Beosin報告：2023年上半年Web3區塊鏈安全態勢分析_SIN:nbs幣前景

作者：Mario、Donny，Beosin 研究團隊

隨著全球數字化進程的不斷加速，區塊鏈技術作為一種新興的去中心化交易方式，正逐漸成為數字經濟的核心基礎設施之一。然而，隨著區塊鏈應用場景的不斷拓展，其面臨的安全風險也在逐步增加。在這樣一個背景下，了解 Web3 區塊鏈安全態勢及加密行業監管政策，成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司 Beosin 和 SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作，圍繞 2023 年上半年全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策等，進行深入分析和總結，旨在為讀者提供有價值的參考和啟示，助力區塊鏈技術的安全健康發展。

據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測，2023 年上半年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 6 億 5561 萬美元。其中攻擊事件 108 起，總損失金額約 4 億 7143 萬美元；釣魚詐騙總損失金額約 1.08 億美元；項目方 Rug Pull 事件 110 起，總損失約 7587 萬美元。

Web3 領域黑客攻擊事件的總損失金額較去年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元， 2022 年下半年約 16.9 億美元，而 2023 上半年該數值下降到了 4.7 億美元。

從被攻擊項目類型來看，DeFi 依舊是被攻擊頻次最高、損失金額最多的類型。85 次 DeFi 安全事件總損失金額達到了 2.92 億美元，占總損失金額的 62% 。

從鏈平臺類型來看，75.6% 的損失金額來自 Ethereum，約 3.56 億美元，居所有鏈平臺的第一位。

從攻擊手法來看（按根本原因進行統計），最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元，占所有損失金額的 56% 。

從資金流向來看，約有 2.15 億美元的被盜資產得以追回，占所有被盜資產的 45.5% 。另外約有 1.13 億美元的被盜資產轉入了 Tornado Cash 和其他混幣器。

從審計情況來看，被攻擊的項目中，約有 49% 的項目沒有經過審計。

Beosin：Themis Protocol被攻擊事件分析:據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，2023年6月28日DeFi借貸協議Themis Protocol遭到攻擊，攻擊者獲利約37萬美元，Beosin Trace追蹤發現已有130,471個USDC、58,824個USDT和94個ETH被盜，目前，被盜資金被轉移到以太坊的0xDb73eb484e7DEa3785520d750EabEF50a9b9Ab33地址。其攻擊的原因在于預言機實現存在問題，導致預言機被操縱。

攻擊交易為：0xff368294ccb3cd6e7e263526b5c820b22dea2b2fd8617119ba5c3ab8417403d8。攻擊的核心是攻擊者在借款前，用大量WETH兌換wstETH，使得預言機獲取價格時被操縱，導致攻擊者僅用55WETH借出317WETH。

如圖，在getAssetPrice函數調用Balancer: Vault.getPoolTokens函數時，wstETH與ETH數量從正常的2,423 : 2,796被操縱為0.238 : 42,520.從而操縱了預言機。[2023/6/28 22:05:01]

與黑客攻擊事件較 2022 年下降的趨勢相反的是，對普通用戶而言，釣魚詐騙和項目方 Rug Pull 事件在 2023 年上半年更加頻發。據不完全統計，這兩類事件涉及總金額達到了至少 1.84 億美元。由于釣魚門檻技術的降低（例如可以通過一些渠道向釣魚團伙購買惡意工具包，賺取利潤后進行分成），導致 2023 年上半年釣魚詐騙事件大幅增加，成為威脅 Web3 用戶安全的主要原因。

2023 年上半年，Beosin EagleEye 安全風險監控、預警與阻斷平臺共監測到 Web3 領域主要攻擊事件 108 起，總損失金額達 4 億 7143 萬美元。其中損失金額超過 1 億美元的安全事件共 1 起，損失在 1000 萬美元 - 1 億美元區間的事件共 7 起， 100 萬美元 - 1000 萬美元區間的事件 23 起。

損失金額超過千萬美元的攻擊事件（按金額排序）：

● Euler Finance - 1.97 億美元

3 月 13 日，DeFi 協議 Euler Finance 遭到攻擊，損失達到了 1.97 億美元。4 月 4 日，Euler Labs 在推特上表示，經過成功協商，攻擊者已歸還了所有盜取資金。

Beosin發現Move VM嚴重級別漏洞:金色財經報道，近日，區塊鏈安全公司Beosin發現Move VM嚴重級別漏洞。Beosin安全研究團隊在Move虛擬機中發現了一個沒有限制遞歸調用深度而導致的棧溢出漏洞，這個漏洞可以導致整個網絡崩潰（total network shutdown），還會讓新的validator節點無法加入到網絡中，甚至有可能導致硬分叉（hard fork）。Sui mainnet_v1.2.1、Aptos mainnet_v1.4.3以前的版本都受此漏洞影響。目前該漏洞已被官方修復。Suimainnet_v1.2.1、Aptosmainnet_v1.4.3、Move-language 2023年6月10日之后的版本修復了此漏洞。[2023/6/15 21:37:59]

● Atomic Wallet - 6700 萬美元

6 月 3 日，多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜，統計發現被盜金額至少達到了 6700 萬美元。黑客已將被盜資金通過混幣平臺 Sinbad 進行了清洗，被攻擊原因仍在調查中。

● MEV attack - 2500 萬美元

4 月 3 日，多個 MEV 機器人遭受惡意三明治攻擊，總共損失約 2500 萬美元。

● Bitrue - 2400 萬美元

4 月 14 日，加密交易所 Bitrue 熱錢包遭受攻擊，損失達 2400 萬美元。

● FPG - 2000 萬美元

6 月 11 日，加密貨幣經紀公司 Floating Point Group (FPG）遭到網絡攻擊，損失約 2000 萬美元的加密貨幣。

● GDAC - 1300 萬美元

4 月 9 日，韓國加密貨幣交易所 GDAC 遭到黑客攻擊，損失近 1300 萬美元。

● Yearn Finance - 1150 萬美元

4 月 13 日，Yearn Finance 的 yusdt 合約遭受黑客攻擊，黑客獲利超 1000 萬美元。

● MyAlgo Wallet - 1120 萬美元

2 月，MyAlgo 錢包遭到中間人攻擊，損失達 1120 萬美元。

2023 年上半年，DeFi 類型項目共發生 85 次安全事件，占總事件數量的 78.7% 。DeFi 總損失金額達到了 2.92 億美元，占總損失金額的 62% 。DeFi 為被攻擊頻次最高、損失金額最多的項目類型。

Beosin：FTX黑客再次清洗部分被盜資產，約830萬美元:金色財經報道，根據區塊鏈安全審計公司Beosin旗下Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，截止北京時間11月17日11點 , FTX黑客再次清洗部分被盜資產，FTX攻擊事件黑客（鏈上地址被標記為FTX Accounts Drainer）從幣安鏈上通過兌換跨鏈將6868 ETH的資產轉移到以太坊，約830萬美元，Beosin Trace正持續對該黑地址進行監控。[2022/11/17 13:16:04]

85 次 DeFi 安全事件里，有 51 起安全事件都源自于合約漏洞利用，損失達 2.49 億美元，占 DeFi 損失總金額的 85% 。

錢包攻擊事件帶來了約 7820 萬美元的損失，金額占所有項目類型的第二位。其中 Atomic Wallet 攻擊事件至少損失了 6700 萬美元，MyAlgo 錢包攻擊事件損失為 1120 萬美元。

排名第三的項目類型為交易所，損失約 5014 萬美元。交易所攻擊事件在 2022 年全年數據里損失排名也是第三位，今年延續了攻擊頻發趨勢。

跨鏈橋項目在 2022 年損失金額排名第一（18.9 億美元），而在 2023 年上半年損失大幅下降到了 138 萬美元。

2023 年上半年，Ethereum 鏈上共發生主要攻擊事件 27 起，損失金額約為 3.56 億美元。Ethereum 鏈上損失金額居所有鏈平臺的第一位，占比約 75.6% 。

BNB Chain 上監測到了最多的攻擊事件，達到了 58 起，攻擊事件總數占所有事件的 53.7% 。BNB Chain 上發生的 58 次攻擊事件里，有 40 個被攻擊項目都未經審計。

Arbitrum 鏈上共發生 7 次攻擊事件，造成損失約 1671 萬美元，安全事件損失金額和數量與 2022 年相比有所增加（Arbitrum 在整個 2022 年只發生過兩次主要的安全事件）。

2022 年 Solana 鏈上損失金額排所有公鏈的第三位，而在 2023 年上半年并未監測到主要攻擊事件。

Beosin：BNBChain上DPC代幣合約遭受黑客攻擊事件分析:據Beosin EagleEye平臺監測顯示，DPC代幣合約遭受黑客攻擊，損失約103,755美元。Beosin安全團隊分析發現攻擊者首先利用DPC代幣合約中的tokenAirdop函數為滿足領取獎勵條件做準備，然后攻擊者使用USDT兌換DPC代幣再添加流動性獲得LP代幣，再抵押LP代幣在代幣合約中。前面的準備，是為了滿足領獎條件。然后攻擊者反復調用DPC代幣中的claimStakeLp函數反復領取獎勵。因為在getClaimQuota函數中的” ClaimQuota = ClaimQuota.add(oldClaimQuota[addr]);”，導致獎勵可以一直累積。最后攻擊者調用DPC合約中claimDpcAirdrop 函數提取出獎勵（DPC代幣），換成Udst離場。目前被盜資金還存放在攻擊者地址，Beosin安全團隊將持續跟蹤。[2022/9/10 13:21:00]

* 說明：多種攻擊手法并存時，以根本原因為準進行分類。信息不足或項目方未公布原因的攻擊事件分類至「暫不清晰」

2023 年上半年，攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元，占所有損失金額的 56% 。

約有 1 億美元的安全事件攻擊手法暫不清晰，其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。此類事件涉及金額大，影響用戶眾多。建議此類項目方在進行事件原因調查的同時，應積極和第三方安全公司進行合作，及時公布調查結果，采取必要的修復措施，對用戶資產安全肩負起責任。

另外，還有 7 次私鑰泄露事件造成了約 2767 萬美元的損失。在 2022 年，私鑰泄露損失也是居所有攻擊類型的第三位。私鑰泄露事件一直持續威脅著項目方安全。從一些事件披露來看，加強核心成員的職業道德和安全意識管理尤為重要。

REV智能合約已通過Beosin（成都鏈安）的安全審計:據官方消息，Justswap上的明星項目，REV團隊釋放出REV智能合約審計報告，由Beosin（成都鏈安）安全審計完成。

據了解，REV（Revolution Token）是基于區塊鏈的新型社會實驗型代幣。其獨特之處在于內嵌了交易燃燒、尾單博弈、持幣分紅三種獨特的創新機制。

REV技術介紹：智能合約的整體設計清晰，邏輯縝密，代碼安全靠譜，從性能和功能上完全具備了區塊鏈頂級去中心化金融項目的一切條件。合約地址(認準唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。詳情點擊原文鏈接。[2020/9/16]

按照漏洞類型細分，造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。36 次業務邏輯漏洞共造成了約 2.39 億美元的損失，占所有因合約漏洞攻擊損失的 90% 。此類漏洞是開發者最容易遺漏的問題，被攻擊后造成的損失往往較大，有 9 起事件的損失金額都超過了 100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。

3 月 13 日，Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊，損失達到了 1.97 億美元。

3 月 16 日，Euler 基金會懸賞 100 萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。

3 月 17 日，Euler Labs 首席執行官 Michael Bentley 發推文表示，Euler「一直是一個安全意識強的項目」。從 2021 年 5 月至 2022 年 9 月，Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家區塊鏈安全公司的 10 次審計。

從 3 月 18 日開始至 4 月 4 日，攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉，稱自己「攪亂了別人的錢，別人的工作，別人的生活」并請求大家的原諒。

漏洞分析：復盤 Euler Finance 2 億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

2 月 1 日，加密協議 BonqDAO 遭到價格操控攻擊，攻擊者鑄造了 1 億個 BEUR 代幣，然后在 Uniswap 上將 BEUR 換成其他代幣，ALBT 價格下降到幾乎為零，這進一步引發了 ALBT 寶庫的清算。按照黑客攻擊時的代幣價格，損失高達 8800 萬美元，但是由于流動性耗盡，事件實際損失在 185 萬美元左右。

漏洞分析：開年最大黑客事件，損失 8800 萬美元，加密協議 BonqDAO 被攻擊事件分析

2 月 17 日，Avalanche 平臺的 Platypus Finance 因函數檢查機制問題遭到攻擊，損失約 850 萬美元。然而攻擊者并沒有在合約中實現提現功能，導致攻擊收益存放在攻擊合約內無法提取。

2 月 23 日，Platypus 表示，已經聯系了 Binance 并確認了黑客身份，并表示將至少向用戶償還 63% 的資金。

2 月 26 日，法國國家警察已經逮捕并傳喚了兩名攻擊 Platypus 的嫌疑人。

漏洞分析：閃電貸攻擊如何防范？Avalanche 鏈上 Platypus 項目損失 850 萬美元攻擊事件分析

2023 年 4 月 13 日，Yearn Finance 的 yusdt 合約遭受黑客閃電貸攻擊，黑客獲利超 1000 萬美元。yUSDT 疑似在 1000 多天前部署時便被錯誤配置，錯誤地使用了 Fulcrum iUSDC 部署，而不是 Fulcrum iUSDT。

5 月 26 日，Yearn 攻擊者已將 4134 枚 ETH 轉入 Tornado Cash。

漏洞分析：被盜超 1000 萬美元，Yearn Finance 如何被黑客「盯上」？

據區塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風險監控、預警與阻斷平臺監測顯示，Atomic Wallet 于今年 6 月初遭攻擊，據 Beosin 團隊統計，綜合鏈上已知的受害人報案信息，此次攻擊造成的損失至少約 6700 萬美元。

我們將深入探討這起黑客盜竊案的資金清洗細節，并使用Beosin KYT虛擬資產反洗錢合規和分析平臺，對黑客的洗錢套路進行追蹤和分析。

根據 Beosin 團隊分析，此次被盜事件截止目前涉及的鏈包括 BTC、ETH、TRX 在內總共 21 條鏈。被盜資金主要集中在以太坊鏈。其中：

以太坊鏈

已查出被盜資金為 16262 個 ETH 價值的虛擬貨幣，約 3000 萬美元。

波場鏈

波場鏈已知被盜資金為 251335387.3208 個 TRX 價值的虛擬貨幣，約 1700 萬美元。

BTC 鏈

BTC 鏈已知被盜資金為 420.882 個 BTC 價值的虛擬貨幣，折合 1260 萬美元。

BSC 鏈

BSC 鏈已知被盜資金為 40.206266 個 BNB 價值的虛擬貨幣。

其余鏈

XRP： 1676015 個 XRP，約 84 萬美元

LTC： 2839.873689 個 LTC，約 22 萬美元

DOGE： 800575.67369797 個 DOGE，約 5 萬美元

在黑客對贓款的操作中，以太坊被攻擊鏈路上有兩種主要的方式：

1、通過合約進行發散后利用 Avalanche 跨鏈洗錢

根據 Beosin 團隊分析，黑客會首先將錢包中有價值的幣統一換成公鏈的主幣，再通過兩個合約來進行匯集。

該合約地址會通過兩層中轉將 ETH 打包成 WETH，再將 WETH 轉入用于將 ETH 發散的合約，通過最高 5 層中轉轉入 Avalanche 用于 Cross Bridge 的錢包地址中進行跨鏈操作，該跨鏈不使用合約進行，屬于 Avalanche 的內部記賬式交易類型。

以太坊鏈路簡圖如下：

全文閱讀：一場涉及至少 6000 萬美元的錢包被盜案，Beosin KYT 帶你拆穿黑客洗錢套路

2023 年上半年，Beosin KYT虛擬資產反洗錢合規和分析平臺顯示，約有 2.15 億美元的被盜資產得以追回，占所有被盜資產的 45.5% 。而在 2022 年，僅有 8% 的被盜資產被追回。2023 年資金追回的機會大幅提升。除了與黑客談判追回以外，依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外，全球監管體系的完善和執法力度的加大，也對黑客行為起到了警戒作用。

約有 1.13 億美元的被盜資產轉入了混幣器。其中轉入 Tornado Cash 約 4538 萬美元，其他混幣平臺約 6814 萬美元。自 2022 年 8 月 Tornado Cash 受到美國 OFAC 制裁后，黑客使用 Tornado Cash 進行混幣的總金額大幅減少，而其他混幣平臺的使用率明顯增加，如 FixedFloat、Sinbad 等。

審計和未審計項目比例大致相當，在 108 個被攻擊項目中，經過審計的項目為 51 個，未經審計的項目為 53 個，比例大致相當。該比例與 2022 年情況也大體一致。

在經過審計的 51 個項目里，有 31 個項目（60% ）被攻擊原因來自合約漏洞利用。該比例高于去年的 45 %，整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。

110 起 Rug Pull 事件卷走 7587 萬美元

2023 年上半年，Web3 領域共監測到主要 Rug Pull 事件 110 起，涉及金額約 7587 萬美元。

從金額來看， 14 起（12.7% ）Rug Pull 事件金額在 100 萬美元之上， 10 萬至 100 萬美元區間的事件共 41 起（37.3% ）， 10 萬美元以下的事件共 55 起（50% ）。

涉及金額最大的 Rug Pull 事件為 Fintoch 項目，該項目卷走了約 3160 萬美元的資產。

從鏈平臺來看，BNB Chain 上發生了 80 起 Rug Pull 事件，涉及金額 5337 萬美元，遠遠高于其他的公鏈。

總體而言，Web3 領域黑客攻擊事件的總損失金額較 2022 年有了大幅度下降。2022 年上半年攻擊總損失約 19.1 億美元， 2022 年下半年約 16.9 億美元，而 2023 上半年該數值下降到了 4.7 億美元，并且其中約有 2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢，促成這一現象的主要原因有：全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器 Tornado Cash 被制裁、AML 反洗錢技術和程序的完善等。另外，也出現了依靠社區力量，通過鏈下情報對黑客身份進行定位并迫使黑客返還的案例。

即便黑客攻擊大幅放緩，合約安全問題依舊不能忽略。2023 年上半年，最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成了 2.64 億美元的損失，其中絕大多數被利用的漏洞是業務邏輯問題。一些較為復雜的業務邏輯漏洞，需要經驗豐富的專業審計公司才能發現。Beosin 審計團隊會對每一次黑客攻擊事件都會進行深入分析（推特@BeosinAlert)，確保將其中總結出的經驗和技術應用到項目審計過程中，以應對實際可能發生的黑客攻擊。

與黑客攻擊事件下降的趨勢相反的是，針對普通用戶的釣魚詐騙更加頻發。上半年出現了以 Venom Drainer 為代表的一系列錢包 Drainer 團伙，他們開發惡意工具包后進行售賣，購買者成功釣魚獲利后再與之進行分成。此類釣魚詐騙波及用戶面廣，單是 Venom Drainer 這一個團伙就產生了至少 1.5 萬個受害者。對于普通用戶而言，最好能夠經常關注安全公司的提醒，系統性地學習一些防釣魚防被盜知識，也可以安裝一些防釣魚插件、交易預執行工具等進行提醒（但不能完全依賴工具，加強自身安全意識永遠是第一位的）。

Beosin

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：SINEOSNBSBSPsuperwebusinessEOS LYNXnbs幣前景BSPAY幣

Uniswap