数据图表可在此处查阅:Footprint Analytics: Crypto Analysis Dashboards
2023 年第一季度,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元,较 2022 年第 4 季度下降了约 77% 。2023 年第一季度的总损失金额低于 2022 年的任何一个季度。
除攻击事件外, 2023 年第一季度还监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
从月份来看,3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。
从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42 次安全事件总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。
从链平台类型来看,80.8% 的损失金额来自 Ethereum,居所有链平台的第一位。
从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击, 8 次闪电贷事件损失约 1.98 亿美元;攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。
从资金流向来看,本季度约有 2 亿美元的被盗资产得以追回。本季度资金追回的情况优于 2022 年的任何一个季度。
从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。
2023 年第一季度,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元。其中损失金额超过 1 亿美元的安全事件共 1 起(Euler Finance 闪电贷攻击事件损失 1.97 亿美元)。损失 1000 万美元-1 亿美元区间的事件 2 起, 100 万美元-1000 万美元区间的事件 17 起。
Beosin:CS (CS)token遭受到攻击,损失金额截至目前约71.4万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月24日,bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下:
1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。
2、攻击者开始卖出3000 CS代币,这一步会设置sellAmount。
3、攻击者通过给自己转账,会触发sync(),在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2,3步持续减少pair中的CS代币数量,拉升CS代币的价格,使得后续一步可以兑换出更多的BSC-USD。
借入80,000,000 BSC-USD,兑换出80,954,000 BSC-USD,偿还80,240,000 BSC-USD,获利约714,000 BSC-USD。[2023/5/24 15:22:35]
从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。
随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi 的 TVL 随着币价在一季度震荡回升。
2023 年第一季度,DeFi 类型项目共发生 42 次安全事件,占总事件数量的 68.9% 。DeFi 总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。
NFT类型损失金额排名第二(1852 万美元),主要来自于 NFT 钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第 2-4 位均和用户安全紧密相关。
Beosin:1月各类攻击事件损失总金额约1464万美元,较去年12月下降约77%:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年1月,各类安全事件涉及金额较2022年12月持续大幅下降。1月发生较典型安全事件超『19』起,各类攻击事件损失总金额约1464万美元,较去年12月下降约77%,比2022年任何一个月的损失金额都要低。
本月较大的安全事件为HECO生态跨链借贷平台LendHub因没有弃用旧合约而被攻击,损失近600万美元。此外,两起个人钱包被盗事件损失均超过百万美元,钱包的安全性问题依旧不容忽视。在黑客猖獗的2022年过去之后,2023开年的区块链安全态势总体相对平稳。本月针对项目方的攻击事件呈下降趋势,反倒是一些针对个人用户钱包、社媒账号的攻击事件有所增加。Beosin建议个人用户一定要提高防钓鱼意识,规范操作。本月发生的典型跑路事件均是通过后门代码进行Rug Pull,建议用户在交互前一定要仔细查看相关的审计报告,避免资产遭受损失。[2023/1/31 11:38:34]
2023 年第一季度仅发生了 1 次跨链桥安全事件,损失金额为 13 万美元。而在 2022 年, 12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。在 2022 年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。
2023 年第一季度,Ethereum 链上共发生主要攻击事件 17 起,损失金额约为 2.38 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 80.8% 。
BNB Chain 上监测到了最多的攻击事件,达到了 31 起。其总损失为 1948 万美元,排所有链平台损失的第二位。
损失排名第三的公链为Algorand,损失来自于 MyAlgo 钱包被盗事件。Algorand 链在 2022 年没有发生过主要安全事件。
值得一提的是, 2022 年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。
Beosin:BSC链上的gala.games项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BSC链上的gala.games项目遭受攻击,Beosin分析发现由于pNetwork项目的bridge配置错误导致pTokens(GALA) 代币增发,累计增发55,628,400,000枚pTokens(GALA),攻击者已经把部分pTokens(GALA) 兑换成12,976个BNB,攻击者(0x6891A233Bca9E72A078bCB71ba02aD482A44e8C1)累计获利约434万美元。Beosin Trace追踪发现被盗金额还存在攻击者地址中。
第一笔攻击交易:0x4b239b0a92b8375ca293e0fde9386cbe6bbeb2f04bc23e7c80147308b9515c2e
第二笔攻击交易:0x439aa6f526184291a0d3bd3d52fccd459ec3ea0a8c1d5bf001888ef670fe616d[2022/11/4 12:17:00]
本季度损失金额最高的攻击手法为闪电贷, 8 次闪电贷事件损失约 1.98 亿美元,占所有损失金额的 67% 。
攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。合约漏洞共造成 3905 万美元的损失,为所有攻击类型损失金额的第二位。
2023 年第一季度,DeFi 类型项目被攻击了 42 次,其中有 22 次都源于合约漏洞利用。DeFi 项目方需要尤其注重合约的安全性。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17 次业务逻辑/函数设计不当漏洞共造成了 2244 万美元的损失。
事件概要
3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。
Beosin已完成对永久通缩协议Mimosa代码审计:12月28日消息。据官方通告,区块链安全公司Beosin(LianAnTech)宣布已完成对永久通缩协议Mimosa的审计工作,审计项包括协议安全性评估、代码漏洞审查等,确认了MIMO在以太坊链上传输,通过扣除转账手续费的形式进行代币销毁,手续费比例可在有效范围0-100%内修改,当手续费比例为100%时转账数量全部销毁;目前手续费为默认5%。[2020/12/28 15:54:14]
3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。
3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler“一直是一个安全意识强的项目”。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。
从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。
4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
漏洞分析
在本次攻击中,Etoken 合约的 donateToReserves 函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了 1 亿个 eDAI,而实际上攻击者只质押了 3000 万个 DAI。
由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI 和 dDAI 会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有 310.93 M 个 eDAI 和 259.31 M 个 dDAI。
动态 | BEOS 技术白皮书发布:据引力观察报消息,BM父亲 Stan Larimer 发起的区块链项目 BEOS 的技术白皮书于3天前发布。BEOS是一条中间链,用于比特股和EOS主网之间产生交互,带来更大的EOS生态。[2019/2/2]
此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是 eDAI 和 dDAI 的差值。但池子中实际上只有 3890 万 DAI,所以用户只能提取这部分金额。
2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。
本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。
BonqDAO 平台采用的预言机使用函数 ‘getCurrentValue’ 而不是 ‘getDataBefore’。
黑客通过质押 10 个 TRB 代币(价值仅约 175 美元)成为了价格报告者,并通过调用 submitValue 函数修改预言机中 WALBT 代币的价格。价格设置完成之后,攻击者调用 Bonq 合约的 createTrove 函数,创建 trove 合约,并向该合约中抵押了 0.1 个 WALBT 代币进行借款操作。正常来说,借款额度应该是小于 0.1 个 WALBT 的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过 TellorFlex 合约来进行实现的。而在上一步,攻击者已经把 WALBT 价格拉得异常高,导致攻击者在本次借款中,借出了 1 亿枚 BEUR 代币。
攻击者在第二笔交易中将 WALBT 价格设置得异常低,从而使用少量的成本将其他用户所抵押的 WALBT 代币清算出来。
2 月 17 日,Avalanche平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。
2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。
攻击原因是 MasterPlatypusV 4 合约中的 emergencyWithdraw 函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的 borrowLimitUSP(借贷上限),而没有检查用户是否归还债务的情况。
攻击者首先通过 AAVE 合约闪电贷借出 4400 万枚的USDC存入 Pool 合约中,然后 mint 了 4400 万枚 LP-USDC。接着攻击者调用 borrow 函数借出了 4179 万枚 USP,下一步立马调用了 EmergencyWithdraw 函数。
在 EmergencyWithdraw 函数中有一个 isSolvent 函数来验证借贷的余额超过可借贷最大值,返回 true 就可以进入 transfer 操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的 4400 万枚 LP-USDC。
2023 年第一季度,约有 $ 200, 146, 821 的被盗资产得以追回,占所有被盗资产的 67.8% 。其中,Euler Finance 被盗的 1.97 亿美元资产已经全部被黑客返还。更多追回的例子包括: 2 月 13 日,攻击 dForce 的黑客返还了全部盗取的 365 万美元资金;3 月 7 日,攻击 Tender.fi 的白帽黑客返还了盗取资金并获得了 62 ETH的赏金。本季度资金追回的情况优于 2022 年的任何一个季度。
Beosin KYT 反分析平台发现约有 2313 万美元(7.8% )的资产转入了Tornado Cash,另外有 254 万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年 8 月 Tornado Cash 遭受制裁以来,转入 Tornado Cash 的被盗资金比例自 2022 年Q3开始就呈现持续下降趋势。
同时,Beosin KYT 反分析平台发现约有 6002 万美元(20.3% )的资产还停留在黑客地址余额。还有约 932 万美元(3.1% )的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。
2023 年第一季度遭到攻击的项目中,除开 8 个无法用是否审计衡量的事件(如一些个人用户遭受的钓鱼攻击等),在剩下被攻击的项目中,接受过审计的有 28 个,未接受审计的有 25 个。
本季度共有 27 起合约漏洞利用导致的攻击事件,其中审计过的项目有 15 个(损失约 3119 万美元),未审计的有 12 个(损失约 786 万美元)。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。
2023 年第一季度,Web3领域共监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
从金额来看, 6 起(14.6% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 12 起(29.2% ), 10 万美元以下的事件共 23 起(56% )。
41 起 Rug Pull 事件中,有 34 个项目部署在BNB Chain,占到了 83% 。为何众多项目选择 BNB Chain 呢?原因可能有如下几点:
1 )BNB Chain GAS 费用更低,出块时间间隔也更短。
2 )BNB Chain 活跃用户更多。项目会优先选择活跃用户多的公链。
3 )BNB Chain 的用户使用 Binance 出入金更方便快捷。
从总体上来看, 2023 年第一季度攻击事件总损失金额低于 2022 年任何一个季度,资金追回情况也优于 2022 年所有季度。在黑客猖獗的 2022 年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。
DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。DeFi 领域共发生 42 次安全事件,其中 22 次都源自合约漏洞利用(22 个项目审计和未审计的项目各有 11 个)。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。
本季度用户安全也是值得关注的重点。随着本季度 Blur 带领 NFT 市场重回火热,随之而来的 NFT 钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件 -- 每一个环节都必须时刻保持警惕。
本季度 Rug Pull 事件依旧频发,其中 56% 的项目跑路金额在 10 万美元以下。这类项目通常官网、推特、电报、Github 等信息缺失,没有 Roadmap 或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。
Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球 3000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。
Beosin
企业专栏
阅读更多
金色财经 善欧巴
Chainlink预言机
金色早8点
白话区块链
Odaily星球日报
Arcane Labs
深潮TechFlow
欧科云链
BTCStudy
MarsBit
前两周长沙出差,结识了一个很有意思的朋友,超维元宇宙的华群总。晚宴之时,我们坐隔壁桌,一开始是普普通通的常规社交尬聊,不知怎么就聊到区块链代币激励,我说:你看过那本《公司制的黄昏:区块链思维与数.
撰写:BEN LILLY编译:深潮 TechFlow牛市什么时候会重现?这是所有人都想问的问题。然而问题并没有确切答案,但一个分析框架有助于我们接近正确答案.
“人工智能想越狱“、”AI产生自我意识”、“AI终将杀死人类”、“硅基生命的进化”.......曾经只在在赛博朋克等科技幻想中出现的剧情,在今年走向现实.
虽然最近Arbitrum大有超越Optimism之势,但Optimism也在默默蓄力。继Coinbase的Base之后,又一家加密巨头选择了OP Stack.
1.金色观察 | Arbitrum提案争议背后的几个矛盾和真问题近日, 社区内正在为一项为新成立的去中心化自治组织 (DAO) 引入管理机构的提案—— Arbitrum 改进提案 1 (AIP-.
近期Sui生态备受瞩目,主网将于5月3日上线。3月29日,Sui官方宣布启动了永久测试网Devx1.0,Devx1.0将在主网启动后长期运行,经历了Waves1和Wave2近半年的测试后,Sui.