Beosin报告:2023年上半年Web3区块链安全态势分析

作者:Mario、Donny,Beosin 研究团队

随着全球数字化进程的不断加速,区块链技术作为一种新兴的去中心化交易方式,正逐渐成为数字经济的核心基础设施之一。然而,随着区块链应用场景的不断拓展,其面临的安全风险也在逐步增加。在这样一个背景下,了解 Web3 区块链安全态势及加密行业监管政策,成为保障区块链应用安全和稳定的必要措施之一。本研究报告由区块链安全公司 Beosin 和 SUSS NiFT 联合发起的区块链生态安全联盟共同创作,围绕 2023 年上半年全球区块链安全态势、Web3 热点事件及加密行业重点监管政策等,进行深入分析和总结,旨在为读者提供有价值的参考和启示,助力区块链技术的安全健康发展。

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测,2023 年上半年 Web3 领域因黑客攻击、钓鱼和项目方 Rug Pull 造成的总损失达到了 6 亿 5561 万美元。其中攻击事件 108 起,总损失金额约 4 亿 7143 万美元;钓鱼总损失金额约 1.08 亿美元;项目方 Rug Pull 事件 110 起,总损失约 7587 万美元。

Web3 领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元。

从被攻击项目类型来看,DeFi 依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。

从链平台类型来看,75.6% 的损失金额来自 Ethereum,约 3.56 亿美元,居所有链平台的第一位。

从攻击手法来看(按根本原因进行统计),最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。

从资金流向来看,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。另外约有 1.13 亿美元的被盗资产转入了 Tornado Cash 和其他混币器。

从审计情况来看,被攻击的项目中,约有 49% 的项目没有经过审计。

Beosin成为BNB Chain Kickstart Program官方安全审计服务商:据官方消息,近日,区块链安全公司Beosin宣布正式成为BNB ChainKickstart Program官方安全审计服务商。据了解,BNB Chain启动的“Kickstart Program”计划,旨在帮助区块链开发人员在业内机构的支持下开始他们的项目。[2023/2/16 12:10:16]

与黑客攻击事件较 2022 年下降的趋势相反的是,对普通用户而言,钓鱼和项目方 Rug Pull 事件在 2023 年上半年更加频发。据不完全统计,这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低(例如可以通过一些渠道向钓鱼团伙购买恶意工具包,赚取利润后进行分成),导致 2023 年上半年钓鱼事件大幅增加,成为威胁 Web3 用户安全的主要原因。

2023 年上半年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 108 起,总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起, 100 万美元 - 1000 万美元区间的事件 23 起。

损失金额超过千万美元的攻击事件(按金额排序):

● Euler Finance - 1.97 亿美元

3 月 13 日,DeFi 协议 Euler Finance 遭到攻击,损失达到了 1.97 亿美元。4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

● Atomic Wallet - 6700 万美元

6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,统计发现被盗金额至少达到了 6700 万美元。黑客已将被盗资金通过混币平台 Sinbad 进行了清洗,被攻击原因仍在调查中。

● MEV attack - 2500 万美元

4 月 3 日,多个 MEV 机器人遭受恶意三明治攻击,总共损失约 2500 万美元。

● Bitrue - 2400 万美元

4 月 14 日,加密交易所 Bitrue 热钱包遭受攻击,损失达 2400 万美元。

Beosin:1月各类攻击事件损失总金额约1464万美元,较去年12月下降约77%:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年1月,各类安全事件涉及金额较2022年12月持续大幅下降。1月发生较典型安全事件超『19』起,各类攻击事件损失总金额约1464万美元,较去年12月下降约77%,比2022年任何一个月的损失金额都要低。

本月较大的安全事件为HECO生态跨链借贷平台LendHub因没有弃用旧合约而被攻击,损失近600万美元。此外,两起个人钱包被盗事件损失均超过百万美元,钱包的安全性问题依旧不容忽视。在黑客猖獗的2022年过去之后,2023开年的区块链安全态势总体相对平稳。本月针对项目方的攻击事件呈下降趋势,反倒是一些针对个人用户钱包、社媒账号的攻击事件有所增加。Beosin建议个人用户一定要提高防钓鱼意识,规范操作。本月发生的典型跑路事件均是通过后门代码进行Rug Pull,建议用户在交互前一定要仔细查看相关的审计报告,避免资产遭受损失。[2023/1/31 11:38:34]

● FPG - 2000 万美元

6 月 11 日,加密货币经纪公司 Floating Point Group (FPG)遭到网络攻击,损失约 2000 万美元的加密货币。

● GDAC - 1300 万美元

4 月 9 日,韩国加密货币交易所 GDAC 遭到黑客攻击,损失近 1300 万美元。

● Yearn Finance - 1150 万美元

4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客攻击,黑客获利超 1000 万美元。

● MyAlgo Wallet - 1120 万美元

2 月,MyAlgo 钱包遭到中间人攻击,损失达 1120 万美元。

2023 年上半年,DeFi 类型项目共发生 85 次安全事件,占总事件数量的 78.7% 。DeFi 总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。DeFi 为被攻击频次最高、损失金额最多的项目类型。

85 次 DeFi 安全事件里,有 51 起安全事件都源自于合约漏洞利用,损失达 2.49 亿美元,占 DeFi 损失总金额的 85% 。

钱包攻击事件带来了约 7820 万美元的损失,金额占所有项目类型的第二位。其中 Atomic Wallet 攻击事件至少损失了 6700 万美元,MyAlgo 钱包攻击事件损失为 1120 万美元。

Beosin:SheepFarm项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB链上的SheepFarm项目遭受漏洞攻击,Beosin分析发现由于SheepFarm合约的register函数可以多次调用,导致攻击者0x2131c67ed7b6aa01b7aa308c71991ef5baedd049多次利用register函数增大自身的gems,再利用upgradeVillage函数在消耗gems的同时累加yield属性,最后调用sellVillage方法把yield转换为money后再提款。本次攻击导致项目损失了约262个BNB,约7.2万美元。Beosin Trace追踪发现被盗金额仍在攻击者账户,将持续关注资金走向。[2022/11/16 13:10:39]

排名第三的项目类型为交易所,损失约 5014 万美元。交易所攻击事件在 2022 年全年数据里损失排名也是第三位,今年延续了攻击频发趋势。

跨链桥项目在 2022 年损失金额排名第一(18.9 亿美元),而在 2023 年上半年损失大幅下降到了 138 万美元。

2023 年上半年,Ethereum 链上共发生主要攻击事件 27 起,损失金额约为 3.56 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 75.6% 。

BNB Chain 上监测到了最多的攻击事件,达到了 58 起,攻击事件总数占所有事件的 53.7% 。BNB Chain 上发生的 58 次攻击事件里,有 40 个被攻击项目都未经审计。

Arbitrum 链上共发生 7 次攻击事件,造成损失约 1671 万美元,安全事件损失金额和数量与 2022 年相比有所增加(Arbitrum 在整个 2022 年只发生过两次主要的安全事件)。

2022 年 Solana 链上损失金额排所有公链的第三位,而在 2023 年上半年并未监测到主要攻击事件。

Beosin:Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道,Beosin 安全团队发现,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge跨链桥项目,由于合约代码中固定写死了chainID,而未真正验证当前所在链的chainID,导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH,随后将相同的交易内容在 ETHW 链上进行了重放,获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。

Beosin 安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。[2022/9/19 7:04:46]

* 说明:多种攻击手法并存时,以根本原因为准进行分类。信息不足或项目方未公布原因的攻击事件分类至「暂不清晰」

2023 年上半年,攻击原因最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。

约有 1 亿美元的安全事件攻击手法暂不清晰,其中包括 Atomic Wallet 钱包被盗 6700 万美元、加密货币经纪公司 FPG 被攻击 2000 万美元等事件。此类事件涉及金额大,影响用户众多。建议此类项目方在进行事件原因调查的同时,应积极和第三方安全公司进行合作,及时公布调查结果,采取必要的修复措施,对用户资产安全肩负起责任。

另外,还有 7 次私钥泄露事件造成了约 2767 万美元的损失。在 2022 年,私钥泄露损失也是居所有攻击类型的第三位。私钥泄露事件一直持续威胁着项目方安全。从一些事件披露来看,加强核心成员的职业道德和安全意识管理尤为重要。

按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失,占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题,被攻击后造成的损失往往较大,有 9 起事件的损失金额都超过了 100 万美元。建议项目方寻找富有经验的专业审计公司进行审计。

3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。

动态 | Beosin预警:cubecontract遭受攻击 攻击者已获利:Beosin(成都链安)预警,今天下午14:46-14:51之间,根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现,黑客justjiezhan1向EOS竞猜类游戏cubecontract发起攻击且已经获利。在此之前,黑客justjiezhan1已于12:00:41左右开始部署攻击合约,成都链安安全分析人员初步分析认为攻击者仍然与之前的攻击手法相同,为交易阻塞攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性,同时呼吁游戏项目方在项目上链前进行完善的代码安全审计,必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/18]

3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler「一直是一个安全意识强的项目」。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。

从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己「搅乱了别人的钱,别人的工作,别人的生活」并请求大家的原谅。

漏洞分析:复盘 Euler Finance 2 亿美元被盗案的来龙去脉,本次事件带给我们哪些启示?

2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。

漏洞分析:开年最大黑客事件,损失 8800 万美元,加密协议 BonqDAO 被攻击事件分析

2 月 17 日,Avalanche 平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。

2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。

2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。

漏洞分析:闪电贷攻击如何防范?Avalanche 链上 Platypus 项目损失 850 万美元攻击事件分析

2023 年 4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客闪电贷攻击,黑客获利超 1000 万美元。yUSDT 疑似在 1000 多天前部署时便被错误配置,错误地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。

5 月 26 日,Yearn 攻击者已将 4134 枚 ETH 转入 Tornado Cash。

漏洞分析:被盗超 1000 万美元,Yearn Finance 如何被黑客「盯上」?

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Atomic Wallet 于今年 6 月初遭攻击,据 Beosin 团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约 6700 万美元。

我们将深入探讨这起黑客盗窃案的资金清洗细节,并使用Beosin KYT虚拟资产反合规和分析平台,对黑客的套路进行追踪和分析。

根据 Beosin 团队分析,此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中:

以太坊链

已查出被盗资金为 16262 个 ETH 价值的虚拟货币,约 3000 万美元。

波场链

波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币,约 1700 万美元。

BTC 链

BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币,折合 1260 万美元。

BSC 链

BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。

其余链

XRP: 1676015 个 XRP,约 84 万美元

LTC: 2839.873689 个 LTC,约 22 万美元

DOGE: 800575.67369797 个 DOGE,约 5 万美元

在黑客对赃款的操作中,以太坊被攻击链路上有两种主要的方式:

1、通过合约进行发散后利用 Avalanche 跨链

根据 Beosin 团队分析,黑客会首先将钱包中有价值的币统一换成公链的主币,再通过两个合约来进行汇集。

该合约地址会通过两层中转将 ETH 打包成 WETH,再将 WETH 转入用于将 ETH 发散的合约,通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作,该跨链不使用合约进行,属于 Avalanche 的内部记账式交易类型。

以太坊链路简图如下:

全文阅读:一场涉及至少 6000 万美元的钱包被盗案,Beosin KYT 带你拆穿黑客套路

2023 年上半年,Beosin KYT虚拟资产反合规和分析平台显示,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。而在 2022 年,仅有 8% 的被盗资产被追回。2023 年资金追回的机会大幅提升。除了与黑客谈判追回以外,依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外,全球监管体系的完善和执法力度的加大,也对黑客行为起到了警戒作用。

约有 1.13 亿美元的被盗资产转入了混币器。其中转入 Tornado Cash 约 4538 万美元,其他混币平台约 6814 万美元。自 2022 年 8 月 Tornado Cash 受到美国 OFAC 制裁后,黑客使用 Tornado Cash 进行混币的总金额大幅减少,而其他混币平台的使用率明显增加,如 FixedFloat、Sinbad 等。

审计和未审计项目比例大致相当,在 108 个被攻击项目中,经过审计的项目为 51 个,未经审计的项目为 53 个,比例大致相当。该比例与 2022 年情况也大体一致。

在经过审计的 51 个项目里,有 31 个项目(60% )被攻击原因来自合约漏洞利用。该比例高于去年的 45 %,整个审计市场的质量依旧不容乐观。建议项目方一定要寻找专业的安全公司进行审计。

110 起 Rug Pull 事件卷走 7587 万美元

2023 年上半年,Web3 领域共监测到主要 Rug Pull 事件 110 起,涉及金额约 7587 万美元。

从金额来看, 14 起(12.7% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 41 起(37.3% ), 10 万美元以下的事件共 55 起(50% )。

涉及金额最大的 Rug Pull 事件为 Fintoch 项目,该项目卷走了约 3160 万美元的资产。

从链平台来看,BNB Chain 上发生了 80 起 Rug Pull 事件,涉及金额 5337 万美元,远远高于其他的公链。

总体而言,Web3 领域黑客攻击事件的总损失金额较 2022 年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元,并且其中约有 2.15 亿美元的被盗资产得以追回。黑客攻击呈现大幅放缓趋势,促成这一现象的主要原因有:全球监管体系的逐步完善、执法力度的加大、项目方安全意识的提升、混币器 Tornado Cash 被制裁、AML 反技术和程序的完善等。另外,也出现了依靠社区力量,通过链下情报对黑客身份进行定位并迫使黑客返还的案例。

即便黑客攻击大幅放缓,合约安全问题依旧不能忽略。2023 年上半年,最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成了 2.64 亿美元的损失,其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞,需要经验丰富的专业审计公司才能发现。Beosin 审计团队会对每一次黑客攻击事件都会进行深入分析(推特@BeosinAlert),确保将其中总结出的经验和技术应用到项目审计过程中,以应对实际可能发生的黑客攻击。

与黑客攻击事件下降的趋势相反的是,针对普通用户的钓鱼更加频发。上半年出现了以 Venom Drainer 为代表的一系列钱包 Drainer 团伙,他们开发恶意工具包后进行售卖,购买者成功钓鱼获利后再与之进行分成。此类钓鱼波及用户面广,单是 Venom Drainer 这一个团伙就产生了至少 1.5 万个受害者。对于普通用户而言,最好能够经常关注安全公司的提醒,系统性地学习一些防钓鱼防被盗知识,也可以安装一些防钓鱼插件、交易预执行工具等进行提醒(但不能完全依赖工具,加强自身安全意识永远是第一位的)。

Beosin

企业专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

银河链

狗狗币最新价格港元稳定币之争:政府铸造vs私人发行

作者:Carl ,Techub News港元稳定币正成为香港web3.0领域的热点话题。7月3日,香港科技大学副校长兼香港web3.0协会首席科学顾问汪扬、天使投资人蔡文胜、区块城Web3.0科技公司创始人雷志斌等在大公文汇报上发布《.

[0:15ms0-1:862ms