撰文:Mitchell Amador
编译:深潮 TechFlow
截至目前,尚无人能准确估算链上黑客攻击的预期损失,这实在令人遗憾。不过,我们可以通过对过去几年的黑客攻击进行统计分析来得出一个估计!我分析了 2021 年至 2023 年的黑客攻击,以得出链上黑客攻击真实成本的代表性估计。我们称之为 Amador 的黑客影响估计。
Amador 的黑客影响估计:如果你的协议被黑客攻击,你预计应该损失约 1600 万美元,你的代币价格将下跌 52% 的市值,低迷的代币价格预计将持续至少 6 个月(而且可能更长),并且恢复需要耗费 3 个月的时间和精力。
如果你的产品是一个平台(无论是 L1/L2 区块链还是金融基础协议),预计你的协议及其依赖项会被摧毁,正如 Terra-Luna 等前车之鉴所示。
我们将这些发现汇总在这里。去看看吧!当它们可用时,我们将在那里添加更多统计数据和数据点。
到目前为止,没人真正知道。但可以通过分析历史黑客来发现预测性估计。在这篇文章中,我们将回顾过去几年的历史数据,以对跨影响类别的典型未来黑客攻击(不仅仅是被盗资金)。从这里,我们将创建一个启发式的方法来估算你喜欢的协议的典型黑客攻击成本,我称之为 Amador 的黑客影响估计。
令人震惊的是,尽管在过去三年中加密行业遭受了数百次黑客攻击,但我们今天却没有良好的黑客影响估计。对此,我们必须归咎于衡量黑客攻击真实影响的困难。
实际上,净盗窃价值(即广泛使用的标准数据)严重低估了造成的损害。它忽略了黑客攻击造成的其他所有损害方式,其中许多造成的财务损失甚至超过黑客攻击本身,尽管这些损害方式更难以量化。对于非安全从业者来说,最不被认可的总黑客损害的贡献因素包括:
换句话说,典型的黑客攻击造成的损害远超被盗资金所能表明的程度!
本文的其余部分将描述在典型黑客攻击情况下评估每种影响类型的估计,通过查看历史中位数,或者在数据不可用时,根据我的第一手经验进行估计。
数据显示,2021 年发生了 107 起黑客攻击,2022 年发生了 134 起,2023 年发生了 247 起,总计 488 起公开已知的黑客攻击(2021-2023 年)。
x 轴:年份,y 轴:黑客攻击数量
这些黑客攻击在 2021 年影响了2,334,863,067 美元,2022 年影响了3,773,906,837 美元,在 2023 年影响了1,699,632,321 美元,2021-2023 年影响的资金总计为7,808,402,225 美元。
x 轴:年份,y 轴:被盗资金金额(美元)
为了明确,影响资金是指被黑客攻击、盗取或以其他方式损失的资金,但不包括白帽黑客和调查人员归还或追回的资金。
根据这些数据,对 2021 到 2023 年数据集进行一些简单的数学计算,得出以下见解:
估计市场影响一直是一项历史挑战。Immunefi 制作了第一份此类报告,它回顾了 2022 年黑客攻击及其对 2022 年 63 次黑客攻击样本的影响。该样本显示,黑客攻击后 2 天基础代币价格平均下跌 13%,黑客攻击后 5 天平均下跌 19.5%。
为了丰富我们的回顾,我们决定用尽可能多的 2021 年、2022 年和 2023 年的黑客攻击数据来更新这个数据集。我们将引用中位数价格变动。考虑到可能出现的极端异常情况,扩展的数据集使得中位数成为更可预测的估计。
新的数据集涵盖了 176 起黑客攻击。结果相当令人震惊:
从黑客攻击当天到攻击后两天到六个月的代币价格中位数下跌情况:
数据表明,黑客攻击后中位数价格下跌和长期价格抑制的情况如下:
在中位数之外,观察最严重的案例,结果更为惊人。黑客攻击后三个月,32% 的攻击案例中代币价格下跌超过 50%,11% 的案例下跌超过 90%。黑客攻击后六个月,35% 的被攻击项目持续经历超过 50% 的价格下跌,16% 的项目下跌超过 90%。
黑客攻击后 6 个月的价格变动分布。历史数据表明,黑客攻击后代币价格遭受强烈且持续的压制。
这展示了黑客影响的幂律分布,表明单一的严重黑客攻击可能是致命的。此外,它还显示,黑客影响会随着时间的推移而加剧,在攻击后至少六个月内对市场产生持续影响。
市场影响可能在一年时继续加剧,但由于我们的数据集仅涵盖三年的黑客攻击,我们需要等到 2024 年的数据完全汇总后才能验证这一假设。
需要注意的是:我们不能 100% 确定这种影响是由黑客攻击引起的。许多因素可能对代币价格施加下行压力,包括一些我们在本研究中可能未意识到的因素。最明显的混淆因素是代币价格与宏观市场条件之间的相关性。然而,这些数据如此严重和显著,似乎主要源于黑客攻击,因此我们采取这样的立场。
综合所有数据,我们预计典型的黑客攻击将在前五天对其代币价格造成约 -19% 的中位市场影响,并在接下来的六个月内加剧至 -53%(可能会无限期持续),并且有 16% 的可能性这种损害超过项目市值的 90%。
黑客攻击后六个月的价格变化分布显示,77.8% 的被攻击项目在六个月后经历了持续的价格抑制。
显然,市场影响可能非常可怕!
一旦你意识到大多数代币项目将其流动代币用作财库和增长燃料,你就能理解为什么安全从业者如此重视市场影响。即使黑客攻击没有对你造成直接损害,过大的市场影响也可能同样致命。
有一种主要的未被充分认识的黑客影响,我们称之为依赖影响,或偶尔称之为二次影响。它描述了由初始黑客攻击引发的损害级联。以下是这种影响的一些例子:
依赖影响的典型例子是 Terra-Luna 的崩溃。对稳定币协议股权代币的金融攻击导致稳定币脱钩,形成了一个无法恢复的下行螺旋。Terra-Luna 的崩溃不仅摧毁了 400 亿美元的 Luna 股权,还摧毁了 10 亿美元的未偿还 UST Terra 稳定币,以及所有与 Terra-Luna 相关的去中心化金融(DeFi)价值,例如 Anchor Protocol 的 15 亿美元股权价值,以及无数其他基于 Terra 的协议。对 Terra 生态系统的伤害几乎是完全的;今天 Terra 生态系统的价值下跌了 99%,基本上已不复存在。
我和一些同事正在积极研究,以了解依赖影响的真实发生情况。鉴于这项研究正在进行中,我们不会通过将典型的依赖影响纳入我们的黑客影响规则来得出过早的结论。当研究完成后,我们将在此分享我们的发现并更新这篇文章。初步来看,依赖影响似乎远比通常理解的要严重得多。
人才和组织影响通常有两种形式:人才流失和运营或程序变更。
人才影响涉及黑客攻击后人员的流失,这可能是由于被认为的过错或无能、对新安全人才的需求,或者因黑客事件而导致的士气低落。无论如何,黑客项目失去以前的安全领导者并不少见。
问题进一步复杂化的是,黑客事件使得招聘新安全领导者变得更加困难,因为这表明组织的弱点。
第二种形式是由于黑客攻击而进行的意外的运营或程序投资(几乎总是与安全相关的)。虽然这些投资是积极的,但它们会分散宝贵的注意力,从而减缓核心产品的进展。
在这里量化影响是具有挑战性的,但我确实有一些与多个项目进行战情室合作的第一手经验,将根据这些经验进行估算。
根据我的经验,黑客攻击后通常会失去之前的安全领导。这可能是首席信息安全官(CISO)、安全工程师,甚至是担任安全角色的工程领导者。他们的离职可以是双方同意的,因为在自己负责的情况下经历黑客攻击是非常令人沮丧的事件,或者是出于某种原因被解雇。我认为,他们也往往会被过早解雇,因为组织需要 1.5 到 4 个月的时间来招聘有效的安全替代者。这对被攻击项目来说意味着时间的损失。
黑客攻击往往会使团队陷入一种震惊状态,这种状态远远超出黑客事件本身。组织会投入至少两周的时间进行损害评估和控制,以及两到三个月的补救安全工作(这突然成为每个人待办事项清单上最重要的事情),这将导致核心产品路线图的优先级降低。
上述示例中的数字是较为积极的结果。人才影响可能更为严重,因为它会影响项目的财务续航能力,正如 Kyberswap 的例子所示:在 2023 年 11 月,KyberSwap 遭遇了 4900 万美元的攻击。可以理解的是,他们希望补偿用户,但为此,团队不得不裁减 50% 的员工以维持公司的运营,并暂停其流动性协议计划和 KyberAI 项目。Kyber提供给黑客的 10% 赏金最终并没有帮助。
将这些影响因素计算成简单的影响计算是不可行的,因此我们只能总结这些独特的影响,并保持原样:如果你被黑客攻击,预计会花费 3 个月进行补救安全工作,失去 3 个月的核心产品路线图和目标的进展,失去现任安全领导,并在 3 个月后找到替代者。这就像是 3 个月的努力消失在空气中。这对任何初创公司来说都是相当大的损害,尽管通常不是致命的。
将所有信息汇总后,我们现在有了进行估算所需的数据。让我们按量化损害和严重性进行总结:
1. 平均黑客攻击在被利用时影响约 1600 万美元。
2. 中位数黑客攻击导致基础代币市场资本化在 6 个月内剧烈下跌 52%。79% 的被攻击项目在 6 个月后继续经历价格抑制,而这种由黑客引起的市场影响的最终持续时间未知,可能是无限的。
3. 中位数黑客攻击不会造成财务或平台性质的依赖影响,但当这种影响发生时,往往是绝对灾难性的,风险是依赖于基础平台的资产完全毁灭。在具有依赖影响的严重错误报告中,典型的潜在影响高达该平台上可提取价值的总和!
4. 虽然更难以估算,但中位数黑客攻击应导致大约 3 个月的时间和精力损失,包括补救安全工作、失去的路线图时间、团队流失和替换、现任安全领导者的损失,以及在确保你再也不被黑客攻击方面的极大焦虑。
我们现在拥有了一切所需的信息,以创建一个简单的规则来评估链上黑客攻击的真实成本。如果你的协议被黑客攻击:
1. 预计被盗价值约为 16,000,824 美元。
2. 预计你的代币市场资本化将下跌 52%,这种价格抑制将持续至少 6 个月,并且可能无法从这种价格抑制中恢复(77.8% 的被攻击代币在 6 个月后显示出持续的价格抑制)。
3. 预计在恢复和重建过程中损失 3 个月的时间和精力。
一个与上述估算相符的现实示例是 Indexed Finance 的黑客攻击,2021 年 10 月 14 日被盗 1600 万美元。当时代币市场资本化为 1100 万美元,6 个月后降至 380 万美元,显示出黑客攻击后的持续价格抑制。团队从这一事件中未能完全恢复,Indexed Finance 到 2022 年中基本上已不复存在。因此,我们对黑客影响的估算似乎有效地预测了黑客攻击的影响。
如果你的产品是一个平台(无论是 L1/L2 区块链还是金融原语协议),并且你被黑客攻击,典型的黑客攻击严重性特征就是绝对致命:你的协议及其依赖者面临完全被消灭的风险。
这是十分令人恐惧的事情。
被黑客攻击是损害的起点,而不是终点。由于黑客攻击而损失的数百万美元,意味着更大的损失,这些损失源于市场影响和依赖影响,同时还包括重建你那受到情绪打击的团队和运营所花费的数月时间。这并不好玩。
除了投资于链上安全和逐步提升我们整个行业的安全性外,没有其他解决方案可以应对这些问题。
在这些措施中,漏洞赏金是最有效的方式,已被证明能够大规模防止黑客攻击及其影响。我对漏洞赏金在显著防止数百亿美元黑客攻击方面的影响进行了快速回顾,你可以在我的《Immunefi 回顾》中阅读更多内容。
但更进一步,我们需要更多、更好的代码审查,来自更多优秀的黑客,制定更好的安全标准,以及开发更多先进的自动化安全技术。只有在整个技术栈上进行强化,才能有效防止黑客攻击。