Beosin报告:2023年上半年Web3区块链安全态势分析
原文作者:Mario、Donny,Beosin 研究团队
原文来源: Beosin
本报告由 Beosin、SUSS NiFT、LegalDAO、Footprint Analytics、Biteye、ShellBoxes 联合出品
前言
随着全球数字化进程的不断加速,区块链技术作为一种新兴的去中心化交易方式,正逐渐成为数字经济的核心基础设施之一。然而,随着区块链应用场景的不断拓展,其面临的安全风险也在逐步增加。在这样一个背景下,了解 Web3 区块链安全态势及加密行业监管政策,成为保障区块链应用安全和稳定的必要措施之一。 本研究报告由区块链安全公司 Beosin 和 SUSS NiFT 联合发起的区块链生态安全联盟共同创作,围绕 2023 年上半年全球区块链安全态势、Web3 热点事件及加密行业重点监管政策等,进行深入分析和总结,旨在为读者提供有价值的参考和启示,助力区块链技术的安全健康发展。
数据图表可在 此处 查阅(数据截止 6 月 25 日)
一、 2023 第一季度 Web3 安全态势综述
据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测, 2023 年上半年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 6 亿 5561 万美元。 其中攻击事件 108 起,总损失金额约 4 亿 7143 万美元;钓鱼诈骗总损失金额约 1.08 亿美元;项目方 Rug Pull 事件 110 起,总损失约 7587 万美元。
Web3 领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元。
从被攻击项目类型来看, DeFi 依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。
从链平台类型来看, 75.6% 的损失金额来自 Ethereum,约 3.56 亿美元,居所有链平台的第一位。
从攻击手法来看 (按根本原因进行统计),最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。
从资金流向来看, 约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。另外约有 1.13 亿美元的被盗资产转入了 Tornado Cash 和其他混币器。
从审计情况来看, 被攻击的项目中,约有 49% 的项目没有经过审计。
与黑客攻击事件较 2022 年下降的趋势相反的是,对普通用户而言,钓鱼诈骗和项目方 Rug Pull 事件在 2023 年上半年更加频发。据不完全统计,这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低(例如可以通过一些渠道向钓鱼团伙购买恶意工具包,赚取利润后进行分成),导致 2023 年上半年钓鱼诈骗事件大幅增加,成为威胁 Web3 用户安全的主要原因。
二、攻击事件总览
108 起攻击事件造成损失 4 亿 7143 万美元
2023 年上半年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 108 起,总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起, 100 万美元 - 1000 万美元区间的事件 23 起。
损失金额超过千万美元的攻击事件(按金额排序):
● Euler Finance - 1.97 亿美元
3 月 13 日,DeFi 协议 Euler Finance 遭到攻击,损失达到了 1.97 亿美元。4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
● Atomic Wallet - 6700 万美元
6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,统计发现被盗金额至少达到了 6700 万美元。黑客已将被盗资金通过混币平台 Sinbad 进行了清洗,被攻击原因仍在调查中。
● MEV attack - 2500 万美元
4 月 3 日,多个 MEV 机器人遭受恶意三明治攻击,总共损失约 2500 万美元。
● Bitrue - 2400 万美元
4 月 14 日,加密交易所 Bitrue 热钱包遭受攻击,损失达 2400 万美元。
● FPG - 2000 万美元
6 月 11 日,加密货币经纪公司 Floating Point Group (FPG)遭到网络攻击,损失约 2000 万美元的加密货币。
● GDAC - 1300 万美元
4 月 9 日,韩国加密货币交易所 GDAC 遭到黑客攻击,损失近 1300 万美元。
● Yearn Finance - 1150 万美元
4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客攻击,黑客获利超 1000 万美元。
● MyAlgo Wallet - 1120 万美元
2 月,MyAlgo 钱包遭到中间人攻击,损失达 1120 万美元。
三、被攻击项目类型
85 次 DeFi 安全事件造成 2.92 亿美元损失
2023 年上半年,DeFi 类型项目共发生 85 次安全事件,占总事件数量的 78.7% 。DeFi 总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。DeFi 为被攻击频次最高、损失金额最多的项目类型。
85 次 DeFi 安全事件里,有 51 起安全事件都源自于合约漏洞利用,损失达 2.49 亿美元,占 DeFi 损失总金额的 85% 。
钱包攻击事件带来了约 7820 万美元的损失,金额占所有项目类型的第二位。其中 Atomic Wallet 攻击事件至少损失了 6700 万美元,MyAlgo 钱包攻击事件损失为 1120 万美元。
排名第三的项目类型为交易所,损失约 5014 万美元。交易所攻击事件在 2022 年全年数据里损失排名也是第三位,今年延续了攻击频发趋势。
跨链桥项目在 2022 年损失金额排名第一(18.9 亿美元),而在 2023 年上半年损失大幅下降到了 138 万美元。
四、各链平台损失金额情况
75.6% 的损失金额来自 Ethereum
2023 年上半年,Ethereum 链上共发生主要攻击事件 27 起,损失金额约为 3.56 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 75.6% 。
BNB Chain 上监测到了最多的攻击事件,达到了 58 起,攻击事件总数占所有事件的 53.7% 。BNB Chain 上发生的 58 次攻击事件里,有 40 个被攻击项目都未经审计。
Arbitrum 链上共发生 7 次攻击事件,造成损失约 1671 万美元,安全事件损失金额和数量与 2022 年相比有所增加(Arbitrum 在整个 2022 年只发生过两次主要的安全事件)。
2022 年 Solana 链上损失金额排所有公链的第三位,而在 2023 年上半年并未监测到主要攻击事件。
五、攻击手法分析
合约漏洞利用最频发、损失金额最多
* 说明:多种攻击手法并存时,以根本原因为准进行分类。信息不足或项目方未公布原因的攻击事件分类至「暂不清晰」
2023 年上半年,攻击原因最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。
约有 1 亿美元的安全事件攻击手法暂不清晰,其中包括 Atomic Wallet 钱包被盗 6700 万美元、加密货币经纪公司 FPG 被攻击 2000 万美元等事件。此类事件涉及金额大,影响用户众多。建议此类项目方在进行事件原因调查的同时,应积极和第三方安全公司进行合作,及时公布调查结果,采取必要的修复措施,对用户资产安全肩负起责任。
另外,还有 7 次私钥泄露事件造成了约 2767 万美元的损失。在 2022 年,私钥泄露损失也是居所有攻击类型的第三位。私钥泄露事件一直持续威胁着项目方安全。从一些事件披露来看,加强核心成员的职业道德和安全意识管理尤为重要。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失,占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题,被攻击后造成的损失往往较大,有 9 起事件的损失金额都超过了 100 万美元。建议项目方寻找富有经验的专业审计公司进行审计。
六、典型案例攻击手法分析
6.1 Euler Finance 安全事件
3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。
3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。
3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler「一直是一个安全意识强的项目」。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。
从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己「搅乱了别人的钱,别人的工作,别人的生活」并请求大家的原谅。
4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
漏洞分析: 复盘 Euler Finance 2 亿美元被盗案的来龙去脉,本次事件带给我们哪些启示?
6.2 BonqDAO 安全事件
2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。
漏洞分析: 开年最大黑客事件,损失 8800 万美元,加密协议 BonqDAO 被攻击事件分析
6.3 Platypus Finance 安全事件
2 月 17 日,Avalanche 平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。
2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。
漏洞分析: 闪电贷攻击如何防范?Avalanche 链上 Platypus 项目损失 850 万美元攻击事件分析
6.4 Yearn Finance 安全事件
2023 年 4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客闪电贷攻击,黑客获利超 1000 万美元。yUSDT 疑似在 1000 多天前部署时便被错误配置,错误地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。
5 月 26 日,Yearn 攻击者已将 4134 枚 ETH 转入 Tornado Cash。
漏洞分析: 被盗超 1000 万美元,Yearn Finance 如何被黑客「盯上」?
七、反洗钱典型事件分析回顾
据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示, Atomic Wallet 于今年 6 月初遭攻击,据 Beosin 团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约 6700 万美元。
我们将 深入探讨这起黑客盗窃案的资金清洗细节,并使用 Beosin KYT 虚拟资产反洗钱合规和分析平台,对黑客的洗钱套路进行追踪和分析。
事件综述
根据 Beosin 团队分析,此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中:
以太坊链
已查出被盗资金为 16262 个 ETH 价值的虚拟货币,约 3000 万美元。
波场链
波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币,约 1700 万美元。
BTC 链
BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币,折合 1260 万美元。
BSC 链
BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。
其余链
XRP: 1676015 个 XRP,约 84 万美元
LTC: 2839.873689 个 LTC,约 22 万美元
DOGE: 800575.67369797 个 DOGE,约 5 万美元
以太坊
在黑客对赃款的操作中,以太坊被攻击链路上有两种主要的方式:
1、通过合约进行发散后利用 Avalanche 跨链洗钱
根据 Beosin 团队分析,黑客会首先将钱包中有价值的币统一换成公链的主币,再通过两个合约来进行汇集。
该合约地址会通过两层中转将 ETH 打包成 WETH,再将 WETH 转入用于将 ETH 发散的合约,通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作,该跨链不使用合约进行,属于 Avalanche 的内部记账式交易类型。
以太坊链路简图如下:
全文阅读: 一场涉及至少 6000 万美元的钱包被盗案,Beosin KYT 带你拆穿黑客洗钱套路
八、被盗资产的资金流向分析
45.5% 的被盗资产得以追回
2023 年上半年, Beosin KYT 虚拟资产反洗钱合规和分析平台显示,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。而在 2022 年,仅有 8% 的被盗资产被追回。2023 年资金追回的机会大幅提升。除了与黑客谈判追回以外,依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外,全球监管体系的完善和执法力度的加大,也对黑客行为起到了警戒作用。
约有 1.13 亿美元的被盗资产转入了混币器。其中转入 Tornado Cash 约 4538 万美元,其他混币平台约 6814 万美元。自 2022 年 8 月 Tornado Cash 受到美国 OFAC 制裁后,黑客使用 Tornado Cash 进行混币的总金额大幅减少,而其他混币平台的使用率明显增加,如 FixedFloat、Sinbad 等。
九、项目审计情况分析
审计和未审计项目比例大致相当,在 108 个被攻击项目中,经过审计的项目为 51 个,未经审计的项目为 53 个,比例大致相当。该比例与 2022 年情况也大体一致。
在经过审计的 51 个项目里,有 31 个项目(60% )被攻击原因来自合约漏洞利用。该比例高于去年的 45 %,整个审计市场的质量依旧不容乐观。建议项目方一定要寻找专业的安全公司进行审计。
十、Rug Pull 分析
110 起 Rug Pull 事件卷走 7587 万美元
2023 年上半年,Web3 领域共监测到主要 Rug Pull 事件 110 起,涉及金额约 7587 万美元。
从金额来看, 14 起(12.7% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 41 起(37.3% ), 10 万美元以下的事件共 55 起(50% )。
涉及金额最大的 Rug Pull 事件为 Fintoch 项目,该项目卷走了约 3160 万美元的资产。
从链平台来看,BNB Chain 上发生了 80 起 Rug Pull 事件,涉及金额 5337 万美元,远远高于其他的公链。
2023 上半年安全态势总结
总体而言,Web3 领域黑客攻击事件的总损失金额较 2022 年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元,并且其中约有 2.15 亿美元的被盗资产得以追回。黑客攻击呈现大幅放缓趋势,促成这一现象的主要原因有: 全球监管体系的逐步完善、执法力度的加大、项目方安全意识的提升、混币器 Tornado Cash 被制裁、AML 反洗钱技术和程序的完善等。另外,也出现了依靠社区力量,通过链下情报对黑客身份进行定位并迫使黑客返还的案例。
即便黑客攻击大幅放缓,合约安全问题依旧不能忽略。 2023 年上半年,最频发、造成损失最多的攻击手法为合约漏洞利用。 60 次合约漏洞事件造成了 2.64 亿美元的损失,其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞,需要经验丰富的专业审计公司才能发现。 Beosin 审计团队会对每一次黑客攻击事件都会进行深入分析(推特@BeosinAlert),确保将其中总结出的经验和技术应用到项目审计过程中,以应对实际可能发生的黑客攻击。
与黑客攻击事件下降的趋势相反的是,针对普通用户的钓鱼诈骗更加频发。上半年出现了以 Venom Drainer 为代表的一系列钱包 Drainer 团伙,他们开发恶意工具包后进行售卖,购买者成功钓鱼获利后再与之进行分成。此类钓鱼诈骗波及用户面广,单是 Venom Drainer 这一个团伙就产生了至少 1.5 万个受害者。 对于普通用户而言,最好能够经常关注安全公司的提醒,系统性地学习一些防钓鱼防被盗知识,也可以安装一些防钓鱼插件、交易预执行工具等进行提醒(但不能完全依赖工具,加强自身安全意识永远是第一位的)。
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
Bitcoin Price Consolidates Below Resistance, Are Dips Still Supported?
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
XRP, Solana, Cardano, Shiba Inu Making Up for Lost Time as Big Whale Transaction Spikes Pop Up
Justin Sun suspected to have purchased $160m in Ethereum
Justin Sun suspected to have purchased $160m in Ethereum