數據圖表可在此處查閱:FootprintAnalytics:CryptoAnalysisDashboards2023第一季度Web3安全態勢綜述
2023年第一季度,據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺共監測到Web3領域主要攻擊事件61起,總損失金額約為2.95億美元,較2022年第4季度下降了約77%。2023年第一季度的總損失金額低于2022年的任何一個季度。除攻擊事件外,2023年第一季度還監測到主要RugPull事件41起,涉及金額約2034萬美元。
從月份來看,3月為攻擊事件頻發的一個月,總損失金額達到了2.35億美元,占第一季度總損失金額的79.7%。從被攻擊項目類型來看,DeFi為本季度被攻擊頻次最高、損失金額最多的項目類型。42次安全事件總損失金額達到了2.48億美元,占總損失金額的84%。從鏈平臺類型來看,80.8%的損失金額來自Ethereum,居所有鏈平臺的第一位。從攻擊手法來看,本季度損失金額最高的攻擊手法為閃電貸攻擊,8次閃電貸事件損失約1.98億美元;攻擊手法頻率最高的為合約漏洞利用,27次攻擊占所有事件數量的44%。從資金流向來看,本季度約有2億美元的被盜資產得以追回。本季度資金追回的情況優于2022年的任何一個季度。從審計情況來看,被攻擊的項目中,僅有41%的項目經過了審計。攻擊事件總覽
2023年第一季度,BeosinEagleEye安全風險監控、預警與阻斷平臺共監測到Web3領域主要攻擊事件61起,總損失金額約為2.95億美元。其中損失金額超過1億美元的安全事件共1起。損失1000萬美元-1億美元區間的事件2起,100萬美元-1000萬美元區間的事件17起。
Beosin:Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示,Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊,Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押,該函數會為攻擊者鑄造等量的LP-USDC,隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中,然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額,_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限,利用該返回值通過borrow函數鑄造了大量USP(獲利點),由于攻擊者自身存在利用LP-USDC借貸的大量債務(USP),那么在正常邏輯下是不應該能提取出質押品的,但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限)而沒有檢查用戶是否歸還債務的情況下,使攻擊者成功提取出了質押品(4400萬LP-USDC)。歸還4400萬USDC閃電貸后, 攻擊者還剩余41,794,533USP,隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]
從總體來看,第一季度攻擊事件損失金額呈現逐月增加的趨勢。3月為攻擊事件頻發的一個月,總損失金額達到了2.35億美元,占第一季度總損失金額的79.7%。被攻擊項目類型
區塊鏈智能標簽技術公司Beontag完成1.2億歐元債務融資:1月17日消息,區塊鏈智能標簽技術公司 Beontag 宣布通過其全資子公司 Tag Lux Sarl. 完成 1.2 億歐元債務融資,德意志銀行領投。Beontag 推出的智能標簽技術能讓 Web2 和 Web3 領域里的品牌商為客戶提供基于智能手機的售后服務和體驗,其智能標簽使消費者可以訪問詳細說明產品生命周期的鏈上數字證書,還可以讓消費者以轉售為目的轉讓所有權,其客戶包括 Alexander McQueen、Dolce & Gabbana 和 Bulgari 等奢侈品牌。[2023/1/17 11:16:52]
84%的損失金額來自DeFi類型
隨著長達數月的下行和多次黑天鵝事件清杠桿,加密市場觸底反彈。DeFi的TVL隨著幣價在一季度震蕩回升。
2023年第一季度,DeFi類型項目共發生42次安全事件,占總事件數量的68.9%。DeFi總損失金額達到了2.48億美元,占總損失金額的84%。DeFi為本季度被攻擊頻次最高、損失金額最多的項目類型。
NFT類型損失金額排名第二,主要來自于NFT釣魚事件。排名第三的類型為個人用戶,該類別均為釣魚攻擊。損失金額的第四位為錢包攻擊事件。從類型上來看,損失金額的第2-4位均和用戶安全緊密相關。2023年第一季度僅發生了1次跨鏈橋安全事件,損失金額為13萬美元。而在2022年,12次跨鏈橋安全事件共造成了約18.9億美元損失,居所有項目類型損失的第一位。在2022年跨鏈橋安全事件頻發后,跨鏈橋項目的安全性在本季度得到了較大的提升。
Beosin:EthTeamFinance項目遭受到了漏洞攻擊事件簡析:據Beosin EagleEye 安全預警與監控平臺檢測顯示,ETH鏈上的EthTeamFinance項目遭受漏洞攻擊,攻擊合約0xCFF07C4e6aa9E2fEc04DAaF5f41d1b10f3adAdF4通過LockToken合約的migrate函數沒有正確驗證_id和params的漏洞,將WTH,CAW,USDC,TSUKA代幣從V2流動性池非法升級到V3流動性池,并且通過sqrtPriceX96打亂V3流動池的Initialize的價格,從而獲取大量refund套利。共計套利了約1300多萬美元。[2022/10/27 11:49:12]
各鏈平臺損失金額情況
80.8%的損失金額來自Ethereum
2023年第一季度,Ethereum鏈上共發生主要攻擊事件17起,損失金額約為2.38億美元。Ethereum鏈上損失金額居所有鏈平臺的第一位,占比約80.8%。
BNBChain上監測到了最多的攻擊事件,達到了31起。其總損失為1948萬美元,排所有鏈平臺損失的第二位。損失排名第三的公鏈為Algorand,損失來自于MyAlgo錢包被盜事件。Algorand鏈在2022年沒有發生過主要安全事件。值得一提的是,2022年Solana鏈上損失金額排所有公鏈的第三位,而在本季度并未監測到主要攻擊事件。
攻擊手法分析
本季度損失金額最高的攻擊手法為閃電貸,8次閃電貸事件損失約1.98億美元,占所有損失金額的67%。
LLE智能合約已通過Beosin(成都鏈安)的安全審計:據官方消息,Beosin(成都鏈安)今日已完成LLE智能合約項目的安全審計服務。
獵豹金融生態系統(Leopard lending ecology)是在以太坊區塊鏈上的智能協議,以該協議為中心建立貨幣服務市場,服務市場是基于資產借貸需求,以計算得出利率。資產的供應商直接與協議進行交互,從而賺取浮動利率,而無需等待協商利率或抵押品等條款。
創始人Willians表示:我們LLE智能合約的整體設計清晰,邏輯縝密,代碼安全可靠,具備了區塊鏈上頂級去中心化金融項目條件之一。
合約地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;
審計報告編號:202009222010。[2020/9/24]
攻擊手法頻率最高的為合約漏洞利用,27次攻擊占所有事件數量的44%。合約漏洞共造成3905萬美元的損失,為所有攻擊類型損失金額的第二位。2023年第一季度,DeFi類型項目被攻擊了42次,其中有22次都源于合約漏洞利用。DeFi項目方需要尤其注重合約的安全性。按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯/函數設計不當、權限問題和重入。17次業務邏輯/函數設計不當漏洞共造成了2244萬美元的損失。
典型案例攻擊手法分析
1EulerFinance安全事件
事件概要3月13日,Ethereum鏈上的借貸項目EulerFinance遭到閃電貸攻擊,損失達到了1.97億美元。3月16日,Euler基金會懸賞100萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。3月17日,EulerLabs首席執行官MichaelBentley發推文表示,Euler“一直是一個安全意識強的項目”。從2021年5月至2022年9月,EulerFinance接受了Halborn、Solidified、ZKLabs、Certora、Sherlock和Omnisica等6家區塊鏈安全公司的10次審計。從3月18日開始至4月4日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己“攪亂了別人的錢,別人的工作,別人的生活”并請求大家的原諒。
聲音 | Beosin(成都鏈安)預警:某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現,今日上午 8:53:15開始,黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在,該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作,在收到安全公司的安全提醒之后第一時間排查項目安全性,才能及時止損,同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略,必要時可聯系第三方專業審計團隊,在上鏈前進行完善的代碼安全審計,防患于未然。[2019/4/3]
4月4日,EulerLabs在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。漏洞分析在本次攻擊中,Etoken合約的donateToReserves函數沒有正確檢查用戶實際持有的代幣數量和捐贈后用戶賬本的健康狀態。攻擊者利用這個漏洞,捐贈了1億個eDAI,而實際上攻擊者只質押了3000萬個DAI。由于捐贈后,用戶賬本的健康狀態符合清算條件,借貸合約被觸發清算。清算過程中,eDAI和dDAI會被轉移到清算合約。但是,由于壞賬額度非常大,清算合約會應用最大折扣進行清算。清算結束后,清算合約擁有310.93M個eDAI和259.31M個dDAI。此時,用戶賬本的健康狀態已恢復,用戶可以提取資金。可提取的金額是eDAI和dDAI的差值。但池子中實際上只有3890萬DAI,所以用戶只能提取這部分金額。
2BonqDAO安全事件
事件概要2月1日,加密協議BonqDAO遭到價格操控攻擊,攻擊者鑄造了1億個BEUR代幣,然后在Uniswap上將BEUR換成其他代幣,ALBT價格下降到幾乎為零,這進一步引發了ALBT寶庫的清算。按照黑客攻擊時的代幣價格,損失高達8800萬美元,但是由于流動性耗盡,事件實際損失在185萬美元左右。漏洞分析本次攻擊事件攻擊者共進行了兩種方式的攻擊,一種是控制價格大量借出代幣,另一種是控制價格清算他人財產從而獲利。BonqDAO平臺采用的預言機使用函數‘getCurrentValue’而不是‘getDataBefore’。黑客通過質押10個TRB代幣成為了價格報告者,并通過調用submitValue函數修改預言機中WALBT代幣的價格。價格設置完成之后,攻擊者調用Bonq合約的createTrove函數,創建trove合約,并向該合約中抵押了0.1個WALBT代幣進行借款操作。正常來說,借款額度應該是小于0.1個WALBT的價格,從而保證抵押率維持在一個安全的范圍,但是在本合約的借貸過程中,計算抵押物價值的方式是通過TellorFlex合約來進行實現的。而在上一步,攻擊者已經把WALBT價格拉得異常高,導致攻擊者在本次借款中,借出了1億枚BEUR代幣。攻擊者在第二筆交易中將WALBT價格設置得異常低,從而使用少量的成本將其他用戶所抵押的WALBT代幣清算出來。3PlatypusFinance安全事件
事件概要2月17日,Avalanche平臺的PlatypusFinance因函數檢查機制問題遭到攻擊,損失約850萬美元。然而攻擊者并沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。2月23日,Platypus表示,已經聯系了Binance并確認了黑客身份,并表示將至少向用戶償還63%的資金。2月26日,法國國家警察已經逮捕并傳喚了兩名攻擊Platypus的嫌疑人。漏洞分析攻擊原因是MasterPlatypusV4合約中的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP,而沒有檢查用戶是否歸還債務的情況。攻擊者首先通過AAVE合約閃電貸借出4400萬枚的USDC存入Pool合約中,然后mint了4400萬枚LP-USDC。接著攻擊者調用borrow函數借出了4179萬枚USP,下一步立馬調用了EmergencyWithdraw函數。
在EmergencyWithdraw函數中有一個isSolvent函數來驗證借貸的余額超過可借貸最大值,返回true就可以進入transfer操作,而沒有考慮驗證負債金額是否已經償還的情況。所以攻擊者可以在沒有償還債務的情況下直接調用成功提取出之前質押的4400萬枚LP-USDC。資金流向分析
2023年第一季度,約有$200,146,821的被盜資產得以追回,占所有被盜資產的67.8%。其中,EulerFinance被盜的1.97億美元資產已經全部被黑客返還。更多追回的例子包括:2月13日,攻擊dForce的黑客返還了全部盜取的365萬美元資金;3月7日,攻擊Tender.fi的白帽黑客返還了盜取資金并獲得了62ETH的賞金。本季度資金追回的情況優于2022年的任何一個季度。
BeosinKYT反洗錢分析平臺發現約有2313萬美元的資產轉入了TornadoCash,另外有254萬美元的資產轉入了其他混幣器。和去年相比,本季度轉入混幣器的被盜資金比例大幅度減少。事實上,從去年8月TornadoCash遭受制裁以來,轉入TornadoCash的被盜資金比例自2022年Q3開始就呈現持續下降趨勢。同時,BeosinKYT反洗錢分析平臺發現約有6002萬美元的資產還停留在黑客地址余額。還有約932萬美元的被盜資產轉入了各交易所。轉入交易所的事件大部分為涉及金額不高的攻擊事件,少部分為一些過了幾天才被公眾關注到的釣魚事件。由于關注度低或者關注延遲等原因,讓黑客有了將贓款轉入交易所的可乘之機。項目審計情況分析
2023年第一季度遭到攻擊的項目中,除開8個無法用是否審計衡量的事件,在剩下被攻擊的項目中,接受過審計的有28個,未接受審計的有25個。本季度共有27起合約漏洞利用導致的攻擊事件,其中審計過的項目有15個,未審計的有12個。整個市場審計質量依舊不容樂觀。建議項目方在選擇審計公司之前一定要多加比對,選擇專業的審計公司才能讓項目安全得到有效的保障。
RugPull分析
2023年第一季度,Web3領域共監測到主要RugPull事件41起,涉及金額約2034萬美元。從金額來看,6起RugPull事件金額在100萬美元之上,10萬至100萬美元區間的事件共12起,10萬美元以下的事件共23起。
41起RugPull事件中,有34個項目部署在BNBChain,占到了83%。為何眾多詐騙項目選擇BNBChain呢?原因可能有如下幾點:1)BNBChainGAS費用更低,出塊時間間隔也更短。2)BNBChain活躍用戶更多。詐騙項目會優先選擇活躍用戶多的公鏈。3)BNBChain的用戶使用Binance出入金更方便快捷。
2023Q1安全態勢總結
從總體上來看,2023年第一季度攻擊事件總損失金額低于2022年任何一個季度,資金追回情況也優于2022年所有季度。在黑客猖獗的2022年過去之后,Web3領域的總體安全性在這一季度得到了較大的提升。DeFi為本季度被攻擊頻次最高、損失金額最多的項目類型。DeFi領域共發生42次安全事件,其中22次都源自合約漏洞利用。如果尋找專業的安全公司進行審計,其中絕大部分漏洞都可以在審計階段被發現和進行修復。本季度用戶安全也是值得關注的重點。隨著本季度Blur帶領NFT市場重回火熱,隨之而來的NFT釣魚事件也大幅增加。仔細檢查每一個鏈接是否是官網、檢查簽名內容、完整檢查轉賬地址的正確性、從官方應用商店下載應用、安裝防釣魚插件--每一個環節都必須時刻保持警惕。本季度RugPull事件依舊頻發,其中56%的項目跑路金額在10萬美元以下。這類項目通常官網、推特、電報、Github等信息缺失,沒有Roadmap或白皮書,團隊成員信息可疑,項目上線到最后跑路周期不超過三個月。建議用戶多多對項目進行背景調查,避免資金遭受損失。關于Beosin
Beosin作為一家全球領先的區塊鏈安全公司,在全球10多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控、預警與阻斷、虛擬貨幣被盜資產追回、安全合規KYT/AML等“一站式”區塊鏈安全產品+服務,目前已為全球3000多個區塊鏈企業提供安全技術服務,審計智能合約超過3000份,保護客戶資產高達5000多億美元。
Tags:EOSSINANCNAN柚子幣eos最新真實消息SinergiaKittenFinanceFlare Finance
據Bitcoinist報道,被盜交易所Cryptopia清算人GrantThornton周三在其網站上發布聲明稱,Cryptopia沒有使用個人加密錢包.
1900/1/1 0:00:00Flashbots發布了Mev-Share,標志著這一賽道走入新紀元。MEV收入預計在牛市中將貢獻不少于70%的ETHStaking收入,這或許是下一個LSD級別的賽道.
1900/1/1 0:00:00由幣核集團Bluehelix和港盛科技聯合主辦,QuickMining、ULM、八維資本、想象力基金協辦業內首次的“區塊鏈說唱音樂節”將于本月10日在京隆重舉辦!幣核集團是全球領先的DeFi技術.
1900/1/1 0:00:00「每周編輯精選」是Odaily星球日報的一檔“功能性”欄目。星球日報在每周覆蓋大量即時資訊的基礎上,也會發布許多優質的深度分析內容,但它們也許會藏在信息流和熱點新聞中,與你擦肩而過.
1900/1/1 0:00:00這篇文章將闡述Starknet的2023年路線圖,并說明推動它的考慮因素。該路線圖側重于性能和用戶體驗。我們的目標是為社區提供所需的透明度,因此我們會盡早分享路線圖.
1900/1/1 0:00:00各位朋友,歡迎來到SignalPlus宏觀點評。SignalPlus宏觀點評每天為各位更新宏觀市場信息,并分享我們對宏觀趨勢的觀察和看法。歡迎追蹤訂閱,與我們一起關注最新的市場動態.
1900/1/1 0:00:00