作者:喜生-Da | 来源:互联网 | 2023-10-11 18:58
* 公众号后台回复“Q3”可获取《2022 年 Q3 全球区块链生态安全报告》完整版。主要攻击事件超 37 起,总损失约 4 亿 504 万美元据 Beosin EagleEye 安全预警与监控平台监
* 公众号后台回复“Q3”可获取《2022 年 Q3 全球区块链生态安全报告》完整版。
主要攻击事件超 37 起,总损失约 4 亿 504 万美元据 Beosin EagleEye 安全预警与监控平台监测显示,2022 年第三季度共监测到区块链生态领域主要攻击事件超 37起,总损失约 4 亿 504 万美元,较今年第二季度的 7 亿 1834 万美元下降约 43.6%。较去年第三季度同期损失(10 亿零 258 万美元)下降约 59.6%。2022 年 1-9 月,区块链生态领域因攻击事件损失的总金额已达约 23 亿 1791 万美元。从时间上来看,7 月攻击事件大幅减少,为 2022 年以来攻击损失金额最少的一个月。8、9 月黑客活跃程度大幅增加。
从被攻击项目类型来看,92% 的损失金额来自跨链桥和 DeFi 项目。37 起攻击里,DeFi 项目占了 22 次。
从 TVL(总锁仓价值)来看,在经历了 5-6 月的 TVL 大幅下跌之后,本季度各链 TVL 走势趋于平稳。7 月下旬至 8 月上旬区间 TVL 呈现小幅上扬趋势,这也是本季度攻击事件发生次数和损失金额最多的一段时间。
从链平台来看,本季度 Ethereum 上损失金额达 3 亿 7428 万美元,占到总损失的 92%。被攻击频率最高的链为 BNB Chain,达到了 16 次。
从攻击手法来看,92% 的损失金额源于合约漏洞利用和私钥泄露。
从资金流向来看,约 2 亿 420 万美元的被盗资金流入了 Tornado Cash,占该季度被盗资金的约 50.4%。本季度仅有约 4% 的被盗资金被追回。
从审计情况来看,被攻击的项目中,仅有 40% 的项目经过了审计。
本季度攻击事件较上季度有所下降
2022 年第三季度,共监测到区块链生态安全领域主要攻击事件 37 起,总损失金额约 4 亿 504 万美元。其中损失过亿美元的安全事件 2 起,损失超千万美元以上的事件 3 起,损失超百万美元以上的事件 14 起。损失过亿美元的安全事件分别为:Nomad Bridge(1.9 亿美元),Wintermute(1.6 亿美元)。
从时间上来看,8 月攻击事件频发,其攻击事件数量和损失金额均为本季度最高的一个月,损失金额达 2 亿 1062 万美元。7 月攻击事件总损失约为 3005 万美元,为 2022 年以来攻击损失金额最少的一个月。
92% 的损失金额来自跨链桥和 DeFi 项目
2022 年第三季度,3 次跨链桥攻击事件共造成约 1 亿 9025 万美元的损失;22 次 DeFi 领域的攻击事件共损失 1 亿 8679 万美元。约 92% 的攻击损失金额来自跨链桥和 DeFi 项目。
截止 2022 年 9 月,2022 年共发生 10 起主要跨链桥安全事件,总涉及金额达到了 14 亿 623 万美元。跨链桥为 2022 年区块链安全领域遭受攻击的重灾区。
除跨链桥和 DeFi 项目外,本季度被攻击项目的类型还包括 NFT、交易所、DAO、钱包和 MEV 机器人,其总体类型较上一季度更为丰富。
Ethereum 上损失金额达 3 亿 7428 万美元
本季度以太坊链上共发生典型安全事件 12 起,总损失金额达到 3 亿 7428 万美元,居各链平台损失金额第一位。Solana 链上发生 3 起安全事件,损失共 1837 万美元。
和上一季度相比,以太坊、BNB Chain、Fantom、Avalanche 四条公链连续两个季度均监测到主要安全事件。
值得注意的是,BNB Chain 上发生了 16 次攻击事件,为攻击事件次数最多的公链,其对应的项目全都未经审计。
这 16 次攻击事件涉及金额相对较小,有 14 起事件单次损失在 50 万美元以下。
在经历了 5-6 月的 TVL 大幅下跌之后,本季度各链 TVL 走势趋于平稳。7 月下旬至 8 月上旬区间 TVL 呈现小幅上扬趋势,这也是本季度攻击事件发生频率和损失金额最多的一段时间。进入 9 月,加密货币市场总体小幅下行。在 9 月 15 日以太坊合并完成后,以太坊 TVL 出现了持续的小幅下跌。
92% 的损失金额源于合约漏洞利用和私钥泄露
第三季度,合约漏洞利用依然是最常见的攻击手法。约有 15 起攻击事件源于合约漏洞利用,占总数量的 40.5%。
合约漏洞造成的总损失达 2 亿 160 万美元,占总损失的 50.9%。
本季度 4 次私钥泄露事件造成了约 1 亿 6724 万美元的损失,损失金额仅次于合约漏洞利用。
和上一季度相比,本季度的攻击类型更加多样化。本季度新出现的攻击类型包括:BGP 劫持、错误配置、供应链攻击等。
按合约漏洞细分,本季度被利用的漏洞主要包括:验证问题、重入、权限问题、业务逻辑或函数设计不当、溢出漏洞。这些漏洞都是可以在审计阶段发现并加以修复的。
1. Nomad Bridge 事件
8 月 2 日,跨链桥 Nomad bridge 遭受到了大规模的黑客攻击,项目方损失达 1.9 亿美元。Nomad Bridge 是一个区块链加密货币跨链平台,支持以太坊、Moonbeam、Avalanche、Evmos 和 Milkomeda 等币种的跨链资产转移。本次攻击的原因是初始化过程中,“committedRoot”被设置为 0 引发的,攻击者可以绕过消息验证过程,滥用 copy/paste 交易发起攻击。普通用户也可以通过复制原始原始交易的 calldata,替换为个人的原始地址,从 Nomad bridge 移除资金。最终,在 4 个小时内,超过 500 个地址重复了本次攻击,导致 Nomad bridge 损失高达 1.9 亿美元。
2. Solana 公链上 Slope 钱包盗币事件
8 月 3 日,Solana 公链上 Slope 钱包发生大规模盗币事件,损失估算在 600 万美元左右。根据 Solana foundation 提供的数据显示,近 60% 被盗用户使用 Phantom 钱包,30% 左右地址使用 Slope 钱包,其余用户使用 Trust Wallet 等,并且 iOS 和 Android 版本的应用都有相应的受害者。对 Slope Wallet(Android, Version: 2.2.2)进行分析,发现 Slope Wallet(Android, Version: 2.2.2)使用了 Sentry 的服务,Sentry 是一个被广泛应用的服务,Sentry 运行在 o7e.slope.fifinance 域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到 https://o7e.slope.fifinance/api/4/envelope/。
3. Wintermute 私钥泄露事件
9 月 20 日,加密做市商 Wintermute 因私钥泄露导致被攻击,损失达 1.6 亿美元。其原因为 Wintermute 被盗的 EOA 钱包是使用 Profanity 来创建的靓号钱包(开头 0x0000000),而此前 1inch 发布了一份安全披露报告,声称通过名为 Profanity 的工具创建的 EVM 地址存在严重漏洞,被造成私钥泄露。
* 具体事件分析请查阅《2022 年 Q3 全球区块链生态安全报告》完整版
约 2 亿 420 万美元的被盗资金流入 Tornado Cash
8 月 8 日,美国财政部将 Tornado Cash 列入制裁名单,禁止美国个人或组织与其进行交互。在 2022 年第三季度,依然有约 2 亿 420 万美元的被盗资金流入了 Tornado Cash,占该季度被盗资金的约 50.4%,该比例低于第二季度。
约 1 亿 8230 万美元的被盗资金还留在黑客地址余额。一些黑客将盗取资金通过跨链的方式转移到其他地址,此部分仍统计为黑客地址余额。
约 1660 万美元的资产通过链上谈判、白帽主动返还等方式被追回。在 2022 年第三季度,仅有约 4% 的被盗资金被追回,该比例远低于第二季度。
约 192 万美元的被盗资产流入了币安、FixedFloat 等交易所。此类相关事件一般由于涉及金额较小(通常为几万或十几万美元),且黑客在攻击成功后立刻将赃款转入了交易所,导致项目方未能及时联系交易所进行资金冻结。
仅有 40% 的项目经过了审计
2022 年被攻击的项目中,经过审计的项目比例分别为:第一季度 70%,第二季度 52%,第三季度 40%。未经审计的被攻击项目比例呈现逐季度增加的趋势。
在所有被攻击的项目中,经过审计的项目总共损失金额达到了 3 亿 7548 万美元,未经审计的项目被攻击损失约为 2956 万美元。初看起来或许会认为,审计并没有起到保护项目安全运行的作用。
但仔细分析发现,在这些审计过且被攻击的项目中,大部分原因是私钥泄露、供应链攻击、DNS 攻击、BGP 劫持、错误配置等非合约层面的攻击。而未经审计的项目中,85% 的原因来自合约漏洞或闪电贷攻击。
可以看出,专业的审计还是在一定程度有效在合约层面保障项目的安全性,然而一个项目的安全运营,还需要项目方做好线下的风控、保管好私钥、警惕传统网络安全攻击、谨慎使用第三方组件等。当然,本季度也出现了一些本该在审计阶段审计出的漏洞,却没有在审计报告中审出的情况,因此建议项目方专业的安全公司进行审计。
同时,Beosin EagleEye 配备反钓鱼插件下载:
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=en
区块链生态安全联盟由多家具有多元化的行业背景单位发起,包括大学机构、区块链安全公司、行业协会、金融科技服务商等。第一批理事单位包括 Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、ParityBit、华为云。目前加入的成员包括:火币大学、Moledao、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、Digital Treasures Center。安全联盟成员未来将齐心协力、通力合作,借助生态合作伙伴的力量,不断发挥技术优势为全球区块链生态提供安全价值。同时,联盟理事会欢迎更多区块链相关领域的有识之士加入,共同捍卫区块链生态安全。
https://forms.gle/pb3NaUgS3a2Sswnc8Telegram:@kristenbeosin、@Web3Donny