公众号后台回复 “Q1” 可获取报告完整版。

封面:Photo by FLY:D on Unsplash

本报告由 Beosin 学院、Elven、Footprint Analytics 联合出品,公众号后台回复 “Q1” 可获取报告完整版。
本章作者:Beosin 研究团队 Mario、田大侠 Donny*注意:部分图片被微信后台压缩,完整版报告可阅读高清版本。

1. 2024 年 Q1 Web3 区块链安全态势综述

据 Beosin Alert 监控及预警显示,2024 年第一季度 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 7.78 亿美元。其中主要攻击事件 39 起,总损失金额约 6.17 亿美元;项目方 Rug Pull 事件 43 起,总损失约 7550  万美元;钓鱼诈骗总损失金额约 8624 万美元。

2024 年第一季度总损失约 7.78 亿美元,同比增长约 126%,环比增长约 72%。其中黑客攻击事件损失金额高于 2023 年的任何一个季度。

2 月的总损失金额达到了 4.22 亿美元,为 2024 年第一季度损失金额最高的月份。

从被攻击项目类型来看,游戏平台首次成为损失金额最高的项目类型。6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失,占所有攻击损失金额的 59%。

从各链损失金额来看,Ethereum 依旧为损失金额最高、攻击事件最多的链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失,占到了总损失的 55.4%。

从攻击手法来看,本季度共发生 13 次私钥泄露事件,造成损失达到了 4.58 亿美元,占到了总攻击损失金额的 74.3%,是占比最高的攻击类型。

从资金流向来看,本季度大部分被盗资产被冻结和追回。约有 3.03 亿美元(49.2%)被盗资金被冻结,7945 万美元(12.9%)被盗资金被追回。

从审计情‍‍况来看,被攻击的项目中,经过审计的项目方比例有所增加。

2. 2024 年 Q1 攻击事件总览

39  起主要攻击事件共造成损失 6  亿 1670  万美元

2024 年第一季度,Beosin Alert 共监测到 Web3 领域主要攻击事件 39 起,总损失金额达 6 亿 1670  万美元。其中损失金额超过 1 亿美元的安全事件共 2 起,损失在 1000  万美元 - 1 亿美元区间的事件共 5 起,100  万美元 - 1000  万美元区间的事件 21 起。

损失金额超过千万美元的攻击事件(按金额排序):

● PlayDapp - 2.9  亿美元    

攻击方式:私钥泄露 链平台:Ethereum

2 月 9 日,区块链游戏平台 PlayDapp 遭到攻击,黑客地址铸造了 2 亿枚 pla 代币,价值 3650  万美元。而后 PlayDapp 与黑客谈判失败,黑客于 2 月 12 日又铸造了 15.9 亿枚 PLA 代币,价值 2.539 亿美元,并将部分资金发送到 Gate.io 交易所。事后项目方将 PLA 合约暂停,并将 PLA 代币迁移到了 PDA 代币。

● Chris Larsen (Ripple 联合创始人) - 1.12  亿美元

攻击方式:私钥泄露 链平台:XRP

1 月 31 日,Ripple 联合创始人 Chris Larsen 表示,自己的四个钱包遭到黑客攻击,共计被盗约 1.12 亿美元。币安团队已成功冻结了攻击者窃取的价值 420  万美元的 XRP。

● Munchables - 6230  万美元

攻击方式:社会工程学 链平台:Blast

3 月 26 日,基于 Blast 的 Web3 游戏平台 Munchables 遭遇攻击,损失约 6250  万美元。疑似项目方因雇佣朝鲜黑客为开发者而遭受攻击。事后所有被盗资金已由黑客归还。

● FixedFloat - 2610  万美元

攻击方式:安全结构漏洞 链平台:Ethereum

2 月 17 日,加密交易所 FixedFloat 遭遇攻击,损失约 2610  万美元,黑客已将大部分被盗资金转移到了 eXch 交易所。2 月 20 日,FixedFloat 表示,此事攻击” 不是我们的员工所为,而是一次由我们安全结构漏洞引起的外部攻击 “。

● Curio Ecosystem - 1600  万美元

攻击方式:合约漏洞 -  访问控制漏洞 链平台:Ethereum

3 月 23 日,RWA 基础设施 Curio Ecosystem 遭受攻击,损失约 1600  万美元。

● Somesing - 1158  万美元

攻击方式:私钥泄露 链平台:Klaytn

1 月 27 日,韩国 Web3 社交音乐服务遭受攻击,损失了 7.3 亿枚原生代币 SSX,价值 1158 万美元。

● Jihoz.ron (Ronin 联合创始人) - 1000  万美元

攻击方式:私钥泄露 链平台:Ronin

2 月 23 日,Ronin 联合创始人 jihoz.ron 的两个地址因私钥泄露损失约 1000  万美元。

3. 被攻击项目类型

游戏平台首次成为损失金额最高的项目类型

本季度损失最高的项目类型为游戏平台,6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失,占所有攻击损失金额的 59%。游戏平台首次成为损失金额最高的被攻击项目类型。

排在第二位的受害者类型为个人钱包。两次个人钱包被盗事件造成了 1.225 亿美元的损失。这两起个人钱包被盗事件均为知名项目方联合创始人被盗(Ripple 联创和 Ronin 联创)。

39 次黑客攻击事件中,共有 17 起事件发生在 DeFi 领域,占比约 43.6%。这 17 次 DeFi 攻击事件共导致了 3996 万美元的损失,排在所有项目类型的第三位。

其他被攻击的项目类型还包括:DEX、基础设施、支付平台、Web3 音乐平台等。

4. 各链损失金额情况

Ethereum 为损失金额最高、攻击事件最多的链

和 2023 年相同的是,Ethereum 依旧是损失金额最高的公链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失,占到了总损失的 55.4%。

损失金额排名第二的公链为 XRP,来自一次 Ripple 联合创始人 Chris Larsen 钱包被盗事件。

损失金额排名第三的公链为 Blast 。3 次 Blast 链上的攻击事件共造成 6750  万美元的损失。Blast 链在各大新兴公链中损失金额排名第一位。

本季度 BNB Chain 仅发生了 4 次主要安全事件,损失约 801 万美元,损失金额和事件数量排名都较 2023 年大大下降。

5. 攻击手法分析

74.3% 的损失金额来自私钥泄露事件

本季度共发生 13 次私钥泄露事件,造成损失达到了 4.58 亿美元,占到了总攻击损失金额的 74.3%。和 2023 年相同,私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有:PlayDapp(2.9 亿美元)、Ripple 联合创始人 Chris Larsen(1.12 亿美元)、Somesing(1158 万美元)、Ronin 联合创始人 Jihoz.ron(1000  万美元)。

39 起攻击事件中,有 21 起来自合约漏洞利用,总损失达 6556 万美元,排名第二。

损失金额排名第三的攻击手法为社会工程学攻击,3 次社会工程学攻击造成损失约 6500  万美元。

按照漏洞细分,造成损失前三名的漏洞分别为:算法缺陷(2278 万美元)、访问控制漏洞(1632 万美元)、业务逻辑漏洞(1128 万美元)。出现次数最高的漏洞分别为业务逻辑漏洞,21 起合约漏洞攻击中有 7 次是业务逻辑漏洞。

6. 反洗钱典型事件分析回顾

Atom Asset (AAX)  逃避反洗钱(AML)分析

近期,一家已倒闭的香港交易所 Atom Asset (AAX)  开始将资金从其钱包转移到各种去中心化交易所和中心化平台,据称是为了逃避反洗钱(AML)控制。在被发现之前,最后一次已知的涉及 AAX 交易所钱包的交易发生在 2023 年 10  月和 2022 年 11 月。在倒闭之前,AAX 是香港最大的加密货币交易所之一,拥有超过 200  万用户。

根据 Beosin 团队的分析,发现自 2024 年 1 月 29 日起,AAX 交易所开始将 25100 枚 ETH 从其交易所钱包向外转移,其中转移资金共分了三笔,分别是一笔 500ETH、一笔 600ETH、一笔 24000ETH。转移资金根据当前价格换算超 7400 万美元。

AAX 交易所事件来龙去脉

2022 年 11 月 13 日,就在加密货币交易所 FTX 申请破产后两天,AAX 也因交易对手风险暴露而停止提款并清除了所有社交渠道。最初,AAX 将冻结归因于针对涉嫌恶意攻击的安全措施。

2022 年 11 月 15 日,AAX 交易所发布声明表示其平台需要进行维护,除暂停提现外,将对衍生品进行自动清算。此后,AAX 停止了平台运行和社交媒体的更新。

而蹊跷的事就在于:沉寂 426 天后,AAX 交易所钱包开始活动,开始有大额资金开始转出至其它地址,尝试躲避 AML 工具的识别和监控!

link: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c

AAX 交易所事件链上资金分析

Beosin KYT 反洗钱分析平台对 AAX 交易所钱包近期的链上活动进行了深入研究,发现了一系列风险活动。首先,所有的 25100 枚 ETH 已被转移,操作人员采取了各种手段将部分 ETH 兑换为 USDT,然后通过跨链桥将资金转移到不同的区块链上,以进行资金的清洗。

Beosin KYT 反洗钱平台

其中,大部分资金被转移到了 Tron 区块链上,并通过一些地址进行中转,然后沉淀在某些地址中,未曾转移。这种行为表明了明显的逃避 AML 的企图,试图掩盖资金的真实来源和去向。

Beosin KYT 反洗钱平台

香港警方针对诈骗活动迅速采取行动,逮捕了两名与 AAX 相关的人员,目前正在努力绘制转移资金的路径并找回受影响用户的资产。

AAX 交易所利用去中心化交易所、加密货币兑换和跨链桥等技术手段,试图模糊资金流动的路径和来源。这为监管机构和 AML 分析平台带来了巨大的挑战。

7. 被盗资产的资金流向分析

大部分被盗资产被冻结和追回

据 Beosin KYT 反洗钱平台分析显示,2024 年第一季度被盗的资金中,约有 3.03 亿美元(49.2%)被盗资金被冻结,7945 万美元(12.9%)被盗资金被追回。该比例大大高于 2023 年。

约有 1.055 亿美元的被盗资金转入了各交易所,占比约 17.1%。和 2023 年相比,今年黑客向交易所转入被盗资金的比例大幅增加。这为交易所反洗钱和合规提出了更高的要求。

共有 3012 万美元(4.9%)转入了混币器:2990  万美元转入了 Tornado Cash;21.6 万美元转入了其他混币器。和去年相比,2024 年第一季度通过混币清洗的被盗资金大幅减少。

8. 项目审计情况分析

经过审计的项目方比例有所增加

39  起攻击事件里,有 12 起事件的项目方没有经过审计,24 起事件的项目方经过了审计。经过审计的项目方比例略高于 2023 年,这表明整个 Web3 行业项目方对安全的重视程度提高了。

12 个没有经过审计的项目中,合约漏洞事件占了 8 起(66.7%)。相比之下,24 个经过审计的项目中,合约漏洞事件占了 13 起(54.2%)。这显示出审计在一定程度上能够提高项目的安全性。

9. Rug Pul 分析

43  起 Rug Pull  事件共损失 7550  万美元

2024 年第一季度,共监测到项目方 Rug Pull 事件 43 起,涉及金额达 7550  万美元。

损失金额排名前 5 的 Rug pull 事件为:Bitforex(5650 万美元)、Hector Network(270 万美元)、MangoFarm(200 万美元)、OrdiZK(140 万美元)、RiskOnBlast(130 万美元)。这 5 起 Rug Pull 事件分布在 Ethereum、Fantom、Solana 和 Blast 四条链。

Ethereum 链上总共 Rug Pull 涉及金额达到了 5968 万美元,占总损失的 79%。BNB Chain 链上发生了最多的 Rug Pull 事件,共 29 次,占总事件数量的 67.4%。

10. 2024 年 Q1 Web3 区块链安全态势总结

和上个季度相比,2024 年第一季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 7.78 亿美元。本季度币价上涨因素对总金额的增加有一定的影响,但总体而言,Web3 安全领域形势依旧不容乐观。

本季度造成危害最大的攻击类型为私钥泄露,约 74.3%  的损失金额来自私钥泄露事件,这一趋势和 2023 年数据一致。从项目类型来看,私钥泄露事件遍布于 Web3 各个领域:游戏平台、DeFi、个人钱包、基础设施、NFT、支付平台、博彩平台、数据存储平台等。各个 Web3 项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。

本季度大部分资产被冻结和追回,这标志着全球监管体系的完善和反洗钱力度的加强。本季度黑客向交易所转入被盗资金的比例也大幅增加,这需要交易所及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,相信未来会有更多被盗资金能够追回。

本季度 39 起攻击事件中,依然有 21 起来自合约漏洞利用,建议项目方在上线前寻求专业的安全公司进行审计。Beosin 作为一家全球领先的区块链安全公司,致力于 Web3 生态的安全发展,已审计智能合约和公链主网超 3000  份,作为一家可信赖的区块链安全公司,可以为项目方提供卓越的安全审计服务。

免责声明:作为区块链信息平台,本站所发布文章仅代表作者及嘉宾个人观点,与 Web3Caff 立场无关。文章内的信息仅供参考,均不构成任何投资建议及要约,并请您遵守所在国家或地区的相关法律法规。