从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。

封面:Photo by Andrew Kliatskyi on Unsplash

*本报告由 Beosin、SUSS NiFT、LegalDAO、Footprint Analytics 联合出品,Beosin 公众号后台回复 “Q1” 可获取报告完整版。。

数据图表可在此处查阅:Footprint Analytics: Crypto Analysis Dashboards

1. 2023 第一季度 Web3 安全态势综述

2023 年第一季度,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元,较 2022 年第 4 季度下降了约 77%。2023 年第一季度的总损失金额低于 2022 年的任何一个季度。

除攻击事件外,2023 年第一季度还监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
图片从月份来看,3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7%。

从被攻击项目类型来看,DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。42 次安全事件总损失金额达到了 2.48 亿美元 ,占总损失金额的 84%。

从链平台类型来看,80.8% 的损失金额来自 Ethereum,居所有链平台的第一位。

从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击,8 次闪电贷事件损失约 1.98 亿美元;攻击手法频率最高的为合约漏洞利用,27 次攻击占所有事件数量的 44%。

从资金流向来看,本季度约有 2 亿美元的被盗资产得以追回。本季度资金追回的情况优于 2022 年的任何一个季度。

从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。

2. 攻击事件总览

2023 年第一季度,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元。其中损失金额超过 1 亿美元的安全事件共 1 起(Euler Finance 闪电贷攻击事件损失 1.97 亿美元)。损失 1000 万美元-1 亿美元区间的事件 2 起,100 万美元-1000 万美元区间的事件 17 起。
图片图片从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7%。

3. 被攻击项目类型

84% 的损失金额来自 DeFi 类型

随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi 的 TVL 随着币价在一季度震荡回升。
图片2023 年第一季度,DeFi 类型项目共发生 42 次安全事件,占总事件数量的 68.9%。DeFi 总损失金额达到了 2.48 亿美元 ,占总损失金额的 84%。DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。

NFT 类型损失金额排名第二(1852 万美元),主要来自于 NFT 钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第 2-4 位均和用户安全紧密相关。

2023 年第一季度仅发生了 1 次跨链桥安全事件,损失金额为 13 万美元。而在 2022 年,12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。在 2022 年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。图片

4. 各链平台损失金额情况

80.8% 的损失金额来自 Ethereum

2023 年第一季度,Ethereum 链上共发生主要攻击事件 17 起,损失金额约为 2.38 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 80.8%。
图片BNB Chain 上监测到了最多的攻击事件,达到了 31 起。其总损失为 1948 万美元,排所有链平台损失的第二位。

损失排名第三的公链为 Algorand,损失来自于 MyAlgo 钱包被盗事件。Algorand 链在 2022 年没有发生过主要安全事件。

值得一提的是,2022 年 Solana 链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。
图片

5. 攻击手法分析

本季度损失金额最高的攻击手法为闪电贷,8 次闪电贷事件损失约 1.98 亿美元,占所有损失金额的 67%。

攻击手法频率最高的为合约漏洞利用,27 次攻击占所有事件数量的 44%。合约漏洞共造成 3905 万美元的损失,为所有攻击类型损失金额的第二位。

2023 年第一季度,DeFi 类型项目被攻击了 42 次,其中有 22 次都源于合约漏洞利用。DeFi 项目方需要尤其注重合约的安全性。

按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17 次业务逻辑/函数设计不当漏洞共造成了 2244 万美元的损失。
图片图片

6. 典型案例攻击手法分析

6.1 Euler Finance 安全事件

事件概要

3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。


3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler“一直是一个安全意识强的项目”。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。

从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己 “搅乱了别人的钱,别人的工作,别人的生活” 并请求大家的原谅。
图片4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

漏洞分析

在本次攻击中,Etoken 合约的 donateToReserves 函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了 1 亿个 eDAI,而实际上攻击者只质押了 3000 万个 DAI。
由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI 和 dDAI 会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有 310.93M 个 eDAI 和 259.31M 个 dDAI。

此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是 eDAI 和 dDAI 的差值。但池子中实际上只有 3890 万 DAI,所以用户只能提取这部分金额。

6.2 BonqDAO 安全事件

事件概要

2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。

漏洞分析

本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。

BonqDAO 平台采用的预言机使用函数 ‘getCurrentValue’ 而不是 ‘getDataBefore’。黑客通过质押 10 个 TRB 代币(价值仅约 175 美元)成为了价格报告者,并通过调用 submitValue 函数修改预言机中 WALBT 代币的价格。价格设置完成之后,攻击者调用 Bonq 合约的 createTrove 函数,创建 trove 合约,并向该合约中抵押了 0.1 个 WALBT 代币进行借款操作。正常来说,借款额度应该是小于 0.1 个 WALBT 的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过 TellorFlex 合约来进行实现的。而在上一步,攻击者已经把 WALBT 价格拉得异常高,导致攻击者在本次借款中,借出了 1 亿枚 BEUR 代币。攻击者在第二笔交易中将 WALBT 价格设置得异常低,从而使用少量的成本将其他用户所抵押的 WALBT 代币清算出来。

6.3 Platypus Finance 安全事件

事件概要

2 月 17 日,Avalanche 平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。
2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。

漏洞分析

攻击原因是 MasterPlatypusV4 合约中的 emergencyWithdraw 函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的 borrowLimitUSP(借贷上限),而没有检查用户是否归还债务的情况。

攻击者首先通过 AAVE 合约闪电贷借出 4400 万枚的 USDC 存入 Pool 合约中,然后 mint 了 4400 万枚 LP-USDC。接着攻击者调用 borrow 函数借出了 4179 万枚 USP,下一步立马调用了 EmergencyWithdraw 函数。
图片在 EmergencyWithdraw 函数中有一个 isSolvent 函数来验证借贷的余额超过可借贷最大值,返回 true 就可以进入 transfer 操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的 4400 万枚 LP-USDC。

7. 资金流向分析

2023 年第一季度,约有 $200,146,821 的被盗资产得以追回,占所有被盗资产的 67.8%。其中,Euler Finance 被盗的 1.97 亿美元资产已经全部被黑客返还。更多追回的例子包括:2 月 13 日,攻击 dForce 的黑客返还了全部盗取的 365 万美元资金;3 月 7 日,攻击 Tender.fi 的白帽黑客返还了盗取资金并获得了 62 ETH 的赏金。本季度资金追回的情况优于 2022 年的任何一个季度。
图片Beosin KYT 反洗钱分析平台发现约有 2313 万美元(7.8%)的资产转入了 Tornado Cash,另外有 254 万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年 8 月 Tornado Cash 遭受制裁以来,转入 Tornado Cash 的被盗资金比例自 2022 年 Q3 开始就呈现持续下降趋势。
同时,Beosin KYT 反洗钱分析平台发现约有 6002 万美元(20.3%)的资产还停留在黑客地址余额。还有约 932 万美元(3.1%)的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。

8. 项目审计情况分析

2023 年第一季度遭到攻击的项目中,除开 8 个无法用是否审计衡量的事件(如一些个人用户遭受的钓鱼攻击等),在剩下被攻击的项目中,接受过审计的有 28 个,未接受审计的有 25 个。

本季度共有 27 起合约漏洞利用导致的攻击事件,其中审计过的项目有 15 个(损失约 3119 万美元),未审计的有 12 个(损失约 786 万美元)。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。
图片

Rug Pull 分析

2023 年第一季度,Web3 领域共监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
从金额来看,6 起(14.6%)Rug Pull 事件金额在 100 万美元之上,10 万至 100 万美元区间的事件共 12 起(29.2%),10 万美元以下的事件共 23 起(56%)。
图片41 起 Rug Pull 事件中,有 34 个项目部署在 BNB Chain,占到了 83%。为何众多诈骗项目选择 BNB Chain 呢?原因可能有如下几点:

1)BNB Chain GAS 费用更低,出块时间间隔也更短。2)BNB Chain 活跃用户更多。诈骗项目会优先选择活跃用户多的公链。3)BNB Chain 的用户使用 Binance 出入金更方便快捷。
图片

9.2023 Q1 安全态势总结

从总体上来看,2023 年第一季度攻击事件总损失金额低于 2022 年任何一个季度,资金追回情况也优于 2022 年所有季度。在黑客猖獗的 2022 年过去之后,Web3 领域的总体安全性在这一季度得到了较大的提升。
DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。DeFi 领域共发生 42 次安全事件,其中 22 次都源自合约漏洞利用(22 个项目审计和未审计的项目各有 11 个)。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。

本季度用户安全也是值得关注的重点。随着本季度 Blur 带领 NFT 市场重回火热,随之而来的 NFT 钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件 -- 每一个环节都必须时刻保持警惕。

本季度 Rug Pull 事件依旧频发,其中 56% 的项目跑路金额在 10 万美元以下。这类项目通常官网、推特、电报、Github 等信息缺失,没有 Roadmap 或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。

下一篇文章,我们将为大家分享报告里第二部分加密行业监管政策总结的部分,请继续关注 Beosin。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。本文内容仅用于信息分享,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。