Beosin:2022年全球Web3区块链安全态势报告
原文来源: Beosin
*本报告由 Beosin、Buidler DAO、LegalDAO、Footprint Analytics 联合出品。
(数据统计截止至 2022 年 12 月 20 日)
2022 年全年, Beosin EagleEye 安全 风险监控、预警与阻断平台共监测到Web3领域主要攻击事件超 167 起,因各类攻击造成的总损失达到了 36 亿 384 万美元,较 2021 年攻击类损失增加了 47.4% 。 其中单次损失超过一亿美元的安全事件共 10 起, 1000 万至一亿美元的安全事件共 21 起。
从项目类型来看, 12 次 跨链 桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。 DeFi 类型项目被攻击了 113 次,约为 67.6% ,是被攻击频次最高的项目类型。
2022 年共有 20 条 公链 发生过重要安全事件, 按损失金额排名前三的分别是 Ethereum、 BNB Chain、 Solana ;按攻击事件次数排名前三的分别是 BNB Chain、Ethereum、Solana。
漏洞利用为全年频率最高、且损失最多的攻击方式。 2022 年全年涉及漏洞利用的攻击事件有 87 起,总损失达到了 14.58 亿美元。
在 2022 年监测到的 167 次主要攻击事件里, 经过审计与未经审计的项目几乎各占一半,比例分别为 51.5% 和 48.5% 。
2022 年约有 13.96 亿美元的被盗资金转入了 Tornado Cash, 占所有攻击事件损失资金的 38.7% 。全年约有 2.89 亿美元的被盗资金得以追回,仅占所有损失的 8% 。
全年区块链领域犯罪金额达到了 137 亿 6074 美元 ( 金融 犯罪暂不计入)。其中洗钱类占 73.3 亿美元,攻击事件 36 亿美元,传销类 10.15 亿美元,诈骗类 8.3 亿美元。
全年诈骗类事件中,包括 Rug pull 事件 243 起,总涉及金额达到了 4.25 亿美元 ( FTX 事件暂不计入)。约 86.4% 的项目跑路金额集中在几千至几十万美元区间。
2022 全球加密 货币 市场市值大幅缩水,年底 TVL 较年初高峰时期下降了约 80% 。市场遭受重创,出现了以三箭资本、Luna、FTX 为代表的一系列黑天鹅事件。
在全球市值大幅缩水的情况下, 2022 年区块链安全领域总体犯罪数据仍然达到了 137 亿美元,攻击事件更是较 2021 年大幅增加。 2022 年全球区块链安全态势总体十分严峻,对 2023 年的安全行业也提出了更高、更迫切的需求。如何应对猖獗的黑客攻击、如何加快建立全球监管体系、如何迎来 技术 突破解决已有的安全行业弊端,这些都将是 2023 年需要重点思考和迫切解决的问题。
一、 2022 十大安全事件回顾
2022 年 3 月 29 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示, Axie Infinity 侧链 Ronin 遭到攻击,按照当时的价格来算有约 6.24 亿美元的加密货币被盗。黑客先利用盗取的私钥伪造提款凭证,这个提款凭证至少需要 5 个签名者同意才可以成功,最后攻击者设法控制了 5 个验证器成功执行了提款凭证盗取了链上资金。
据调查,黑客通过社工的方式向 Sky Mavis 的工程师发送虚假的 offer 录取信,该文档允许黑客渗透到 Ronin 的系统。攻击发生后,攻击者将被盗资产分散到了多个地址,并分批次通过 Tornado Cash 进行清洗。5 月 20 日,Ronin 攻击者将最后一笔盗取资金转入 Tornado Cash,所有资产清洗完成。6 月 28 日,Ronin 在推特宣布重新开放。
Beosin 安全团队对此类跨链桥项目给出以下建议: 1、注意签名服务器的安全性;2、签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3、多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;4、项目方应实时监控项目资金异常情况。
2022 年 10 月 7 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,BNB Chain 跨链桥“代币中心”(Token Hub)遭遇黑客攻击,黑客首先于区块高度 21955968 通过调用合约缴纳 100 BNB 注册成为 Relayer。凌晨两点半左右开始,黑客从 BNB Chain 的“代币中心”(TokenHub)系统合约分两次(2: 26、 4: 43 )共获取了 200 万枚 BNB。并将其中 90 万枚 BNB 在 BNB Chain 上借贷协议 Venus 进行抵押,借出 6250 万 BUSD、 5000 万 USDT 、 3500 万 USDC 。Beosin 安全团队分析发现由于 币安 跨链桥 BSC Token Hub 在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证 IAVL 树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。
10 月 24 日,币安 创始人 赵长鹏表示,已在执法部门帮助下缩小了攻击者身份的可能范围。此外,赵长鹏还表示能够冻结大约 80% 到 90% 的被盗资金,实际损失在 1 亿美元左右。
2022 年 11 月 15 日,在 FTX 宣布破产后不久,便传出其遭到黑客攻击,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,本次涉及金额约 4.4 亿美元。当时 FTX 社区聊天管理员向 交易所 的官方电报组发送了一条消息,指出该破产平台已被黑客入侵,所有应用程序都是恶意软件。管理员建议用户删除该应用程序,不要访问该网站或打开他们的移动应用程序,因为这很可能会感染木马。由于还有很多未知数,许多人认为,这很可能是内部人员的操作。
2022 年 2 月 3 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Wormhole 遭到黑客攻击,导致约 3.26 亿美元的损失。Beosin 安全团队分析发现黑客利用了 Wormhole 合约中的签名验证漏洞,这个漏洞允许黑客伪造 sysvar 帐户来铸造 wETH。这个漏洞已经在 Solana 1.9.4 中被修补,离最终上线还需要审核过程,而黑客正是利用这个间隙对仍在使用 Solana 1.8 的合约展开了攻击。
攻击发生后,Wormhole 宣布已恢复其跨链桥资金,并已重新上线。加密 投资 基金 Jump Crypto 2 月 4 日宣布,已投入 12 万枚以太坊以弥补跨链桥 Wormhole 的被盗损失,以支持 Wormhole 继续发展。
2022 年 8 月 2 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,跨链通讯协议 Nomad 遭到了大规模的黑客攻击,参与此次攻击的黑客地址超 500 条,项目方损失达 1.9 亿美元。Beosin 安全团队通过交易分析,发现项目方错误的添加了 0 x 000...000 作为可接受的根,导致判断恒成立,从而攻击者可以提取合约中的资金。
因此,任何攻击者只需要复制第一个黑客的交易并使用一个未曾使用过的攻击地址将其替换,然后点击通过 Etherscan 发送,就能盗取项目资金。同时由于存在问题的是 Replica 合约,所以其对应的所有 BridgeRouter 相关 DApp 都会受到影响,因此被盗资表现出多币种的特点。
8 月 3 日,Nomad 发布返还被盗资金说明,号召白帽黑客返还被盗资金。截止 8 月 15 日,项目方已追回 3700 万美元。
2022 年 4 月 17 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,算法 稳定币 项目 Beanstalk Farms 遭受闪电贷攻击,协议损失 1.82 亿美元,攻击者获利约 8000 万美元(除去攻击所需的一些借贷资金)。攻击者在攻击后很快便将所获 8000 万美元全部转入 Tornado Cash 混币。
攻击者从攻击的前一天发起了提案交易,提案通过会提取 Beanstalk: Beanstalk Protocol 合约中的资金。黑客通过闪电贷换取了大量的资金储备,再进行反复兑换。最后对提案进行投票,导致提案通过。针对本次事件,Beosin 安全团队建议: 1. 投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;2. 项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;3. 可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。
2022 年 9 月 20 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Wintermute 在 DeFi 黑客攻击中损失 1.6 亿美元。Beosin 安全团队分析发现攻击者频繁的利用 0 x 0000000 fe 6 a...地址调用 0 x 00000000 ae 34...合约的 0 x 178979 ae 函数向攻击者合约转账,通过反编译合约,发现调用 0 x 178979 ae 函数需要权限校验,通过函数查询,确认 0 x 0000000 fe 6 a 地址拥有 setCommonAdmin 权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认 0 x 0000000 fe 6 a 的私钥被泄露。
9 月 21 日,Wintermute 确认其于 6 月份使用 Profanity 和一个内部工具来创建 钱包 地址,而该 Profanity 工具存在私钥爆破的风险。
2022 年 10 月 12 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Solana 上的 Mango 协议遭受黑客攻击,受影响金额约 1.16 亿美元。黑客使用了两个账户,一共 1000 万 USDT 起始资金,就撬动上亿资产。本次攻击主要原因是因为杠杆合约没有限制 Mango 开仓的头寸,导致攻击者可以拉高 Mango 代币获利。
2022 年 6 月 5 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,区块链网络 Elrond 遭受黑客攻击,黑客“获得”了近 165 万枚 EGLD,并且通过去中心化交易所 Maiar 砸盘,导致内部 $EGLD 暴跌 92% ,接着官方暂停了 DEX 以及相关 APIs,并表示已经评估应对方案。
Elrond 事后发布报告称,攻击者没有利用任何 智能合约 代码漏洞,问题出在虚拟机上。Elrond 生态 DEX 项目 Maiar 此前出现的 bug 已经解决,几乎所有被盗取的资金都已被追回。已知错误造成的剩余缺失资金都将由 Elrond 基金会全额承担。
2022 年 6 月 24 日,Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,以太坊与 Harmony 间跨链桥 Horizon 遭遇攻击,损失约 1 亿美元。Harmony 创始人表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。
攻击发生后,Harmony 立即停止了 Horizon 桥,以防止进一步的交易。然后,它联系了联邦调查局和多个网络安全和交易所合作伙伴,以调查、跟踪和协助检索被盗资产。然而黑客还是通过 Tornado Cash 对赃款进行了清洗。7 月 27 日,Harmony 发布了补偿提案。
二、被攻击项目类型
2022 年, 12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。 跨链桥安全事件里,单次损失超过 1 亿美元的事件就发生了 5 起,分别是 Ronin(6.24 亿美元)、BSC Token Hub(5.6 亿美元)、Wormhole(3.26 亿美元)、Nomad(1.9 亿美元)和 Harmony(1 亿美元)事件,其攻击手法主要包括社会工程学、私钥泄露、链平台或合约漏洞等。
全年 167 次主要攻击事件里,DeFi 类型项目被攻击了 113 次,约为 67.6% ,是被攻击频次最高的项目类型。DeFi 是继跨链桥之后损失排名第二的项目类型,总计损失约 9.5 亿美元。
全年共发生交易所、钱包安全事件共 21 起,共损失金额约 6 亿美元。此类事件涉及金额高、波及用户广,其攻击手法主要是私钥泄露、合约漏洞、供应链攻击。
三、各链损失金额
2022 年共有 20 条公链发生过主要安全事件,按损失金额排名前三的分别是 Ethereum、BNB Chain、Solana;按攻击事件次数排名前三的分别是 BNB Chain、Ethereum、Solana。
59 次 Ethereum 上的攻击事件造成了 20.1 亿美元的损失,占到了全年总损失的 55.8% 。
BNB Chain 上的攻击事件达到了 72 次, 70% 的项目损失金额集中在几千至几十万美元区间。 值得注意的是,BNB Chain 上遭受攻击的项目约 64% 都未经审计,且未经审计的项目中攻击手法 80% 都是合约漏洞利用。
7 次 Solana 链上的攻击事件共造成了 5 亿 1276 万美元的损失,单个事件平均损失居各链第一位。 Solana 链上的重大安全事件包括 2 月的 Wormhole 事件(3.26 亿美元)、 3 月的 Cashio 事件(4800 万美元)和 10 月的 Mango Market 事件(1.16 亿美元)。
四、攻击手法分析
(注 : FTX 事件暂不计入)
漏洞利用为全年频率最高、且损失最多的攻击方式。 2022 年全年涉及漏洞利用的攻击事件有 87 起,总损失达到了 14.58 亿美元。
损失金额排名第二的攻击方式为社会工程学,也就是 3 月的 Ronin 事件,损失金额达到了 6.24 亿美元。
损失金额排名第三的攻击方式为私钥泄露, 19 次私钥泄露共造成损失约 4.3 亿美元,其中有 8 起事件单次损失金额都在 1000 万美元以上。根据部分事件的调查结果来看,团队成员/前成员盗取私钥的情况频发,项目方需要格外注意运营安全,加强团队管理。还有部分因使用第三方工具导致私钥泄露的情况,建议项目方在使用第三方工具前均应进行仔细的安全评估。
按照漏洞类型细分,造成损失最多的前三名分别是 验证问题、链平台漏洞(BNB Chain 事件)和业务逻辑/函数设计不当。
18 次验证问题造成了 6.19 亿美元的损失,主要事件包括:Wormhole 事件中的签名验证漏洞、Nomad bridge 事件中的消息验证绕过等。
出现频次最高的是业务逻辑/函数设计不当问题,达到了 30 次。在 Beosin 的日常审计过程中,该类漏洞也是出现频率最高、最容易被 开发者 忽略的问题。
五、项目审计情况
在 2022 年监测到的 167 次主要攻击事件里,经过审计与未经审计的项目几乎各占一半,比例分别为 51.5% 和 48.5% 。
在 86 个经过审计的项目里,仍有 39 次攻击事件(45% )源自于漏洞利用。整个市场审计质量不容乐观。 经过 Beosin 对这些事件的复盘发现,绝大部分漏洞是完全可以在审计阶段发现并修复的。
2022 年因合约漏洞被攻击的项目中,没有出现 Beosin 审计过的项目 (数据来源:https://rekt.news/leaderboard/)。建议项目上线之前一定要寻找专业的安全公司进行审计,才能有效地保障资产安全。
六、被盗资金流向分析
【所有 金额 均 以事件发生时刻进行换算】
2022 年约有 13.96 亿美元的被盗资金转入了 Tornado Cash,占所有攻击事件损失资金的 38.7% 。 自 8 月 Tornado Cash 受到美国 OFAC 制裁后,转入 Tornado Cash 的资金较上半年大幅下降。第四季度仅有 4485 万美元的资金转入了 Tornado Cash。
全年约有 2.89 亿美元的被盗资金得以追回,仅占所有损失的 8% 。其中绝大部分来自白帽黑客主动返还。
约有 1824.8 万美元的被盗资金流入了各类交易所。通常一些涉案金额较少的黑客会在攻击后立刻将资金转入交易所。对交易所而言,能在攻击发生的及时识别黑客地址并阻止其交易尤为重要。
约有 4.43 亿美元的被盗资金被交易所冻结,其主要金额来源于 10 月的 BNB Chain 事件,当时币安立即冻结了黑客 80% 至 90% 的资金,实际损失在 1 亿美元左右。
七、Rug pull 数据
2022 年全年共发生 Rug pull 事件 243 起,总涉及金额达到了 4.25 亿美元(FTX 事件暂不计入)。
243 起 rug pull 事件中,涉及金额在千万美元以上的共 8 个项目。 210 个项目(约 86.4% )跑路金额集中在几千至几十万美元区间。
2022 年,Rug pull 事件具有以下特点:
1. 全年 Rug 项目数量多。平均每 1.5 天就有一个项目跑路。
2. Rug 周期时间短。大部分项目在上线后 3 个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。
3. 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。
4. 社交媒体信息欠缺。至少有一半的 rug pull 项目没有完善的官网、推特账号、电报/Discord 群组。
5. 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。
6. 蹭热点项目增多。今年出现了各类蹭热点币种跑路事件,如 Moonbird、LUNAv2、Elizabeth、TRUMP 等,通常及其快速地上线又火速卷款而逃。
Beosin 安全团队对 2023 区块链安全行业展望
2022 年,全球加密市场发生了诸多大事件:加密总市值大幅缩水; Terra 崩盘、三箭资本 ( 3 AC) 和 FTX 破产;Tornado Cash 遭受制裁;以太坊合并;新公链快速发展。在市值严重缩水的情况下, 2022 年黑客盗取资金却创下了新高。全年因各类攻击造成的总损失达到了 36 亿 384 万美元,比 2021 年增加了约 11.6 亿美元。2022 年全球Web3安全形势比以往都要严峻。
全年攻击事件中,仅有 8% 的资金被追回。在 Tornado Cash 今年 8 月遭到制裁之后,第三、四季度的被盗资金流入 Tornado Cash 的金额的确较第一、二季度大幅减少,但黑客攻击频率和盗取金额在第三、四季度并没有减少。要真正程度上抑制黑客的猖獗活动,需要整个行业做出多方努力,包括以下方面:
1. 快速制定和完善全球监管体系。真正有震慑力的,还是要对加密领域本身的犯罪行为诉诸法律制裁。目前已有一些国家的监管 政策 已初具雏形,预计 2023 年全球会有更多国家将监管政策体系化。
2. 从源头对黑客攻击进行阻断。目前整个安全市场包括 Beosin 已有一些成功阻断黑客攻击的案例,随着技术的逐渐成熟, 2023 年预计会有更多的黑客攻击在源头上被阻断。
3. 被盗资金追回。项目方、用户、安全公司、交易所、监管机构需要多方合作,锁定黑客链上地址及更多身份信息。随着全球监管体系的完善,找回被盗资金将不再是小概率事件。
4. 加强整个基础设施建设。2023 可能会出现从基础设施层面解决行业安全的新技术或新项目。同时,现存的区块链头部项目方也会对自身安全进行系统优化。
5. 项目方做好自身安全防护。部分项目开发匆忙、未经审计就上线是导致项目遭受攻击的一大原因。此外,合约安全、私钥/钱包安全、传统安全、甚至团队运营安全等,有一个薄弱的领域都可能让项目方造成巨大损失。对于项目方来说,需要一个解决方案能兼顾各方面的安全问题。明年预计会有更多成熟的项目方找到相对完善的解决方案。
6. 新兴赛道的安全防护。在熊市的情况下,整个市场都在等待Web3的下一个叙事。2023 年新兴赛道一旦刚开始流行,因为成熟度不完善、大量新项目方新用户涌入,必定会成为黑客的首要攻击目标。整个市场的安全从业者必须具备快速学习的能力,以应对市场不断变幻的新兴挑战。
7. 个人用户安全意识的提升。明年的大趋势是降低普通用户进入Web3的门槛,面向新用户进行安全知识普及教育是非常有必要的。
8. 更便捷有效的治理模式。个人用户遭遇资产被盗的情况,往往由于金额较小、信息零散、关注度低、报案无果等原因最终不了了之。目前已有一些 DAO 针对此类问题建立了初步的解决方式,预计明年会有更完善的体系出现。
9. 更开放、共享的安全行业。正如上面所提到的,合约安全、私钥/钱包安全、传统安全、团队运营安全等方方面面都需要保障,而这需要整个安全行业的共同努力。这也是 Beosin 成立【区块链生态安全联盟】的初心。
*区块链生态安全联盟由多家具有多元化的行业背景单位发起,包括大学机构、区块链安全公司、行业协会、金融科技服务商等。第一批理事单位包括 Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、ParityBit、华为云。目前加入的成员包括:火币大学、Moledao、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、Digital Treasures Center、LegalDAO、Buidler DAO 。安全联盟成员未来将齐心协力、通力合作,借助生态合作伙伴的力量,不断发挥技术优势为全球区块链生态提供安全价值。同时,联盟理事会欢迎更多区块链相关领域的有识之士加入,共同捍卫区块链生态安全。