2024 年 Q3 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 7.3 亿美元。
作者:Eaton,Beosin 研究团队
*本报告由 Beosin、Footprint Analytics 联合出品,公众号后台回复 “Q3” 可获取报告完整版。
1、2024 年上半年 Web3 区块链安全态势综述
据 Beosin Alert 监控及预警显示,2024 年 Q3 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 7.3 亿美元。其中主要攻击事件 23 起,总损失金额约 4.3 亿美元;项目方 Rug Pull 事件 3 起,总损失约 424 万美元;钓鱼诈骗总损失金额约 2.95 亿美元。
2024 年 Q3 钓鱼造成的损失大幅上涨,攻击与 Rug Pull 相比上半年持续下降。
从被攻击项目类型来看,损失最高的项目类型为 CEX,3 次针对 CEX 的攻击共造成了约 2.97 亿美元的损失,约占所有攻击损失金额的 40.6%。
从各链损失金额来看,Ethereum 依旧为损失金额最高、攻击事件最多的链。21 次 Ethereum 上的攻击与钓鱼事件造成了 3.48 亿美元的损失,约占总损失的 47.6%。
从攻击手法来看,Q3 共发生 5 次私钥泄露事件,造成损失达到了 3.05 亿美元,约占总攻击损失金额的 41.7%,是占比最高的攻击类型。
从资金流向来看,仅约有 1690 万美元被盗资金被冻结或追回。绝大部分(约 78.9%)被盗资金仍存储在攻击者的链上地址。
从审计情况来看,被攻击的项目中,经过审计的项目方比例有所增加。
2、被攻击项目类型
CEX 为损失金额最高的项目类型
2024 年 Q3 ,损失最高的项目类型为 CEX,3 次针对 CEX 的攻击共造成了约 2.97 亿美元的损失,占所有攻击损失金额的 40.6%。CEX 安全事件虽然次数不多,但每次被盗金额都巨大,凸显了当前交易所生态的安全态势不容乐观。
紧随其后损失排在第二位的受害者类型为用户钱包。8 次针对用户钱包的钓鱼与社会工程学攻击对普通用户造成了约 2.95 亿美元的损失,占比约 40.3%。和 2024 年上半年相比,Q3 针对普通用户的攻击和造成的损失有了大幅增加。
23 起黑客攻击事件中,共有 12 起事件发生在 DeFi 领域,占比约 52.1%,是攻击次数最多的项目类型,这 12 次 DeFi 攻击事件共导致了超过 4560 万美元的损失,排在所有项目类型的第四位。
其他被攻击的项目类型还包括:基础设施、代币等。其中针对公链及跨链桥的攻击造成的损失金额达 8500 万美元,排在所有项目类型的第三位。
3、各链损失金额情况
Ethereum 为损失金额最高、攻击事件最多的链
和 2024 上半年相同的是,在 Q3,Ethereum 依旧是损失金额最高的公链。21 次 Ethereum 上的攻击与钓鱼事件造成了 3.48 亿美元的损失,占到了总损失的 47.6%。
损失金额排名第二的公链为 BTC,共计损失 2.38 亿美元,约占总损失的 32.5%。BTC 损失金额来自于一次针对某巨鲸地址的社会工程学攻击。
损失金额排名第三的公链为 Luna(6500 万美元),攻击者利用了 ibc-hooks 超时回调中的重入漏洞对 Luna 进行了攻击。
按照安全事件数量排名,前两名分别为 Ethereum(21 次)、BNB Chain(4 次)。各链生态的安全事件数量较上半年有所下降。
4、攻击手法分析
约 41.7% 的损失金额来自私钥泄露事件
2024 年 Q3,共发生 5 次私钥泄露事件,造成损失达到了 3.05 亿美元,约占总攻击损失金额的 41.7%。和上半年相同,私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有:WazirX(2.3 亿美元)、BingX(4500 万美元)、Indodax(2200 万美元)。
损失金额排名第二的攻击手法为社会工程学攻击,1 次社会工程学攻击造成损失 2.38 亿美元。
23 起攻击事件中,有 18 起来自合约漏洞利用,占比约 78%。合约漏洞利用总损失达 1.28 亿美元,排名第三。
按照漏洞细分,造成损失前三名的漏洞分别为:重入漏洞(9346 万美元)、业务逻辑漏洞(约 209 万美元)、校验漏洞(1001 万美元)。出现次数最高的漏洞为业务逻辑漏洞,18 起合约漏洞攻击中有 7 次是业务逻辑漏洞。
5、反洗钱典型事件分析回顾
5.1 Beosin Trace 对 LI.FI 事件进行追踪分析
7 月 16 日,据 Beosin Alert 监控预警发现跨链协议 LI.FI 遭受攻击,攻击者利用项目合约中存在的 call 注入漏洞,盗取授权给合约的用户资产。
LI.FI 项目合约存在一个 depositToGasZipERC20 函数,可将指定代币兑换为平台币并存入 GasZip 合约,但是在兑换逻辑处的代码未对 call 调用的数据进行限制,导致攻击者可利用此函数进行 call 注入攻击,提取走给合约授权用户的资产。
本次事件除了 call 注入的合约漏洞外,还有一点值得注意,即 Diamond 模式下,Facet 合约的配置问题。进一步分析发现,GasZipFacet 合约是在被攻击的 5 天前部署,并在被攻击前十多个小时由项目的多签管理员在 LI.FI 主合约进行注册的。
所以,通过这次事件可以发现,对于 Diamond 这类可升级模式,新增功能合约的安全性也需要得到高度重视。
Beosin Trace 对被盗资金进行追踪发现,损失金额包括 633.59 万 USDT、319.19 万 USDC、16.95 万 DAI,约 1000 万美元。
5.2 印度交易所 WazirX 被盗 2.35 亿美元事件分析
7 月 18 日,据 Beosin Alert 监控预警发现印度交易所 WazirX 被攻击,攻击者获取到交易所多签钱包管理员的签名数据,修改钱包的逻辑合约,让钱包执行错误的逻辑,来盗取资产,涉及资金超 2.3 亿美元。
Beosin Trace 对被盗资金进行追踪,被盗资金部分的流线图,目前来看,黑客已经将部分资金转移进入 Changenow 与 Binance 交易所,其中 0xf92949ab576ac2f8dc9e4650e73db083f1f9cd9f 为黑客在 Binance 的充币地址。
另一方面,黑客向地址 0x35fe...745CA 转移 8010 亿枚 SHIB,价值高达 1402 万美元,进行分批抛售。
6、被盗资产的资金流向分析
据 Beosin KYT 反洗钱平台分析显示,2024 年 Q3 被盗的资金中,仅有 1690 万美元被盗资金被冻结或追回。该比例较上半年年显著下降。
约有 5.77 亿美元(约 78.9%)的被盗资金还保留在黑客地址。随着全球监管机构反洗钱力度的加大,黑客清洗赃款变得更加困难,因此相当一部分黑客选择暂时将盗取资金保留在链上地址。
约有 1.02 亿美元的被盗资金转入了各交易所,占比约 13.9%,该比例高于 2024 上半年。
共有 3471.3 万美元(5.4%)转入了混币器。和上半年相比,2024 年 Q3 通过混币器清洗的被盗资金再次大幅减少。
7、项目审计情况分析
经过审计的项目方比例有所增加
2024 年 Q3 ,23 起攻击事件里,有 4 起事件的项目方没有经过审计,16 起事件的项目方经过了审计。经过审计的项目方比例高于上半年,这表明整个 Web3 行业项目方对安全的重视程度有所提高。
4 个没有经过审计的项目中,合约漏洞事件占了 3 起(75%)。16 个经过审计的项目中,合约漏洞事件占了 11 起(68.75%)。两者整体比例大致相当。和上半年相比,2024 年整体安全审计质量有所下滑。
8、2024 年上半年 Web3 区块链安全态势总结
和 2023 年同期相比,2024 年 Q3 因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失略有下降,达到了 7.3 亿美元(2023 年 Q3 这一数字为 8.89 亿美元)。2024 年 Q3 币价下跌等因素对总金额的减少有一定的影响,但总体而言,Web3 安全领域形势依旧不容乐观。
和上半年相同,2024 Q3 造成危害最大的攻击类型依旧为私钥泄露。约 41.7% 的损失金额来自私钥泄露事件。从项目类型来看,私钥泄露事件遍布于 Web3 各个领域:游戏平台、代币合约、个人钱包、基础设施、交易所等。各个 Web3 项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。
Q3 仅有 5.4% 的被盗资产转入了各类混币器,另外有 78.9% 的资产还保留在黑客地址,这进一步说明了黑客清洗赃款难度的增加。Q3 依旧有 13.9% 的被盗资金转入了各交易所,这需要交易所及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,相信未来会有更多被盗资金能够追回。
Q3 的 23 起攻击事件中,依然有 18 起来自合约漏洞利用,建议项目方在上线前寻求专业的安全公司进行审计。Beosin 作为一家全球领先的区块链安全公司,致力于 Web3 生态的安全发展,已审计智能合约和公链主网超 3000 份,作为一家可信赖的区块链安全公司,可以为项目方提供卓越的安全审计服务。
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
