看看 Q2 发生了什么?
封面:Photo by Clint Patterson on Unsplash
PDF 完整版:点此下载
2022 第二季度 Web3 安全态势综述
主要攻击事件超 48 起,总损失约 7 亿 1834 万美元
2022 年第二季度,Beosin 链必应-区块链安全态势感知平台共监测到 Web 3 领域主要攻击事件超 48 起,总损失约 7 亿 1834 万美元,较第一季度的 12 亿美元下降约 40%,约是 2021 年第二季度损失(2 亿 9656 万美元)的 2.42 倍。
2022 年 1-6 月,Web 3 领域因攻击事件损失的总金额已达约 19 亿 1287 万美元。
从时间上来看,4 月是黑客攻击最活跃的月份,5 月攻击事件数量和损失金额都出现了大幅下降,6 月黑客活跃度有回升趋势。
从被攻击项目类型来看,DeFi 依旧是被攻击次数最多的项目类型,约 79.2% 的攻击发生在 DeFi 领域。
从 TVL(总锁仓价值)来看,所有的链和被攻击的项目的 TVL 值在 5 月都出现了大幅下降。大部分项目在遭受攻击的时间点之后都会出现 TVL 骤降的情况。
从链平台来看,本季度 Ethereum 上损失的金额最多,达到了 3 亿 8135 万美元。被攻击频率最高的链为 BNB Chain,达到了 26 次。
从攻击手法来看,最常见的攻击手法依旧为合约漏洞利用和闪电贷。约有 45.8% 的攻击为合约漏洞利用。因闪电贷造成的损失达 2 亿 3300 万美元,居各种攻击方式损失金额第一位。
从资金流向来看,约 4 亿 1889 万美元的被盗资金被黑客转入了 Tornado.cash,占该季度总被盗金额的 58.3%。
从审计情况来看,被攻击的项目中,仅有 52% 的项目经过了审计。
其他方面,本季度共监测到链上主要 Rug pull 事件超 43 起,项目方共计卷走约 3426 万 6402 美元。据不完全统计,Discord 服务器被黑案例超 151 个。Rug pull 和钓鱼安全事件在 5、6 月份频发。
攻击事件总览
4 月是本季度黑客攻击最活跃的月份
2022 第二季度,共监测到 Web 3 领域主要攻击事件超 48 起,总损失约 7 亿 1834 万美元。其中损失达一亿美元及以上的攻击事件 3 起,千万美元以上的攻击事件共 12 起,百万美元以上的攻击事件共 28 起。损失最高的前三为 Beanstalk Farms、Elrond 和 Harmony,分别为 1 亿 8200 万美元、1 亿 1300 万美元和 1 亿美元。
从时间上来看,2022 年 4 月是本季度黑客攻击最活跃的月份,共发生 19 起主要安全事件,损失约为 3 亿 7489 美元。5 月攻击事件数量和损失金额都大幅减少,或与 5 月整个加密货币市值大幅缩水有关。6 月虽然行情并未见回暖趋势,但黑客攻击频率和项目损失金额却较 5 月大幅增加。
被攻击项目类型
79.2% 的攻击发生在 DeFi 领域
和第一季度相同,DeFi 依旧是被攻击次数最多的项目类型,约 79.2% 的攻击发生在 DeFi 领域。其损失总金额约为 4 亿 5474 万美元,占到了 Q2 总损失金额的 63.3%。
本季度依旧发生了两起跨链桥攻击事件,累计损失金额约为 1 亿美元。在 2022 年第一季度,4 次跨链桥攻击的总损失为 9 亿 5000 万美元。至此,2022 年上半年因跨链桥攻击造成的损失金额已达 10 亿 5000 万美元。
被攻击项目 TVL 分析
部分项目在被攻击后 TVL 直接归零
从部分被攻击项目的 TVL 来看,5 月几乎所有项目 TVL 都出现了集体缩水。大部分项目在遭受攻击的时间点之后都会出现 TVL 骤降的情况。一些项目在被攻击后 TVL 直接归零,例如 Beanstalk、Blizz Finance。
从被攻击项目与被攻击时间的 TVL 比例来看,大部分情况下损失金额在项目 TVL 的 30% 以下。其中也有个别项目如 Blizz Finance、Beanstalk,损失达到了 TVL 的 100% 甚至 500%。
各链平台损失金额情况
Ethereum 上损失金额最多,BNB Chain 攻击事件最多
本季度 Ethereum 上损失的金额最多,达到了 3 亿 8135 万美元。被攻击频率最高的链为 BNB Chain,达到了 26 次。
和上一季度相比,连续两个季度都发生过攻击事件的链包括 Ethereum、BNB、Fantom 和 Cronos。在第一季度因 2 次攻击事件造成了 3 亿 7400 万美元的损失的 Solana 链,在本季度并未监测到重大安全事件。
第二季度,所有的链 TVL 值在 5 月都出现了大幅下降。TVL 排名前 2 的 Ethereum 和 BNB Chain 仍然是黑客攻击的主要目标。本季度攻击事件总共损失了 7 亿 1834 万美元,比 6 月时 Osmosis、Elrond、Metis 加起来的 TVL 总值都还要多。
从 DeFi 项目来看,以太坊上被攻击的 DeFi 项目金额最多,但占二季度 TVL 均值的比例并不高,Metis 链损失的金额占 TVL 比例反而最高。占比最小的为 Avalanche。
从 DeFi 协议被攻击的次数上看,二季度 BNB Chain 上被攻击的 DeFi 协议占其总协议数量的比例最高,达到了 7%。Metis 上 DeFi 生态还不够丰富,虽然仅 1 笔攻击,但不论在笔数和金额上都占比较高。
攻击手法分析
最常见的攻击手法依旧为合约漏洞利用和闪电贷
合约漏洞利用为本季度最常见的攻击手法,22 次攻击为合约漏洞利用,频次占到了 45.8%,因合约漏洞造成的总损失约为 1 亿 3800 万美元。第二常见的攻击方式为闪电贷,本季度共发生 9 次闪电贷攻击,造成的损失达 2 亿 3300 万美元,居各种攻击方式损失金额第一位。
和第一季度相同的是,Web3 领域最常见的攻击手法依旧为合约漏洞利用和闪电贷(第一季度的数据分别为 50% 和 24%)。此外,因私钥泄露导致的损失仍然达到了 1 亿 315 万美元,私钥安全问题依旧值得重视。
本季度被利用的漏洞主要包括:业务逻辑/函数设计不当、验证问题、权限问题、k 值校验问题、重入漏洞和 call 注入漏洞。其中利用次数最多的漏洞为业务逻辑/函数设计不当,远高于其他漏洞。重入漏洞在本季度被黑客利用了 1 次,造成的损失却达到了 8034 万美元。
典型案例攻击手法分析
被攻击两次的 Inverse Finance
事件详情
2022 年 4 月 2 日,Inverse Finance 项目遭受价格操纵攻击,累计损失估计大约 1500 万美元。攻击的主要原因在于 TWAP 预言机使用的时间窗口太短。在计算 Xinv 代币价格时,依靠 WETH/INV 这个 pair 去计算。由于 pair 这个池子已经被操纵了,再加上 timeElapsed 间隔时间短,那么攻击者需要满足不在当前区块调用,就可以操纵 xINV 代币的价值。
2022 年 6 月 16 日,Inverse Finance 再次遭受黑客攻击,黑客获利 120 万美元。主要原因在于项目合约在计算抵押品价格时,使用了 balanceOf 函数,攻击者得以通过大额兑换将抵押品 anYvCrv3Crypto 的价格拉高。
安全建议:获取代币价格时应避免依赖于代币实时余额,而应使用 TWAP 类型的价格预言机,并设置足够的时间窗口。
Akutars:由于智能合约漏洞,3400 万美元被锁定无法提取
事件详情:
2022 年 4 月 24 日,NFT 项目 Akutars 因智能合约漏洞导致 3400 万美元被锁定无法提取。值得注意的是,该项目的合约没有经过安全公司的审计。经分析,发现 Akutars 的合约包含有两个漏洞。
漏洞一:
第一个合约漏洞在 processRefunds 中,设计者根据 refundProgress 计数器进行循环退款。而这里使用了 call 函数进行退款操作,且把退款的结果作为 require 的判定条件。因此如果此时有攻击者在队列中进行退款操作,调用 call 退款给攻击者时,攻击者在 fallback 中进行进行恶意的 revert,则会导致队列后面的所有人都无法进行退款。这个漏洞所幸没被攻击者进行实际利用。
漏洞二:
该漏洞是导致价值约 3400 万美元资产被锁死在合约中的直接原因。
在 claimProjectFunds 函数中,该函数主要用于项目方提款。函数中 require(refundProgress > = totalBids),此处 refundProgress 表示已经处理了多少个用户的退款,totalBids 表示所有用户总投标了多少个 NFT。由于一个用户可以投标多个 NFT,导致单从数值上比较,refundProgress 可能小于 totalBids。
而退款函数 processRefunds 中:require(_refundProgress < _bidIndex); bidIndex 表示所有参与竞标的用户,refundProgress 永远不会高于 bidIndex。而 bidIndex 的值为 3669,totalBids 的值为 5495。
因此,refundProgress>=5495 且 refundProgress<3669 这个判断条件永远不会成立,项目方团队将永远无法执行后续的提款操作。此处应将 refundProgress 与 bidIndex 做对比,开发者犯了一个很低级的错误。这最终导致了项目方 3400 万美元的资产被锁定无法提取。
安全建议:项目上线前的专业安全审计非常有必要。
Beanstalk Farms:黑客获利近 8000 万美元,恶意提案如何防范?
2022 年 4 月 17 日,算法稳定币项目 Beanstalk Farms 遭到闪电贷攻击,黑客获利近 8000 万美元,协议损失达 1 亿 8200 万美元。这是本季度损失金额最高的项目。
回顾本次攻击,攻击者在前一天发起提取 Beanstalk: Beanstalk Protocol 资金的提案,然后调用 emergencyCommit 进行紧急提交来执行提案。这是要因为项目方规定提案后 1 天才能开始投票。
攻击过程中,攻击者利用 “投票合约中的票数由账户的提案代币持有量计算得到” 的漏洞,通过闪电贷借出价值 10 亿美元的巨额资金,换取代币后投入到矿池中,临时获得巨额的提案代币,保证了提案不需要其他人投票也能通过。最终提案通过并执行,攻击者成功提取项目方资金,随后兑换并偿还闪电贷,获利离场。
安全建议:
1. 投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量;
2. 项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;
3. 可考虑禁止合约地址参与投票。
资金流向分析
约 4 亿 1889 万美元的被盗资金流入 Tornado.cash
从资金流向来看,在 2022 年第二季度,约 4 亿 1889 万美元的被盗资金被黑客转入了 Tornado.cash,占该季度总被盗金额的 58.3%。另外有 1 亿 3100 万美元的资产被追回,1 亿 6845 万美元的资产留在黑客地址暂未进行混币或流入交易所。
数据表明,Tornado.cash 依旧为黑客进行洗钱的惯用途径。本季度资金追回的情况优于上一季度,在一些情况下,项目方会和黑客通过链上信息进行协商,部分黑客会选择返还一定数量的赃款以 “免于法律制裁”。
项目审计情况分析
仅有 52% 的项目经过了审计
被攻击的项目中,仅有 52% 的项目经过了审计,而上个季度,该项比例为 70%。本季度经过审计的项目因攻击造成的损失达 5 亿 4763 万美元,占损失金额的 76.2%,远高于上一季度。
虽然经过审计的项目损失金额仍达到了 5 亿 4763 万美元,但这并不意味着审计不再重要了。
随着越来越多的安全公司踏足审计业务,审计市场参差不齐,鱼龙混杂。由于一些不专业的公司,导致智能合约中一些本应该审计出的漏洞没有审计出来,因此一些项目方和投资者开始质疑审计的必要性和专业性,认为 “审计了也是白审”。例如,本季度合约漏洞中最常出现的 “业务逻辑/函数设计不当”,这类漏洞是完全可以在审计阶段发现的。因此建议项目方一定在项目上线前要寻找专业的安全公司进行审计。
Rug pull 分析
项目方共计卷走约 3426 万 6402 美元
Rug pull 通常指的是开发人员撤出 DEX 流动性池或突然放弃一个项目,毫无征兆地就卷走投资者的资金,通俗来讲就是 “跑路”。2022 年第二季度,共监测到链上主要 Rug pull 事件 43 起,项目方共计卷走约 3426 万 6402 美元。
攻击事件数据表明,5 月黑客活跃度大幅降低,然而与之不同的是,5 月却是 Rug pull 最高频的月份。在 5 月各公链和项目 TVL 大幅缩水的情况下,一些项目方选择了 Rug pull,导致一大批投资者受损。其原因或许是无法继续运营,或许是认为 “与其等着 TVL 归零,不如自己先跑路”,或许是本就预谋好跑路,只是 TVL 急剧的下降加速了这一过程。
Discord 钓鱼分析
本季度 Discord 钓鱼案例频发
据不完全统计,2022 年第二季度,Web3 领域共有包括 Opensea、BAYC、Moonbirds、RTFKT、Akutars、Doodles、Otherside 在内的超 151 个 Discord 服务器被黑,其中 5 月、6 月尤为严重。其中个别服务器在本季度内被攻击了两次甚至三次。
和 Rug pull 数据类似的是,在市场行情低迷的情况下,钓鱼类安全事件或许反而会增多。本季度出现的 Discord 钓鱼方式形式繁多,例如机器人账号被黑、伪装管理员或机器人私信发送钓鱼链接、通过社交媒体散播高仿 Discord 邀请链接等等。越是熊市,用户和项目方反而越是应该提高反诈意识,保护好自己的资产安全。
总结页
2022 年第二季度,DeFi 安全仍然是值得关注的焦点,约 79.2% 的攻击发生在 DeFi 领域。连续两个季度,DeFi 一直都是黑客攻击的重点对象。而 NFT、跨链桥、交易所安全事件虽然频次没有 DeFi 那么高,但个别事件涉及金额也很巨大。因此,Web 3 各类型项目方都应加强安全意识,做好安全防护工作。
本季度约有 45.8% 的攻击为合约漏洞利用,其中绝大部分漏洞都可以在审计阶段发现和进行修复。而在本季度被攻击的项目中,仅有 52% 的项目经过了审计。建议项目在上线之前寻找专业的审计公司进行审计。
本季度,约 4 亿 1889 万美元的被盗资金被黑客转入了 Tornado.cash 进行洗币。另外约有 1 亿 3100 万美元的资产被追回,但追回方式大多是通过链上和黑客进行协商,让黑客返还部分被盗资金。其实被盗资金进入龙卷风后不是毫无办法。Beosin 在协助被盗资金追踪方面已积累了不少成功案例,包括一些资金进入龙卷风的情况。建议项目方在不幸遇到被黑时,除了和黑客协商返还,也可寻求一些专业的安全公司进行资金追踪。
本季度各公链和项目的 TVL 值都出现了较大波动,也有因为各类安全事件导致项目资金异常或出现风险交易的情况。建议项目方和投资者都因及时关注项目运行情况。Beosin【链必应-区块链安全态势感知平台】可以让项目方和用户及时发现风险交易,从而快速采取措施。
在本季度行情低迷的情况下,Rug pull 和钓鱼等各类安全事件反而更加频发,一些 Web 2 的攻击方式在 Web 3 领域依旧活跃。各项目方和用户都应该提升安全意识,保管好自己的私钥,不要轻易点击来路不明的链接,对各类信息进行多渠道验证。
Web 防钓鱼利器:https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
*特别鸣谢 Footprint Analytics 对本报告的图表及数据支持。本报告中所有图表均可通过以下链接进行在线查看:https://www.footprint.network/@Beosin/Footprint-Beosin-Q2-Report
免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。
