建議使用者做好風險管理,及時關注專案輿情動態。

作者:Mario,Donny,Beosin 研究團隊

封面:Photo by Anton Maksimov 5642.su on Unsplash

*本報告由 Beosin、SUSS NiFT、Footprint Analytics 聯合出品,公眾號後台回復 “Q3” 可獲取報告完整版。

*因篇幅有限,本篇內容僅展示報告安全態勢部分,我們將在後續發佈監管政策和 Q3 熱點事件內容,請持續關注 Beosin 微信公眾號。

前言

在 Web3 區塊鏈技術的快速發展中,安全態勢與監管一直是引人關注的焦點。 本研究報告由區塊鏈安全公司 Beosin 和 SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作,旨在全面探討 2023 年第三季度全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策。

在本報告中,我們將深入分析全球區塊鏈安全態勢,包括安全漏洞和攻擊事件,以及 2023 年第三季度 Web3 熱點事件,同時,我們將對加密行業的重要監管政策進行梳理和總結,以幫助讀者了解各國政府和監管機構在區塊鏈領域的立法和監管動態,以及其對行業發展的影響。

1 2023 Q3 Web3 安全態勢綜述

據區塊鏈安全審計公司 Beosin 旗下 EagleEye 平台監測,2023 年第三季度 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 8 億 8926 萬美元。 其中攻擊事件 43 起,總損失金額約 5 億 4016 萬美元; 釣魚詐騙總損失金額約 6615 萬美元; 專案方 Rug Pull 事件 81 起,總損失約 2 億 8296 萬美元。

2023 年第三季度的損失超過了 2023 年上半年的總和。 2023 年第一季度總損失約 3.3 億美元,第二季度約 3.33 億美元,而第三季度達到了 8 億 8926 萬美元。


從被攻擊項目類型來看,DeFi 依舊是被攻擊頻次最高的類型。 29 起攻擊事件發生在 DeFi 領域,佔總事件數量的 67.4%。 損失金額最高的專案類型為公鏈。

從鏈平臺類型來看,Ethereum 上共損失 2.27 億美元,居所有鏈平台損失的第一位。 Ethereum 上也發生了最多的安全事件,達到了 16 次。

從攻擊手法來看,本季度共發生 9 次私鑰洩露事件,造成損失達到了 2.23 億美元,為損失金額最多的攻擊類型。

從資金流向來看,有 3.6 億美元(67%)還留在駭客位址。 本季度僅有 10% 的被盜資金被追回。

從審計情 況來看,經過審計和未經審計的專案大致比例相當,分別為 48.8% 和 46.5%。

2 攻擊事件總覽

43 起主要攻擊事件造成損失 5 億 4016 萬美元

2023 年第三季度,Beosin EagleEye 平臺共監測到 Web3 領域主要攻擊事件 43 起,總損失金額達 5 億 4016 萬美元。 其中損失金額超過 1 億美元的安全事件共 1 起,損失在 1000 萬美元 – 1 億美元區間的事件共 7 起,100 萬美元 – 1000 萬美元區間的事件 9 起。

損失金額超過千萬美元的攻擊事件(按金額排序):
● Mixin Network – 2 億美元 9 月 25 日,Mixin 官推稱,Mixin Network 雲服務商資料庫遭到駭客攻擊,導致主網部分資產丟失,涉及資金約 2 億美元。
● Curve/ Vyper – 7300 萬美元 7 月 30 日,由於舊版本 Vyper 編譯器中存在重入漏洞,導致多個 Curve 池被攻擊,損失達 7300 萬美元,事後約 5230 萬美元已被駭客歸還。
● CoinEx – 7000 萬美元 9 月 12 日,加密交易所 CoinEx 因私鑰洩露導致熱錢包被盜,涉及 211 條鏈,總損失達到了 7000 萬美元。 該事件系北韓駭客組織 Lazarus 所為。
● Alphapo – 6000 萬美元 7 月 23 日,加密貨幣支付服務商 Alphapo 熱錢包被盜,共損失 6000 萬美元。 該事件系北韓駭客組織 Lazarus 所為。
● Stake – 4130 萬美元 9 月 4 日,加密博彩平臺 Stake 熱錢包遭到駭客攻擊,損失達 4130 萬美元。 該事件系北韓駭客組織 Lazarus 所為。
● CoinsPaid – 3730 萬美元 7 月 22 日,加密支付平臺 CoinsPaid 遭到駭客攻擊,3730 萬美元的資產被盜。 駭客花費了六個月時間跟蹤和研究 CoinsPaid 的系統,嘗試了各種形式的攻擊,包括社會工程、DoS、暴力破解、釣魚等。 該事件系北韓駭客組織 Lazarus 所為。
● Fortress IO – 1500 萬美元 8 月 29 日,區塊鏈基礎設施 Fortress IO 因第三方雲工具供應商遭到駭客攻擊而損失 1500 萬美元。
● Polynetwork – 1010 萬美元 7 月 2 日,跨鏈橋 PolyNetwork 因私鑰洩露而遭到攻擊,駭客獲利達 1010 萬美元。

3 被攻擊項目類型

本季度損失最高的專案類型為公鏈,來自於 Mixin Network 被盜 2 億美元事件。 這一次安全事件就佔了季度總損失金額的 37%。

43 次駭客攻擊事件中,共有 29 起事件發生在 DeFi 領域,佔比約 67.4%。 這 29 次 DeFi 攻擊事件共導致了 9823 萬美元的損失,排在所有項目類型的第二位。

損失排名第三位的類型為支付平臺。 兩起支付平臺安全事件共損失了 9730 萬美元(Alphapo6000 萬美元、CoinsPaid 3730 萬美元)。

其他被攻擊的項目類型還包括:交易所、博彩平臺、基礎設施、跨鏈橋、未開源合約。 從類型上看,駭客瞄準了公鏈、支付平臺、博彩這類資金量高的平臺。

4 各鏈平臺損失金額情況

Ethereum 為損失金額最高、攻擊事件最多的鏈

本季度 Ethereum 上共損失 2.27 億美元,居所有鏈平台損失的第一位。 Ethereum 上發生了最多的安全事件,達到了 16 次。

損失第二位為 Mixin Network,單次事件損失達到了 2 億美元,居所有鏈平台損失的第二位。
Ethereum 和 Mixin 兩條鏈的總金額達到了總損失的 79%。


按照事件數量排序,出現安全事件最多的 5 條公鏈分別是:Ethereum(16 次)、BNB Chain(10 次)、Arbitrum(3 次)、BTC(2 次)、Base(2 次)。

5 攻擊手法分析

9 次私鑰洩露事件造成損失 2.23 億美元

本季度共發生 9 次私鑰洩露事件,造成損失達到了 2.23 億美元,為損失金額最多的攻擊類型。 本季度共發生 1000 萬美元以上的安全事件 8 起,其中有 5 起都來自於私鑰洩露:CoinEx(7000 萬美元)、Alphapo(6000 萬美元)、Stake.com(4130 萬美元)、CoinsPaid(3730 萬美元)、Polynetwork(1010 萬美元)。

損失金額排第二的攻擊類型為資料庫攻擊,損失達 2 億美元,來自於 Mixin Network 事件。

損失金額排第三位的攻擊類型為合約漏洞利用。 22 次合約漏洞利用共造成損失約 9327 萬美元。

按照漏洞細分,造成損失最多的為重入漏洞,合約漏洞事件里約有 82.8% 的損失金額來自重入漏洞。 出現頻次最高的為業務邏輯漏洞,22 次合約漏洞里出現了 13 次。

6 典型案例攻擊手法分析

6.1 Exactly Protocol

2023 年 8 月 18 日,Optimism 鏈的 DeFi 借貸協定 Exactly Protocol 遭受駭客攻擊,駭客獲利超 700 萬美元。

漏洞分析

漏洞合約中的多個 Market 位址參數可被操控。 攻擊者通過傳入惡意的 Market 合約位址,成功繞過 permit 檢查,執行了惡意的 deposit 函數,竊取了使用者的抵押品 USDC 並清算用戶資產,最終實現了攻擊者的盈利目的。

安全建議

建議用作憑證代幣的合約位址需要填加白名單功能,以免被惡意操控。

6.2 Vyper/Curve

7 月 31 日,乙太坊程式設計語言 Vyper 發推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入鎖漏洞。 Curve 表示,多個使用 Vyper 0.2.15 的穩定幣池(CRV/alETH/msETH/pETH)遭到攻擊,總損失達到了 7300 萬美元,事後約 5230 萬美元已被駭客歸還。

漏洞分析

本次攻擊主要是源於是 Vyper 0.2.15 的防重入鎖失效,攻擊者在調用相關流動性池子的 remove_liquidity 函數移除流動性時通過重入 add_liquidity 函數添加流動性,由於餘額更新在重入進 add_liquidity 函數之前,導致價格計算出現錯誤。

安全建議

當前使用 Vyper 0.2.15、0.2.16 和 0.3.0 版本的重入鎖均存在失效的問題,建議相關專案方進行自查。 項目上線后,強烈建議專案方仍然關注第三方元件/依賴庫的漏洞披露資訊,及時規避安全風險。

6.3 Eralend

2023 年 7 月 25 日,ZkSync 鏈上 Eralend 借貸協定遭受攻擊,損失約 340 萬美元。

漏洞分析

本次攻擊主要漏洞是價格預言只讀重入,導致 EraLend 專案的 ctoken 合約借貸價值計算和清算價值計算不一致,借貸的數量高於償還的數量,使得攻擊者可以在借貸並清算後獲利。 攻擊者重複利用多個合約進行上述操作,獲得了大量的 USDC。

安全建議

在依賴 SyncSwap 專案實時儲備量作價格計算時應考慮唯讀重入場景,防止相關函數在同一筆交易中價格計算不一致的情況發生。

7 反洗錢典型事件分析回顧

7.1 Beosin KYT 解析 Stake.com 被攻擊安全事件

9 月 4 日,區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,加密博彩平臺 Stake.com 遭遇駭客攻擊。

攻擊發生后,Stake.com 表示其 ETH 和 BSC 上熱錢包發生未經授權的交易,正在進行調查,並將在錢包完全重新確保安全后儘快恢復存提款。

據 Beosin 安全分析團隊查看之後,發現本次事件主要原因為 Stake 專案私鑰洩露,導致至少約 4 千萬美元資產的損失。 因此,我們使用 Beosin KYT 虛擬資產反洗錢合規和分析平臺對該事件進行了反洗錢分析。 事件跟蹤

ETH 鏈上資金流向

攻擊發生后,在 ETH 鏈上,攻擊者首先向 0x3130662aece32F05753D00A7B95C0444150BCd3C 地址發送 6000ETH、3,900,000 枚 USDC 和 9000,000 枚 DAI。

第二步:攻擊者將 DAI,USDC 等 Token 兌換為 ETH 沉澱至如下 4 個位址,為後續資金分散混淆做準備
0xba36735021a9ccd7582ebc7f70164794154ff30e0x94f1b9b64e2932f6a2db338f616844400cd58e8a0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e0xbda83686c90314cfbaaeb18db46723d83fdf0c83

第三步:攻擊者將上述四個位址的資金分別分散發送至 20 餘個地址,並且駭客為進一步提高提高追蹤難度,同時在同級地址之間互相轉帳。

第四步:駭客將大部分資產分上百筆交易抵押進 DEX:Thorchain 其餘資產則通過 1inch 和 SSwap 兌換為 USDT。

值得注意的是駭客將一小部分資金打入了 Binance 錢包。

Polygon 鏈上資金流向

駭客在 Polygon 鏈上轉移資金手法和在 ETH 鏈上轉移資金手法如出一轍。

在 Polygon 鏈, 攻擊者先向 0xfe3f568d58919b14aff72bd3f14e6f55bec6c4e0 地址分別發送 3,250,000 枚 MATIC、4,220,000 枚 USDT、1,780,000 枚 USDC 和 70,000 枚 DAI。

第二步:攻擊者將 DAI,USDC 等 Token 兌換為 MATIC 沉澱至如下 4 個位址,為後續資金分散混淆做準備:
0x32860a05c8c5d0580de0d7eab0d4b6456c397ce20xa2e898180d0bc3713025d8590615a832397a80320xa26213638f79f2ed98d474cbcb87551da909685e0xf835cc6c36e2ae500b33193a3fabaa2ba8a2d3dc

第三步:攻擊者將上述四個位址的資金分別分散發送至 20 餘個地址,並且駭客為進一步提高提高追蹤難度,同時在同級地址之間互相轉帳。

第四步:駭客將分散的資產發起數百筆交易轉入 SquidRouter 進行跨鏈。

BNB Chain 鏈上資金流向

同 ETH 和 Polygon,在 BNB Chain 鏈上,攻擊者用 Stake 錢包向 0x4464e91002c63a623a8a218bd5dd1f041b61ec04 位址分別發送 7,350,000 枚 BSC-USD、1,800,000 枚 USDC、1,300,000 枚 BUSD、300,000 枚 MATIC、12,000 枚 BNB、2,300 枚 ETH 和 40,000 枚 LINK。

第二步:將 BNB chain 上面的資產兌換為 BNB 沉澱至如下 4 個位址,為後續資金分散混淆做準備:
0xff29a52a538f1591235656f71135c24019bf82e50x95b6656838a1d852dd1313c659581f36b2afb2370xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd620xbcedc4f3855148df3ea5423ce758bda9f51630aa

第三步:攻擊者將上述四個位址的資金分別分散發送至 20 餘個地址,並且駭客為進一步提高提高追蹤難度,同時在同級地址之間互相轉帳。

第四步:駭客將分散的資產發起數百筆交易轉入 OKX DEX、BNB tokenhub 進行跨鏈或兌換為 BUSD 繼續進行資金混淆。

值得注意的是駭客將一小部分資金打入了 OKX 錢包

9 月 5 日,加密博彩平臺 Stake.com 發佈公告稱,平臺所有服務已恢復,所有貨幣的存提款都在即時處理。 這次事件讓 Stake.com 在乙太坊上被盜 1570 萬美元,也在 BNB Chain 和 Polygon 網路被盜價值 2560 萬美元的加密資產。 這個事件的教訓使 Stake.com 加強了安全措施,包括加強私鑰管理和採取額外的防護措施,以確保用戶資產的安全。

同時,Beosin 將繼續致力於提供最先進的安全審計和風險監控解決方案,為加密資產的持有者和交易平臺提供可靠的保障。 這次事件向整個加密行業提出了警示,強調了安全性的重要性,並進一步推動了安全技術和合規措施的發展,以保護用戶的數位資產免受潛在的威脅。

7.2 解析 JPEX 風波背後的資金流向

9 月 13 日,香港證監會發佈了一篇名為《有關不受規管的虛擬資產交易平臺》的聲明,表示虛擬資產交易平臺 JPEX 未獲得證監會牌照且 JPEX 沒有向證監會申請牌照。 次日,JPEX 的社群發現 JPEX 平臺的提幣額度僅為 1000USDT,而提幣手續費高達 999USDT,變相讓用戶無法出金。 9 月 19 日,香港證監會舉行新聞發佈會,指出 JPEX 平臺交易已停止運作。

目前,該事件的調查仍在進行中。 我們通過 Beosin KYT 對 JPEX 進行實體位址溯源,確定 JPEX 關聯位址后,Beosin 研究團隊對資金進行了分析,以下是我們最新的分析情報。

JPEX 乙太坊鏈上資金流向

JPEX 平臺在 Ethereum 鏈上的存款錢包地址為 0x50c85e5587d5611cf5cdfba23640bc18b3571665,使用者存入 JPEX 的資產會自動存入到該位址。 而 Ethereum 鏈上的 USDT 資產,會轉到出金錢包地址 0x9528043B8Fc2a68380F1583C389a94dcd50d085e。

存款錢包位址 0x50c8 在 9 月 19 日淩晨 1:37 分完成轉帳后就未有任何資金轉移記錄,已停止資金進出超過 24 小時。

而 USDT 出金錢包位址 0x9528 在 9 月 18 日下午 5 點左右向 FixedFloat 交易所(無需 KYC)的 3 個存款地址分別轉入 10 萬 USDT,此後該位址也未有任何資金轉移記錄。 Beosin KYT 查詢結果如下:

除了 USDT,ETH 還分佈在 JPEX 的各個位址上,分佈情況如下:

0x50c85e5587d5611cf5cdfba23640bc18b3571665:641 枚

0x31030a8C7E3c8fD0ba107e012d06f905CD080eD9:320 枚

0x87E1E7D3ee90715BCE8eA12Ef810363D73dc79FB:400 枚

0xcd19540f8d14bEbBb9885f841CA10F7bF5A71cAC:350 枚

0x22E70793915625909E28162C8a04ffe074A5Fc98:400 枚

0xd3528B66C3e3E6CF9C288ECC860C800D4CB12468:200 枚

Beosin 旗下 C 端的鏈上分析平臺 EagleEye 追蹤發現 ETH 以及 USDT 資金流向詳情圖如下圖所示:

JPEX 比特幣鏈上資金流向

比特幣鏈上 BTC 分散在 JPEX 的各個位址上,分佈情況如下:

3LJVASCfNRm9DEmHYaRbWhiKVSg14JqarS:28 枚

32JWJvigxttRmfYYcXEsCFScibnVU3bD92:20 枚

381agNrmetRakEsfz9oD1XGvwgR9Q6y6fa:30 枚

3LhYzsTZadkXaf6qsYQoP65ynGiiDv5XGU:20 枚

3KBnBZTNGkbqEaQV6jb6oGxoiMHwmVLoGM:25 枚

3A6G8gkxY9zgkRCHorSLvcj49J6Cp5TVBx:33 枚

Beosin 旗下 C 端的鏈上分析平臺 EagleEye 追蹤 BTC 資金流向詳情圖如下圖所示:

目前,JPEX 未在公開社交平臺正式回應此事。 而整個加密社區對 JPEX 的做法表示譴責,不少投資者在 JPEX 之前的推文下留言要求降低手續費並開放提現額度。 JPEX 的做法也可能讓他們面臨證監會更嚴厲的調查。

在 JPEX 風波中,我們通過用 Beosin KYT 對鏈上數據的分析和解讀,揭示了 JPEX 平臺的資金流向,以及用戶應該如何分析鏈上數據來提升資產安全。 這一系列事件引起了廣泛的關注和警惕,也提醒了用戶保護自己資產的重要性。

8 被盜資產的資金流向分析

約 3.6 億美元被盜資金還留在駭客位址

第三季度被盜的資金中,有 3.6 億美元(67%)還留在駭客位址。 共有 9927 萬美元(18.4%)轉入了混幣器:917 萬美元轉入了 Tornado Cash; 9010 萬美元轉入了其他混幣器,如 FixedFloat、Sinbad 等。

本季度有 5440 萬美元的資產被追回,佔比僅有 10%。 和上半年相比,本季度資金追回的比例大幅減少。 主要原因在於本季度朝鮮駭客組織 Lazarus 活動頻繁,共盜取了 2.08 億美元,而該駭客組織善於運用各種複雜的洗錢手段清洗盜取資金,基本沒有返還的情況。

9 專案審計情況分析

經過審計和未經審計的專案大致比例相當,被攻擊的 43 個專案中,經過審計和未經審計的專案大致比例相當,分別為 48.8% 和 46.5%。

在 22 次因為合約漏洞被攻擊的專案中,沒有審計過的專案佔了 14 個(63.6%)。

10 Rug Pull 分析

81 起 Rug Pull 事件共損失 2.8 億美元

2023 年第三季度,共監測到專案方 Rug Pull 事件 81 起,涉及金額達 2.8 億美元。

超过千万美元的 Rug Pull 事件包括:Multichain(2.1 亿美元)、Bald(2300 万美元)和 Pepe(1550 万美元)。

Rug Pull 事件主要分布在 Ethereum 链(42 起)和 BNB Chain(33 起)。本季度大热的 Base 链也发生了 4 起 Rug pull 事件。

11 2023 Q3 安全态势总结

和 2023 年前两个季度相比,第三季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 8 亿 8926 万美元。第三季度损失的总金额比一二季度相加总和还要高,Web 3 安全领域形势依旧不容乐观。

本季度朝鲜黑客组织 Lazarus 活动频繁,四次攻击事件共盗取了超 2.08 亿美元,为本季度 Web3 安全领域的最大威胁。根据受攻击项目方 CoinsPaid 的调查结果,Lazarus 花了半年的时间试图渗透 CoinsPaid 系统并查找漏洞,期间尝试了包括社会工程、DoS、暴力破解、钓鱼等各种方式,最终通过一份虚假的工作邀请诱骗了一名员工下载恶意软件,从而盗取私钥。Lazarus 擅长运用黑客攻击中最薄弱的环节——人,对各类资金量高的平台进行复杂的攻击。对于大型加密服务提供商而言,需要对此类攻击特别提高警惕,定期对员工进行安全培训,对高特权员工实施安全实践,针对基础设施和应用程序中的所有可疑活动建立监控和警报系统。

43 起攻击事件中,依然有 22 起来自合约漏洞利用。建议项目方在上线之前寻找专业的安全公司进行审计。

本季度项目方 Rug Pull 损失金额大幅增加,从项目方公告来看,“内部纠纷”、“不可抗力因素” 等频繁出现。即便是资金量大、用户数量多的项目方也有 Rug Pull 的风险。建议用户做好风险管理,及时关注项目舆情动态。用户可以通过 EagleEye  平台查询项目安全信息和最新舆情,更安全地投资新项目。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 本文內容僅用於資訊分享,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。