看看 Q2 發生了什麼?
封面: Photo by Clint Patterson on Unsplash
PDF 完整版:點此下載
2022 第二季度 Web3 安全態勢綜述
主要攻擊事件超 48 起,總損失約 7 億 1834 萬美元
2022 年第二季度,Beosin 鏈必應-區塊鏈安全態勢感知平台共監測到 Web 3 領域主要攻擊事件超 48 起,總損失約 7 億 1834 萬美元,較第一季度的 12 億美元下降約 40%,約是 2021 年第二季度損失(2 億 9656 萬美元)的 2.42 倍。
2022 年 1-6 月,Web 3 領域因攻擊事件損失的總金額已達約 19 億 1287 萬美元。
從時間上來看, 4 月是黑客攻擊最活躍的月份,5 月攻擊事件數量和損失金額都出現了大幅下降,6 月黑客活躍度有回升趨勢。
從被攻擊項目類型來看, DeFi 依舊是被攻擊次數最多的項目類型,約 79.2% 的攻擊發生在 DeFi 領域。
從 TVL(總鎖倉價值)來看,所有的鍊和被攻擊的項目的 TVL 值在 5 月都出現了大幅下降。大部分項目在遭受攻擊的時間點之後都會出現 TVL 驟降的情況。
從鏈平台來看,本季度 Ethereum 上損失的金額最多,達到了 3 億 8135 萬美元。被攻擊頻率最高的鍊為 BNB Chain,達到了 26 次。
從攻擊手法來看,最常見的攻擊手法依舊為合約漏洞利用和閃電貸。約有 45.8% 的攻擊為合約漏洞利用。因閃電貸造成的損失達 2 億 3300 萬美元,居各種攻擊方式損失金額第一位。
從資金流向來看,約 4 億 1889 萬美元的被盜資金被黑客轉入了 Tornado.cash,佔該季度總被盜金額的 58.3%。
從審計情況來看,被攻擊的項目中,僅有 52% 的項目經過了審計。
其他方面,本季度共監測到鏈上主要 Rug pull 事件超 43 起,項目方共計捲走約 3426 萬 6402 美元。據不完全統計,Discord 服務器被黑案例超 151 個。Rug pull 和釣魚安全事件在 5、6 月份頻發。
攻擊事件總覽
4 月是本季度黑客攻擊最活躍的月份
2022 第二季度,共監測到 Web 3 領域主要攻擊事件超 48 起,總損失約 7 億 1834 萬美元。其中損失達一億美元及以上的攻擊事件 3 起,千萬美元以上的攻擊事件共 12 起,百萬美元以上的攻擊事件共 28 起。損失最高的前三為 Beanstalk Farms、Elrond 和 Harmony,分別為 1 億 8200 萬美元、1 億 1300 萬美元和 1 億美元。
從時間上來看,2022 年 4 月是本季度黑客攻擊最活躍的月份,共發生 19 起主要安全事件,損失約為 3 億 7489 美元。5 月攻擊事件數量和損失金額都大幅減少,或與 5 月整個加密貨幣市值大幅縮水有關。6 月雖然行情並未見回暖趨勢,但黑客攻擊頻率和項目損失金額卻較 5 月大幅增加。
被攻擊項目類型
79.2% 的攻擊發生在 DeFi 領域
和第一季度相同,DeFi 依舊是被攻擊次數最多的項目類型,約 79.2% 的攻擊發生在 DeFi 領域。其損失總金額約為 4 億 5474 萬美元,占到了 Q2 總損失金額的 63.3%。
本季度依舊發生了兩起跨鏈橋攻擊事件,累計損失金額約為 1 億美元。在 2022 年第一季度,4 次跨鏈橋攻擊的總損失為 9 億 5000 萬美元。至此,2022 年上半年因跨鏈橋攻擊造成的損失金額已達 10 億 5000 萬美元。
被攻擊項目 TVL 分析
部分項目在被攻擊後 TVL 直接歸零
從部分被攻擊項目的 TVL 來看,5 月幾乎所有項目 TVL 都出現了集體縮水。大部分項目在遭受攻擊的時間點之後都會出現 TVL 驟降的情況。一些項目在被攻擊後 TVL 直接歸零,例如 Beanstalk、Blizz Finance。
從被攻擊項目與被攻擊時間的 TVL 比例來看,大部分情況下損失金額在項目 TVL 的 30% 以下。其中也有個別項目如 Blizz Finance、Beanstalk,損失達到了 TVL 的 100% 甚至 500%。
各鏈平台損失金額情況
Ethereum 上損失金額最多,BNB Chain 攻擊事件最多
本季度 Ethereum 上損失的金額最多,達到了 3 億 8135 萬美元。被攻擊頻率最高的鍊為 BNB Chain,達到了 26 次。
和上一季度相比,連續兩個季度都發生過攻擊事件的鏈包括 Ethereum、BNB、Fantom 和 Cronos。在第一季度因 2 次攻擊事件造成了 3 億 7400 萬美元的損失的 Solana 鏈,在本季度並未監測到重大安全事件。
第二季度,所有的鏈 TVL 值在 5 月都出現了大幅下降。TVL 排名前 2 的 Ethereum 和 BNB Chain 仍然是黑客攻擊的主要目標。本季度攻擊事件總共損失了 7 億 1834 萬美元,比 6 月時 Osmosis、Elrond、Metis 加起來的 TVL 總值都還要多。
從 DeFi 項目來看,以太坊上被攻擊的 DeFi 項目金額最多,但佔二季度 TVL 均值的比例並不高,Metis 鏈損失的金額佔 TVL 比例反而最高。佔比最小的為 Avalanche。
從 DeFi 協議被攻擊的次數上看,二季度 BNB Chain 上被攻擊的 DeFi 協議佔其總協議數量的比例最高,達到了 7%。Metis 上 DeFi 生態還不夠豐富,雖然僅 1 筆攻擊,但不論在筆數和金額上都佔比較高。
攻擊手法分析
最常見的攻擊手法依舊為合約漏洞利用和閃電貸
合約漏洞利用為本季度最常見的攻擊手法,22 次攻擊為合約漏洞利用,頻次占到了 45.8%,因合約漏洞造成的總損失約為 1 億 3800 萬美元。第二常見的攻擊方式為閃電貸,本季度共發生 9 次閃電貸攻擊,造成的損失達 2 億 3300 萬美元,居各種攻擊方式損失金額第一位。
和第一季度相同的是,Web3 領域最常見的攻擊手法依舊為合約漏洞利用和閃電貸(第一季度的數據分別為 50% 和 24%)。此外,因私鑰洩露導致的損失仍然達到了 1 億 315 萬美元,私鑰安全問題依舊值得重視。
本季度被利用的漏洞主要包括:業務邏輯/函數設計不當、驗證問題、權限問題、k 值校驗問題、重入漏洞和 call 注入漏洞。其中利用次數最多的漏洞為業務邏輯/函數設計不當,遠高於其他漏洞。重入漏洞在本季度被黑客利用了 1 次,造成的損失卻達到了 8034 萬美元。
典型案例攻擊手法分析
被攻擊兩次的 Inverse Finance
事件詳情
2022 年 4 月 2 日,Inverse Finance 項目遭受價格操縱攻擊,累計損失估計大約 1500 萬美元。攻擊的主要原因在於 TWAP 預言機使用的時間窗口太短。在計算 Xinv 代幣價格時,依靠 WETH/INV 這個 pair 去計算。由於 pair 這個池子已經被操縱了,再加上 timeElapsed 間隔時間短,那麼攻擊者需要滿足不在當前區塊調用,就可以操縱 xINV 代幣的價值。
2022 年 6 月 16 日,Inverse Finance 再次遭受黑客攻擊,黑客獲利 120 萬美元。主要原因在於項目合約在計算抵押品價格時,使用了 balanceOf 函數,攻擊者得以通過大額兌換將抵押品 anYvCrv3Crypto 的價格拉高。
安全建議:獲取代幣價格時應避免依賴於代幣實時餘額,而應使用 TWAP 類型的價格預言機,並設置足夠的時間窗口。
Akutars:由於智能合約漏洞,3400 萬美元被鎖定無法提取
事件詳情:
2022 年 4 月 24 日,NFT 項目 Akutars 因智能合約漏洞導致 3400 萬美元被鎖定無法提取。值得注意的是,該項目的合約沒有經過安全公司的審計。經分析,發現 Akutars 的合約包含有兩個漏洞。
漏洞一:
第一個合約漏洞在 processRefunds 中,設計者根據 refundProgress 計數器進行循環退款。而這裡使用了 call 函數進行退款操作,且把退款的結果作為 require 的判定條件。因此如果此時有攻擊者在隊列中進行退款操作,調用 call 退款給攻擊者時,攻擊者在 fallback 中進行進行惡意的 revert,則會導致隊列後面的所有人都無法進行退款。這個漏洞所幸沒被攻擊者進行實際利用。
漏洞二:
該漏洞是導致價值約 3400 萬美元資產被鎖死在合約中的直接原因。
在 claimProjectFunds 函數中,該函數主要用於項目方提款。函數中 require(refundProgress > = totalBids),此處 refundProgress 表示已經處理了多少個用戶的退款,totalBids 表示所有用戶總投標了多少個 NFT。由於一個用戶可以投標多個 NFT,導致單從數值上比較,refundProgress 可能小於 totalBids。
而退款函數 processRefunds 中:require(_refundProgress < _bidIndex); bidIndex 表示所有參與競標的用戶,refundProgress 永遠不會高於 bidIndex。而 bidIndex 的值為 3669,totalBids 的值為 5495。
因此,refundProgress>=5495 且 refundProgress<3669 這個判斷條件永遠不會成立,項目方團隊將永遠無法執行後續的提款操作。此處應將 refundProgress 與 bidIndex 做對比,開發者犯了一個很低級的錯誤。這最終導致了項目方 3400 萬美元的資產被鎖定無法提取。
安全建議:項目上線前的專業安全審計非常有必要。
Beanstalk Farms:黑客獲利近 8000 萬美元,惡意提案如何防範?
2022 年 4 月 17 日,算法穩定幣項目 Beanstalk Farms 遭到閃電貸攻擊,黑客獲利近 8000 萬美元,協議損失達 1 億 8200 萬美元。這是本季度損失金額最高的項目。
回顧本次攻擊,攻擊者在前一天發起提取 Beanstalk: Beanstalk Protocol 資金的提案,然後調用 emergencyCommit 進行緊急提交來執行提案。這是要因為項目方規定提案後 1 天才能開始投票。
攻擊過程中,攻擊者利用 “投票合約中的票數由賬戶的提案代幣持有量計算得到” 的漏洞,通過閃電貸借出價值 10 億美元的巨額資金,換取代幣後投入到礦池中,臨時獲得巨額的提案代幣,保證了提案不需要其他人投票也能通過。最終提案通過並執行,攻擊者成功提取項目方資金,隨後兌換並償還閃電貸,獲利離場。
安全建議:
1. 投票所用資金應在合約中鎖定一定時間,避免使用賬戶的當前資金餘額來統計投票數量;
2. 項目方和社區應關注所有提案,如果提案是惡意提案,建議在提案投票期間應及時做出處理措施,將提案廢棄,禁止其接受投票以及執行;
3. 可考慮禁止合約地址參與投票。
資金流向分析
約 4 億 1889 萬美元的被盜資金流入 Tornado.cash
從資金流向來看,在 2022 年第二季度,約 4 億 1889 萬美元的被盜資金被黑客轉入了 Tornado.cash,佔該季度總被盜金額的 58.3%。另外有 1 億 3100 萬美元的資產被追回,1 億 6845 萬美元的資產留在黑客地址暫未進行混幣或流入交易所。
數據表明,Tornado.cash 依舊為黑客進行洗錢的慣用途徑。本季度資金追回的情況優於上一季度,在一些情況下,項目方會和黑客通過鏈上信息進行協商,部分黑客會選擇返還一定數量的贓款以 “免於法律制裁”。
項目審計情況分析
僅有 52% 的項目經過了審計
被攻擊的項目中,僅有 52% 的項目經過了審計,而上個季度,該項比例為 70%。本季度經過審計的項目因攻擊造成的損失達 5 億 4763 萬美元,佔損失金額的 76.2%,遠高於上一季度。
雖然經過審計的項目損失金額仍達到了 5 億 4763 萬美元,但這並不意味著審計不再重要了。
隨著越來越多的安全公司踏足審計業務,審計市場參差不齊,魚龍混雜。由於一些不專業的公司,導致智能合約中一些本應該審計出的漏洞沒有審計出來,因此一些項目方和投資者開始質疑審計的必要性和專業性,認為 “審計了也是白審”。例如,本季度合約漏洞中最常出現的 “業務邏輯/函數設計不當”,這類漏洞是完全可以在審計階段發現的。因此建議項目方一定在項目上線前要尋找專業的安全公司進行審計。
Rug pull 分析
項目方共計捲走約 3426 萬 6402 美元
Rug pull 通常指的是開發人員撤出 DEX 流動性池或突然放棄一個項目,毫無徵兆地就捲走投資者的資金,通俗來講就是 “跑路”。2022 年第二季度,共監測到鏈上主要 Rug pull 事件 43 起,項目方共計捲走約 3426 萬 6402 美元。
攻擊事件數據表明,5 月黑客活躍度大幅降低,然而與之不同的是,5 月卻是 Rug pull 最高頻的月份。在 5 月各公鍊和項目 TVL 大幅縮水的情況下,一些項目方選擇了 Rug pull,導致一大批投資者受損。其原因或許是無法繼續運營,或許是認為 “與其等著 TVL 歸零,不如自己先跑路”,或許是本就預謀好跑路,只是 TVL 急劇的下降加速了這一過程。
Discord 釣魚分析
本季度 Discord 釣魚案例頻發
據不完全統計,2022 年第二季度,Web3 領域共有包括 Opensea、BAYC、Moonbirds、RTFKT、Akutars、Doodles、Otherside 在內的超 151 個 Discord 服務器被黑,其中 5 月、6 月尤為嚴重。其中個別服務器在本季度內被攻擊了兩次甚至三次。
和 Rug pull 數據類似的是,在市場行情低迷的情況下,釣魚類安全事件或許反而會增多。本季度出現的 Discord 釣魚方式形式繁多,例如機器人賬號被黑、偽裝管理員或機器人私信發送釣魚鏈接、通過社交媒體散播高仿 Discord 邀請鏈接等等。越是熊市,用戶和項目方反而越是應該提高反詐意識,保護好自己的資產安全。
總結頁
2022 年第二季度,DeFi 安全仍然是值得關注的焦點,約 79.2% 的攻擊發生在 DeFi 領域。連續兩個季度,DeFi 一直都是黑客攻擊的重點對象。而 NFT、跨鏈橋、交易所安全事件雖然頻次沒有 DeFi 那麼高,但個別事件涉及金額也很巨大。因此,Web 3 各類型項目方都應加強安全意識,做好安全防護工作。
本季度約有 45.8% 的攻擊為合約漏洞利用,其中絕大部分漏洞都可以在審計階段發現和進行修復。而在本季度被攻擊的項目中,僅有 52% 的項目經過了審計。建議項目在上線之前尋找專業的審計公司進行審計。
本季度,約 4 億 1889 萬美元的被盜資金被黑客轉入了 Tornado.cash 進行洗幣。另外約有 1 億 3100 萬美元的資產被追回,但追回方式大多是通過鏈上和黑客進行協商,讓黑客返還部分被盜資金。其實被盜資金進入龍捲風後不是毫無辦法。Beosin 在協助被盜資金追踪方面已積累了不少成功案例,包括一些資金進入龍捲風的情況。建議項目方在不幸遇到被黑時,除了和黑客協商返還,也可尋求一些專業的安全公司進行資金追踪。
本季度各公鍊和項目的 TVL 值都出現了較大波動,也有因為各類安全事件導致項目資金異常或出現風險交易的情況。建議項目方和投資者都因及時關注項目運行情況。Beosin【鏈必應-區塊鏈安全態勢感知平台】可以讓項目方和用戶及時發現風險交易,從而快速採取措施。
在本季度行情低迷的情況下,Rug pull 和釣魚等各類安全事件反而更加頻發,一些 Web 2 的攻擊方式在 Web 3 領域依舊活躍。各項目方和用戶都應該提升安全意識,保管好自己的私鑰,不要輕易點擊來路不明的鏈接,對各類信息進行多渠道驗證。
Web 防釣魚利器:https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
*特別鳴謝 Footprint Analytics 對本報告的圖表及數據支持。本報告中所有圖表均可通過以下鏈接進行在線查看:https://www.footprint.network/@Beosin/Footprint-Beosin-Q2-Report
免責聲明:作為區塊鏈信息平台,本站所發布文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。本文內容僅用於信息分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。