Web3 領域駭客攻擊事件的總損失金額較 2022 年有了大幅度下降

封面:Photo by Growtika Developer Marketing Agency on Unsplash

本報告由 Beosin、SUSS NiFT、LegalDAO、Footprint Analytics、Biteye、ShellBoxes 聯合出品,公眾號後台回復 “半年報” 可獲取報告完整版。

因篇幅有限,本篇內容僅展示報告安全態勢部分,其他完整內容可查閱半年報完整版

前言

隨著全球數位化進程的不斷加速,區塊鏈技術作為一種新興的去中心化交易方式,正逐漸成為數字經濟的核心基礎設施之一。 然而,隨著區塊鏈應用場景的不斷拓展,其面臨的安全風險也在逐步增加。 在這樣一個背景下,瞭解 Web3 區塊鏈安全態勢及加密行業監管政策,成為保障區塊鏈應用安全和穩定的必要措施之一。  本研究報告由區塊鏈安全公司 Beosin 和 SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作,圍繞 2023 年上半年全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策等,進行深入分析和總結,旨在為讀者提供有價值的參考和啟示,助力區塊鏈技術的安全健康發展。

數據圖表可在此處查閱(數據截止 6 月 25 日):https://www.footprint.network/@Beosin/Footprint-Beosin-H1-2023-Report 本章作者:Beosin 研究團隊 Mario、Donny

1 2023 第一季度 Web3 安全態勢綜述

據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平台監測,2023 年上半年 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 6 億 5561 萬美元。  其中攻擊事件 108 起,總損失金額約 4 億 7143 萬美元; 釣魚詐騙總損失金額約 1.08 億美元; 專案方 Rug Pull 事件 110 起,總損失約 7587 萬美元。

Web3 領域駭客攻擊事件的總損失金額較去年有了大幅度下降。 2022 年上半年攻擊總損失約 19.1 億美元,2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元。

圖片

從被攻擊項目類型來看,DeFi 依舊是被攻擊頻次最高、損失金額最多的類型。 85 次 DeFi 安全事件總損失金額達到了 2.92 億美元,佔總損失金額的 62%。

從鏈平臺類型來看,75.6% 的損失金額來自 Ethereum,約 3.56 億美元,居所有鏈平臺的第一位。

從攻擊手法來看(按根本原因進行統計),最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成損失 2.64 億美元,佔所有損失金額的 56%。

從資金流向來看,約有 2.15 億美元的被盜資產得以追回,佔所有被盜資產的 45.5%。 另外約有 1.13 億美元的被盜資產轉入了 Tornado Cash 和其他混幣器。

從審計情 況來看,被攻擊的專案中,約有 49% 的專案沒有經過審計。

與駭客攻擊事件較 2022 年下降的趨勢相反的是,對普通使用者而言,釣魚詐騙和專案方 Rug Pull 事件在 2023 年上半年更加頻發。 據不完全統計,這兩類事件涉及總金額達到了至少 1.84 億美元。 由於釣魚門檻技術的降低(例如可以通過一些管道向釣魚團夥購買惡意工具包,賺取利潤後進行分成),導致 2023 年上半年釣魚詐騙事件大幅增加,成為威脅 Web3 使用者安全的主要原因。

2 攻擊事件總覽

108 起攻擊事件造成損失 4 億 7143 萬美元

2023 年上半年,Beosin EagleEye 安全風險監控、預警與阻斷平臺共監測到 Web3 領域主要攻擊事件 108 起,總損失金額達 4 億 7143 萬美元。 其中損失金額超過 1 億美元的安全事件共 1 起,損失在 1000 萬美元 – 1 億美元區間的事件共 7 起,100 萬美元 – 1000 萬美元區間的事件 23 起。

圖片

損失金額超過千萬美元的攻擊事件(按金額排序):

  • Euler Finance – 1.97 億美元 3 月 13 日,DeFi 協定 Euler Finance 遭到攻擊,損失達到了 1.97 億美元。 4 月 4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
  • Atomic Wallet – 6700 萬美元 6 月 3 日,多名 Atomic Wallet 使用者在社交媒體發文稱自己的錢包資產被盜,統計發現被盜金額至少達到了 6700 萬美元。 駭客已將被盜資金通過混幣平臺 Sinbad 進行了清洗,被攻擊原因仍在調查中。
  • MEV attack – 2500 萬美元 4 月 3 日,多個 MEV 機器人遭受惡意三明治攻擊,總共損失約 2500 萬美元。
  • Bitrue – 2400 萬美元 4 月 14 日,加密交易所 Bitrue 熱錢包遭受攻擊,損失達 2400 萬美元。
  • FPG – 2000 萬美元 6 月 11 日,加密貨幣經紀公司 Floating Point Group(FPG)遭到網路攻擊,損失約 2000 萬美元的加密貨幣。
  • GDAC – 1300 萬美元 4 月 9 日,韓國加密貨幣交易所 GDAC 遭到駭客攻擊,損失近 1300 萬美元。
  • Yearn Finance – 1150 萬美元 4 月 13 日,Yearn Finance 的 yusdt 合約遭受駭客攻擊,駭客獲利超 1000 萬美元。
  • MyAlgo Wallet – 1120 萬美元 2 月,MyAlgo 錢包遭到中間人攻擊,損失達 1120 萬美元。

3 被攻擊項目類型

85 次 DeFi 安全事件造成 2.92 億美元損失

2023 年上半年,DeFi 類型專案共發生 85 次安全事件,佔總事件數量的 78.7% 。 DeFi 總損失金額達到了 2.92 億美元,佔總損失金額的 62% 。 DeFi 為被攻擊頻次最高、損失金額最多的項目類型。

圖片

85 次 DeFi 安全事件里,有 51 起安全事件都源自于合约漏洞利用,损失达 2.49 亿美元,占 DeFi 损失总金额的 85%。

钱包攻击事件带来了约 7820 万美元的损失,金额占所有项目类型的第二位。其中 Atomic Wallet 攻击事件至少损失了 6700 万美元,MyAlgo 钱包攻击事件损失为 1120 万美元。

图片

排名第三的项目类型为交易所,损失约 5014 万美元。交易所攻击事件在 2022 年全年数据里损失排名也是第三位,今年延续了攻击频发趋势。

跨链桥项目在 2022 年损失金额排名第一(18.9 亿美元),而在 2023 年上半年损失大幅下降到了 138 万美元。

4 各链平台损失金额情况

75.6% 的損失金額來自 Ethereum

圖片

2023 年上半年,Ethereum 鏈上共發生主要攻擊事件 27 起,損失金額約為 3.56 億美元。 Ethereum 鏈上損失金額居所有鏈平臺的第一位,佔比約 75.6% 。

BNB Chain 上監測到了最多的攻擊事件,達到了 58 起,攻擊事件總數佔所有事件的 53.7% 。 BNB Chain 上發生的 58 次攻擊事件裡,有 40 個被攻擊專案都未經審計。

Arbitrum 鏈上共發生 7 次攻擊事件,造成損失約 1671 萬美元,安全事件損失金額和數量與 2022 年相比有所增加(Arbitrum 在整個 2022 年只發生過兩次主要的安全事件)。

2022 年 Solana 鏈上損失金額排所有公鏈的第三位,而在 2023 年上半年並未監測到主要攻擊事件。

圖片

5 攻擊手法分析

合約漏洞利用最頻發、損失金額最多

說明:多種攻擊手法並存時,以根本原因為準進行分類。 資訊不足或專案方未公佈原因的攻擊事件分類至「暫不清晰」2023 年上半年,攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成損失 2.64 億美元,佔所有損失金額的 56%。

約有 1 億美元的安全事件攻擊手法暫不清晰,其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。 此類事件涉及金額大,影響用戶眾多。 建議此類專案方在進行事件原因調查的同時,應積極和第三方安全公司進行合作,及時公佈調查結果,採取必要的修復措施,對用戶資產安全肩負起責任。

另外,還有 7 次私鑰洩露事件造成了約 2767 萬美元的損失。 在 2022 年,私鑰洩露損失也是居所有攻擊類型的第三位。 私鑰洩露事件一直持續威脅著專案方安全。 從一些事件披露來看,加強核心成員的職業道德和安全意識管理尤為重要。

图片
图片

按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯缺陷、許可權問題和重入。 36 次業務邏輯漏洞共造成了約 2.39 億美元的損失,佔所有因合約漏洞攻擊損失的 90% 。 此類漏洞是開發者最容易遺漏的問題,被攻擊后造成的損失往往較大,有 9 起事件的損失金額都超過了 100 萬美元。 建議專案方尋找富有經驗的專業審計公司進行審計。

6 典型案例攻擊手法分析

6.1 Euler Finance 安全事件

3 月 13 日,Ethereum 鏈上的借貸專案 Euler Finance 遭到閃電貸攻擊,損失達到了 1.97 億美元。

3 月 16 日,Euler 基金會懸賞 100 萬美元以徵集對逮捕駭客以及返還盜取資金有幫助的資訊。

3 月 17 日,Euler Labs 首席執行官 Michael Bentley 發推文表示,Euler“一直是一個安全意識強的專案”。 從 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家區塊鏈安全公司的 10 次審計。

從 3 月 18 日開始至 4 月 4 日,攻擊者開始陸續返還資金。 期間攻擊者通過鏈上資訊進行道歉,稱自己「攪亂了別人的錢,別人的工作,別人的生活」並請求大家的原諒。

4 月 4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。

漏洞分析:復盤 Euler Finance 2 億美元被盜案的來龍去脈,本次事件帶給我們哪些啟示?

6.2 BonqDAO 安全事件

2 月 1 日,加密協定 BonqDAO 遭到價格操控攻擊,攻擊者鑄造了 1 億個 BEUR 代幣,然後在 Uniswap 上將 BEUR 換成其他代幣,ALBT 價格下降到幾乎為零,這進一步引發了 ALBT 寶庫的清算。 按照駭客攻擊時的代幣價格,損失高達 8800 萬美元,但是由於流動性耗盡,事件實際損失在 185 萬美元左右。

漏洞分析:開年最大駭客事件,損失 8800 萬美元,加密協定 BonqDAO 被攻擊事件分析

6.3 Platypus Finance 安全事件

2 月 17 日,Avalanche 平臺的 Platypus Finance 因函數檢查機制問題遭到攻擊,損失約 850 萬美元。 然而攻擊者並沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。
2 月 23 日,Platypus 表示,已經聯繫了 Binance 並確認了駭客身份,並表示將至少向用戶償還 63% 的資金。
2 月 26 日,法國國家員警已經逮捕並傳喚了兩名攻擊 Platypus 的嫌疑人。
漏洞分析:閃電貸攻擊如何防範? Avalanche 鏈上 Platypus 項目損失 850 萬美元攻擊事件分析

6.4 Yearn Finance 安全事件

2023 年 4 月 13 日,Yearn Finance 的 yusdt 合約遭受駭客閃電貸攻擊,駭客獲利超 1000 萬美元。 yUSDT 疑似在 1000 多天前部署時便被錯誤配置,錯誤地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。

5 月 26 日,Yearn 攻擊者已將 4134 枚 ETH 轉入 Tornado Cash。

漏洞分析:被盜超 1000 萬美元,Yearn Finance 如何被駭客「盯上」?

7 反洗錢典型事件分析回顧

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Atomic Wallet 于今年 6 月初遭攻击,据 Beosin 团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约 6700 万美元。
我们将深入探讨这起黑客盗窃案的资金清洗细节,并使用Beosin KYT虚拟资产反洗钱合规和分析平台,对黑客的洗钱套路进行追踪和分析。

事件综述

根据 Beosin 团队分析,此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中:
以太坊链已查出被盗资金为 16262 个 ETH 价值的虚拟货币,约 3000 万美元。
波场链波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币,约 1700 万美元。
BTC 链 BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币,折合 1260 万美元。
BSC 链 BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。
其余链 XRP:1676015 个 XRP,约 84 万美元 LTC:2839.873689 个 LTC,约 22 万美元 DOGE:800575.67369797 个 DOGE,约 5 万美元

以太坊

在黑客对赃款的操作中,以太坊被攻击链路上有两种主要的方式:

1、通过合约进行发散后利用 Avalanche 跨链洗钱

根据 Beosin 团队分析,黑客会首先将钱包中有价值的币统一换成公链的主币,再通过两个合约来进行汇集。

该合约地址会通过两层中转将 ETH 打包成 WETH,再将 WETH 转入用于将 ETH 发散的合约,通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作,该跨链不使用合约进行,属于 Avalanche 的内部记账式交易类型。
以太坊链路简图如下:

全文阅读:一场涉及至少 6000 万美元的钱包被盗案,Beosin KYT 带你拆穿黑客洗钱套路

8 被盗资产的资金流向分析

45.5% 的被盗资产得以追回

2023 年上半年,Beosin KYT  虚拟资产反洗钱合规和分析平台显示,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5%。而在 2022 年,仅有 8% 的被盗资产被追回。2023 年资金追回的机会大幅提升。除了与黑客谈判追回以外,依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外,全球监管体系的完善和执法力度的加大,也对黑客行为起到了警戒作用。

圖片

約有 1.13 億美元的被盜資產轉入了混幣器。 其中轉入 Tornado Cash 約 4538 萬美元,其他混幣平臺約 6814 萬美元。 自 2022 年 8 月 Tornado Cash 受到美國 OFAC 制裁後,駭客使用 Tornado Cash 進行混幣的總金額大幅減少,而其他混幣平臺的使用率明顯增加,如 FixedFloat、Sinbad 等。

9 專案審計情況分析

審計和未審計專案比例大致相當,在 108 個被攻擊專案中,經過審計的專案為 51 個,未經審計的專案為 53 個,比例大致相當。 該比例與 2022 年情況也大體一致。

在經過審計的 51 個專案里,有 31 個專案(60%)被攻擊原因來自合約漏洞利用。 該比例高於去年的 45 %,整個審計市場的質量依舊不容樂觀。 建議專案方一定要尋找專業的安全公司進行審計。

10 Rug Pull 分析

110 起 Rug Pull 事件捲走 7587 萬美元
2023 年上半年,Web3 領域共監測到主要 Rug Pull 事件 110 起,涉及金額約 7587 萬美元。
從金額來看,14 起(12.7%)Rug Pull 事件金額在 100 萬美元之上,10 萬至 100 萬美元區間的事件共 41 起(37.3%),10 萬美元以下的事件共 55 起(50%)。
涉及金額最大的 Rug Pull 事件為 Fintoch 專案,該專案捲走了約 3160 萬美元的資產。

圖片

從鏈平臺來看,BNB Chain 上發生了 80 起 Rug Pull 事件,涉及金額 5337 萬美元,遠遠高於其他的公鏈。

圖片

2023 上半年安全態勢總結

總體而言,Web3 領域駭客攻擊事件的總損失金額較 2022 年有了大幅度下降。 2022 年上半年攻擊總損失約 19.1 億美元,2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元,並且其中約有 2.15 億美元的被盜資產得以追回。 駭客攻擊呈現大幅放緩趨勢,促成這一現象的主要原因有:全球監管體系的逐步完善、執法力度的加大、專案方安全意識的提升、混幣器 Tornado Cash 被制裁、AML 反洗錢技術和程式的完善等。 另外,也出現了依靠社區力量,通過鏈下情報對駭客身份進行定位並迫使駭客返還的案例。

即便駭客攻擊大幅放緩,合約安全問題依舊不能忽略。 2023 年上半年,最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成了 2.64 億美元的損失,其中絕大多數被利用的漏洞是業務邏輯問題。 一些較為複雜的業務邏輯漏洞,需要經驗豐富的專業審計公司才能發現。 Beosin 審計團隊會對每一次駭客攻擊事件都會進行深入分析(推特 @BeosinAlert),確保將其中總結出的經驗和技術應用到專案審計過程中,以應對實際可能發生的駭客攻擊。

與駭客攻擊事件下降的趨勢相反的是,針對普通用戶的釣魚詐騙更加頻發。 上半年出現了以 Venom Drainer 為代表的一系列錢包 Drainer 團夥,他們開發惡意工具包後進行售賣,購買者成功釣魚獲利後再與之進行分成。 此類釣魚詐騙波及用戶面廣,單是 Venom Drainer 這一個團夥就產生了至少 1.5 萬個受害者。  對於普通使用者而言,最好能夠經常關注安全公司的提醒,系統性地學習一些防釣魚防被盜知識,也可以安裝一些防釣魚外掛程式、交易預執行工具等進行提醒(但不能完全依賴工具,加強自身安全意識永遠是第一位的)。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。