2024 上半年造成危害最大的攻擊類型依舊為私鑰外洩。約 75% 的損失金額來自於自私鑰洩漏事件。從專案類型來看,私鑰外洩事件遍佈於 Web3 各個領域:遊戲平台、DeFi、個人錢包、基礎設施、NFT、支付平台、博弈平台、資料儲存平台等。各個 Web3 專案方/個人使用者都需要提高警惕,離線儲存私鑰、使用多重簽章、謹慎使用第三方服務、對特權員工進行定期安全培訓。
作者: Mario,Beosin 研究團隊
*本報告由 Beosin、Footprint Analytics 共同出品,公眾號後台回覆「半年報」可取得報告完整版。
本章作者:Beosin 研究團隊 Mario
1、2024 年上半年 Web3 區塊鏈安全態勢綜述
根據 Beosin Alert 監控及預警顯示,2024 年上半年 Web3 領域因駭客攻擊、釣魚詐騙和專案方 Rug Pull 造成的總損失達到了 15.4 億美元。其中主要攻擊事件 78 起,總損失金額約 11.93 億美元;專案方 Rug Pull 事件 64 起,總損失約 1.19 億美元;釣魚詐騙總損失金額約 2.32 億美元。
2024 年上半年共發生 3 起損失金額超過 1 億美元的安全事件。 5 月的總損失金額達到了 4.5 億美元,為 2024 年上半年損失金額最高的月份。
從被攻擊項目類型來看,損失最高的項目類型為 CEX,4 次針對 CEX 的攻擊共造成了約 3.92 億美元的損失,佔所有攻擊損失金額的 32.8%。
從各鏈損失金額來看,Ethereum 依舊為損失金額最高、攻擊事件最多的鏈。 32 次 Ethereum 上的攻擊事件造成了 4.7 億美元的損失,佔了總損失的 39.4%。
從攻擊手法來看,上半年共發生 22 次私鑰外洩事件,造成損失達了 8.94 億美元,約佔總攻擊損失金額的 75%,是佔比最高的攻擊類型。
從資金流向來看,約有 4.7 億美元(39.3%)被盜資金被凍結或追回。該比例較 2023 年有了顯著提升。
從審計情況來看,被攻擊的項目中,經過審計的項目方比例增加。
2、2024 年上半年十大攻擊事件
78 起主要攻擊事件共造成損失約 11.93 億美元
2024 年上半年,Beosin Alert 共監控到 Web3 領域主要攻擊事件 78 起,總損失金額達 11.93 億美元。其中損失金額超過 1 億美元的安全事件共 3 起,損失在 1000 萬美元- 1 億美元區間的事件共 15 起,100 萬美元- 1000 萬美元區間的事件共 33 起。
2024 年上半年 10 大駭客攻擊事件(依損失金額排序):
- DMM Bitcoin - 3 億美元
攻擊方式:私鑰外洩鏈平台:BTC
5 月 31 日,日本加密貨幣交易所 DMM Bitcoin 遭到攻擊,價值約 3 億美元的比特幣被偷走。駭客將盜錢分散到了 10 餘個地址。
- PlayDapp - 2.9 億美元
攻擊方式:私鑰外洩鏈平台:Ethereum
2 月 9 日,區塊鏈遊戲平台 PlayDapp 遭到攻擊,駭客地址鑄造了 2 億枚 pla 代幣,價值 3,650 萬美元。而後 PlayDapp 與駭客談判失敗,駭客在 2 月 12 日鑄造了 15.9 億枚 PLA 代幣,價值 2.539 億美元,並將部分資金送到 Gate.io 交易所。事後專案方將 PLA 合約暫停,並將 PLA 代幣移至了 PDA 代幣。
- Chris Larsen (Ripple 共同創辦人) - 1.12 億美元
攻擊方式:私鑰外洩鏈平台:XRP
1 月 31 日,Ripple 聯合創始人 Chris Larsen 表示,自己的四個錢包遭到駭客攻擊,共被盜約 1.12 億美元。幣安團隊已成功凍結了攻擊者竊取的價值 420 萬美元的 XRP。
- Munchables - 6,230 萬美元
攻擊方式:社會工程鏈平台:Blast
3 月 26 日,基於 Blast 的 Web3 遊戲平台 Munchables 遭遇攻擊,損失約 6,250 萬美元。疑似項目方因僱用北韓駭客為開發者而遭受攻擊。事後所有被盜資金已由駭客歸還。
- BTCTurk - 5500 萬美元
攻擊方式:私鑰外洩鏈平台:Avalanche
6 月 22 日,土耳其加密貨幣交易所 BTCTurk 遭到攻擊,損失約 5,500 萬美元。 Binance 協助凍結了超過 530 萬美元的被盜資金。
- Hedgey Finance - 4,470 萬美元
攻擊方式:合約漏洞鏈平台:Arbitrum
4 月 19 日,Hedgey Finance 遭到駭客攻擊,損失約 4,470 萬美元。
- FixedFloat - 2610 萬美元
攻擊方式:安全結構漏洞鏈平台:Ethereum
2 月 17 日,加密交易所 FixedFloat 遭遇攻擊,損失約 2,610 萬美元,駭客已將大部分被盜資金轉移到了 eXch 交易所。 2 月 20 日,FixedFloat 表示,這次攻擊」不是我們的員工所為,而是由我們安全結構漏洞引起的外部攻擊「。
● Gala Games - 2250 萬美元
攻擊方式:私鑰外洩鏈平台:Ethereum
5 月 20 日,遊戲平台 Gala Games 遭到攻擊,駭客鑄造了 50 億枚 GALA 代幣,之後迅速拋售 5.92 億枚 GALA。事後駭客將獲取的 2,250 萬美元全部歸還。
- Lykke - 2200 萬美元
攻擊方式:私鑰外洩鏈平台:Ethereum、BTC
6 月 4 日,英國加密貨幣交易所 Lykke 遭到” 未經授權的訪問 “,共損失約 2200 萬美元。
- Sonne Finance - 2000 萬美元
攻擊方式:合約漏洞鏈平台:Optimism
5 月 15 日,Optimism 鏈上 Compound fork 專案 Sonne Finance 因合約漏洞而遭受攻擊,損失達 2,000 萬美元。
3. 被攻擊項目類型
CEX 為損失金額最高的項目類型
2024 年上半年,損失最高的項目類型為 CEX,4 次針對 CEX 的攻擊共造成了約 3.92 億美元的損失,佔所有攻擊損失金額的 32.8%。 CEX 安全事件雖然次數不多,但每次被盜金額都龐大,這對交易所生態安全造成了嚴峻的考驗。
緊接著損失排在第二位的受害者類型為遊戲平台。 8 次遊戲平台駭客事件造成了 3.89 億美元的損失,佔比約 32.6%。和 2023 年相比,2024 年針對 Web3 遊戲平台的攻擊有了大幅增加。
78 次駭客攻擊事件中,共有 38 起事件發生在 DeFi 領域,佔比約 48.7%,是攻擊次數最多的項目類型。這 38 次 DeFi 攻擊事件共導致了 1.57 億美元的損失,排在所有項目類型的第三位。
其他被攻擊的項目類型還包括:DEX、基礎設施、個人錢包、NFT 等。
4. 各鏈損失金額狀況
Ethereum 為損失金額最高、攻擊事件最多的鏈
和 2023 年相同的是,在 2024 年上半年,Ethereum 依舊是損失金額最高的公鏈。 32 次 Ethereum 上的攻擊事件造成了 4.7 億美元的損失,佔了總損失的 39.4%。
損失金額排名第二的公鏈為 BTC,共損失 3.26 億美元,佔總損失的 27.3%。 BTC 損失金額主要來自於日本交易所 DMM Bitcoin 被盜 3 億美元事件。
損失金額排名第三的公鏈為 XRP(1.12 億美元),來自一次 Ripple 聯合創始人 Chris Larsen 錢包被盜事件。
依照安全事件數量排名,前三名分別為 Ethereum(32 次)、BNB Chain(10 次)、Arbitrum(9 次)。 Arbitrum 鏈上的安全事件數量較 2023 年增加。
5. 攻擊手法分析
75% 的損失金額來自私鑰洩漏事件
2024 年上半年,共發生 22 次私鑰外洩事件,造成損失達了 8.94 億美元,約佔總攻擊損失金額的 75%。和 2023 年相同,私鑰外洩事件造成的損失依舊是所有攻擊類型的第一位。造成較大損失的私鑰外洩事件有:DMM Bitcoin(3 億美元)、PlayDapp(2.9 億美元)、Ripple 共同創辦人 Chris Larsen(1.12 億美元)、BtcTurk(5,500 萬美元)。
78 起攻擊事件中,有 43 起來自合約漏洞利用,佔約 55%。合約漏洞利用總損失達 1.67 億美元,排名第二。
損失金額排名第三的攻擊手法為社會工程攻擊,3 次社會工程攻擊造成損失約 6,500 萬美元。
依漏洞細分,造成損失前三名的漏洞分別為:業務邏輯漏洞(8,170 萬美元)、存取控制漏洞(2,565 萬美元)、演算法缺陷(2,405 萬美元)。出現次數最高的漏洞也為業務邏輯漏洞,43 起合約漏洞攻擊中有 16 次是業務邏輯漏洞。
6. 反洗錢典型事件分析回顧
北韓駭客集團 Lazarus Group 洗錢分析
根據加密貨幣偵探 ZachXBT 的調查,北韓 Lazarus Group 在 2020 年 8 月至 2023 年 10 月期間將價值 2 億美元的加密貨幣洗錢為法定貨幣。
以下介紹了北韓駭客 Lazarus Group 過往幾年的動態,並對其洗錢的方式進行了分析與總結:Lazarus Group 在盜取加密資產後,基本上是透過來回跨鏈再轉入 Tornado Cash 的方式進行資金混淆。在混淆之後,Lazarus Group 將被盜資產提取到目標地址並發送到固定的一些地址群進行提現操作。先前被盜的加密資產基本上都是存入 Paxful deposit address 以及 Noones deposit address,然後透過 OTC 服務將加密資產換成法幣。
製造 CoinBerry 等攻擊事件
2020 年 8 月 24 日,加拿大加密貨幣交易所 CoinBerry 錢包被盜。
駭客地址:
0xA06957c9C8871ff248326A1DA552213AB26A11AE
2020 年 9 月 11 日,Unbright 由於私鑰洩露,團隊控制的多個錢包中發生了 40 萬美元的未經授權的轉帳。
駭客地址:
0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43
2020 年 10 月 6 日,由於安全漏洞,CoinMetro 熱錢包中未經授權轉移了價值 75 萬美元的加密資產。
駭客地址:
0x044bf69ae74fcd8d1fc11da28adbad82bbb42351
2021 年初,各個攻擊事件的資金匯集到了以下地址:
0x0864b5ef4d8086cd0062306f39adea5da5bd2603。
2021 年 1 月 11 日,0x0864b5 地址在 Tornado Cash 存入了 3000ETH,隨後再次透過 0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129 地址向 Torn Cash 存入了 18000ec196b1d164129 地址向 Torn Cash 存入了 18000 多枚地址。
隨後在 1 月 11 日至 1 月 15 日,陸續從 Tornado Cash 中提取了近 4500 枚 ETH 到 0x05492cbc8fb228103744ecca0df62473b2858810 地址。
到了 2023 年,攻擊者經過多次轉移兌換,最終匯集到了其他安全事件資金歸集提現的地址,根據資金追蹤圖可以看到,攻擊者陸續將盜取的資金發送至 Noones deposit address 以及 Paxful deposit address 。
Nexus Mutual 創辦人 (Hugh Karp) 遭駭客攻擊
2020 年 12 月 14 日,Nexus Mutual 創辦人 Hugh Karp 被偷走 37 萬 NXM(830 萬美元)。
被盜資金在下面幾個地址之間轉移,並兌換為其他資金。
0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b
Lazarus Group 透過這幾個地址進行了資金混淆、分散、歸集等操作。例如,部分資金透過跨鏈到比特幣鏈上,再透過一系列轉移跨回以太坊鏈上,之後透過混幣平台進行混幣,再將資金發送至提現平台。
2020 年 12 月 16 日-12 月 20 日,其中一個黑客地址 0x078405 將超 2500ETH 發送至 Tornado Cash,幾個小時之後,根據特徵關聯,可以發現 0x78a9903af04c8e887df5290c91917f717121717120c9192171171717130c9192171171713130290c919217117131:
駭客透過轉移以及兌換,將部分資金轉移至上一個事件涉及的資金歸集提現的地址。
之後,2021 年 5 月-7 月,攻擊者將 1,100 萬 USDT 轉入 Bixin deposit address。
2023 年 2 月-3 月,攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址,將 277 萬 USDT 送到 Paxful deposit address。
2023 年 4 月-6 月,攻擊者透過 0xcbf04b011eebc684d380db5f8e661685150e3a9e 位址,將 840 萬 USDT 送到 Noones deposit address。
Steadefi 和 CoinShift 駭客攻擊
Steadefi 事件攻擊位址
0x9cf71f2ff126b9743319b60d2d873f0e508810dc
Coinshift 事件攻擊地址
0x979ec2af1aa190143d294b0bfc7ec35d169d845c
2023 年 8 月,Steadefi 事件的 624 枚被盜 ETH 被轉移到 Tornado Cash,同一個月,Coinshift 事件的 900 枚被盜 ETH 被轉移到 Tornado Cash。
在轉移 ETH 到 Tornado Cash 之後,立即陸續將資金提取到下面地址:
0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41
0x4e75c46c299ddc74bac808a34a778c863bb59a4e
0xc884cf2fb3420420ed1f3578eaecbde53468f32e
2023 年 10 月 12 日,上述三個地址將從 Tornado Cash 提取的資金都發送到了 0x5d65aeb2bd903bee822b7069c1c52de838f11bf8 地址上。
2023 年 11 月,0x5d65ae 地址開始轉移資金,最終透過中轉和兌換,將資金發送到了 Paxful deposit address 以及 Noones deposit address。
7. 被竊資產的資金流向分析
39.3% 的被盜資產被凍結和追回
根據 Beosin KYT 反洗錢平台分析顯示,2024 年上半年被盜的資金中,約有 4.7 億美元(39.3%)被盜資金被凍結或追回。該比例較 2023 年有了顯著提升。
約有 5.5 億美元(46.3%)的被盜資金仍保留在駭客地址。隨著全球監管機構反洗錢力度的加大,駭客清洗贓物變得更加困難,因此相當一部分駭客選擇暫時將盜取資金保留在鏈上地址。
約有 1.075 億美元的被盜資金轉入了各交易所,佔比約 9%,該比例高於 2023 年。共有 6,414 萬美元(5.4%)轉入了混幣器:5,243 萬美元轉入了 Tornado Cash;1,171 萬美元轉入了其他混幣器。和去年相比,2024 年上半年透過混幣器清洗的被竊資金大幅減少。
8、專案審計狀況分析
經過審計的專案方比例增加
2024 年上半年,78 起攻擊事件裡,有 26 起事件的專案方沒有經過審計,49 起事件的專案方經過了審計。經過審計的專案方比例略高於 2023 年,這顯示整個 Web3 產業專案方對安全的重視程度提高了。
26 個沒有經過審計的項目中,合約漏洞事件佔了 15 起(57.7%)。 49 個經過審計的項目中,合約漏洞事件佔了 28 起(57.1%)。兩者整體比例大致相當。和 2023 年比,2024 年整體安全審計品質有所下滑。
9、Rug Pull 分析
64 起 Rug Pull 事件共損失 1.19 億美元
2024 年上半年,共監測到計畫方 Rug Pull 事件 64 起,涉及金額達 1.19 億美元。
損失金額排名前 5 的 Rug pull 事件為:Bitforex(5,650 萬美元)、ZKasino(3,300 萬美元)、Gemholic(340 萬美元)、Hector Network(270 萬美元)、MangoFarm(200 萬美元)。這 5 起 Rug Pull 事件分佈在 Ethereum、ZKsync、Fantom、Solana 四條鏈。
Ethereum 鏈上 Rug Pull 涉及總金額達到了 9,628 萬美元,佔總損失的 81%。 BNB Chain 鏈上發生了最多的 Rug Pull 事件,共 31 次,佔總事件數量的 48.4%。
10、2024 年上半年 Web3 區塊鏈安全態勢總結
和 2023 年同期相比,2024 年上半年因駭客攻擊、釣魚詐騙、專案方 Rug Pull 造成的總損失大幅上升,達到了 15.4 億美元(2023 年上半年這一數字為 6.7 億美元)。 2024 年上半年幣價上漲因素對總金額的增加有一定的影響,但整體而言,Web3 安全領域情勢依舊不容樂觀。
和 2023 年相同,2024 年上半年造成危害最大的攻擊類型依舊為私鑰外洩。約 75% 的損失金額來自於自私鑰洩漏事件。從專案類型來看,私鑰外洩事件遍佈於 Web3 各個領域:遊戲平台、DeFi、個人錢包、基礎設施、NFT、支付平台、博弈平台、資料儲存平台等。各個 Web3 專案方/個人使用者都需要提高警惕,離線儲存私鑰、使用多重簽章、謹慎使用第三方服務、對特權員工進行定期安全培訓。
上半年有 39.3% 的被盜資產被凍結和追回,這標誌著全球監管體系的完善和反洗錢力度的加強。上半年僅有 5.4% 的被盜資產轉入了各類混幣器,另外有 46.3% 的資產還保留在黑客地址,這進一步說明了黑客清洗贓物難度的增加。上半年依舊有 9% 的被盜資金轉入了各交易所,這需要交易所及時識別黑客行為,積極配合執法機構和專案方凍結資金和進行調證。目前交易所和執法機構、專案方、安全團隊的合作已經有了較為明顯的成果,相信未來會有更多被盜資金能夠追回。
上半年 78 起攻擊事件中,仍有 43 起來自合約漏洞利用,建議專案方在上線前尋求專業的保全公司進行審計。 Beosin 作為全球最早一批從事形式化驗證的區塊鏈安全公司,主打」安全+合規「全生態業務,在全球 10 多個國家和地區設立了分部,業務涵蓋專案上線前的程式碼安全審計、專案運行時的安全風險監控與阻斷、被盜追回、虛擬資產反洗錢(AML)以及符合各地監管要求的合規評估等「一站式」區塊鏈合規產品+安全服務。
免責聲明:作為區塊鏈資訊平台,本站所發布文章僅代表作者及來賓個人觀點,與 Web3Caff 立場無關。文章內的資訊僅供參考,均不構成任何投資建議及要約,並請您遵守所在國家或地區的相關法律法規。