*本報告由Beosin、SUSS NiFT、LegalDAO、Footprint Analytics、Biteye、ShellBoxes聯合出品。
前言
隨著全球數字化進程的不斷加速,區塊鏈技術作為一種新興的去中心化交易方式,正逐漸成為數字經濟的核心基礎設施之一。然而,隨著區塊鏈應用場景的不斷拓展,其面臨的安全風險也在逐步增加。在這樣一個背景下,了解Web3區塊鏈安全態勢及加密行業監管政策,成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司Beosin和SUSS NiFT聯合發起的區塊鏈生態安全聯盟共同創作,圍繞2023年上半年全球區塊鏈安全態勢、Web3熱點事件及加密行業重點監管政策等,進行深入分析和總結,旨在為讀者提供有價值的參考和啟示,助力區塊鏈技術的安全健康發展。
本章作者:Beosin 研究團隊Mario、Donny
據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測,2023年上半年Web3領域因黑客攻擊、釣魚詐騙和項目方Rug Pull造成的總損失達到了 6 億 5561 萬美元。其中攻擊事件 108 起,總損失金額約 4 億 7143 萬美元;釣魚詐騙總損失金額約 1.08 億美元;項目方Rug Pull事件 110 起,總損失約 7587 萬美元。
Web3領域黑客攻擊事件的總損失金額較去年有了大幅度下降。2022年上半年攻擊總損失約 19.1 億美元,2022年下半年約 16.9 億美元,而2023上半年該數值下降到了 4.7 億美元。
從被攻擊項目類型來看,DeFi依舊是被攻擊頻次最高、損失金額最多的類型。85 次 DeFi 安全事件總損失金額達到了 2.92 億美元,占總損失金額的 62%。
從鏈平臺類型來看,75.6% 的損失金額來自 Ethereum,約 3.56 億美元,居所有鏈平臺的第一位。
從攻擊手法來看
(按根本原因進行統計),最頻發、造成損失最多的攻擊手法為合約漏洞利用。60次合約漏洞事件造成損失2.64億美元,占所有損失金額的56%。
從資金流向來看,約有2.15億美元的被盜資產得以追?回,占所有被盜資產的45.5%。另外約有 1.13 億美元的被盜資產轉入了Tornado Cash和其他混幣器。
火幣七爺:HT或已過通縮拐點 有望在2021年迎來“黃金周期”:2月3日,HT突破7美元關口,再創歷史新高。HT現價約7.2美元,近一個月HT漲幅超過75%。針對近期HT走出的獨立行情,火幣全球站CEO七爺在解答社區提問時表示,當前主流平臺幣普遍采用銷毀的通縮模型,通縮效應需要積累一段時間,這個階段叫通縮蓄力期;蓄力到一定程度,才會量變產生質變,形成價格的快速拉伸,也就是達到“通縮拐點”。
數據顯示,2020年平臺幣板塊平均通縮率大約8.5%左右,另外兩個頭部平臺幣的通縮率分別為8%與6%。相較之下,HT的年通縮率在20%以上。理性分析,在其他因子不變的情況下,只有HT單價翻倍或以上,才能讓HT的通縮率回歸正常水平,這樣的結構性套利機會必然會有市場的力量將其扳平。
而近期HT盤面走出了獨立行情,或許預示著套利機會已被市場確認,越來越多的人認為HT已經過了通縮拐點。在2021年里,HT有望迎來歷史最佳的“黃金周期”,市場力量將加速修正HT的市場價格。[2021/2/3 18:46:28]
從審計情況來看,被攻擊的項目中,約有49%的項目沒有經過審計。
與黑客攻擊事件較2022年下降的趨勢相反的是,對普通用戶而言,釣魚詐騙和項目方Rug Pull事件在2023年上半年更加頻發。據不完全統計,這兩類事件涉及總金額達到了至少 1.84 億美元。由于釣魚門檻技術的降低(例如可以通過一些渠道向釣魚團伙購買惡意工具包,賺取利潤后進行分成),導致2023年上半年釣魚詐騙事件大幅增加,成為威脅 Web3 用戶安全的主要原因。
2 攻擊事件總覽
108 起攻擊事件造成損失 4 億 7143 萬美元
2023年上半年,Beosin EagleEye安全風險監控、預警與阻斷平臺共監測到Web3領域主要攻擊事件 108 起,總損失金額達 4 億 7143 萬美元。其中損失金額超過 1 億美元的安全事件共 1 起,損失在 1000 萬美元 - 1 億美元區間的事件共 7 起,100 萬美元 - 1000 萬美元區間的事件 23 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● Euler Finance - 1.97 億美元
3月13日,DeFi 協議 Euler Finance 遭到攻擊,損失達到了 1.97 億美元。4月4日,Euler Labs在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
● Atomic Wallet - 6700 萬美元
Dfund楊林苑:2021年四大影響市場因素值得關注:金色財經年度巨獻洞見財富密碼2021投資策略會持續進行中,本期Dfund管理合伙人楊林苑《新周期比特幣的冰與火之歌》的精華看點如下:2021年的數字貨幣市場有以下因素值得關注:
1.各國政府繼續大放水,全球進入史無前例的負利率時代,負利率加速法幣向比特幣為首的數字貨幣大遷徙;
2.市場中出現更多類似灰度的以數字貨幣為錨定資產的結構化金融產品;
3.類似Coinbase的數字貨幣IPO案例會出現和井噴,迎來幣股共振行情;
4.中國央行DCEP和FACEBOOK DIEM為代表的超級穩定幣推出,在某個時刻成為數字貨幣的通天塔;
綜上,我們對2021的數字貨幣市場行情總體樂觀,但是這并不影響隨時可能出現大幅回調。[2020/12/31 16:08:15]
6 月 3 日,多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,統計發現被盜金額至少達到了6700萬美元。黑客已將被盜資金通過混幣平臺Sinbad進行了清洗,被攻擊原因仍在調查中。
● MEV attack - 2500 萬美元
4月3日,多個MEV機器人遭受惡意三明治攻擊,總共損失約2500萬美元。
● Bitrue - 2400 萬美元
4月14日,加密交易所 Bitrue 熱錢包遭受攻擊,損失達 2400 萬美元。
● FPG - 2000 萬美元
6月11日,加密貨幣經紀公司 Floating Point Group (FPG)遭到網絡攻擊,損失約 2000 萬美元的加密貨幣。
● GDAC - 1300 萬美元
4月9日,韓國加密貨幣交易所 GDAC 遭到黑客攻擊,損失近1300萬美元。
● Yearn Finance - 1150 萬美元
4月13日,Yearn Finance的yusdt合約遭受黑客攻擊,黑客獲利超1000萬美元。
● MyAlgo Wallet - 1120 萬美元
2月,MyAlgo錢包遭到中間人攻擊,損失達 1120 萬美元。
3 被攻擊項目類型
85 次 DeFi 安全事件造成 2.92 億美元損失
2023年上半年,DeFi類型項目共發生 85 次安全事件,占總事件數量的 78.7% 。DeFi總損失金額達到了 2.92 億美元,占總損失金額的 62% 。DeFi為被攻擊頻次最高、損失金額最多的項目類型。
波卡代幣發行與轉賬框架Polimec處于啟動階段 預計2021年8月上線首個項目:波卡的代幣發行與轉賬框架Polimec正處于啟動階段,背后團隊與區塊鏈身份協議KILT有關。KILT Protocol主管Ingo Ruebe表示創建一個這樣社區自有的的代幣系統原因多樣,不僅僅與以太坊高額轉賬費用有關。以往波卡生態內項目方會發行ERC-20代幣。KILT主網將在11個月后上線,代幣將首次使用Polimec框架。(Coindesk)[2020/9/17]
85 次 DeFi 安全事件里,有 51 起安全事件都源自于合約漏洞利用,損失達 2.49 億美元,占DeFi損失總金額的 85%。
錢包攻擊事件帶來了約 7820 萬美元的損失,金額占所有項目類型的第二位。其中Atomic Wallet攻擊事件至少損失了 6700 萬美元,MyAlgo錢包攻擊事件損失為 1120 萬美元。
排名第三的項目類型為交易所,損失約 5014 萬美元。交易所攻擊事件在2022年全年數據里損失排名也是第三位,今年延續了攻擊頻發趨勢。
跨鏈橋項目在2022年損失金額排名第一(18.9 億美元),而在2023年上半年損失大幅下降到了 138 萬美元。
4 各鏈平臺損失金額情況
75.6% 的損失金額來自 Ethereum
2023年上半年,Ethereum鏈上共發生主要攻擊事件27起,損失金額約為 3.56 億美元。Ethereum鏈上損失金額居所有鏈平臺的第一位,占比約75.6% 。
BNB Chain上監測到了最多的攻擊事件,達到了 58 起,攻擊事件總數占所有事件的 53.7% 。BNB Chain上發生的58次攻擊事件里,有40個被攻擊項目都未經審計。
Arbitrum鏈上共發生7次攻擊事件,造成損失約 1671 萬美元,安全事件損失金額和數量與2022年相比有所增加(Arbitrum在整個2022年只發生過兩次主要的安全事件)。
2022年Solana鏈上損失金額排所有公鏈的第三位,而在2023年上半年并未監測到主要攻擊事件。
報告:2020香港十大高薪職業中有兩個屬于區塊鏈領域:國際人力資源解決方案服務公司Kelly Services最近發布的《2020年香港薪資指南》顯示,2020年香港最熱門的十大高薪職業包括:數據架構師、數據科學家、機器學習專家、區塊鏈解決方案架構師、區塊鏈后端開發人員、IT項目經理、IT商業分析師、IT解決方案架構師、IT程序員/分析程序員/系統分析師、BIM建模師(建筑設計咨詢)。(騰訊新聞)[2020/3/25]
5 攻擊手法分析
合約漏洞利用最頻發、損失金額最多
*說明:多種攻擊手法并存時,以根本原因為準進行分類。信息不足或項目方未公布原因的攻擊事件分類至"暫不清晰“
2023年上半年,攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元,占所有損失金額的 56%。
約有 1 億美元的安全事件攻擊手法暫不清晰,其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。此類事件涉及金額大,影響用戶眾多。建議此類項目方在進行事件原因調查的同時,應積極和第三方安全公司進行合作,及時公布調查結果,采取必要的修復措施,對用戶資產安全肩負起責任。
另外,還有 7 次私鑰泄露事件造成了約 2767 萬美元的損失。在2022年,私鑰泄露損失也是居所有攻擊類型的第三位。私鑰泄露事件一直持續威脅著項目方安全。從一些事件披露來看,加強核心成員的職業道德和安全意識管理尤為重要。
按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。36 次業務邏輯漏洞共造成了約 2.39 億美元的損失,占所有因合約漏洞攻擊損失的 90% 。此類漏洞是開發者最容易遺漏的問題,被攻擊后造成的損失往往較大,有 9 起事件的損失金額都超過了 100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。
6 典型案例攻擊手法分析
動態 | 央行發布2020年度招聘公告 央行數字貨幣研究所欲招聘6人:10月10日,中國人民銀行人事司發布《中國人民銀行分支機構和直屬單位2020年度人員錄用招考(招聘)公告》。招聘信息顯示,中國人民銀行數字貨幣研究所招聘人數為6名,要求所學專業涉及計算機、密碼學、微電子和計量經濟學。相關工作主要涉及負責法定數字貨幣及相關模型的軟件系統研發工作、法定數字貨幣交易終端的技術研發工作,以及金融科技、數字貨幣、支付清算相關領域分析工作等。在補充信息一欄中,招聘公告顯示,具有以下經驗者優先:系統架構設計、區塊鏈技術開發或應用、前端設計開發、大數據平臺開發、密碼算法、安全協議和安全體系結構的設計和實現、移動互聯網研發的可優先考慮,具有金融科技、數字貨幣及支付清算相關領域研究經歷者優先。[2019/10/10]
6.1 Euler Finance安全事件
3月13日,Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊,損失達到了 1.97 億美元。
3月16日,Euler基金會懸賞100萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。
3月17日,Euler Labs首席執行官Michael Bentley發推文表示,Euler“一直是一個安全意識強的項目”。從2021年5月至2022年9月,Euler Finance接受了Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等6家區塊鏈安全公司的10次審計。
從3月18日開始至4月4日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己“攪亂了別人的錢,別人的工作,別人的生活”并請求大家的原諒。
4月4日,Euler Labs在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
漏洞分析:復盤Euler Finance 2億美元被盜案的來龍去脈,本次事件帶給我們哪些啟示?
6.2 BonqDAO安全事件
漏洞分析:開年最大黑客事件,損失8800萬美元,加密協議BonqDAO被攻擊事件分析
6.3 Platypus Financ
e安全事件
2月17日,Avalanche平臺的Platypus Finance因函數檢查機制問題遭到攻擊,損失約850萬美元。然而攻擊者并沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。
2月23日,Platypus表示,已經聯系了Binance并確認了黑客身份,并表示將至少向用戶償還63%的資金。
2月26日,法國國家警察已經逮捕并傳喚了兩名攻擊Platypus的嫌疑人。
漏洞分析:閃電貸攻擊如何防范?Avalanche鏈上Platypus項目損失850萬美元攻擊事件分析
6.4 Yearn Finance 安全事件
2023年4月13日,Yearn Finance的yusdt合約遭受黑客閃電貸攻擊,黑客獲利超1000萬美元。yUSDT 疑似在 1000 多天前部署時便被錯誤配置,錯誤地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。
5月26日,Yearn攻擊者已將 4134 枚ETH轉入Tornado Cash。
漏洞分析:被盜超1000萬美元,Yearn Finance如何被黑客“盯上”?
7 反洗錢典型事件分析回顧
據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示,Atomic Wallet于今年6月初遭攻擊,據Beosin團隊統計,綜合鏈上已知的受害人報案信息,此次攻擊造成的損失至少約6700萬美元。
我們將深入探討這起黑客盜竊案的資金清洗細節,并使用Beosin KYT虛擬資產反洗錢合規和分析平臺,對黑客的洗錢套路進行追蹤和分析。
事件綜述
根據Beosin團隊分析,此次被盜事件截止目前涉及的鏈包括BTC、ETH、TRX在內總共21條鏈。被盜資金主要集中在以太坊鏈。其中:
以太坊鏈
已查出被盜資金為16262個ETH價值的虛擬貨幣,約3000萬美元。
波場鏈
波場鏈已知被盜資金為251335387.3208個TRX價值的虛擬貨幣,約1700萬美元。
BTC鏈
BTC鏈已知被盜資金為420.882個BTC價值的虛擬貨幣,折合1260萬美元。
BSC鏈
BSC鏈已知被盜資金為40.206266個BNB價值的虛擬貨幣。
其余鏈
XRP:1676015個XRP,約84萬美元
LTC:2839.873689個LTC,約22萬美元
DOGE:800575.67369797個DOGE,約5萬美元
以太坊
在黑客對贓款的操作中,以太坊被攻擊鏈路上有兩種主要的方式:
1、通過合約進行發散后利用Avalanche跨鏈洗錢
根據Beosin團隊分析,黑客會首先將錢包中有價值的幣統一換成公鏈的主幣,再通過兩個合約來進行匯集。
該合約地址會通過兩層中轉將ETH打包成WETH,再將WETH轉入用于將ETH發散的合約,通過最高5層中轉轉入Avalanche 用于Cross Bridge的錢包地址中進行跨鏈操作,該跨鏈不使用合約進行,屬于Avalanche的內部記賬式交易類型。
以太坊鏈路簡圖如下:
全文閱讀:一場涉及至少6000萬美元的錢包被盜案,Beosin KYT帶你拆穿黑客洗錢套路
8 被盜資產的資金流向分析
45.5% 的被盜資產得以追回
2023年上半年,Beosin KYT虛擬資產反洗錢合規和分析平臺顯示,約有2.15億美元的被盜資產得以追回,占所有被盜資產的45.5%。而在2022年,僅有8%的被盜資產被追回。2023年資金追回的機會大幅提升。除了與黑客談判追回以外,依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外,全球監管體系的完善和執法力度的加大,也對黑客行為起到了警戒作用。
約有 1.13 億美元的被盜資產轉入了混幣器。其中轉入Tornado Cash 約 4538 萬美元,其他混幣平臺約 6814 萬美元。自 2022 年 8 月 Tornado Cash受到美國 OFAC 制裁后,黑客使用Tornado Cash進行混幣的總金額大幅減少,而其他混幣平臺的使用率明顯增加,如 FixedFloat、Sinbad 等。
9 項目審計情況分析
審計和未審計項目比例大致相當,在108個被攻擊項目中,經過審計的項目為 51 個,未經審計的項目為 53 個,比例大致相當。該比例與2022年情況也大體一致。
在經過審計的51個項目里,有31個項目(60%)被攻擊原因來自合約漏洞利用。該比例高于去年的 45 %,整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。
10 Rug Pull 分析
110 起 Rug Pull 事件卷走 7587 萬美元
2023年上半年,Web3領域共監測到主要Rug Pull事件 110 起,涉及金額約 7587 萬美元。
從金額來看,14起(12.7%)Rug Pull事件金額在100萬美元之上,10萬至100萬美元區間的事件共41起(37.3%),10萬美元以下的事件共55起(50%)。
涉及金額最大的Rug Pull事件為 Fintoch 項目,該項目卷走了約 3160 萬美元的資產。
從鏈平臺來看,BNB Chain上發生了80起Rug Pull事件,涉及金額5337萬美元,遠遠高于其他的公鏈。
2023上半年安全態勢總結
總體而言,Web3領域黑客攻擊事件的總損失金額較2022年有了大幅度下降。2022年上半年攻擊總損失約 19.1 億美元,2022年下半年約 16.9 億美元,而2023上半年該數值下降到了 4.7 億美元,并且其中約有 2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢,促成這一現象的主要原因有:全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器Tornado Cash被制裁、AML反洗錢技術和程序的完善等。另外,也出現了依靠社區力量,通過鏈下情報對黑客身份進行定位并迫使黑客返還的案例。
即便黑客攻擊大幅放緩,合約安全問題依舊不能忽略。2023年上半年,最頻發、造成損失最多的攻擊手法為合約漏洞利用。60次合約漏洞事件造成了2.64億美元的損失,其中絕大多數被利用的漏洞是業務邏輯問題。一些較為復雜的業務邏輯漏洞,需要經驗豐富的專業審計公司才能發現。Beosin審計團隊會對每一次黑客攻擊事件都會進行深入分析(推特@BeosinAlert),確保將其中總結出的經驗和技術應用到項目審計過程中,以應對實際可能發生的黑客攻擊。
與黑客攻擊事件下降的趨勢相反的是,針對普通用戶的釣魚詐騙更加頻發。上半年出現了以Venom Drainer為代表的一系列錢包Drainer團伙,他們開發惡意工具包后進行售賣,購買者成功釣魚獲利后再與之進行分成。此類釣魚詐騙波及用戶面廣,單是Venom Drainer這一個團伙就產生了至少 1.5 萬個受害者。對于普通用戶而言,最好能夠經常關注安全公司的提醒,系統性地學習一些防釣魚防被盜知識,也可以安裝一些防釣魚插件、交易預執行工具等進行提醒(但不能完全依賴工具,加強自身安全意識永遠是第一位的)。
Beosin
企業專欄
閱讀更多
金色早8點
Odaily星球日報
金色財經
Block unicorn
DAOrayaki
曼昆區塊鏈法律
Tags:SINANCEOS區塊鏈business-credit-alliance-chainInsured FinanceEOS Se7ens藝術幣區塊鏈
作者:0x1987 摘要 近期美國SEC起訴幣安,并將多個代幣認定為證券,引發市場對于山寨幣的拋售,恐慌情緒蔓延.
1900/1/1 0:00:00作者:Nicholas Garcia,Messari;編譯:胡子觀幣社區 "NEAR平臺上擁有超過2300萬個賬戶和數千個項目.
1900/1/1 0:00:00一、引言 虛擬貨幣出現以來,堪稱無與倫比的暴漲程度一方面讓一個個先到的投資者獲得數以億計的紅利,另一方面也讓一部分場外觀望的投資者心癢著急起來.
1900/1/1 0:00:00作者:Jaleel、Jack,區塊律動隨著 NFT 市場步入熊市,即使是市場的領頭羊「無聊猿」也未能逃脫,與之形成鮮明對比的 Azuki 卻表現不凡.
1900/1/1 0:00:00作者:Beehive Validator;編譯:深潮 TechFlow目前,質押(Staking)是 DeFi 市場中最大的領域之一.
1900/1/1 0:00:00▌BCH短時突破310美元,自EDXMarkets宣布提供BCH交易服務以來漲幅已達208%金色財經報道,行情顯示,BCH短時突破310美元,現報308.4美元,日內漲幅達到27.8%.
1900/1/1 0:00:00