2024 年 Q3 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 7.3 億美元。
作者:Eaton,Beosin 研究團隊
*本報告由 Beosin、Footprint Analytics 聯合出品,公眾號後台回復 “Q3” 可獲取報告完整版。
1、2024 年上半年 Web3 區塊鏈安全態勢綜述
據 Beosin Alert 監控及預警顯示,2024 年 Q3 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 7.3 億美元。 其中主要攻擊事件 23 起,總損失金額約 4.3 億美元; 專案方 Rug Pull 事件 3 起,總損失約 424 萬美元; 釣魚詐騙總損失金額約 2.95 億美元。
2024 年 Q3 釣魚造成的損失大幅上漲,攻擊與 Rug Pull 相比上半年持續下降。
從被攻擊專案類型來看,損失最高的專案類型為 CEX,3 次針對 CEX 的攻擊共造成了約 2.97 億美元的損失,約佔所有攻擊損失金額的 40.6%。
從各鏈損失金額來看,Ethereum 依舊為損失金額最高、攻擊事件最多的鏈。 21 次 Ethereum 上的攻擊與釣魚事件造成了 3.48 億美元的損失,約佔總損失的 47.6%。
從攻擊手法來看,Q3 共發生 5 次私鑰洩露事件,造成損失達到了 3.05 億美元,約佔總攻擊損失金額的 41.7%,是佔比最高的攻擊類型。
從資金流向來看,僅約有 1690 萬美元被盜資金被凍結或追回。 絕大部分(約 78.9%)被盜資金仍存儲在攻擊者的鏈上位址。
從審計情 況來看,被攻擊的專案中,經過審計的專案方比例有所增加。
2、被攻擊項目類型
CEX 為損失金額最高的項目類型
2024 年 Q3 ,損失最高的項目類型為 CEX,3 次針對 CEX 的攻擊共造成了約 2.97 億美元的損失,佔所有攻擊損失金額的 40.6%。 CEX 安全事件雖然次數不多,但每次被盜金額都巨大,凸顯了當前交易所生態的安全態勢不容樂觀。
緊隨其後損失排在第二位的受害者類型為使用者錢包。 8 次針對使用者錢包的釣魚與社會工程學攻擊對普通使用者造成了約 2.95 億美元的損失,佔比約 40.3%。 和 2024 年上半年相比,Q3 針對普通用戶的攻擊和造成的損失有了大幅增加。
23 起駭客攻擊事件中,共有 12 起事件發生在 DeFi 領域,佔比約 52.1%,是攻擊次數最多的專案類型,這 12 次 DeFi 攻擊事件共導致了超過 4560 萬美元的損失,排在所有項目類型的第四位。
其他被攻擊的項目類型還包括:基礎設施、代幣等。 其中針對公鏈及跨鏈橋的攻擊造成的損失金額達 8500 萬美元,排在所有項目類型的第三位。
3、各鏈損失金額情況
Ethereum 為損失金額最高、攻擊事件最多的鏈
和 2024 上半年相同的是,在 Q3,Ethereum 依舊是損失金額最高的公鏈。 21 次 Ethereum 上的攻擊與釣魚事件造成了 3.48 億美元的損失,佔到了總損失的 47.6%。
損失金額排名第二的公鏈為 BTC,共計損失 2.38 億美元,約佔總損失的 32.5%。 BTC 損失金額來自於一次針對某巨鯨地址的社會工程學攻擊。
損失金額排名第三的公鏈為 Luna(6500 萬美元),攻擊者利用了 ibc-hooks 超時回調中的重入漏洞對 Luna 進行了攻擊。
按照安全事件數量排名,前兩名分別為 Ethereum(21 次)、BNB Chain(4 次)。 各鏈生態的安全事件數量較上半年有所下降。
4、攻擊手法分析
約 41.7% 的損失金額來自私鑰洩露事件
2024 年 Q3,共發生 5 次私鑰洩露事件,造成損失達到了 3.05 億美元,約佔總攻擊損失金額的 41.7%。 和上半年相同,私鑰洩露事件造成的損失依舊是所有攻擊類型的第一位。 造成較大損失的私鑰洩露事件有:WazirX(2.3 億美元)、BingX(4500 萬美元)、Indodax(2200 萬美元)。
損失金額排名第二的攻擊手法為社會工程學攻擊,1 次社會工程學攻擊造成損失 2.38 億美元。
23 起攻擊事件中,有 18 起來自合約漏洞利用,佔比約 78%。 合約漏洞利用總損失達 1.28 億美元,排名第三。
按照漏洞細分,造成損失前三名的漏洞分別為:重入漏洞(9346 萬美元)、業務邏輯漏洞(約 209 萬美元)、校驗漏洞(1001 萬美元)。 出現次數最高的漏洞為業務邏輯漏洞,18 起合約漏洞攻擊中有 7 次是業務邏輯漏洞。
5、反洗錢典型事件分析回顧
5.1 Beosin Trace 對 LI.FI 事件進行追蹤分析
7 月 16 日,據 Beosin Alert 監控預警發現跨鏈協定 LI.FI 遭受攻擊,攻擊者利用項目合約中存在的 call 注入漏洞,盜取授權給合約的用戶資產。
LI.FI 項目合約存在一個 depositToGasZipERC20 函數,可將指定代幣兌換為平臺幣並存入 GasZip 合約,但是在兌換邏輯處的代碼未對 call 調用的數據進行限制,導致攻擊者可利用此函數進行 call 注入攻擊,提取走給合約授權使用者的資產。
本次事件除了 call 注入的合約漏洞外,還有一點值得注意,即 Diamond 模式下,Facet 合約的配置問題。 進一步分析發現,GasZipFacet 合約是在被攻擊的 5 天前部署,並在被攻擊前十多個小時由專案的多簽管理員在 LI.FI 主合約進行註冊的。
所以,通過這次事件可以發現,對於 Diamond 這類可升級模式,新增功能合約的安全性也需要得到高度重視。
Beosin Trace 對被盜資金進行追蹤發現,損失金額包括 633.59 萬 USDT、319.19 萬 USDC、16.95 萬 DAI,約 1000 萬美元。
5.2 印度交易所 WazirX 被盜 2.35 億美元事件分析
7 月 18 日,據 Beosin Alert 監控預警發現印度交易所 WazirX 被攻擊,攻擊者獲取到交易所多簽錢包管理員的簽名數據,修改錢包的邏輯合約,讓錢包執行錯誤的邏輯,來盜取資產,涉及資金超 2.3 億美元。
Beosin Trace 對被盜資金進行追蹤,被盜資金部分的流線圖,目前來看,駭客已經將部分資金轉移進入 Changenow 與 Binance 交易所,其中 0xf92949ab576ac2f8dc9e4650e73db083f1f9cd9f 為駭客在 Binance 的充幣位址。
另一方面,駭客向位址 0x35fe... 745CA 轉移 8010 億枚 SHIB,價值高達 1402 萬美元,進行分批拋售。
6、被盜資產的資金流向分析
據 Beosin KYT 反洗錢平臺分析顯示,2024 年 Q3 被盜的資金中,僅有 1690 萬美元被盜資金被凍結或追回。 該比例較上半年年顯著下降。
約有 5.77 億美元(約 78.9%)的被盜資金還保留在駭客位址。 隨著全球監管機構反洗錢力度的加大,駭客清洗贓款變得更加困難,因此相當一部分駭客選擇暫時將盜取資金保留在鏈上位址。
約有 1.02 億美元的被盜資金轉入了各交易所,佔比約 13.9%,該比例高於 2024 上半年。
共有 3471.3 萬美元(5.4%)轉入了混幣器。 和上半年相比,2024 年 Q3 通過混幣器清洗的被盜資金再次大幅減少。
7、專案審計情況分析
經過審計的專案方比例有所增加
2024 年 Q3 ,23 起攻擊事件裡,有 4 起事件的專案方沒有經過審計,16 起事件的專案方經過了審計。 經過審計的專案方比例高於上半年,這表明整個 Web3 行業專案方對安全的重視程度有所提高。
4 個沒有經過審計的專案中,合約漏洞事件佔了 3 起(75%)。 16 個經過審計的專案中,合約漏洞事件佔了 11 起(68.75%)。 兩者整體比例大致相當。 和上半年相比,2024 年整體安全審計品質有所下滑。
8、2024 年上半年 Web3 區塊鏈安全態勢總結
和 2023 年同期相比,2024 年 Q3 因駭客攻擊、釣魚詐騙、專案方 Rug Pull 造成的總損失略有下降,達到了 7.3 億美元(2023 年 Q3 這一數位為 8.89 億美元)。 2024 年 Q3 幣價下跌等因素對總金額的減少有一定的影響,但總體而言,Web3 安全領域形勢依舊不容樂觀。
和上半年相同,2024 Q3 造成危害最大的攻擊類型依舊為私鑰洩露。 約 41.7% 的損失金額來自私鑰洩露事件。 從專案類型來看,私鑰洩露事件遍佈於 Web3 各個領域:遊戲平臺、代幣合約、個人錢包、基礎設施、交易所等。 各個 Web3 專案方/個人使用者都需要提高警惕,離線存儲私鑰、使用多重簽名、謹慎使用第三方服務、對特權員工進行定期安全培訓。
Q3 僅有 5.4% 的被盜資產轉入了各類混幣器,另外有 78.9% 的資產還保留在駭客位址,這進一步說明了駭客清洗贓款難度的增加。 Q3 依舊有 13.9% 的被盜資金轉入了各交易所,這需要交易所及時識別駭客行為,積極配合執法機構和專案方凍結資金和進行調證。 目前交易所和執法機構、專案方、安全團隊的合作已經有了較為明顯的成果,相信未來會有更多被盜資金能夠追回。
Q3 的 23 起攻擊事件中,依然有 18 起來自合約漏洞利用,建議專案方在上線前尋求專業的安全公司進行審計。 Beosin 作為一家全球領先的區塊鏈安全公司,致力於 Web3 生態的安全發展,已審計智慧合約和公鏈主網超 3000 份,作為一家可信賴的區塊鏈安全公司,可以為專案方提供卓越的安全審計服務。
免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
