2024 第一季因安全事件造成的總損失達 4.62 億美元,本季幣價上漲等因素對總金額的增加有一定的影響,但整體而言,Web3 安全情勢不容樂觀。
作者:SharkTeam
封面: Photo by Markus Spiske on Unsplash
一、概述
2024 年第一季因駭客攻擊、Rugpull 詐騙、釣魚攻擊等惡意行為,總計造成 4.62 億美元損失,與 2023 年第一季(約 3.83 億美元)年增約 18.02%。本報告旨在對全球 2024 年第一季 Web3 產業安全狀況、重大事件、安全趨勢進行整理分析,為讀者提供有益的資訊和新思路,為促進 Web3 的安全、健康發展貢獻力量。
二、安全事件分析
根據 SharkTeam 鏈上安全分析平台 ChainAegis 數據,2024 年第一季 Web3 領域共發生了 280 起安全事件(如圖 1),損失金額累計超過 4.62 億美元(如圖 2),與去年同期相比,安全事件發生頻率增加約 32.70%,損失金額增加約 20.65%。
2024 年 Q1 駭客攻擊共發生 60 起,年比 2023 年 Q1 增加 140%,損失金額達 3.85 億美元,佔比為 83%(如圖 3),相對 2023 年 Q1(3.62 億)較去年同期上升 6.35%。
Rug Pull 共發生 127 起,年比 2023 年 Q1(30 起) 激增 323.33%,損失金額卻下滑 59.44%,共計 821 萬美元,佔整個 Q1 損失金額的 2%。
釣魚攻擊在 Q1 總共發生 93 起,年比增加,損失金額約 6,866 萬美元,佔比約 15%。
將 Q1 分月來看(如圖 5),1 月的損失最為嚴重,超過 2.50 億美元,遠高於 2 月(7,142 萬美元)和 3 月(1.40 億美元)。其中 1 月發生安全事件 88 起,略高於 2 月的 72 起,略低於 3 月的 120 起,可見 1 月單次安全事件的損失金額最高。造成 1 月損失嚴重的攻擊手段是駭客攻擊,總共發生 20 起駭客攻擊,造成 2.17 億美元的損失。同時,1 月釣魚攻擊也呈現高發狀態,總共發生 39 起釣魚攻擊,但損失金額相對最低,共 2,915 萬美元。 2 月整體安全事件發生頻次和損失金額相對 1 月和 3 月均處於較低水準。
2.1 駭客攻擊
第一季共發生駭客攻擊 60 起,共損失金額高達 3.85 億美元。其中,1 月損失最為嚴重為 2.17 億美元。主要原因為 1 月共發生 2 起大額資金損失事件。
(1)2024 年 1 月 1 日,跨鏈橋計畫 Orbit Chain 遭遇了網路攻擊,導致價值約 8,150 萬美元的加密貨幣被盜。該事件涉及 5 筆獨立的交易,每筆交易都指向不同的錢包地址。未經授權的資金流動包括 5000 萬美元的穩定幣(其中包括 3000 萬美元的 USDT,1000 萬美元的 DAI 和 1000 萬美元的 USDC),價值約 1000 萬美元的 231 個 wBTC 和價值約 2150 萬美元的 9500 個以太坊。
(2)2024 年 1 月 31 日 Ripple 聯合創始人 Chris Larsen 的四個錢包被攻擊,共計被盜 2.37 億枚 XRP,約合 1.125 億美元。 ChainAegis 鏈上分析顯示,被竊資金已透過 MEXC、Gate、Binance、Kraken、OKX、HTX、HitBTC 等轉移。這是 2024 年迄今最大的加密貨幣竊盜案,也是加密世界迄今第 20 大加密貨幣竊盜案,XRP 的價格在事件發生的 24 小時內下跌約 4.4%。
2.2 Rug Pull & Scams
如下圖(圖 6)所示,Rugpull & Scam 事件 1 月發生 29 起,之後逐月增加,3 月發生約 63 起;1 月損失約 451 萬美元,2 月損失約 149 萬美元。根據 ChainAegis 分析,事件發生集中在主流鏈 Ethereum 和 BNB Chain,BNB Chain 計畫 Rug Pull 事件發生頻率遠高於 Ethereum。
除此之外,2 月 25 日,Blast 生態的 GameFi 計畫 RiskOnBlast 發生 Rugpull。根據 ChainAegis 分析顯示,RiskOnBlast 的地址 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558 在 22 日至 24 日間,共募資 420 枚 ETH,價值約 125 萬美元,隨後轉入存款至現貨交易。
2.3 釣魚攻擊
如下圖(圖 7)所示, 釣魚攻擊在 1 月發生頻率最高共 39 起,造成損失金額約 2915 萬美元;2 月發生頻率最低共 21 起,造成損失金額約 1134 萬美元。 SharkTeam 提醒大家,多頭市場活躍,空投機會也多,但大家要提高警惕,避免被 Angel Drainer、Pink Drainer 等活躍的釣魚團夥攻擊,轉帳和授權時一定要仔細檢查交易資訊。
三、典型案例分析
3.1 合約精度計算漏洞與安全建議
2024 年 1 月 30 日,MIM_SPELL 遭受閃電貸攻擊,因為精確度運算漏洞,損失 650 萬美元。被攻擊原因是專案方的智慧合約在進行借貸變數計算時精度出現了漏洞,使得關鍵變數 elastic 和 base 值被操縱後比例失衡,導致計算抵押物和借貸數量時出現問題,最終超額借出 MIM 代幣。
被攻擊合約(0x7259e1520)中 borrow 函數和 repay 函數在對 elastic 和 base 兩個變數進行計算時,都採用了向上取整的方式。
攻擊者(0x87F58580)首先透過償還其他使用者藉款的方式,將 elastic 變數和 base 變數分別設定為了 0 和 97。
隨後不斷的呼叫 borrow 函數和 repay 函數且參數 amount 都為 1,在第一次呼叫 borrow 函數時,由於 elastic=0,會執行上述 if 邏輯並回到 add 函數中。這樣會導致 elastic = 1,base = 98。
攻擊者(0x87F58580)再呼叫 borrow 函數並傳入 1,由於 elastic=1, 會執行 else 邏輯,計算出的回傳值為 98,這樣在回到 add 函數時,elastic=2,base 變數為 196.
但此時攻擊者(0x87F58580)呼叫 repay 函數並傳入 1,由於 elastic=2, 會執行 else 邏輯,計算出的 elastic 變數本來為 1*2/98 =0,但由於下面存在向上取整的步驟,導致計算出的回傳值 1,這樣在回到 sub 函數時,elastic 變數又變回 1,而 base 變數為 195。
可以看到經歷一次 borrow-repay 循環後,elastic 變數不變而 base 變數近乎翻倍,利用這一漏洞,駭客頻繁進行 borrow-repay 函數循環,最後再呼叫一次 repay,最終使得 elastic=0 base = 120080183810681886665215049728。
當 elastic 和 Base 變數之間的比例嚴重失衡後,攻擊者(0x87F58580)添加極少量抵押物後即可藉出大量 MIM 代幣,完成攻擊。
3.2 DeGame 被釣魚攻擊事件與 Pink Drainer 詐騙集團
2024 年 3 月,一名 Web3 用戶在不知情的情況下點擊了被盜號的 DeGame 官推發布的釣魚連結並遭受損失。
事後,該用戶誤以為 DeGame 在此過程中監守自盜所以在推特上公開了這一事件,一眾 KOL 和媒體及相當一部分用戶在不知情的情況下將此事持續擴散,對 DeGame 的品牌形象和平台口碑造成了很大的影響。
事發後,DeGame 啟動了緊急預案,幫助受害用戶嘗試追回資產,DeGame 釣魚攻擊事件的經過大致如下:
(1)3 月 14 日 4:00 AM 至 9:30 AM 期間,DeGame 官方 X 帳號 ( @degame_l2y ) 日發送 4 條空投推文,推文中空投連結為均為仿製 DeGame 官方的釣魚網站。一名用戶回饋,自己點擊該空投連結後損失約 57 PufETH;
(2)DeGame 官方推特運營人員在 9:30 AM 之後發現了平台上的釣魚連結並刪除。同時 DeGame 透過官方社媒和社群向全體用戶同步這一消息,並發布了提示公告。
(3)受害用戶在 DeGame 官方推特帳戶異常的時間段內,瀏覽到了釣魚網站鏈接及攻擊者發布的說明文字,他在不知情的情況下以為該鏈接確實係 DeGame 官方聯合其他項目方舉辦的代幣空投活動,點擊連結後按照攻擊者預設的提示操作,丟失了資產。
(4)用戶點擊釣魚網站連接錢包後,網站會自動偵測錢包位址中有無資產。若有資產,將直接彈出 Permit Token Approval 交易簽章。與常規的交易簽名所不同的是,該簽名完全不上鏈,完全匿名,很可能被用於非正當途徑。另外使用者也不需要事先授權,就能透過附加一個授權簽章(Permit)與應用程式合約互動。
(5)在此次被盜事件中,釣魚駭客獲取到了被盜用戶授權給釣魚合約地址 0xd560b5325d6669aab86f6d42e156133c534cde90 的 Permit Token Approval 交易簽名,並在攻擊交易中提交 Permit 電話授權後被盜用代幣。
(6)釣魚工具的提供者為駭客詐騙集團 Pink Drainer,Pink Drainer 是一款惡意軟體即服務(Malware-as-a-Service,MaaS),能夠讓攻擊者快速建立惡意網站,透過該惡意軟體獲取非法資產。在這筆被盜交易中約有 25% 左右的被盜資金轉移到了 PinkDrainer: Wallet 2,即釣魚團夥 PinkDrainer 的編號 2 錢包地址,系釣魚實施方在使用釣魚團夥 PinkDrainer 的釣魚工具後給 PinkDrainer 的自動分成。
3.3批量 Rugpull 導致事件數量激增
2024 年 Rugpull 事件數量激增和 RugPull 工廠合約批量創建 Rugpull 代幣有很大關係,SharkTeam 安全研究團隊對這些 Rugpull 事件進行了詳細分析。在分析過程中,我們發現 BNB Chain 上的 Rugpull 工廠合約在過去一個月內已經發起了 70 多次 Rugpull,批量 Rugpull 事件通常具有如下行為特徵:
(1)這些代幣都是由代幣工廠合約進行 createToken 作業創建的。在 createToken 函數中,創建代幣時需要傳入以下參數:代幣名稱、代幣符號、精度、供應量、代幣所有者地址、創建代幣對的工廠合約地址以及 BUSD-T 穩定幣地址。其中,創建代幣對的工廠合約使用了 PancakeSwap 的工廠合約,每個代幣都有不同的所有者地址。
(2)代幣所有者利用其它地址對 Rugpull 代幣進行批量買入和賣出操作。在買入和賣出操作下,代幣的流動性明顯增加,價格也會逐漸上漲。
(3)透過釣魚等方式宣傳,誘惑大量用戶購買,隨著流動性增加,代幣價格翻倍。
(4)代幣的價格達到一定的數值時,代幣所有者進場 sell 操作進行 Rugpull。
這一系列行為背後有一個分工明確的 Web3 詐騙團夥,構成了一個黑色產業鏈,主要涉及熱點蒐集、自動發幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節。所發的 Rugpull 虛假代幣都與產業熱點事件緊密相關,具有較強的迷惑性和鼓動性。用戶需時時提高警惕,保持理性,避免損失。
四、總結
2024 第一季因安全事件造成的總損失達 4.62 億美元,本季幣價上漲等因素對總金額的增加有一定的影響,但整體而言,Web3 安全情勢不容樂觀。智慧合約邏輯漏洞、Rugpull 黑色產業鏈、釣魚攻擊等是威脅用戶加密資產安全的主要原因,希望 Web3 用戶和專案方能盡快提高安全防範意識,減少損失。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。
