以太坊交易所 以太坊交易所
Ctrl+D 以太坊交易所
ads

Beosin報告:2023年上半年Web3區塊鏈安全態勢分析_NBS:nbs幣最新消息

Author:

Time:1900/1/1 0:00:00

作者:Mario、Donny,Beosin 研究團隊

隨著全球數字化進程的不斷加速,區塊鏈技術作為一種新興的去中心化交易方式,正逐漸成為數字經濟的核心基礎設施之一。然而,隨著區塊鏈應用場景的不斷拓展,其面臨的安全風險也在逐步增加。在這樣一個背景下,了解 Web3 區塊鏈安全態勢及加密行業監管政策,成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司 Beosin 和 SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作,圍繞 2023 年上半年全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策等,進行深入分析和總結,旨在為讀者提供有價值的參考和啟示,助力區塊鏈技術的安全健康發展。

據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測,2023 年上半年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 6 億 5561 萬美元。其中攻擊事件 108 起,總損失金額約 4 億 7143 萬美元;釣魚詐騙總損失金額約 1.08 億美元;項目方 Rug Pull 事件 110 起,總損失約 7587 萬美元。

Web3 領域黑客攻擊事件的總損失金額較去年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元, 2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元。

從被攻擊項目類型來看,DeFi 依舊是被攻擊頻次最高、損失金額最多的類型。85 次 DeFi 安全事件總損失金額達到了 2.92 億美元,占總損失金額的 62% 。

從鏈平臺類型來看,75.6% 的損失金額來自 Ethereum,約 3.56 億美元,居所有鏈平臺的第一位。

從攻擊手法來看(按根本原因進行統計),最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元,占所有損失金額的 56% 。

從資金流向來看,約有 2.15 億美元的被盜資產得以追回,占所有被盜資產的 45.5% 。另外約有 1.13 億美元的被盜資產轉入了 Tornado Cash 和其他混幣器。

從審計情況來看,被攻擊的項目中,約有 49% 的項目沒有經過審計。

Beosin:Polygon鏈上Atlantis Loans協議再度發起惡意提案:金色財經報道,區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Polygon鏈上Atlantis Loans協議再度發起惡意提案,提案ID:18。事前2023年6月11日Atlantis Loans協議曾經因惡意提案篡改管理合約權限,替換后門合約,導致協議損失250W美元。Beosin提醒相關用戶盡快移除相關授權,防止資產損失。[2023/7/14 10:55:03]

與黑客攻擊事件較 2022 年下降的趨勢相反的是,對普通用戶而言,釣魚詐騙和項目方 Rug Pull 事件在 2023 年上半年更加頻發。據不完全統計,這兩類事件涉及總金額達到了至少 1.84 億美元。由于釣魚門檻技術的降低(例如可以通過一些渠道向釣魚團伙購買惡意工具包,賺取利潤后進行分成),導致 2023 年上半年釣魚詐騙事件大幅增加,成為威脅 Web3 用戶安全的主要原因。

2023 年上半年,Beosin EagleEye 安全風險監控、預警與阻斷平臺共監測到 Web3 領域主要攻擊事件 108 起,總損失金額達 4 億 7143 萬美元。其中損失金額超過 1 億美元的安全事件共 1 起,損失在 1000 萬美元 - 1 億美元區間的事件共 7 起, 100 萬美元 - 1000 萬美元區間的事件 23 起。

損失金額超過千萬美元的攻擊事件(按金額排序):

● Euler Finance - 1.97 億美元

3 月 13 日,DeFi 協議 Euler Finance 遭到攻擊,損失達到了 1.97 億美元。4 月 4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。

● Atomic Wallet - 6700 萬美元

6 月 3 日,多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,統計發現被盜金額至少達到了 6700 萬美元。黑客已將被盜資金通過混幣平臺 Sinbad 進行了清洗,被攻擊原因仍在調查中。

● MEV attack - 2500 萬美元

4 月 3 日,多個 MEV 機器人遭受惡意三明治攻擊,總共損失約 2500 萬美元。

● Bitrue - 2400 萬美元

Beosin:另有約1億美元加密資產已從Multichain轉至新地址:7月11日消息,區塊鏈安全審計公司Beosin監測顯示,另有1.03億美元加密資產已從Multichain轉至0x1eed開頭的新地址,其中包括約2400萬美元USDC、2965萬美元fUSDT、213萬美元WBTC、1716萬美元WETH、1010萬美元ETH、300萬美元DAI。其中資產來自多個鏈,涉及大量私鑰,傳輸間隔時間長,表明攻擊者可能已經控制了所有的資產,并且不急于轉移它們,根據之前的分析,推測可能是內部操作。[2023/7/11 10:47:52]

4 月 14 日,加密交易所 Bitrue 熱錢包遭受攻擊,損失達 2400 萬美元。

● FPG - 2000 萬美元

6 月 11 日,加密貨幣經紀公司 Floating Point Group (FPG)遭到網絡攻擊,損失約 2000 萬美元的加密貨幣。

● GDAC - 1300 萬美元

4 月 9 日,韓國加密貨幣交易所 GDAC 遭到黑客攻擊,損失近 1300 萬美元。

● Yearn Finance - 1150 萬美元

4 月 13 日,Yearn Finance 的 yusdt 合約遭受黑客攻擊,黑客獲利超 1000 萬美元。

● MyAlgo Wallet - 1120 萬美元

2 月,MyAlgo 錢包遭到中間人攻擊,損失達 1120 萬美元。

2023 年上半年,DeFi 類型項目共發生 85 次安全事件,占總事件數量的 78.7% 。DeFi 總損失金額達到了 2.92 億美元,占總損失金額的 62% 。DeFi 為被攻擊頻次最高、損失金額最多的項目類型。

85 次 DeFi 安全事件里,有 51 起安全事件都源自于合約漏洞利用,損失達 2.49 億美元,占 DeFi 損失總金額的 85% 。

錢包攻擊事件帶來了約 7820 萬美元的損失,金額占所有項目類型的第二位。其中 Atomic Wallet 攻擊事件至少損失了 6700 萬美元,MyAlgo 錢包攻擊事件損失為 1120 萬美元。

Beosin:Avalanche鏈上Platypus項目損失850萬美元攻擊事件解析:2月17日,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、 預警與阻斷平臺監測顯示,Avalanche鏈上的Platypus項目合約遭受閃電貸攻擊,Beosin安全團隊分析發現攻擊者首先通過閃電貸借出4400萬USDC之后調用Platypus Finance合約的deposit函數質押,該函數會為攻擊者鑄造等量的LP-USDC,隨后攻擊者再把所有LP-USDC質押進MasterPlatypusV4合約的4號池子當中,然后調用positionView函數利用_borrowLimitUSP函數計算出可借貸余額,_borrowLimitUSP函數會返回攻擊者在MasterPlatypusV4中質押物品的價值的百分比作為可借貸上限,利用該返回值通過borrow函數鑄造了大量USP(獲利點),由于攻擊者自身存在利用LP-USDC借貸的大量債務(USP),那么在正常邏輯下是不應該能提取出質押品的,但是MasterPlatypusV4合約的emergencyWithdraw函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限)而沒有檢查用戶是否歸還債務的情況下,使攻擊者成功提取出了質押品(4400萬LP-USDC)。歸還4400萬USDC閃電貸后, 攻擊者還剩余41,794,533USP,隨后攻擊者將獲利的USP兌換為價值8,522,926美元的各類穩定幣。[2023/2/17 12:12:32]

排名第三的項目類型為交易所,損失約 5014 萬美元。交易所攻擊事件在 2022 年全年數據里損失排名也是第三位,今年延續了攻擊頻發趨勢。

跨鏈橋項目在 2022 年損失金額排名第一(18.9 億美元),而在 2023 年上半年損失大幅下降到了 138 萬美元。

2023 年上半年,Ethereum 鏈上共發生主要攻擊事件 27 起,損失金額約為 3.56 億美元。Ethereum 鏈上損失金額居所有鏈平臺的第一位,占比約 75.6% 。

BNB Chain 上監測到了最多的攻擊事件,達到了 58 起,攻擊事件總數占所有事件的 53.7% 。BNB Chain 上發生的 58 次攻擊事件里,有 40 個被攻擊項目都未經審計。

Arbitrum 鏈上共發生 7 次攻擊事件,造成損失約 1671 萬美元,安全事件損失金額和數量與 2022 年相比有所增加(Arbitrum 在整個 2022 年只發生過兩次主要的安全事件)。

Beosin:BRA代幣被攻擊,損失820個WBNB:金色財經報道,據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,BRA代幣被攻擊,交易哈希:0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047與0x4e5b2efa90c62f2b62925ebd7c10c953dc73c710ef06695eac3f36fe0f6b9348。據Beosin安全技術人員分析,該攻擊是由BRA合約的邏輯漏洞所導致,BRA轉移過程中如果調用方或接收方為pair,則會產生獎勵。此處,攻擊者直接轉移部分BRA代幣給0x8F4BA1交易pair合約,并調用pair的skim函數,該函數會將多余供應量的BRA代幣發送給指定地址,此處攻擊者設置本pair為接收地址,BRA又重新回到pair,導致經過一次skim,pair的BRA代幣就會增加(獎勵部分),多次skim后,pair中已經存在大量BRA代幣。最后,攻擊者通過pair的閃電貸功能,將UBST借貸出來,由于BRA代幣異常多,所以pair在閃電貸最后判斷余額的時候,就算UBST少了,也能通過檢查(類似于乘積恒定的方式)。目前被盜資金全部存在攻擊者地址(0xE2Ba15be8C6Fb0d7C1F7bEA9106eb8232248FB8B),Beosin Trace將持續對被盜資金進行監控。[2023/1/10 11:04:38]

2022 年 Solana 鏈上損失金額排所有公鏈的第三位,而在 2023 年上半年并未監測到主要攻擊事件。

* 說明:多種攻擊手法并存時,以根本原因為準進行分類。信息不足或項目方未公布原因的攻擊事件分類至「暫不清晰」

2023 年上半年,攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元,占所有損失金額的 56% 。

約有 1 億美元的安全事件攻擊手法暫不清晰,其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。此類事件涉及金額大,影響用戶眾多。建議此類項目方在進行事件原因調查的同時,應積極和第三方安全公司進行合作,及時公布調查結果,采取必要的修復措施,對用戶資產安全肩負起責任。

動態 | BEOS 技術白皮書發布:據引力觀察報消息,BM父親 Stan Larimer 發起的區塊鏈項目 BEOS 的技術白皮書于3天前發布。BEOS是一條中間鏈,用于比特股和EOS主網之間產生交互,帶來更大的EOS生態。[2019/2/2]

另外,還有 7 次私鑰泄露事件造成了約 2767 萬美元的損失。在 2022 年,私鑰泄露損失也是居所有攻擊類型的第三位。私鑰泄露事件一直持續威脅著項目方安全。從一些事件披露來看,加強核心成員的職業道德和安全意識管理尤為重要。

按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。36 次業務邏輯漏洞共造成了約 2.39 億美元的損失,占所有因合約漏洞攻擊損失的 90% 。此類漏洞是開發者最容易遺漏的問題,被攻擊后造成的損失往往較大,有 9 起事件的損失金額都超過了 100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。

3 月 13 日,Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊,損失達到了 1.97 億美元。

3 月 16 日,Euler 基金會懸賞 100 萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。

3 月 17 日,Euler Labs 首席執行官 Michael Bentley 發推文表示,Euler「一直是一個安全意識強的項目」。從 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家區塊鏈安全公司的 10 次審計。

從 3 月 18 日開始至 4 月 4 日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己「攪亂了別人的錢,別人的工作,別人的生活」并請求大家的原諒。

漏洞分析:復盤 Euler Finance 2 億美元被盜案的來龍去脈,本次事件帶給我們哪些啟示?

2 月 1 日,加密協議 BonqDAO 遭到價格操控攻擊,攻擊者鑄造了 1 億個 BEUR 代幣,然后在 Uniswap 上將 BEUR 換成其他代幣,ALBT 價格下降到幾乎為零,這進一步引發了 ALBT 寶庫的清算。按照黑客攻擊時的代幣價格,損失高達 8800 萬美元,但是由于流動性耗盡,事件實際損失在 185 萬美元左右。

漏洞分析:開年最大黑客事件,損失 8800 萬美元,加密協議 BonqDAO 被攻擊事件分析

2 月 17 日,Avalanche 平臺的 Platypus Finance 因函數檢查機制問題遭到攻擊,損失約 850 萬美元。然而攻擊者并沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。

2 月 23 日,Platypus 表示,已經聯系了 Binance 并確認了黑客身份,并表示將至少向用戶償還 63% 的資金。

2 月 26 日,法國國家警察已經逮捕并傳喚了兩名攻擊 Platypus 的嫌疑人。

漏洞分析:閃電貸攻擊如何防范?Avalanche 鏈上 Platypus 項目損失 850 萬美元攻擊事件分析

2023 年 4 月 13 日,Yearn Finance 的 yusdt 合約遭受黑客閃電貸攻擊,黑客獲利超 1000 萬美元。yUSDT 疑似在 1000 多天前部署時便被錯誤配置,錯誤地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。

5 月 26 日,Yearn 攻擊者已將 4134 枚 ETH 轉入 Tornado Cash。

漏洞分析:被盜超 1000 萬美元,Yearn Finance 如何被黑客「盯上」?

據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Atomic Wallet 于今年 6 月初遭攻擊,據 Beosin 團隊統計,綜合鏈上已知的受害人報案信息,此次攻擊造成的損失至少約 6700 萬美元。

我們將深入探討這起黑客盜竊案的資金清洗細節,并使用Beosin KYT虛擬資產反洗錢合規和分析平臺,對黑客的洗錢套路進行追蹤和分析。

根據 Beosin 團隊分析,此次被盜事件截止目前涉及的鏈包括 BTC、ETH、TRX 在內總共 21 條鏈。被盜資金主要集中在以太坊鏈。其中:

以太坊鏈

已查出被盜資金為 16262 個 ETH 價值的虛擬貨幣,約 3000 萬美元。

波場鏈

波場鏈已知被盜資金為 251335387.3208 個 TRX 價值的虛擬貨幣,約 1700 萬美元。

BTC 鏈

BTC 鏈已知被盜資金為 420.882 個 BTC 價值的虛擬貨幣,折合 1260 萬美元。

BSC 鏈

BSC 鏈已知被盜資金為 40.206266 個 BNB 價值的虛擬貨幣。

其余鏈

XRP: 1676015 個 XRP,約 84 萬美元

LTC: 2839.873689 個 LTC,約 22 萬美元

DOGE: 800575.67369797 個 DOGE,約 5 萬美元

在黑客對贓款的操作中,以太坊被攻擊鏈路上有兩種主要的方式:

1、通過合約進行發散后利用 Avalanche 跨鏈洗錢

根據 Beosin 團隊分析,黑客會首先將錢包中有價值的幣統一換成公鏈的主幣,再通過兩個合約來進行匯集。

該合約地址會通過兩層中轉將 ETH 打包成 WETH,再將 WETH 轉入用于將 ETH 發散的合約,通過最高 5 層中轉轉入 Avalanche 用于 Cross Bridge 的錢包地址中進行跨鏈操作,該跨鏈不使用合約進行,屬于 Avalanche 的內部記賬式交易類型。

以太坊鏈路簡圖如下:

全文閱讀:一場涉及至少 6000 萬美元的錢包被盜案,Beosin KYT 帶你拆穿黑客洗錢套路

2023 年上半年,Beosin KYT虛擬資產反洗錢合規和分析平臺顯示,約有 2.15 億美元的被盜資產得以追回,占所有被盜資產的 45.5% 。而在 2022 年,僅有 8% 的被盜資產被追回。2023 年資金追回的機會大幅提升。除了與黑客談判追回以外,依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外,全球監管體系的完善和執法力度的加大,也對黑客行為起到了警戒作用。

約有 1.13 億美元的被盜資產轉入了混幣器。其中轉入 Tornado Cash 約 4538 萬美元,其他混幣平臺約 6814 萬美元。自 2022 年 8 月 Tornado Cash 受到美國 OFAC 制裁后,黑客使用 Tornado Cash 進行混幣的總金額大幅減少,而其他混幣平臺的使用率明顯增加,如 FixedFloat、Sinbad 等。

審計和未審計項目比例大致相當,在 108 個被攻擊項目中,經過審計的項目為 51 個,未經審計的項目為 53 個,比例大致相當。該比例與 2022 年情況也大體一致。

在經過審計的 51 個項目里,有 31 個項目(60% )被攻擊原因來自合約漏洞利用。該比例高于去年的 45 %,整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。

110 起 Rug Pull 事件卷走 7587 萬美元

2023 年上半年,Web3 領域共監測到主要 Rug Pull 事件 110 起,涉及金額約 7587 萬美元。

從金額來看, 14 起(12.7% )Rug Pull 事件金額在 100 萬美元之上, 10 萬至 100 萬美元區間的事件共 41 起(37.3% ), 10 萬美元以下的事件共 55 起(50% )。

涉及金額最大的 Rug Pull 事件為 Fintoch 項目,該項目卷走了約 3160 萬美元的資產。

從鏈平臺來看,BNB Chain 上發生了 80 起 Rug Pull 事件,涉及金額 5337 萬美元,遠遠高于其他的公鏈。

總體而言,Web3 領域黑客攻擊事件的總損失金額較 2022 年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元, 2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元,并且其中約有 2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢,促成這一現象的主要原因有:全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器 Tornado Cash 被制裁、AML 反洗錢技術和程序的完善等。另外,也出現了依靠社區力量,通過鏈下情報對黑客身份進行定位并迫使黑客返還的案例。

即便黑客攻擊大幅放緩,合約安全問題依舊不能忽略。2023 年上半年,最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成了 2.64 億美元的損失,其中絕大多數被利用的漏洞是業務邏輯問題。一些較為復雜的業務邏輯漏洞,需要經驗豐富的專業審計公司才能發現。Beosin 審計團隊會對每一次黑客攻擊事件都會進行深入分析(推特@BeosinAlert),確保將其中總結出的經驗和技術應用到項目審計過程中,以應對實際可能發生的黑客攻擊。

與黑客攻擊事件下降的趨勢相反的是,針對普通用戶的釣魚詐騙更加頻發。上半年出現了以 Venom Drainer 為代表的一系列錢包 Drainer 團伙,他們開發惡意工具包后進行售賣,購買者成功釣魚獲利后再與之進行分成。此類釣魚詐騙波及用戶面廣,單是 Venom Drainer 這一個團伙就產生了至少 1.5 萬個受害者。對于普通用戶而言,最好能夠經常關注安全公司的提醒,系統性地學習一些防釣魚防被盜知識,也可以安裝一些防釣魚插件、交易預執行工具等進行提醒(但不能完全依賴工具,加強自身安全意識永遠是第一位的)。

Beosin

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags:EOSSINNBSBSPeos幣價格今日行情Single Dog Swap Tokennbs幣最新消息BSPNetwork

火必下載
香港虛擬資產新規正式生效 Web3在香港的歷史時刻_WEB3:WEB3.0價格

今年兒童節,也許是 crypto 里程碑式的一天。6 月 1 日,香港虛擬資產交易新規《適用于虛擬資產交易平臺營運者的指引》正式施行,虛擬資產交易平臺營運營牌照自開啟申領,標志著香港大力推進的全.

1900/1/1 0:00:00
速覽算法穩定幣Frax Finance增長的六大催化劑_FRAX:fxs幣價格今日行情

作者:Stacy Muur, Spin首席營銷官;編譯:Felix, PANewsOuroboros Capital發文概述了其對Frax Finance的投資論點,認為在未來6至12個月內.

1900/1/1 0:00:00
盤點六月十大最佳數據看板_HTT:DUN

作者:@DuneAnalytics  編譯:Crush,Biteye 核心貢獻者 最近一段時間的市場行情跌跌漲漲,其中涌現出了一批有意思的項目.

1900/1/1 0:00:00
零知識證明技術的應用_區塊鏈:DMScript

什么是零知識證明 零知識證明(Zero-Knowledge Proof,ZKP)是現代密碼學的重要組成部分。它指的是證明者在不向驗證者提供任何有用信息的情況下,說服驗證者某個假設是正確的能力.

1900/1/1 0:00:00
2022年曾經大火的Move2Earn游戲 2023年怎么樣了_EAT:EEAT

作者:Shaun Paul Lee,CoinGecko助理研究員;翻譯:金色財經xiaozou1、2023年你能從Move2Earn游戲中賺多少錢?Genopets是目前收益最高的Move2Ea.

1900/1/1 0:00:00
NFT思維下如何保留人生軌跡_PUM:PumaPay

上周和朋友約了從沈陽出發一起拜訪幾座遼塔,到了沈陽發現沒帶遮陽帽,緊急跑去小河沿早市買了一頂。早市帽以山寨貨為主,有一些質量尚可,但我實在不想頂著一個ADLDAS出門,最終選了它.

1900/1/1 0:00:00
ads