公眾號後台回復「Q1」可獲取報告完整版。

封面:Photo by FLY:D on Unsplash

本報告由 Beosin 學院、Elven、Footprint Analytics 聯合出品,公眾號後台回復「Q1」可獲取報告完整版。
本章作者:Beosin 研究團隊 Mario、田大俠 Donny*注意:部分圖片被微信後台壓縮,完整版報告可閱讀高清版本。

1. 2024 年 Q1 Web3 區塊鏈安全態勢綜述

據 Beosin Alert 監控及預警顯示,2024 年第一季度 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 7.78 億美元。  其中主要攻擊事件 39 起,總損失金額約 6.17 億美元; 專案方 Rug Pull 事件 43 起,總損失約 7550 萬美元; 釣魚詐騙總損失金額約 8624 萬美元。

2024 年第一季度總損失約 7.78 億美元,同比增長約 126%,環比增長約 72%。 其中駭客攻擊事件損失金額高於 2023 年的任何一個季度。

2 月的總損失金額達到了 4.22 億美元,為 2024 年第一季度損失金額最高的月份。

從被攻擊專案類型來看,遊戲平臺首次成為損失金額最高的項目類型。 6 次針對 Web3 遊戲平台的攻擊共造成了 3.65 億美元的損失,佔所有攻擊損失金額的 59%。

從各鏈損失金額來看,Ethereum 依舊為損失金額最高、攻擊事件最多的鏈。 18 次 Ethereum 上的攻擊事件造成了 3.42 億美元的損失,佔到了總損失的 55.4%。

從攻擊手法來看,本季度共發生 13 次私鑰洩露事件,造成損失達到了 4.58 億美元,佔到了總攻擊損失金額的 74.3%,是佔比最高的攻擊類型。

從資金流向來看,本季度大部分被盜資產被凍結和追回。 約有 3.03 億美元(49.2%)被盜資金被凍結,7945 萬美元(12.9%)被盜資金被追回。

從審計情 況來看,被攻擊的專案中,經過審計的專案方比例有所增加。

2. 2024 年 Q1 攻擊事件總覽

39 起主要攻擊事件共造成損失 6 億 1670 萬美元

2024 年第一季度,Beosin Alert 共監測到 Web3 領域主要攻擊事件 39 起,總損失金額達 6 億 1670 萬美元。 其中損失金額超過 1 億美元的安全事件共 2 起,損失在 1000 萬美元 – 1 億美元區間的事件共 5 起,100 萬美元 – 1000 萬美元區間的事件 21 起。

損失金額超過千萬美元的攻擊事件(按金額排序):

● PlayDapp – 2.9 億美元  

攻擊方式:私鑰洩露 鏈平臺:Ethereum

2 月 9 日,區塊鏈遊戲平臺 PlayDapp 遭到攻擊,駭客位址鑄造了 2 億枚 pla 代幣,價值 3650 萬美元。 而後 PlayDapp 與駭客談判失敗,駭客於 2 月 12 日又鑄造了 15.9 億枚 PLA 代幣,價值 2.539 億美元,並將部分資金發送到 Gate.io 交易所。 事後專案方將 PLA 合約暫停,並將 PLA 代幣遷移到了 PDA 代幣。

● Chris Larsen(Ripple 聯合創始人)– 1.12 億美元

攻擊方式:私鑰洩露 鏈平臺:XRP

1 月 31 日,Ripple 聯合創始人 Chris Larsen 表示,自己的四個錢包遭到駭客攻擊,共計被盜約 1.12 億美元。 幣安團隊已成功凍結了攻擊者竊取的價值 420 萬美元的 XRP。

● Munchables – 6230 萬美元

攻擊方式:社會工程學 鏈平臺:Blast

3 月 26 日,基於 Blast 的 Web3 遊戲平臺 Munchables 遭遇攻擊,損失約 6250 萬美元。 疑似專案方因雇傭北韓駭客為開發者而遭受攻擊。 事後所有被盜資金已由駭客歸還。

● FixedFloat – 2610 萬美元

攻擊方式:安全結構漏洞 鏈平臺:Ethereum

2 月 17 日,加密交易所 FixedFloat 遭遇攻擊,損失約 2610 萬美元,駭客已將大部分被盜資金轉移到了 eXch 交易所。 2 月 20 日,FixedFloat 表示,此事攻擊「不是我們的員工所為,而是一次由我們安全結構漏洞引起的外部攻擊」。

● Curio Ecosystem – 1600 萬美元

攻擊方式:合約漏洞 – 訪問控制漏洞 鏈平臺:Ethereum

3 月 23 日,RWA 基礎設施 Curio Ecosystem 遭受攻擊,損失約 1600 萬美元。

● Somesing – 1158 萬美元

攻擊方式:私鑰洩露 鏈平臺:Klaytn

1 月 27 日,韓國 Web3 社交音樂服務遭受攻擊,損失了 7.3 億枚原生代幣 SSX,價值 1158 萬美元。

● Jihoz.ron(Ronin 聯合創始人)– 1000 萬美元

攻擊方式:私鑰洩露 鏈平臺:Ronin

2 月 23 日,Ronin 聯合創始人 jihoz.ron 的兩個位址因私鑰洩露損失約 1000 萬美元。

3. 被攻擊項目類型

遊戲平臺首次成為損失金額最高的項目類型

本季度损失最高的项目类型为游戏平台,6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失,占所有攻击损失金额的 59%。游戏平台首次成为损失金额最高的被攻击项目类型。

排在第二位的受害者类型为个人钱包。两次个人钱包被盗事件造成了 1.225 亿美元的损失。这两起个人钱包被盗事件均为知名项目方联合创始人被盗(Ripple 联创和 Ronin 联创)。

39 次駭客攻擊事件中,共有 17 起事件發生在 DeFi 領域,佔比約 43.6%。 這 17 次 DeFi 攻擊事件共導致了 3996 萬美元的損失,排在所有項目類型的第三位。

其他被攻擊的項目類型還包括:DEX、基礎設施、支付平臺、Web3 音樂平臺等。

4. 各鏈損失金額情況

Ethereum 為損失金額最高、攻擊事件最多的鏈

和 2023 年相同的是,Ethereum 依舊是損失金額最高的公鏈。 18 次 Ethereum 上的攻擊事件造成了 3.42 億美元的損失,佔到了總損失的 55.4%。

損失金額排名第二的公鏈為 XRP,來自一次 Ripple 聯合創始人 Chris Larsen 錢包被盜事件。

損失金額排名第三的公鏈為 Blast 。 3 次 Blast 鏈上的攻擊事件共造成 6750 萬美元的損失。 Blast 鏈在各大新興公鏈中損失金額排名第一位。

本季度 BNB Chain 僅發生了 4 次主要安全事件,損失約 801 萬美元,損失金額和事件數量排名都較 2023 年大大下降。

5. 攻擊手法分析

74.3% 的損失金額來自私鑰洩露事件

本季度共發生 13 次私鑰洩露事件,造成損失達到了 4.58 億美元,佔到了總攻擊損失金額的 74.3%。 和 2023 年相同,私鑰洩露事件造成的損失依舊是所有攻擊類型的第一位。 造成較大損失的私鑰洩露事件有:PlayDapp(2.9 億美元)、Ripple 聯合創始人 Chris Larsen(1.12 億美元)、Somesing(1158 萬美元)、Ronin 聯合創始人 Jihoz.ron(1000 萬美元)。

39 起攻擊事件中,有 21 起來自合約漏洞利用,總損失達 6556 萬美元,排名第二。

損失金額排名第三的攻擊手法為社會工程學攻擊,3 次社會工程學攻擊造成損失約 6500 萬美元。

按照漏洞細分,造成損失前三名的漏洞分別為:演算法缺陷(2278 萬美元)、訪問控制漏洞(1632 萬美元)、業務邏輯漏洞(1128 萬美元)。 出現次數最高的漏洞分別為業務邏輯漏洞,21 起合約漏洞攻擊中有 7 次是業務邏輯漏洞。

6. 反洗錢典型事件分析回顧

Atom Asset(AAX)逃避反洗錢(AML)分析

近期,一家已倒閉的香港交易所 Atom Asset(AAX)開始將資金從其錢包轉移到各種去中心化交易所和中心化平臺,據稱是為了逃避反洗錢(AML)控制。 在被發現之前,最後一次已知的涉及 AAX 交易所錢包的交易發生在 2023 年 10 月和 2022 年 11 月。 在倒閉之前,AAX 是香港最大的加密貨幣交易所之一,擁有超過 200 萬使用者。

根據 Beosin 團隊的分析,發現自 2024 年 1 月 29 日起,AAX 交易所開始將 25100 枚 ETH 從其交易所錢包向外轉移,其中轉移資金共分了三筆,分別是一筆 500ETH、一筆 600ETH、一筆 24000ETH。 轉移資金根據當前價格換算超 7400 萬美元。

AAX 交易所事件來龍去脈

2022 年 11 月 13 日,就在加密貨幣交易所 FTX 申請破產後兩天,AAX 也因交易對手風險暴露而停止提款並清除了所有社交管道。 最初,AAX 將凍結歸因於針對涉嫌惡意攻擊的安全措施。

2022 年 11 月 15 日,AAX 交易所發佈聲明表示其平臺需要進行維護,除暫停提現外,將對衍生品進行自動清算。 此後,AAX 停止了平臺運行和社交媒體的更新。

而蹊蹺的事就在於:沉寂 426 天后,AAX 交易所錢包開始活動,開始有大額資金開始轉出至其它位址,嘗試躲避 AML 工具的識別和監控!

link: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c

AAX 交易所事件鏈上資金分析

Beosin KYT 反洗錢分析平臺對 AAX 交易所錢包近期的鏈上活動進行了深入研究,發現了一系列風險活動。 首先,所有的 25100 枚 ETH 已被轉移,操作人員採取了各種手段將部分 ETH 兌換為 USDT,然後通過跨鏈橋將資金轉移到不同的區塊鏈上,以進行資金的清洗。

Beosin KYT 反洗錢平臺

其中,大部分資金被轉移到了 Tron 區塊鏈上,並通過一些地址進行中轉,然後沉澱在某些位址中,未曾轉移。 這種行為表明瞭明顯的逃避 AML 的企圖,試圖掩蓋資金的真實來源和去向。

Beosin KYT 反洗錢平臺

香港警方針對詐騙活動迅速採取行動,逮捕了兩名與 AAX 相關的人員,目前正在努力繪製轉移資金的路徑並找回受影響用戶的資產。

AAX 交易所利用去中心化交易所、加密貨幣兌換和跨鏈橋等技術手段,試圖模糊資金流動的路徑和來源。 這為監管機構和 AML 分析平臺帶來了巨大的挑戰。

7. 被盜資產的資金流向分析

大部分被盜資產被凍結和追回

據 Beosin KYT 反洗錢平臺分析顯示,2024 年第一季度被盜的資金中,約有 3.03 億美元(49.2%)被盜資金被凍結,7945 萬美元(12.9%)被盜資金被追回。 該比例大大高於 2023 年。

約有 1.055 億美元的被盜資金轉入了各交易所,佔比約 17.1%。 和 2023 年相比,今年駭客向交易所轉入被盜資金的比例大幅增加。 這為交易所反洗錢和合規提出了更高的要求。

共有 3012 萬美元(4.9%)轉入了混幣器:2990 萬美元轉入了 Tornado Cash;21.6 萬美元轉入了其他混幣器。 和去年相比,2024 年第一季度通過混幣清洗的被盜資金大幅減少。

8. 專案審計情況分析

經過審計的專案方比例有所增加

39 起攻擊事件里,有 12 起事件的專案方沒有經過審計,24 起事件的專案方經過了審計。 經過審計的專案方比例略高於 2023 年,這表明整個 Web3 行業專案方對安全的重視程度提高了。

12 個沒有經過審計的專案中,合約漏洞事件佔了 8 起(66.7%)。 相比之下,24 個經過審計的專案中,合約漏洞事件佔了 13 起(54.2%)。 這顯示出審計在一定程度上能夠提高項目的安全性。

9. Rug Pul 分析

43 起 Rug Pull 事件共損失 7550 萬美元

2024 年第一季度,共監測到專案方 Rug Pull 事件 43 起,涉及金額達 7550 萬美元。

損失金額排名前 5 的 Rug pull 事件為:Bitforex(5650 萬美元)、Hector Network(270 萬美元)、MangoFarm(200 萬美元)、OrdiZK(140 萬美元)、RiskOnBlast(130 萬美元)。 這 5 起 Rug Pull 事件分佈在 Ethereum、Fantom、Solana 和 Blast 四條鏈。

Ethereum 鏈上總共 Rug Pull 涉及金額達到了 5968 萬美元,佔總損失的 79%。 BNB Chain 鏈上發生了最多的 Rug Pull 事件,共 29 次,佔總事件數量的 67.4%。

10. 2024 年 Q1 Web3 區塊鏈安全態勢總結

和上個季度相比,2024 年第一季度因駭客攻擊、釣魚詐騙、專案方 Rug Pull 造成的總損失大幅上升,達到了 7.78 億美元。 本季度幣價上漲因素對總金額的增加有一定的影響,但總體而言,Web3 安全領域形勢依舊不容樂觀。

本季度造成危害最大的攻擊類型為私鑰洩露,約 74.3% 的損失金額來自私鑰洩露事件,這一趨勢和 2023 年數據一致。  從專案類型來看,私鑰洩露事件遍佈於 Web3 各個領域:遊戲平臺、DeFi、個人錢包、基礎設施、NFT、支付平臺、博彩平臺、數據存儲平臺等。  各個 Web3 專案方/個人使用者都需要提高警惕,離線存儲私鑰、使用多重簽名、謹慎使用第三方服務、對特權員工進行定期安全培訓。

本季度大部分資產被凍結和追回,這標誌著全球監管體系的完善和反洗錢力度的加強。 本季度駭客向交易所轉入被盜資金的比例也大幅增加,這需要交易所及時識別駭客行為,積極配合執法機構和專案方凍結資金和進行調證。  目前交易所和執法機構、專案方、安全團隊的合作已經有了較為明顯的成果,相信未來會有更多被盜資金能夠追回。

本季度 39 起攻擊事件中,依然有 21 起來自合約漏洞利用,建議專案方在上線前尋求專業的安全公司進行審計。 Beosin 作為一家全球領先的區塊鏈安全公司,致力於 Web3 生態的安全發展,已審計智慧合約和公鏈主網超 3000 份,作為一家可信賴的區塊鏈安全公司,可以為專案方提供卓越的安全審計服務。

免責聲明:作為區塊鏈資訊平臺,本站所發佈文章僅代表作者及嘉賓個人觀點,與 Web3Caff 立場無關。 文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。