作者:Mario、Donny,Beosin 研究团队
随着全球数字化进程的不断加速,区块链技术作为一种新兴的去中心化交易方式,正逐渐成为数字经济的核心基础设施之一。然而,随着区块链应用场景的不断拓展,其面临的安全风险也在逐步增加。在这样一个背景下,了解 Web3 区块链安全态势及加密行业监管政策,成为保障区块链应用安全和稳定的必要措施之一。本研究报告由区块链安全公司 Beosin 和 SUSS NiFT 联合发起的区块链生态安全联盟共同创作,围绕 2023 年上半年全球区块链安全态势、Web3 热点事件及加密行业重点监管政策等,进行深入分析和总结,旨在为读者提供有价值的参考和启示,助力区块链技术的安全健康发展。
据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测,2023 年上半年 Web3 领域因黑客攻击、钓鱼和项目方 Rug Pull 造成的总损失达到了 6 亿 5561 万美元。其中攻击事件 108 起,总损失金额约 4 亿 7143 万美元;钓鱼总损失金额约 1.08 亿美元;项目方 Rug Pull 事件 110 起,总损失约 7587 万美元。
Web3 领域黑客攻击事件的总损失金额较去年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元。
从被攻击项目类型来看,DeFi 依旧是被攻击频次最高、损失金额最多的类型。85 次 DeFi 安全事件总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。
从链平台类型来看,75.6% 的损失金额来自 Ethereum,约 3.56 亿美元,居所有链平台的第一位。
从攻击手法来看(按根本原因进行统计),最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。
从资金流向来看,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。另外约有 1.13 亿美元的被盗资产转入了 Tornado Cash 和其他混币器。
从审计情况来看,被攻击的项目中,约有 49% 的项目没有经过审计。
Beosin:CS (CS)token遭受到攻击,损失金额截至目前约71.4万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月24日,bsc上链的CS(CS)代币项目遭受攻击。原因是代币的_transfer函数中sellAmount没有及时更新。Beosin安全团队将简析分享如下:
1、攻击者利用闪电贷借入BSC-USD兑换成CS代币。
2、攻击者开始卖出3000 CS代币,这一步会设置sellAmount。
3、攻击者通过给自己转账,会触发sync(),在这个函数中使用了上一步的sellAmount并且这个函数会销毁pair的中CS代币数量。Sync后sellAmount会置为0。重复2,3步持续减少pair中的CS代币数量,拉升CS代币的价格,使得后续一步可以兑换出更多的BSC-USD。
借入80,000,000 BSC-USD,兑换出80,954,000 BSC-USD,偿还80,240,000 BSC-USD,获利约714,000 BSC-USD。[2023/5/24 15:22:35]
与黑客攻击事件较 2022 年下降的趋势相反的是,对普通用户而言,钓鱼和项目方 Rug Pull 事件在 2023 年上半年更加频发。据不完全统计,这两类事件涉及总金额达到了至少 1.84 亿美元。由于钓鱼门槛技术的降低(例如可以通过一些渠道向钓鱼团伙购买恶意工具包,赚取利润后进行分成),导致 2023 年上半年钓鱼事件大幅增加,成为威胁 Web3 用户安全的主要原因。
2023 年上半年,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到 Web3 领域主要攻击事件 108 起,总损失金额达 4 亿 7143 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起, 100 万美元 - 1000 万美元区间的事件 23 起。
损失金额超过千万美元的攻击事件(按金额排序):
● Euler Finance - 1.97 亿美元
3 月 13 日,DeFi 协议 Euler Finance 遭到攻击,损失达到了 1.97 亿美元。4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
● Atomic Wallet - 6700 万美元
Beosin:SnarkJS 0.6.11及之前的版本中存在严重漏洞:金色财经报道,Beosin 安全研究人员在 SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,SnarkJS 是一款用于构建零知识证明的开源 JavaScript 库,广泛应用于 zk-SNARK 技术的实现和优化。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞还处于修复测试中。Beosin提醒所有使用了SnarkJS库的项目方,在SnarkJS 库这个漏洞还没完全修复时,一定要注意安全风险。[2023/5/18 15:11:20]
6 月 3 日,多名 Atomic Wallet 用户在社交媒体发文称自己的钱包资产被盗,统计发现被盗金额至少达到了 6700 万美元。黑客已将被盗资金通过混币平台 Sinbad 进行了清洗,被攻击原因仍在调查中。
● MEV attack - 2500 万美元
4 月 3 日,多个 MEV 机器人遭受恶意三明治攻击,总共损失约 2500 万美元。
● Bitrue - 2400 万美元
4 月 14 日,加密交易所 Bitrue 热钱包遭受攻击,损失达 2400 万美元。
● FPG - 2000 万美元
6 月 11 日,加密货币经纪公司 Floating Point Group (FPG)遭到网络攻击,损失约 2000 万美元的加密货币。
● GDAC - 1300 万美元
4 月 9 日,韩国加密货币交易所 GDAC 遭到黑客攻击,损失近 1300 万美元。
● Yearn Finance - 1150 万美元
4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客攻击,黑客获利超 1000 万美元。
● MyAlgo Wallet - 1120 万美元
2 月,MyAlgo 钱包遭到中间人攻击,损失达 1120 万美元。
2023 年上半年,DeFi 类型项目共发生 85 次安全事件,占总事件数量的 78.7% 。DeFi 总损失金额达到了 2.92 亿美元,占总损失金额的 62% 。DeFi 为被攻击频次最高、损失金额最多的项目类型。
85 次 DeFi 安全事件里,有 51 起安全事件都源自于合约漏洞利用,损失达 2.49 亿美元,占 DeFi 损失总金额的 85% 。
Web3区块链安全公司Beosin与阿里云达成战略合作:金色财经报道,近日,Web3区块链安全公司Beosin宣布与阿里云(Alibaba Cloud)达成战略合作,为Web3客户提供一站式的安全与合规解决方案。同时,Beosin的智能合约审计服务、链平台检测服务、安全咨询和应急响应服务已正式上线阿里云市场。[2023/4/25 14:25:07]
钱包攻击事件带来了约 7820 万美元的损失,金额占所有项目类型的第二位。其中 Atomic Wallet 攻击事件至少损失了 6700 万美元,MyAlgo 钱包攻击事件损失为 1120 万美元。
排名第三的项目类型为交易所,损失约 5014 万美元。交易所攻击事件在 2022 年全年数据里损失排名也是第三位,今年延续了攻击频发趋势。
跨链桥项目在 2022 年损失金额排名第一(18.9 亿美元),而在 2023 年上半年损失大幅下降到了 138 万美元。
2023 年上半年,Ethereum 链上共发生主要攻击事件 27 起,损失金额约为 3.56 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 75.6% 。
BNB Chain 上监测到了最多的攻击事件,达到了 58 起,攻击事件总数占所有事件的 53.7% 。BNB Chain 上发生的 58 次攻击事件里,有 40 个被攻击项目都未经审计。
Arbitrum 链上共发生 7 次攻击事件,造成损失约 1671 万美元,安全事件损失金额和数量与 2022 年相比有所增加(Arbitrum 在整个 2022 年只发生过两次主要的安全事件)。
2022 年 Solana 链上损失金额排所有公链的第三位,而在 2023 年上半年并未监测到主要攻击事件。
* 说明:多种攻击手法并存时,以根本原因为准进行分类。信息不足或项目方未公布原因的攻击事件分类至「暂不清晰」
2023 年上半年,攻击原因最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成损失 2.64 亿美元,占所有损失金额的 56% 。
区块链安全公司Beosin宣布完成近2000万美元A轮战略融资:金色财经报道,区块链核心安全服务厂商Beosin宣布完成近2000万美元战略融资,投资人为知名产业方,多家老股东跟投。Beosin是一家全球领先的区块链安全公司,其核心业务包括智能合约安全审计,区块链项目安全风险监控、预警与阻断,被盗虚拟资产追回,KYT/AML等“一站式”安全产品+服务解决方案,目前已为全球2000多个区块链企业服务,保护客户资产高达5000多亿美元。新资金将用于区块链安全新技术研发,生态建设和全球市场布局。[2022/11/3 12:12:23]
约有 1 亿美元的安全事件攻击手法暂不清晰,其中包括 Atomic Wallet 钱包被盗 6700 万美元、加密货币经纪公司 FPG 被攻击 2000 万美元等事件。此类事件涉及金额大,影响用户众多。建议此类项目方在进行事件原因调查的同时,应积极和第三方安全公司进行合作,及时公布调查结果,采取必要的修复措施,对用户资产安全肩负起责任。
另外,还有 7 次私钥泄露事件造成了约 2767 万美元的损失。在 2022 年,私钥泄露损失也是居所有攻击类型的第三位。私钥泄露事件一直持续威胁着项目方安全。从一些事件披露来看,加强核心成员的职业道德和安全意识管理尤为重要。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑缺陷、权限问题和重入。36 次业务逻辑漏洞共造成了约 2.39 亿美元的损失,占所有因合约漏洞攻击损失的 90% 。此类漏洞是开发者最容易遗漏的问题,被攻击后造成的损失往往较大,有 9 起事件的损失金额都超过了 100 万美元。建议项目方寻找富有经验的专业审计公司进行审计。
3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。
3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。
3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler「一直是一个安全意识强的项目」。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。
REV智能合约已通过Beosin(成都链安)的安全审计:据官方消息,Justswap上的明星项目,REV团队释放出REV智能合约审计报告,由Beosin(成都链安)安全审计完成。
据了解,REV(Revolution Token)是基于区块链的新型社会实验型代币。其独特之处在于内嵌了交易燃烧、尾单博弈、持币分红三种独特的创新机制。
REV技术介绍:智能合约的整体设计清晰,逻辑缜密,代码安全靠谱,从性能和功能上完全具备了区块链顶级去中心化金融项目的一切条件。合约地址(认准唯一)
TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。详情点击原文链接。[2020/9/16]
从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己「搅乱了别人的钱,别人的工作,别人的生活」并请求大家的原谅。
漏洞分析:复盘 Euler Finance 2 亿美元被盗案的来龙去脉,本次事件带给我们哪些启示?
2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。
漏洞分析:开年最大黑客事件,损失 8800 万美元,加密协议 BonqDAO 被攻击事件分析
2 月 17 日,Avalanche 平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。
2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。
漏洞分析:闪电贷攻击如何防范?Avalanche 链上 Platypus 项目损失 850 万美元攻击事件分析
2023 年 4 月 13 日,Yearn Finance 的 yusdt 合约遭受黑客闪电贷攻击,黑客获利超 1000 万美元。yUSDT 疑似在 1000 多天前部署时便被错误配置,错误地使用了 Fulcrum iUSDC 部署,而不是 Fulcrum iUSDT。
5 月 26 日,Yearn 攻击者已将 4134 枚 ETH 转入 Tornado Cash。
漏洞分析:被盗超 1000 万美元,Yearn Finance 如何被黑客「盯上」?
据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Atomic Wallet 于今年 6 月初遭攻击,据 Beosin 团队统计,综合链上已知的受害人报案信息,此次攻击造成的损失至少约 6700 万美元。
我们将深入探讨这起黑客盗窃案的资金清洗细节,并使用Beosin KYT虚拟资产反合规和分析平台,对黑客的套路进行追踪和分析。
根据 Beosin 团队分析,此次被盗事件截止目前涉及的链包括 BTC、ETH、TRX 在内总共 21 条链。被盗资金主要集中在以太坊链。其中:
以太坊链
已查出被盗资金为 16262 个 ETH 价值的虚拟货币,约 3000 万美元。
波场链
波场链已知被盗资金为 251335387.3208 个 TRX 价值的虚拟货币,约 1700 万美元。
BTC 链
BTC 链已知被盗资金为 420.882 个 BTC 价值的虚拟货币,折合 1260 万美元。
BSC 链
BSC 链已知被盗资金为 40.206266 个 BNB 价值的虚拟货币。
其余链
XRP: 1676015 个 XRP,约 84 万美元
LTC: 2839.873689 个 LTC,约 22 万美元
DOGE: 800575.67369797 个 DOGE,约 5 万美元
在黑客对赃款的操作中,以太坊被攻击链路上有两种主要的方式:
1、通过合约进行发散后利用 Avalanche 跨链
根据 Beosin 团队分析,黑客会首先将钱包中有价值的币统一换成公链的主币,再通过两个合约来进行汇集。
该合约地址会通过两层中转将 ETH 打包成 WETH,再将 WETH 转入用于将 ETH 发散的合约,通过最高 5 层中转转入 Avalanche 用于 Cross Bridge 的钱包地址中进行跨链操作,该跨链不使用合约进行,属于 Avalanche 的内部记账式交易类型。
以太坊链路简图如下:
全文阅读:一场涉及至少 6000 万美元的钱包被盗案,Beosin KYT 带你拆穿黑客套路
2023 年上半年,Beosin KYT虚拟资产反合规和分析平台显示,约有 2.15 亿美元的被盗资产得以追回,占所有被盗资产的 45.5% 。而在 2022 年,仅有 8% 的被盗资产被追回。2023 年资金追回的机会大幅提升。除了与黑客谈判追回以外,依靠安全公司、执法机构、社区力量合力追回的案例也在增加。另外,全球监管体系的完善和执法力度的加大,也对黑客行为起到了警戒作用。
约有 1.13 亿美元的被盗资产转入了混币器。其中转入 Tornado Cash 约 4538 万美元,其他混币平台约 6814 万美元。自 2022 年 8 月 Tornado Cash 受到美国 OFAC 制裁后,黑客使用 Tornado Cash 进行混币的总金额大幅减少,而其他混币平台的使用率明显增加,如 FixedFloat、Sinbad 等。
审计和未审计项目比例大致相当,在 108 个被攻击项目中,经过审计的项目为 51 个,未经审计的项目为 53 个,比例大致相当。该比例与 2022 年情况也大体一致。
在经过审计的 51 个项目里,有 31 个项目(60% )被攻击原因来自合约漏洞利用。该比例高于去年的 45 %,整个审计市场的质量依旧不容乐观。建议项目方一定要寻找专业的安全公司进行审计。
110 起 Rug Pull 事件卷走 7587 万美元
2023 年上半年,Web3 领域共监测到主要 Rug Pull 事件 110 起,涉及金额约 7587 万美元。
从金额来看, 14 起(12.7% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 41 起(37.3% ), 10 万美元以下的事件共 55 起(50% )。
涉及金额最大的 Rug Pull 事件为 Fintoch 项目,该项目卷走了约 3160 万美元的资产。
从链平台来看,BNB Chain 上发生了 80 起 Rug Pull 事件,涉及金额 5337 万美元,远远高于其他的公链。
总体而言,Web3 领域黑客攻击事件的总损失金额较 2022 年有了大幅度下降。2022 年上半年攻击总损失约 19.1 亿美元, 2022 年下半年约 16.9 亿美元,而 2023 上半年该数值下降到了 4.7 亿美元,并且其中约有 2.15 亿美元的被盗资产得以追回。黑客攻击呈现大幅放缓趋势,促成这一现象的主要原因有:全球监管体系的逐步完善、执法力度的加大、项目方安全意识的提升、混币器 Tornado Cash 被制裁、AML 反技术和程序的完善等。另外,也出现了依靠社区力量,通过链下情报对黑客身份进行定位并迫使黑客返还的案例。
即便黑客攻击大幅放缓,合约安全问题依旧不能忽略。2023 年上半年,最频发、造成损失最多的攻击手法为合约漏洞利用。60 次合约漏洞事件造成了 2.64 亿美元的损失,其中绝大多数被利用的漏洞是业务逻辑问题。一些较为复杂的业务逻辑漏洞,需要经验丰富的专业审计公司才能发现。Beosin 审计团队会对每一次黑客攻击事件都会进行深入分析(推特@BeosinAlert),确保将其中总结出的经验和技术应用到项目审计过程中,以应对实际可能发生的黑客攻击。
与黑客攻击事件下降的趋势相反的是,针对普通用户的钓鱼更加频发。上半年出现了以 Venom Drainer 为代表的一系列钱包 Drainer 团伙,他们开发恶意工具包后进行售卖,购买者成功钓鱼获利后再与之进行分成。此类钓鱼波及用户面广,单是 Venom Drainer 这一个团伙就产生了至少 1.5 万个受害者。对于普通用户而言,最好能够经常关注安全公司的提醒,系统性地学习一些防钓鱼防被盗知识,也可以安装一些防钓鱼插件、交易预执行工具等进行提醒(但不能完全依赖工具,加强自身安全意识永远是第一位的)。
Beosin
企业专栏
阅读更多
金色早8点
Odaily星球日报
金色财经
Block unicorn
DAOrayaki
曼昆区块链法律
作者:Roy Strom,Bloomberglaw;编译:星球日报随着 FTX 破产重组的进行,不断增加的法律成本引发巨大关注.
1900/1/1 0:00:00作者:Jeff Emmett,CuriousRabbit.eth & Jessica Zartler 编译:Sissi本文将比较 Bonding Curve 在代币生态系统中.
1900/1/1 0:00:00比特币现货ETF有望通过,引发了市场热议。按照21Shares Bitcoin ETF的时间表,也许8月11日会诞生第一个比特币现货ETF.
1900/1/1 0:00:00老牌 DeFi 协议 Maker 的代币 MKR 近期市场表现亮眼,但有谁注意到它在过去 3 个月里的年化利润悄悄增长了 3 倍? MKR 的表现虽然优于普通的山寨币,但相较于三倍的利润增长.
1900/1/1 0:00:00作者: Michael J. Casey,Coindesk;编译:Odaily星球日报 jk"金融顾问们只想要一个简单的叙事.
1900/1/1 0:00:00Azuki 的灾难发售问题依然还没有解决,所有系列的价格波动依然剧烈。6 月 30 日凌晨,Azuki 系列的大户,同时也是 NDV 基金创始人以及 ManesLAB 联创 Christian.
1900/1/1 0:00:00