NBS:Beosin报告：2023年上半年Web3区块链安全态势分析_EOS

作者：Mario、Donny，Beosin 研究团队

随着全球数字化进程的不断加速，区块链技术作为一种新兴的去中心化交易方式，正逐渐成为数字经济的核心基础设施之一。然而，随着区块链应用场景的不断拓展，其面临的安全风险也在逐步增加。在这样一个背景下，了解 Web3 区块链安全态势及加密行业监管政策，成为保障区块链应用安全和稳定的必要措施之一。本研究报告由区块链安全公司 Beosin 和 SUSS NiFT 联合发起的区块链生态安全联盟共同创作，围绕 2023 年上半年全球区块链安全态势、Web3 热点事件及加密行业重点监管政策等，进行深入分析和总结，旨在为读者提供有价值的参考和启示，助力区块链技术的安全健康发展。

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测，2023 年上半年 Web3 领域因黑客攻击、钓鱼和项目方 Rug Pull 造成的总损失达到了 6 亿 5561 万美元。其中攻击事件 108 起，总损失金额约 4 亿 7143 万美元；钓鱼总损失金额约 1.08 亿美元；项目方 Rug Pull 事件 110 起，总损失约 7587 万美元。

Web3 领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元， 2022 年下半年约 16.9 亿美元，而 2023 上半年该数值下降到了 4.7 亿美元。

从被攻击项目类型来看，DeFi 依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元，占总损失金额的 62% 。

从链平台类型来看，75.6% 的损失金额来自 Ethereum，约 3.56 亿美元，居所有链平台的第一位。

从攻击手法来看（按根本原因进行统计），最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元，占所有损失金额的 56% 。

从资金流向来看，约有 2.15 亿美元的被盗资产得以追回，占所有被盗资产的 45.5% 。另外约有 1.13 亿美元的被盗资产转入了 Tornado Cash 和其他混币器。

从审计情况来看，被攻击的项目中，约有 49% 的项目没有经过审计。

Beosin：攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。

Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]

与黑客攻击事件较 2022 年下降的趋势相反的是，对普通用户而言，钓鱼和项目方 Rug Pull 事件在 2023 年上半年更加频发。据不完全统计，这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低（例如可以通过一些渠道向钓鱼团伙购买恶意工具包，赚取利润后进行分成），导致 2023 年上半年钓鱼事件大幅增加，成为威胁 Web3 用户安全的主要原因。

2023 年上半年，Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 108 起，总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起，损失在 1000 万美元 - 1 亿美元区间的事件共 7 起， 100 万美元 - 1000 万美元区间的事件 23 起。

损失金额超过千万美元的攻击事件（按金额排序）：

● Euler Finance - 1.97 亿美元

3 月 13 日，DeFi 协议 Euler Finance 遭到攻击，损失达到了 1.97 亿美元。4 月 4 日，Euler Labs 在推特上表示，经过成功协商，攻击者已归还了所有盗取资金。

● Atomic Wallet - 6700 万美元

Beosin：BRA代币被攻击，损失820个WBNB:金色财经报道，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，BRA代币被攻击，交易哈希：0x6759db55a4edec4f6bedb5691fc42cf024be3a1a534ddcc7edd471ef205d4047与0x4e5b2efa90c62f2b62925ebd7c10c953dc73c710ef06695eac3f36fe0f6b9348。据Beosin安全技术人员分析，该攻击是由BRA合约的逻辑漏洞所导致，BRA转移过程中如果调用方或接收方为pair，则会产生奖励。此处，攻击者直接转移部分BRA代币给0x8F4BA1交易pair合约，并调用pair的skim函数，该函数会将多余供应量的BRA代币发送给指定地址，此处攻击者设置本pair为接收地址，BRA又重新回到pair，导致经过一次skim，pair的BRA代币就会增加（奖励部分），多次skim后，pair中已经存在大量BRA代币。最后，攻击者通过pair的闪电贷功能，将UBST借贷出来，由于BRA代币异常多，所以pair在闪电贷最后判断余额的时候，就算UBST少了，也能通过检查（类似于乘积恒定的方式）。目前被盗资金全部存在攻击者地址（0xE2Ba15be8C6Fb0d7C1F7bEA9106eb8232248FB8B），Beosin Trace将持续对被盗资金进行监控。[2023/1/10 11:04:38]

6 月 3 日，多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗，统计发现被盗金额至少达到了 6700 万美元。黑客已将被盗资金通过混币平台 Sinbad 进行了清洗，被攻击原因仍在调查中。

● MEV attack - 2500 万美元

4 月 3 日，多个 MEV 机器人遭受恶意三明治攻击，总共损失约 2500 万美元。

● Bitrue - 2400 万美元

4 月 14 日，加密交易所 Bitrue 热钱包遭受攻击，损失达 2400 万美元。

● FPG - 2000 万美元

6 月 11 日，加密货币经纪公司 Floating Point Group (FPG）遭到网络攻击，损失约 2000 万美元的加密货币。

● GDAC - 1300 万美元

4 月 9 日，韩国加密货币交易所 GDAC 遭到黑客攻击，损失近 1300 万美元。

● Yearn Finance - 1150 万美元

Beosin与SUSS NiFT、NUS AIDF等共同成立“区块链生态安全联盟”:金色财经报道，9月24日，Web3安全公司Beosin宣布与SUSS NiFT、NUS AIDF、新加坡区块链协会、Fomo Pay、Coin Hako、Onchain Custodian、Paritybit、Semisand等在新加坡联合成立“区块链生态安全联盟”。未来，联盟成员将在区块链生态进行紧密合作，通过联盟整合区块链安全领域的技术创新，探索和建立区块链安全生态体系，促进区块链安全领域产学研合作和科技成果转化，营造良好的产业发展环境，推动区块链安全产业的发展。[2022/9/25 7:19:44]

4 月 13 日，Yearn Finance 的 yusdt 合约遭受黑客攻击，黑客获利超 1000 万美元。

● MyAlgo Wallet - 1120 万美元

2 月，MyAlgo 钱包遭到中间人攻击，损失达 1120 万美元。

2023 年上半年，DeFi 类型项目共发生 85 次安全事件，占总事件数量的 78.7% 。DeFi 总损失金额达到了 2.92 亿美元，占总损失金额的 62% 。DeFi 为被攻击频次最高、损失金额最多的项目类型。

85 次 DeFi 安全事件里，有 51 起安全事件都源自于合约漏洞利用，损失达 2.49 亿美元，占 DeFi 损失总金额的 85% 。

钱包攻击事件带来了约 7820 万美元的损失，金额占所有项目类型的第二位。其中 Atomic Wallet 攻击事件至少损失了 6700 万美元，MyAlgo 钱包攻击事件损失为 1120 万美元。

排名第三的项目类型为交易所，损失约 5014 万美元。交易所攻击事件在 2022 年全年数据里损失排名也是第三位，今年延续了攻击频发趋势。

跨链桥项目在 2022 年损失金额排名第一（18.9 亿美元），而在 2023 年上半年损失大幅下降到了 138 万美元。

2023 年上半年，Ethereum 链上共发生主要攻击事件 27 起，损失金额约为 3.56 亿美元。Ethereum 链上损失金额居所有链平台的第一位，占比约 75.6% 。

声音 | Beosin（成都链安）预警：某EOS竞猜类游戏遭受攻击 损失超1200枚EOS:根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，今日上午 8:53:15开始，黑客yunmen****对EOS竞猜类游戏th****sgames发起攻击。截止到现在，该黑客已经获利超过1200枚EOS。Beosin建议游戏项目方应该加强项目运维工作，在收到安全公司的安全提醒之后第一时间排查项目安全性，才能及时止损，同时也呼吁项目开发者应该重视游戏逻辑严谨性及代码安全性。Beosin提醒类似项目方全方面做好合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计，防患于未然。[2019/4/3]

BNB Chain 上监测到了最多的攻击事件，达到了 58 起，攻击事件总数占所有事件的 53.7% 。BNB Chain 上发生的 58 次攻击事件里，有 40 个被攻击项目都未经审计。

Arbitrum 链上共发生 7 次攻击事件，造成损失约 1671 万美元，安全事件损失金额和数量与 2022 年相比有所增加（Arbitrum 在整个 2022 年只发生过两次主要的安全事件）。

2022 年 Solana 链上损失金额排所有公链的第三位，而在 2023 年上半年并未监测到主要攻击事件。

* 说明：多种攻击手法并存时，以根本原因为准进行分类。信息不足或项目方未公布原因的攻击事件分类至「暂不清晰」

2023 年上半年，攻击原因最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元，占所有损失金额的 56% 。

约有 1 亿美元的安全事件攻击手法暂不清晰，其中包括 Atomic Wallet 钱包被盗 6700 万美元、加密货币经纪公司 FPG 被攻击 2000 万美元等事件。此类事件涉及金额大，影响用户众多。建议此类项目方在进行事件原因调查的同时，应积极和第三方安全公司进行合作，及时公布调查结果，采取必要的修复措施，对用户资产安全肩负起责任。

另外，还有 7 次私钥泄露事件造成了约 2767 万美元的损失。在 2022 年，私钥泄露损失也是居所有攻击类型的第三位。私钥泄露事件一直持续威胁着项目方安全。从一些事件披露来看，加强核心成员的职业道德和安全意识管理尤为重要。

动态 | Beosin预警：cubecontract遭受攻击 攻击者已获利:Beosin（成都链安）预警，今天下午14:46-14:51之间，根据成都链安区块链安全态势感知系统Beosin-Eagle Eye检测发现，黑客justjiezhan1向EOS竞猜类游戏cubecontract发起攻击且已经获利。在此之前，黑客justjiezhan1已于12:00:41左右开始部署攻击合约，成都链安安全分析人员初步分析认为攻击者仍然与之前的攻击手法相同，为交易阻塞攻击。在此我们建议游戏合约开发者应该重视游戏逻辑严谨性及代码安全性，同时呼吁游戏项目方在项目上链前进行完善的代码安全审计，必要时可借助第三方专业审计团队的力量防患于未然。[2019/3/18]

按照漏洞类型细分，造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失，占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题，被攻击后造成的损失往往较大，有 9 起事件的损失金额都超过了 100 万美元。建议项目方寻找富有经验的专业审计公司进行审计。

3 月 13 日，Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击，损失达到了 1.97 亿美元。

3 月 16 日，Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3 月 17 日，Euler Labs 首席执行官 Michael Bentley 发推文表示，Euler「一直是一个安全意识强的项目」。从 2021 年 5 月至 2022 年 9 月，Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。

从 3 月 18 日开始至 4 月 4 日，攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉，称自己「搅乱了别人的钱，别人的工作，别人的生活」并请求大家的原谅。

漏洞分析：复盘 Euler Finance 2 亿美元被盗案的来龙去脉，本次事件带给我们哪些启示？

2 月 1 日，加密协议 BonqDAO 遭到价格操控攻击，攻击者铸造了 1 亿个 BEUR 代币，然后在 Uniswap 上将 BEUR 换成其他代币，ALBT 价格下降到几乎为零，这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格，损失高达 8800 万美元，但是由于流动性耗尽，事件实际损失在 185 万美元左右。

漏洞分析：开年最大黑客事件，损失 8800 万美元，加密协议 BonqDAO 被攻击事件分析

2 月 17 日，Avalanche 平台的 Platypus Finance 因函数检查机制问题遭到攻击，损失约 850 万美元。然而攻击者并没有在合约中实现提现功能，导致攻击收益存放在攻击合约内无法提取。

2 月 23 日，Platypus 表示，已经联系了 Binance 并确认了黑客身份，并表示将至少向用户偿还 63% 的资金。

2 月 26 日，法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。

漏洞分析：闪电贷攻击如何防范？Avalanche 链上 Platypus 项目损失 850 万美元攻击事件分析

2023 年 4 月 13 日，Yearn Finance 的 yusdt 合约遭受黑客闪电贷攻击，黑客获利超 1000 万美元。yUSDT 疑似在 1000 多天前部署时便被错误配置，错误地使用了 Fulcrum iUSDC 部署，而不是 Fulcrum iUSDT。

5 月 26 日，Yearn 攻击者已将 4134 枚 ETH 转入 Tornado Cash。

漏洞分析：被盗超 1000 万美元，Yearn Finance 如何被黑客「盯上」？

据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，Atomic Wallet 于今年 6 月初遭攻击，据 Beosin 团队统计，综合链上已知的受害人报案信息，此次攻击造成的损失至少约 6700 万美元。

我们将深入探讨这起黑客盗窃案的资金清洗细节，并使用Beosin KYT虚拟资产反合规和分析平台，对黑客的套路进行追踪和分析。

根据 Beosin 团队分析，此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中：

以太坊链

已查出被盗资金为 16262 个 ETH 价值的虚拟货币，约 3000 万美元。

波场链

波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币，约 1700 万美元。

BTC 链

BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币，折合 1260 万美元。

BSC 链

BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。

其余链

XRP： 1676015 个 XRP，约 84 万美元

LTC： 2839.873689 个 LTC，约 22 万美元

DOGE： 800575.67369797 个 DOGE，约 5 万美元

在黑客对赃款的操作中，以太坊被攻击链路上有两种主要的方式：

1、通过合约进行发散后利用 Avalanche 跨链

根据 Beosin 团队分析，黑客会首先将钱包中有价值的币统一换成公链的主币，再通过两个合约来进行汇集。

该合约地址会通过两层中转将 ETH 打包成 WETH，再将 WETH 转入用于将 ETH 发散的合约，通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作，该跨链不使用合约进行，属于 Avalanche 的内部记账式交易类型。

以太坊链路简图如下：

全文阅读：一场涉及至少 6000 万美元的钱包被盗案，Beosin KYT 带你拆穿黑客套路

2023 年上半年，Beosin KYT虚拟资产反合规和分析平台显示，约有 2.15 亿美元的被盗资产得以追回，占所有被盗资产的 45.5% 。而在 2022 年，仅有 8% 的被盗资产被追回。2023 年资金追回的机会大幅提升。除了与黑客谈判追回以外，依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外，全球监管体系的完善和执法力度的加大，也对黑客行为起到了警戒作用。

约有 1.13 亿美元的被盗资产转入了混币器。其中转入 Tornado Cash 约 4538 万美元，其他混币平台约 6814 万美元。自 2022 年 8 月 Tornado Cash 受到美国 OFAC 制裁后，黑客使用 Tornado Cash 进行混币的总金额大幅减少，而其他混币平台的使用率明显增加，如 FixedFloat、Sinbad 等。

审计和未审计项目比例大致相当，在 108 个被攻击项目中，经过审计的项目为 51 个，未经审计的项目为 53 个，比例大致相当。该比例与 2022 年情况也大体一致。

在经过审计的 51 个项目里，有 31 个项目（60% ）被攻击原因来自合约漏洞利用。该比例高于去年的 45 %，整个审计市场的质量依旧不容乐观。建议项目方一定要寻找专业的安全公司进行审计。

110 起 Rug Pull 事件卷走 7587 万美元

2023 年上半年，Web3 领域共监测到主要 Rug Pull 事件 110 起，涉及金额约 7587 万美元。

从金额来看， 14 起（12.7% ）Rug Pull 事件金额在 100 万美元之上， 10 万至 100 万美元区间的事件共 41 起（37.3% ）， 10 万美元以下的事件共 55 起（50% ）。

涉及金额最大的 Rug Pull 事件为 Fintoch 项目，该项目卷走了约 3160 万美元的资产。

从链平台来看，BNB Chain 上发生了 80 起 Rug Pull 事件，涉及金额 5337 万美元，远远高于其他的公链。

总体而言，Web3 领域黑客攻击事件的总损失金额较 2022 年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元， 2022 年下半年约 16.9 亿美元，而 2023 上半年该数值下降到了 4.7 亿美元，并且其中约有 2.15 亿美元的被盗资产得以追回。黑客攻击呈现大幅放缓趋势，促成这一现象的主要原因有：全球监管体系的逐步完善、执法力度的加大、项目方安全意识的提升、混币器 Tornado Cash 被制裁、AML 反技术和程序的完善等。另外，也出现了依靠社区力量，通过链下情报对黑客身份进行定位并迫使黑客返还的案例。

即便黑客攻击大幅放缓，合约安全问题依旧不能忽略。2023 年上半年，最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成了 2.64 亿美元的损失，其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞，需要经验丰富的专业审计公司才能发现。Beosin 审计团队会对每一次黑客攻击事件都会进行深入分析（推特@BeosinAlert)，确保将其中总结出的经验和技术应用到项目审计过程中，以应对实际可能发生的黑客攻击。

与黑客攻击事件下降的趋势相反的是，针对普通用户的钓鱼更加频发。上半年出现了以 Venom Drainer 为代表的一系列钱包 Drainer 团伙，他们开发恶意工具包后进行售卖，购买者成功钓鱼获利后再与之进行分成。此类钓鱼波及用户面广，单是 Venom Drainer 这一个团伙就产生了至少 1.5 万个受害者。对于普通用户而言，最好能够经常关注安全公司的提醒，系统性地学习一些防钓鱼防被盗知识，也可以安装一些防钓鱼插件、交易预执行工具等进行提醒（但不能完全依赖工具，加强自身安全意识永远是第一位的）。

Beosin

企业专栏

阅读更多

金色早8点

Odaily星球日报

金色财经

Block unicorn

DAOrayaki

曼昆区块链法律

标签：EOSSINNBSBSPEOS柚子币官网MARSINU价格nbs币官网bspt币未来前景

比特币最新价格热门资讯