外,所有组织在黑客攻击后都必须应对这种影响。
换句话说,典型的黑客攻击造成的损害远超被盗资金所能表明的程度!
本文的其余部分将描述在典型黑客攻击情况下评估每种影响类型的估计,通过查看历史中位数,或者在数据不可用时,根据我的第一手经验进行估计。
资金被盗的影响
数据显示,2021 年发生了 107 起黑客攻击,2022 年发生了 134 起,2023 年发生了 247 起,总计 488 起公开已知的黑客攻击(2021-2023 年)。
x 轴:年份,y 轴:黑客攻击数量
这些黑客攻击在 2021 年影响了2,334,863,067 美元,2022 年影响了3,773,906,837 美元,在 2023 年影响了1,699,632,321 美元,2021-2023 年影响的资金总计为7,808,402,225 美元。
x 轴:年份,y 轴:被盗资金金额(美元)
为了明确,影响资金是指被黑客攻击、盗取或以其他方式损失的资金,但不包括白帽黑客和调查人员归还或追回的资金。
根据这些数据,对 2021 到 2023 年数据集进行一些简单的数学计算,得出以下见解:
- 平均每次黑客攻击导致被盗资金为 16,000,824 美元。
- 中位数黑客攻击导致被盗资金为 1,000,000 美元。
- 黑客攻击呈现幂律分布;许多黑客攻击规模较小,但当发生大规模攻击时,其损失是中位数攻击的百倍以上。
市场影响
估计市场影响一直是一项历史挑战。Immunefi 制作了第一份此类报告,它回顾了 2022 年黑客攻击及其对 2022 年 63 次黑客攻击样本的影响。该样本显示,黑客攻击后 2 天基础代币价格平均下跌 13%,黑客攻击后 5 天平均下跌 19.5%。
为了丰富我们的回顾,我们决定用尽可能多的 2021 年、2022 年和 2023 年的黑客攻击数据来更新这个数据集。我们将引用中位数价格变动。考虑到可能出现的极端异常情况,扩展的数据集使得中位数成为更可预测的估计。
新的数据集涵盖了 176 起黑客攻击。结果相当令人震惊:
从黑客攻击当天到攻击后两天到六个月的代币价格中位数下跌情况:
数据表明,黑客攻击后中位数价格下跌和长期价格抑制的情况如下:
- 黑客攻击后两天下跌 10%,
- 黑客攻击后五天下跌 19%,
- 黑客攻击后一个月下跌 27%,
- 黑客攻击后三个月下跌 43%,
- 黑客攻击后六个月下跌 53%。
在中位数之外,观察最严重的案例,结果更为惊人。黑客攻击后三个月,32% 的攻击案例中代币价格下跌超过 50%,11% 的案例下跌超过 90%。黑客攻击后六个月,35% 的被攻击项目持续经历超过 50% 的价格下跌,16% 的项目下跌超过 90%。
黑客攻击后 6 个月的价格变动分布。历史数据表明,黑客攻击后代币价格遭受强烈且持续的压制。
这展示了黑客影响的幂律分布,表明单一的严重黑客攻击可能是致命的。此外,它还显示,黑客影响会随着时间的推移而加剧,在攻击后至少六个月内对市场产生持续影响。
市场影响可能在一年时继续加剧,但由于我们的数据集仅涵盖三年的黑客攻击,我们需要等到 2024 年的数据完全汇总后才能验证这一假设。
需要注意的是:我们不能 100% 确定这种影响是由黑客攻击引起的。许多因素可能对代币价格施加下行压力,包括一些我们在本研究中可能未意识到的因素。最明显的混淆因素是代币价格与宏观市场条件之间的相关性。然而,这些数据如此严重和显著,似乎主要源于黑客攻击,因此我们采取这样的立场。
综合所有数据,我们预计典型的黑客攻击将在前五天对其代币价格造成约 -19% 的中位市场影响,并在接下来的六个月内加剧至 -53%(可能会无限期持续),并且有 16% 的可能性这种损害超过项目市值的 90%。
黑客攻击后六个月的价格变化分布显示,77.8% 的被攻击项目在六个月后经历了持续的价格抑制。
显然,市场影响可能非常可怕!
一旦你意识到大多数代币项目将其流动代币用作财库和增长燃料,你就能理解为什么安全从业者如此重视市场影响。即使黑客攻击没有对你造成直接损害,过大的市场影响也可能同样致命。
依赖影响(或二次影响)
有一种主要的未被充分认识的黑客影响,我们称之为依赖影响,或偶尔称之为二次影响。它描述了由初始黑客攻击引发的损害级联。以下是这种影响的一些例子:
- 平台依赖影响是指基础平台宕机(例如在区块链的拒绝服务攻击中,这会影响在受影响平台上运行的货币市场或永续市场)所造成的损害,这可能对在该平台上运行的所有应用程序造成破坏。尽管这种情况很常见(加密领域有无数平台),但链上和链下经济之间的有限联系使得这种影响的发生频率到目前为止有限,而区块链技术本身已经证明具有显著的韧性。随着链上和链下经济的连接,我们应该预期这种影响会变得更加普遍和严重。
- 金融依赖影响是指黑客攻击对依赖资产造成的二次影响。具有金融依赖风险的资产包括稳定币(如 MakerDAO、CDP 清算)、流动质押代币(如 LIDO、Rocketpool 等)、衍生品协议(如 Pendle)以及几乎所有在流动性池中配对的代币。金融依赖影响是最难评估的类别之一,因为它可能很容易被忽视;几乎任何涉及代币盗窃的黑客攻击都将直接或间接地导致对其他代币的依赖。
依赖影响的典型例子是 Terra-Luna 的崩溃。对稳定币协议股权代币的金融攻击导致稳定币脱钩,形成了一个无法恢复的下行螺旋。Terra-Luna 的崩溃不仅摧毁了 400 亿美元的 Luna 股权,还摧毁了 10 亿美元的未偿还 UST Terra 稳定币,以及所有与 Terra-Luna 相关的去中心化金融(DeFi)价值,例如 Anchor Protocol 的 15 亿美元股权价值,以及无数其他基于 Terra 的协议。对 Terra 生态系统的伤害几乎是完全的;今天 Terra 生态系统的价值下跌了 99%,基本上已不复存在。
我和一些同事正在积极研究,以了解依赖影响的真实发生情况。鉴于这项研究正在进行中,我们不会通过将典型的依赖影响纳入我们的黑客影响规则来得出过早的结论。当研究完成后,我们将在此分享我们的发现并更新这篇文章。初步来看,依赖影响似乎远比通常理解的要严重得多。
人才和组织影响
人才和组织影响通常有两种形式:人才流失和运营或程序变更。
人才影响涉及黑客攻击后人员的流失,这可能是由于被认为的过错或无能、对新安全人才的需求,或者因黑客事件而导致的士气低落。无论如何,黑客项目失去以前的安全领导者并不少见。
问题进一步复杂化的是,黑客事件使得招聘新安全领导者变得更加困难,因为这表明组织的弱点。
第二种形式是由于黑客攻击而进行的意外的运营或程序投资(几乎总是与安全相关的)。虽然这些投资是积极的,但它们会分散宝贵的注意力,从而减缓核心产品的进展。
在这里量化影响是具有挑战性的,但我确实有一些与多个项目进行战情室合作的第一手经验,将根据这些经验进行估算。
根据我的经验,黑客攻击后通常会失去之前的安全领导。这可能是首席信息安全官(CISO)、安全工程师,甚至是担任安全角色的工程领导者。他们的离职可以是双方同意的,因为在自己负责的情况下经历黑客攻击是非常令人沮丧的事件,或者是出于某种原因被解雇。我认为,他们也往往会被过早解雇,因为组织需要 1.5 到 4 个月的时间来招聘有效的安全替代者。这对被攻击项目来说意味着时间的损失。
黑客攻击往往会使团队陷入一种震惊状态,这种状态远远超出黑客事件本身。组织会投入至少两周的时间进行损害评估和控制,以及两到三个月的补救安全工作(这突然成为每个人待办事项清单上最重要的事情),这将导致核心产品路线图的优先级降低。
上述示例中的数字是较为积极的结果。人才影响可能更为严重,因为它会影响项目的财务续航能力,正如 Kyberswap 的例子所示:在 2023 年 11 月,KyberSwap 遭遇了 4900 万美元的攻击。可以理解的是,他们希望补偿用户,但为此,团队不得不裁减 50% 的员工以维持公司的运营,并暂停其流动性协议计划和 KyberAI 项目。Kyber提供给黑客的 10% 赏金最终并没有帮助。
将这些影响因素计算成简单的影响计算是不可行的,因此我们只能总结这些独特的影响,并保持原样:如果你被黑客攻击,预计会花费 3 个月进行补救安全工作,失去 3 个月的核心产品路线图和目标的进展,失去现任安全领导,并在 3 个月后找到替代者。这就像是 3 个月的努力消失在空气中。这对任何初创公司来说都是相当大的损害,尽管通常不是致命的。
那么,黑客攻击的成本究竟是多少呢?
将所有信息汇总后,我们现在有了进行估算所需的数据。让我们按量化损害和严重性进行总结:
1. 平均黑客攻击在被利用时影响约 1600 万美元。
2. 中位数黑客攻击导致基础代币市场资本化在 6 个月内剧烈下跌 52%。79% 的被攻击项目在 6 个月后继续经历价格抑制,而这种由黑客引起的市场影响的最终持续时间未知,可能是无限的。
3. 中位数黑客攻击不会造成财务或平台性质的依赖影响,但当这种影响发生时,往往是绝对灾难性的,风险是依赖于基础平台的资产完全毁灭。在具有依赖影响的严重错误报告中,典型的潜在影响高达该平台上可提取价值的总和!
4. 虽然更难以估算,但中位数黑客攻击应导致大约 3 个月的时间和精力损失,包括补救安全工作、失去的路线图时间、团队流失和替换、现任安全领导者的损失,以及在确保你再也不被黑客攻击方面的极大焦虑。
我们现在拥有了一切所需的信息,以创建一个简单的规则来评估链上黑客攻击的真实成本。如果你的协议被黑客攻击:
1. 预计被盗价值约为 16,000,824 美元。
2. 预计你的代币市场资本化将下跌 52%,这种价格抑制将持续至少 6 个月,并且可能无法从这种价格抑制中恢复(77.8% 的被攻击代币在 6 个月后显示出持续的价格抑制)。
3. 预计在恢复和重建过程中损失 3 个月的时间和精力。
一个与上述估算相符的现实示例是 Indexed Finance 的黑客攻击,2021 年 10 月 14 日被盗 1600 万美元。当时代币市场资本化为 1100 万美元,6 个月后降至 380 万美元,显示出黑客攻击后的持续价格抑制。团队从这一事件中未能完全恢复,Indexed Finance 到 2022 年中基本上已不复存在。因此,我们对黑客影响的估算似乎有效地预测了黑客攻击的影响。
如果你的产品是一个平台(无论是 L1/L2 区块链还是金融原语协议),并且你被黑客攻击,典型的黑客攻击严重性特征就是绝对致命:你的协议及其依赖者面临完全被消灭的风险。
这是十分令人恐惧的事情。
结论思考
被黑客攻击是损害的起点,而不是终点。由于黑客攻击而损失的数百万美元,意味着更大的损失,这些损失源于市场影响和依赖影响,同时还包括重建你那受到情绪打击的团队和运营所花费的数月时间。这并不好玩。
除了投资于链上安全和逐步提升我们整个行业的安全性外,没有其他解决方案可以应对这些问题。
在这些措施中,漏洞赏金是最有效的方式,已被证明能够大规模防止黑客攻击及其影响。我对漏洞赏金在显著防止数百亿美元黑客攻击方面的影响进行了快速回顾,你可以在我的《Immunefi 回顾》中阅读更多内容。
但更进一步,我们需要更多、更好的代码审查,来自更多优秀的黑客,制定更好的安全标准,以及开发更多先进的自动化安全技术。只有在整个技术栈上进行强化,才能有效防止黑客攻击。