区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 火星币 > 正文

WEB:2023年上半年Web3区块链安全态势、反分析回顾以及加密行业重点监管政策总结_NAN

作者:

时间:

*本报告由Beosin、SUSS NiFT、LegalDAO、Footprint Analytics、Biteye、ShellBoxes联合出品。

前言

随着全球数字化进程的不断加速,区块链技术作为一种新兴的去中心化交易方式,正逐渐成为数字经济的核心基础设施之一。然而,随着区块链应用场景的不断拓展,其面临的安全风险也在逐步增加。在这样一个背景下,了解Web3区块链安全态势及加密行业监管政策,成为保障区块链应用安全和稳定的必要措施之一。本研究报告由区块链安全公司Beosin和SUSS NiFT联合发起的区块链生态安全联盟共同创作,围绕2023年上半年全球区块链安全态势、Web3热点事件及加密行业重点监管政策等,进行深入分析和总结,旨在为读者提供有价值的参考和启示,助力区块链技术的安全健康发展。

本章作者:Beosin 研究团队Mario、Donny

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测,2023年上半年Web3领域因黑客攻击、钓鱼和项目方Rug Pull造成的总损失达到了 6 亿 5561 万美元。其中攻击事件 108 起,总损失金额约 4 亿 7143 万美元;钓鱼总损失金额约 1.08 亿美元;项目方Rug Pull事件 110 起,总损失约 7587 万美元。

Web3领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022年上半年攻击总损失约 19.1 亿美元,2022年下半年约 16.9 亿美元,而2023上半年该数值下降到了 4.7 亿美元。

从被攻击项目类型来看,DeFi依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元,占总损失金额的 62%。

从链平台类型来看,75.6% 的损失金额来自 Ethereum,约 3.56 亿美元,居所有链平台的第一位。

从攻击手法来看

(按根本原因进行统计),最频发、造成损失最多的攻击手法为合约漏洞利用。60次合约漏洞事件造成损失2.64亿美元,占所有损失金额的56%。

从资金流向来看,约有2.15亿美元的被盗资产得以追?回,占所有被盗资产的45.5%。另外约有 1.13 亿美元的被盗资产转入了Tornado Cash和其他混币器。

苏富比2021年从NFT销售中赚取1亿美元:金色财经报道,拥有数百年历史的艺术品拍卖行苏富比报告称,其今年从NFT的销售中??赚取了1亿美元。该拍卖行于4月12日至14日举行了首次NFT拍卖,来自数字艺术家Pak的NFT作品从3000名买家那里获得了1680万美元。从那以后,苏富比以530万美元的价格出售了原始万维网源代码的NFT,价值1180万美元的稀有CryptoPunk,并以2440万美元的价格出售了101个Bored Ape Yacht Club NFT,以及其他著名的NFT。苏富比指出,超过四分之三(78%)的NFT竞标者是首次来到苏富比,超过一半的人不到40岁。[2021/12/16 7:42:38]

从审计情况来看,被攻击的项目中,约有49%的项目没有经过审计。

与黑客攻击事件较2022年下降的趋势相反的是,对普通用户而言,钓鱼和项目方Rug Pull事件在2023年上半年更加频发。据不完全统计,这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低(例如可以通过一些渠道向钓鱼团伙购买恶意工具包,赚取利润后进行分成),导致2023年上半年钓鱼事件大幅增加,成为威胁 Web3 用户安全的主要原因。

2 攻击事件总览

108 起攻击事件造成损失 4 亿 7143 万美元

2023年上半年,Beosin EagleEye安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 108 起,总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起,100 万美元 - 1000 万美元区间的事件 23 起。

损失金额超过千万美元的攻击事件(按金额排序):

● Euler Finance - 1.97 亿美元

3月13日,DeFi 协议 Euler Finance 遭到攻击,损失达到了 1.97 亿美元。4月4日,Euler Labs在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

● Atomic Wallet - 6700 万美元

6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,统计发现被盗金额至少达到了6700万美元。黑客已将被盗资金通过混币平台Sinbad进行了清洗,被攻击原因仍在调查中。

Pantera Capital CEO:BTC可能在2021年8月达到50万美元峰值:在给投资者的一封信中,Pantera Capital创始人兼首席执行官Dan Morehead预测,BTC上涨的可能性超过50%,预计2021年8月将超过50万美元。“如果历史重演,比特币将在2021年8月见顶,达到533,431美元。这个价格听起来很可笑,但我想说,比特币上涨的几率超过50%,而且还会大幅上涨。”(Cointelegraph)[2020/5/5]

● MEV attack - 2500 万美元

4月3日,多个MEV机器人遭受恶意三明治攻击,总共损失约2500万美元。

● Bitrue - 2400 万美元

4月14日,加密交易所 Bitrue 热钱包遭受攻击,损失达 2400 万美元。

● FPG - 2000 万美元

6月11日,加密货币经纪公司 Floating Point Group (FPG)遭到网络攻击,损失约 2000 万美元的加密货币。

● GDAC - 1300 万美元

4月9日,韩国加密货币交易所 GDAC 遭到黑客攻击,损失近1300万美元。

● Yearn Finance - 1150 万美元

4月13日,Yearn Finance的yusdt合约遭受黑客攻击,黑客获利超1000万美元。

● MyAlgo Wallet - 1120 万美元

2月,MyAlgo钱包遭到中间人攻击,损失达 1120 万美元。

3 被攻击项目类型

85 次 DeFi 安全事件造成 2.92 亿美元损失

2023年上半年,DeFi类型项目共发生 85 次安全事件,占总事件数量的 78.7% 。DeFi总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。DeFi为被攻击频次最高、损失金额最多的项目类型。

85 次 DeFi 安全事件里,有 51 起安全事件都源自于合约漏洞利用,损失达 2.49 亿美元,占DeFi损失总金额的 85%。

钱包攻击事件带来了约 7820 万美元的损失,金额占所有项目类型的第二位。其中Atomic Wallet攻击事件至少损失了 6700 万美元,MyAlgo钱包攻击事件损失为 1120 万美元。

2020减半行情 | OKEx减半指数下跌-0.72%:根据OKEx最新数据,今日减半行情指数为1083.29,近24小时下跌-0.72%;在追踪的11种减半概念币里,上涨数量为4种,下跌数量为7种,其中表现最好的币种为BCD +2.35%,表现最差的币种为ZEN -2.35%.

注:OKEx减半指数是OKEx Research采用“帕氏指数”编制而成的反映2020年减半概念行情的指数。OKEx减半指数越高,减半概念币种行情越好。[2020/3/11]

排名第三的项目类型为交易所,损失约 5014 万美元。交易所攻击事件在2022年全年数据里损失排名也是第三位,今年延续了攻击频发趋势。

跨链桥项目在2022年损失金额排名第一(18.9 亿美元),而在2023年上半年损失大幅下降到了 138 万美元。

4 各链平台损失金额情况

75.6% 的损失金额来自 Ethereum

2023年上半年,Ethereum链上共发生主要攻击事件27起,损失金额约为 3.56 亿美元。Ethereum链上损失金额居所有链平台的第一位,占比约75.6% 。

BNB Chain上监测到了最多的攻击事件,达到了 58 起,攻击事件总数占所有事件的 53.7% 。BNB Chain上发生的58次攻击事件里,有40个被攻击项目都未经审计。

Arbitrum链上共发生7次攻击事件,造成损失约 1671 万美元,安全事件损失金额和数量与2022年相比有所增加(Arbitrum在整个2022年只发生过两次主要的安全事件)。

2022年Solana链上损失金额排所有公链的第三位,而在2023年上半年并未监测到主要攻击事件。

5 攻击手法分析

合约漏洞利用最频发、损失金额最多

*说明:多种攻击手法并存时,以根本原因为准进行分类。信息不足或项目方未公布原因的攻击事件分类至"暂不清晰“

声音 | 火信CEO黄何:2020年加密资产发展的6条预测:火信CEO黄何发布微信朋友圈,其对2020年加密资产发展有6条如下预测:1、进入沙盒是接受监管的开始,取得牌照是合规运营的门票;2、下一个区块链市场新的增长点依旧来自于真实落地的应用和场景,目前不确定;3、在支付领域,中央银行或国家主导的数字货币先落地后,企业才能跟随入场;4、加密货币社区正在慢慢失去自己的核心文化和价值观,一些关键人物开始离场;5、DeFi和公链,因为技术瓶颈和市场萎缩面临发展的困难,但短期没有监管和合规的压力;6、Baas和联盟链在中国的发展主要看政府的扶持力度。[2020/1/3]

2023年上半年,攻击原因最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56%。

约有 1 亿美元的安全事件攻击手法暂不清晰,其中包括 Atomic Wallet 钱包被盗 6700 万美元、加密货币经纪公司 FPG 被攻击 2000 万美元等事件。此类事件涉及金额大,影响用户众多。建议此类项目方在进行事件原因调查的同时,应积极和第三方安全公司进行合作,及时公布调查结果,采取必要的修复措施,对用户资产安全肩负起责任。

另外,还有 7 次私钥泄露事件造成了约 2767 万美元的损失。在2022年,私钥泄露损失也是居所有攻击类型的第三位。私钥泄露事件一直持续威胁着项目方安全。从一些事件披露来看,加强核心成员的职业道德和安全意识管理尤为重要。

按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失,占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题,被攻击后造成的损失往往较大,有 9 起事件的损失金额都超过了 100 万美元。建议项目方寻找富有经验的专业审计公司进行审计。

6 典型案例攻击手法分析

6.1 Euler Finance安全事件

3月13日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。

3月16日,Euler基金会悬赏100万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3月17日,Euler Labs首席执行官Michael Bentley发推文表示,Euler“一直是一个安全意识强的项目”。从2021年5月至2022年9月,Euler Finance接受了Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等6家区块链安全公司的10次审计。

声音 | CoinFLEX首席执行官:2020年底加密货币衍生品或将达到现货市场的20倍:据LongHash消息,加密衍生品市场可能会出现指数级增长。CoinFLEX首席执行官Mark Lamb预测称,到2020年底,在最近推出的一系列交易所产品中,衍生品市场的规模将达到基础现货市场的20倍。[2019/7/28]

从3月18日开始至4月4日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。

4月4日,Euler Labs在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

漏洞分析:复盘Euler Finance 2亿美元被盗案的来龙去脉,本次事件带给我们哪些启示?

6.2 BonqDAO安全事件

漏洞分析:开年最大黑客事件,损失8800万美元,加密协议BonqDAO被攻击事件分析

6.3 Platypus Financ

e安全事件

2月17日,Avalanche平台的Platypus Finance因函数检查机制问题遭到攻击,损失约850万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。

2月23日,Platypus表示,已经联系了Binance并确认了黑客身份,并表示将至少向用户偿还63%的资金。

2月26日,法国国家警察已经逮捕并传唤了两名攻击Platypus的嫌疑人。

漏洞分析:闪电贷攻击如何防范?Avalanche链上Platypus项目损失850万美元攻击事件分析

6.4 Yearn Finance 安全事件

2023年4月13日,Yearn Finance的yusdt合约遭受黑客闪电贷攻击,黑客获利超1000万美元。yUSDT 疑似在 1000 多天前部署时便被错误配置,错误地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。

5月26日,Yearn攻击者已将 4134 枚ETH转入Tornado Cash。

漏洞分析:被盗超1000万美元,Yearn Finance如何被黑客“盯上”?

7 反典型事件分析回顾

据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Atomic Wallet于今年6月初遭攻击,据Beosin团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约6700万美元。

我们将深入探讨这起黑客盗窃案的资金清洗细节,并使用Beosin KYT虚拟资产反合规和分析平台,对黑客的套路进行追踪和分析。

事件综述

根据Beosin团队分析,此次被盗事件截止目前涉及的链包括BTC、ETH、TRX在内总共21条链。被盗资金主要集中在以太坊链。其中:

以太坊链

已查出被盗资金为16262个ETH价值的虚拟货币,约3000万美元。

波场链

波场链已知被盗资金为251335387.3208个TRX价值的虚拟货币,约1700万美元。

BTC链

BTC链已知被盗资金为420.882个BTC价值的虚拟货币,折合1260万美元。

BSC链

BSC链已知被盗资金为40.206266个BNB价值的虚拟货币。

其余链

XRP:1676015个XRP,约84万美元

LTC:2839.873689个LTC,约22万美元

DOGE:800575.67369797个DOGE,约5万美元

以太坊

在黑客对赃款的操作中,以太坊被攻击链路上有两种主要的方式:

1、通过合约进行发散后利用Avalanche跨链

根据Beosin团队分析,黑客会首先将钱包中有价值的币统一换成公链的主币,再通过两个合约来进行汇集。

该合约地址会通过两层中转将ETH打包成WETH,再将WETH转入用于将ETH发散的合约,通过最高5层中转转入Avalanche 用于Cross Bridge的钱包地址中进行跨链操作,该跨链不使用合约进行,属于Avalanche的内部记账式交易类型。

以太坊链路简图如下:

全文阅读:一场涉及至少6000万美元的钱包被盗案,Beosin KYT带你拆穿黑客套路

8 被盗资产的资金流向分析

45.5% 的被盗资产得以追回

2023年上半年,Beosin KYT虚拟资产反合规和分析平台显示,约有2.15亿美元的被盗资产得以追回,占所有被盗资产的45.5%。而在2022年,仅有8%的被盗资产被追回。2023年资金追回的机会大幅提升。除了与黑客谈判追回以外,依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外,全球监管体系的完善和执法力度的加大,也对黑客行为起到了警戒作用。

约有 1.13 亿美元的被盗资产转入了混币器。其中转入Tornado Cash 约 4538 万美元,其他混币平台约 6814 万美元。自 2022 年 8 月 Tornado Cash受到美国 OFAC 制裁后,黑客使用Tornado Cash进行混币的总金额大幅减少,而其他混币平台的使用率明显增加,如 FixedFloat、Sinbad 等。

9 项目审计情况分析

审计和未审计项目比例大致相当,在108个被攻击项目中,经过审计的项目为 51 个,未经审计的项目为 53 个,比例大致相当。该比例与2022年情况也大体一致。

在经过审计的51个项目里,有31个项目(60%)被攻击原因来自合约漏洞利用。该比例高于去年的 45 %,整个审计市场的质量依旧不容乐观。建议项目方一定要寻找专业的安全公司进行审计。

10 Rug Pull 分析

110 起 Rug Pull 事件卷走 7587 万美元

2023年上半年,Web3领域共监测到主要Rug Pull事件 110 起,涉及金额约 7587 万美元。

从金额来看,14起(12.7%)Rug Pull事件金额在100万美元之上,10万至100万美元区间的事件共41起(37.3%),10万美元以下的事件共55起(50%)。

涉及金额最大的Rug Pull事件为 Fintoch 项目,该项目卷走了约 3160 万美元的资产。

从链平台来看,BNB Chain上发生了80起Rug Pull事件,涉及金额5337万美元,远远高于其他的公链。

2023上半年安全态势总结

总体而言,Web3领域黑客攻击事件的总损失金额较2022年有了大幅度下降。2022年上半年攻击总损失约 19.1 亿美元,2022年下半年约 16.9 亿美元,而2023上半年该数值下降到了 4.7 亿美元,并且其中约有 2.15 亿美元的被盗资产得以追回。黑客攻击呈现大幅放缓趋势,促成这一现象的主要原因有:全球监管体系的逐步完善、执法力度的加大、项目方安全意识的提升、混币器Tornado Cash被制裁、AML反技术和程序的完善等。另外,也出现了依靠社区力量,通过链下情报对黑客身份进行定位并迫使黑客返还的案例。

即便黑客攻击大幅放缓,合约安全问题依旧不能忽略。2023年上半年,最频发、造成损失最多的攻击手法为合约漏洞利用。60次合约漏洞事件造成了2.64亿美元的损失,其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞,需要经验丰富的专业审计公司才能发现。Beosin审计团队会对每一次黑客攻击事件都会进行深入分析(推特@BeosinAlert),确保将其中总结出的经验和技术应用到项目审计过程中,以应对实际可能发生的黑客攻击。

与黑客攻击事件下降的趋势相反的是,针对普通用户的钓鱼更加频发。上半年出现了以Venom Drainer为代表的一系列钱包Drainer团伙,他们开发恶意工具包后进行售卖,购买者成功钓鱼获利后再与之进行分成。此类钓鱼波及用户面广,单是Venom Drainer这一个团伙就产生了至少 1.5 万个受害者。对于普通用户而言,最好能够经常关注安全公司的提醒,系统性地学习一些防钓鱼防被盗知识,也可以安装一些防钓鱼插件、交易预执行工具等进行提醒(但不能完全依赖工具,加强自身安全意识永远是第一位的)。

Beosin

企业专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

标签:WEBWEB3NAN区块链Weboo Swapweb3域名值钱吗YFOX Finance区块链专业学什么

火星币热门资讯
虚拟资产:香港成立Web3发展工作组 它会成为下一个Crypto中心吗?_虚拟资产验证后

香港在成为Crypto和区块链技术的枢纽方面又迈出了重要一步。根据最近的一份声明,香港政府宣布成立一个名为“Web3发展工作组”的小组,致力于推动Web3的发展特别是其道德发展.

CRYP:支付型稳定币争议:货币、证券还是“其他”?_Crypto Legions V3

01 近期加密货币行业动态2023年6月5日及6月6日,美国证监会(SEC)对Binance与Coinbase两家虚拟资产交易平台提起诉讼.

ripple:香港聪明人太多 币圈已无“韭菜”_区块链

作者:罗飞出品,腾讯新闻《潜望》仅仅2个月,币圈热潮就在香港逐渐退却。“我和团队已经决定把核心技术团队放在香港以外的地方,这里只留下几个市场人员.

EOS:金色Web3.0日报 | 外媒:多家知名公司对FTX 2.0重启感兴趣_Flare Finance

DeFi数据 1、DeFi代币总市值:482.50亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量40.

Arbitrum:金色观察 | 深入解读Arbitrum的L3“轨道”区块链Orbit快速入门指南_BIT

金色财经 区块链6月22日 Arbitrum开发团队Offchain Labs今日发布Arbitrum Orbit开发工具、快速入门指南、以及Orbit DevNet链上工具.

ARBI:DWeb Camp 参会见闻_Bitcore

作者:JIANG 摘要 DWeb Camp 有一个独特的文化口号:JOMO (Joy Of Missing Out,错失之乐).