作者:Mario、Donny,Beosin 研究團隊
隨著全球數字化進程的不斷加速,區塊鏈技術作為一種新興的去中心化交易方式,正逐漸成為數字經濟的核心基礎設施之一。然而,隨著區塊鏈應用場景的不斷拓展,其面臨的安全風險也在逐步增加。在這樣一個背景下,了解 Web3 區塊鏈安全態勢及加密行業監管政策,成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司 Beosin 和 SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作,圍繞 2023 年上半年全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策等,進行深入分析和總結,旨在為讀者提供有價值的參考和啟示,助力區塊鏈技術的安全健康發展。
據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測,2023 年上半年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 6 億 5561 萬美元。其中攻擊事件 108 起,總損失金額約 4 億 7143 萬美元;釣魚詐騙總損失金額約 1.08 億美元;項目方 Rug Pull 事件 110 起,總損失約 7587 萬美元。
Web3 領域黑客攻擊事件的總損失金額較去年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元, 2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元。
從被攻擊項目類型來看,DeFi 依舊是被攻擊頻次最高、損失金額最多的類型。85 次 DeFi 安全事件總損失金額達到了 2.92 億美元,占總損失金額的 62% 。
從鏈平臺類型來看,75.6% 的損失金額來自 Ethereum,約 3.56 億美元,居所有鏈平臺的第一位。
從攻擊手法來看(按根本原因進行統計),最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元,占所有損失金額的 56% 。
從資金流向來看,約有 2.15 億美元的被盜資產得以追回,占所有被盜資產的 45.5% 。另外約有 1.13 億美元的被盜資產轉入了 Tornado Cash 和其他混幣器。
從審計情況來看,被攻擊的項目中,約有 49% 的項目沒有經過審計。
Beosin:另有約1億美元加密資產已從Multichain轉至新地址:7月11日消息,區塊鏈安全審計公司Beosin監測顯示,另有1.03億美元加密資產已從Multichain轉至0x1eed開頭的新地址,其中包括約2400萬美元USDC、2965萬美元fUSDT、213萬美元WBTC、1716萬美元WETH、1010萬美元ETH、300萬美元DAI。其中資產來自多個鏈,涉及大量私鑰,傳輸間隔時間長,表明攻擊者可能已經控制了所有的資產,并且不急于轉移它們,根據之前的分析,推測可能是內部操作。[2023/7/11 10:47:52]
與黑客攻擊事件較 2022 年下降的趨勢相反的是,對普通用戶而言,釣魚詐騙和項目方 Rug Pull 事件在 2023 年上半年更加頻發。據不完全統計,這兩類事件涉及總金額達到了至少 1.84 億美元。由于釣魚門檻技術的降低(例如可以通過一些渠道向釣魚團伙購買惡意工具包,賺取利潤后進行分成),導致 2023 年上半年釣魚詐騙事件大幅增加,成為威脅 Web3 用戶安全的主要原因。
2023 年上半年,Beosin EagleEye 安全風險監控、預警與阻斷平臺共監測到 Web3 領域主要攻擊事件 108 起,總損失金額達 4 億 7143 萬美元。其中損失金額超過 1 億美元的安全事件共 1 起,損失在 1000 萬美元 - 1 億美元區間的事件共 7 起, 100 萬美元 - 1000 萬美元區間的事件 23 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● Euler Finance - 1.97 億美元
3 月 13 日,DeFi 協議 Euler Finance 遭到攻擊,損失達到了 1.97 億美元。4 月 4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
● Atomic Wallet - 6700 萬美元
6 月 3 日,多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,統計發現被盜金額至少達到了 6700 萬美元。黑客已將被盜資金通過混幣平臺 Sinbad 進行了清洗,被攻擊原因仍在調查中。
● MEV attack - 2500 萬美元
4 月 3 日,多個 MEV 機器人遭受惡意三明治攻擊,總共損失約 2500 萬美元。
● Bitrue - 2400 萬美元
Beosin:分布式資本創始人沈波目前被盜資金已經大部分兌換為DAI:金色財經報道,根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,2022年11月23日,分布式資本創始人沈波發布消息表示個人錢包被盜,被盜資金約4200萬美元。通過分析USDC的轉賬交易,定位到該筆攻擊交易(0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7)。由于該筆交易是由0x6be85603322df6DC66163eF5f82A9c6ffBC5e894地址發起,因此認定為私鑰泄露。目前被盜資金已經大部分兌換為DAI,并且轉移到0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f
9和0x66F62574ab04989737228D18C3624f7FC1edAe14地址中,還有1606個Ether在0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。再次提醒用戶注意錢包安全。Beosin Trace將持續對黑地址異動進行監控。[2022/11/23 8:00:14]
4 月 14 日,加密交易所 Bitrue 熱錢包遭受攻擊,損失達 2400 萬美元。
● FPG - 2000 萬美元
6 月 11 日,加密貨幣經紀公司 Floating Point Group (FPG)遭到網絡攻擊,損失約 2000 萬美元的加密貨幣。
● GDAC - 1300 萬美元
4 月 9 日,韓國加密貨幣交易所 GDAC 遭到黑客攻擊,損失近 1300 萬美元。
● Yearn Finance - 1150 萬美元
4 月 13 日,Yearn Finance 的 yusdt 合約遭受黑客攻擊,黑客獲利超 1000 萬美元。
● MyAlgo Wallet - 1120 萬美元
2 月,MyAlgo 錢包遭到中間人攻擊,損失達 1120 萬美元。
2023 年上半年,DeFi 類型項目共發生 85 次安全事件,占總事件數量的 78.7% 。DeFi 總損失金額達到了 2.92 億美元,占總損失金額的 62% 。DeFi 為被攻擊頻次最高、損失金額最多的項目類型。
巧克力COCO智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成巧克力coco智能合約項目的安全審計服務。據介紹,巧克力COCO是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合波場TICP跨鏈協議,訂單簿DEX,智能挖礦等等功能的創新和聚合,進而打造全面去中心化金融平臺。巧克力COCO無ICO、零預挖且零私募,社區高度自治。合約地址:THTpbtqfoGmL6HwqaGrWKd7aJAcUTbCnoC審計報告編號:202010042149[2020/10/5]
85 次 DeFi 安全事件里,有 51 起安全事件都源自于合約漏洞利用,損失達 2.49 億美元,占 DeFi 損失總金額的 85% 。
錢包攻擊事件帶來了約 7820 萬美元的損失,金額占所有項目類型的第二位。其中 Atomic Wallet 攻擊事件至少損失了 6700 萬美元,MyAlgo 錢包攻擊事件損失為 1120 萬美元。
排名第三的項目類型為交易所,損失約 5014 萬美元。交易所攻擊事件在 2022 年全年數據里損失排名也是第三位,今年延續了攻擊頻發趨勢。
跨鏈橋項目在 2022 年損失金額排名第一(18.9 億美元),而在 2023 年上半年損失大幅下降到了 138 萬美元。
2023 年上半年,Ethereum 鏈上共發生主要攻擊事件 27 起,損失金額約為 3.56 億美元。Ethereum 鏈上損失金額居所有鏈平臺的第一位,占比約 75.6% 。
BNB Chain 上監測到了最多的攻擊事件,達到了 58 起,攻擊事件總數占所有事件的 53.7% 。BNB Chain 上發生的 58 次攻擊事件里,有 40 個被攻擊項目都未經審計。
Arbitrum 鏈上共發生 7 次攻擊事件,造成損失約 1671 萬美元,安全事件損失金額和數量與 2022 年相比有所增加(Arbitrum 在整個 2022 年只發生過兩次主要的安全事件)。
2022 年 Solana 鏈上損失金額排所有公鏈的第三位,而在 2023 年上半年并未監測到主要攻擊事件。
仙人掌CTS智能合約已通過Beosin(成都鏈安)安全審計:據官方消息,Beosin(成都鏈安)近日已完成仙人掌CTS智能合約項目的安全審計服務。
?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈,同時包含去中心化穩定數字貨幣,去中心化預言機,去中心化保險,流動性挖礦,智能挖礦等等功能的創新和聚合,進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募,社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。
合約地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s
審計報告編號:202009262149[2020/9/28]
* 說明:多種攻擊手法并存時,以根本原因為準進行分類。信息不足或項目方未公布原因的攻擊事件分類至「暫不清晰」
2023 年上半年,攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元,占所有損失金額的 56% 。
約有 1 億美元的安全事件攻擊手法暫不清晰,其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。此類事件涉及金額大,影響用戶眾多。建議此類項目方在進行事件原因調查的同時,應積極和第三方安全公司進行合作,及時公布調查結果,采取必要的修復措施,對用戶資產安全肩負起責任。
另外,還有 7 次私鑰泄露事件造成了約 2767 萬美元的損失。在 2022 年,私鑰泄露損失也是居所有攻擊類型的第三位。私鑰泄露事件一直持續威脅著項目方安全。從一些事件披露來看,加強核心成員的職業道德和安全意識管理尤為重要。
按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。36 次業務邏輯漏洞共造成了約 2.39 億美元的損失,占所有因合約漏洞攻擊損失的 90% 。此類漏洞是開發者最容易遺漏的問題,被攻擊后造成的損失往往較大,有 9 起事件的損失金額都超過了 100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。
3 月 13 日,Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊,損失達到了 1.97 億美元。
動態 | 由BM父親Stan Larimer發布的BEOS鏈已在太空處理了第一筆區塊鏈交易:BEOS 是比特股和 EOS主網之間的中間鏈,它的存在能使兩個生態系統之間的產品和服務實現自由流動。
2018 年 12 月,SovereignSky 完成了在 Elon Musk(現任特斯拉汽車企業的 CEO) 的 Space X Falcon-9 火箭上的第一顆衛星(總共 8 顆)的發射。SpaceQuest 已將 BEOS 混合 SovereignSky 區塊鏈成功上傳到 AprizeSat-5,并且已經完成了太空中的第一批區塊鏈交易之一。區塊鏈交易已于 12 月 13 日在 AprizeSat-5 衛星上被確認。[2020/1/13]
3 月 16 日,Euler 基金會懸賞 100 萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。
3 月 17 日,Euler Labs 首席執行官 Michael Bentley 發推文表示,Euler「一直是一個安全意識強的項目」。從 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家區塊鏈安全公司的 10 次審計。
從 3 月 18 日開始至 4 月 4 日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己「攪亂了別人的錢,別人的工作,別人的生活」并請求大家的原諒。
漏洞分析:復盤 Euler Finance 2 億美元被盜案的來龍去脈,本次事件帶給我們哪些啟示?
2 月 1 日,加密協議 BonqDAO 遭到價格操控攻擊,攻擊者鑄造了 1 億個 BEUR 代幣,然后在 Uniswap 上將 BEUR 換成其他代幣,ALBT 價格下降到幾乎為零,這進一步引發了 ALBT 寶庫的清算。按照黑客攻擊時的代幣價格,損失高達 8800 萬美元,但是由于流動性耗盡,事件實際損失在 185 萬美元左右。
漏洞分析:開年最大黑客事件,損失 8800 萬美元,加密協議 BonqDAO 被攻擊事件分析
2 月 17 日,Avalanche 平臺的 Platypus Finance 因函數檢查機制問題遭到攻擊,損失約 850 萬美元。然而攻擊者并沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。
2 月 23 日,Platypus 表示,已經聯系了 Binance 并確認了黑客身份,并表示將至少向用戶償還 63% 的資金。
2 月 26 日,法國國家警察已經逮捕并傳喚了兩名攻擊 Platypus 的嫌疑人。
漏洞分析:閃電貸攻擊如何防范?Avalanche 鏈上 Platypus 項目損失 850 萬美元攻擊事件分析
2023 年 4 月 13 日,Yearn Finance 的 yusdt 合約遭受黑客閃電貸攻擊,黑客獲利超 1000 萬美元。yUSDT 疑似在 1000 多天前部署時便被錯誤配置,錯誤地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。
5 月 26 日,Yearn 攻擊者已將 4134 枚 ETH 轉入 Tornado Cash。
漏洞分析:被盜超 1000 萬美元,Yearn Finance 如何被黑客「盯上」?
據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示,Atomic Wallet 于今年 6 月初遭攻擊,據 Beosin 團隊統計,綜合鏈上已知的受害人報案信息,此次攻擊造成的損失至少約 6700 萬美元。
我們將深入探討這起黑客盜竊案的資金清洗細節,并使用Beosin KYT虛擬資產反洗錢合規和分析平臺,對黑客的洗錢套路進行追蹤和分析。
根據 Beosin 團隊分析,此次被盜事件截止目前涉及的鏈包括 BTC、ETH、TRX 在內總共 21 條鏈。被盜資金主要集中在以太坊鏈。其中:
以太坊鏈
已查出被盜資金為 16262 個 ETH 價值的虛擬貨幣,約 3000 萬美元。
波場鏈
波場鏈已知被盜資金為 251335387.3208 個 TRX 價值的虛擬貨幣,約 1700 萬美元。
BTC 鏈
BTC 鏈已知被盜資金為 420.882 個 BTC 價值的虛擬貨幣,折合 1260 萬美元。
BSC 鏈
BSC 鏈已知被盜資金為 40.206266 個 BNB 價值的虛擬貨幣。
其余鏈
XRP: 1676015 個 XRP,約 84 萬美元
LTC: 2839.873689 個 LTC,約 22 萬美元
DOGE: 800575.67369797 個 DOGE,約 5 萬美元
在黑客對贓款的操作中,以太坊被攻擊鏈路上有兩種主要的方式:
1、通過合約進行發散后利用 Avalanche 跨鏈洗錢
根據 Beosin 團隊分析,黑客會首先將錢包中有價值的幣統一換成公鏈的主幣,再通過兩個合約來進行匯集。
該合約地址會通過兩層中轉將 ETH 打包成 WETH,再將 WETH 轉入用于將 ETH 發散的合約,通過最高 5 層中轉轉入 Avalanche 用于 Cross Bridge 的錢包地址中進行跨鏈操作,該跨鏈不使用合約進行,屬于 Avalanche 的內部記賬式交易類型。
以太坊鏈路簡圖如下:
全文閱讀:一場涉及至少 6000 萬美元的錢包被盜案,Beosin KYT 帶你拆穿黑客洗錢套路
2023 年上半年,Beosin KYT虛擬資產反洗錢合規和分析平臺顯示,約有 2.15 億美元的被盜資產得以追回,占所有被盜資產的 45.5% 。而在 2022 年,僅有 8% 的被盜資產被追回。2023 年資金追回的機會大幅提升。除了與黑客談判追回以外,依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外,全球監管體系的完善和執法力度的加大,也對黑客行為起到了警戒作用。
約有 1.13 億美元的被盜資產轉入了混幣器。其中轉入 Tornado Cash 約 4538 萬美元,其他混幣平臺約 6814 萬美元。自 2022 年 8 月 Tornado Cash 受到美國 OFAC 制裁后,黑客使用 Tornado Cash 進行混幣的總金額大幅減少,而其他混幣平臺的使用率明顯增加,如 FixedFloat、Sinbad 等。
審計和未審計項目比例大致相當,在 108 個被攻擊項目中,經過審計的項目為 51 個,未經審計的項目為 53 個,比例大致相當。該比例與 2022 年情況也大體一致。
在經過審計的 51 個項目里,有 31 個項目(60% )被攻擊原因來自合約漏洞利用。該比例高于去年的 45 %,整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。
110 起 Rug Pull 事件卷走 7587 萬美元
2023 年上半年,Web3 領域共監測到主要 Rug Pull 事件 110 起,涉及金額約 7587 萬美元。
從金額來看, 14 起(12.7% )Rug Pull 事件金額在 100 萬美元之上, 10 萬至 100 萬美元區間的事件共 41 起(37.3% ), 10 萬美元以下的事件共 55 起(50% )。
涉及金額最大的 Rug Pull 事件為 Fintoch 項目,該項目卷走了約 3160 萬美元的資產。
從鏈平臺來看,BNB Chain 上發生了 80 起 Rug Pull 事件,涉及金額 5337 萬美元,遠遠高于其他的公鏈。
總體而言,Web3 領域黑客攻擊事件的總損失金額較 2022 年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元, 2022 年下半年約 16.9 億美元,而 2023 上半年該數值下降到了 4.7 億美元,并且其中約有 2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢,促成這一現象的主要原因有:全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器 Tornado Cash 被制裁、AML 反洗錢技術和程序的完善等。另外,也出現了依靠社區力量,通過鏈下情報對黑客身份進行定位并迫使黑客返還的案例。
即便黑客攻擊大幅放緩,合約安全問題依舊不能忽略。2023 年上半年,最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成了 2.64 億美元的損失,其中絕大多數被利用的漏洞是業務邏輯問題。一些較為復雜的業務邏輯漏洞,需要經驗豐富的專業審計公司才能發現。Beosin 審計團隊會對每一次黑客攻擊事件都會進行深入分析(推特@BeosinAlert),確保將其中總結出的經驗和技術應用到項目審計過程中,以應對實際可能發生的黑客攻擊。
與黑客攻擊事件下降的趨勢相反的是,針對普通用戶的釣魚詐騙更加頻發。上半年出現了以 Venom Drainer 為代表的一系列錢包 Drainer 團伙,他們開發惡意工具包后進行售賣,購買者成功釣魚獲利后再與之進行分成。此類釣魚詐騙波及用戶面廣,單是 Venom Drainer 這一個團伙就產生了至少 1.5 萬個受害者。對于普通用戶而言,最好能夠經常關注安全公司的提醒,系統性地學習一些防釣魚防被盜知識,也可以安裝一些防釣魚插件、交易預執行工具等進行提醒(但不能完全依賴工具,加強自身安全意識永遠是第一位的)。
Beosin
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
?區塊鏈游戲是一種創新的游戲形式,吸引了各路游戲玩家的關注。Square Enix、Nexon和Ubisoft等游戲巨頭都在紛紛嘗試這一前沿技術。然而對大多數游戲來說,區塊鏈并不是一劑萬靈藥.
1900/1/1 0:00:00作者:Ivan Cryptoslav,CoinMarketCap 編譯:hiiro.
1900/1/1 0:00:00頭條 ▌美眾議員證實比特幣礦業消費稅計劃已被取消美國俄亥俄州眾議員Warren Davidson周日分享了新提議的債務上限協議的文本,該法案將在2025年1月1日之前完全暫停債務上限.
1900/1/1 0:00:00文章作者:rxndy444 編譯:Block unicorn加密貨幣的敘事波動起伏,但穩定幣作為鏈上金融基礎設施的核心組成部分,已經穩定地存在于市場之中.
1900/1/1 0:00:00加密市場今年第一季度的反彈并沒有伴隨著網絡使用的復蘇。盡管某些特定的L1的市場份額平均季度環比增長率為83%,但網絡使用率卻下降了大約2.5%.
1900/1/1 0:00:00作者:forkast;編譯:松雪,金色財經據彭博社報道,摩根大通公司已與印度頂級私人銀行啟動了一項試點項目,通過其區塊鏈平臺 Onyx 進行銀行間美元交易結算.
1900/1/1 0:00:00