作者:Mario、Donny,Beosin 研究團隊
前言
隨著全球數字化進程的不斷加速,區塊鏈技術作為一種新興的去中心化交易方式,正逐漸成為數字經濟的核心基礎設施之一。然而,隨著區塊鏈應用場景的不斷拓展,其面臨的安全風險也在逐步增加。在這樣一個背景下,了解Web3 區塊鏈安全態勢及加密行業監管政策,成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司Beosin 和SUSS NiFT 聯合發起的區塊鏈生態安全聯盟共同創作,圍繞2023 年上半年全球區塊鏈安全態勢、Web3 熱點事件及加密行業重點監管政策等,進行深入分析和總結,旨在為讀者提供有價值的參考和啟示,助力區塊鏈技術的安全健康發展。
一、 2023 第一季度Web3 安全態勢綜述
據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平台監測,2023 年上半年Web3 領域因黑客攻擊、釣魚詐騙和項目方Rug Pull 造成的總損失達到了6 億5561 萬美元。其中攻擊事件108 起,總損失金額約4 億7143 萬美元;釣魚詐騙總損失金額約1.08 億美元;項目方Rug Pull 事件110 起,總損失約7587 萬美元。
Web3 領域黑客攻擊事件的總損失金額較去年有了大幅度下降。 2022 年上半年攻擊總損失約19.1 億美元, 2022 年下半年約16.9 億美元,而2023 上半年該數值下降到了4.7 億美元。
從被攻擊項目類型來看,DeFi 依舊是被攻擊頻次最高、損失金額最多的類型。 85 次DeFi 安全事件總損失金額達到了2.92 億美元,佔總損失金額的62% 。
從鏈平台類型來看,75.6% 的損失金額來自Ethereum,約3.56 億美元,居所有鏈平台的第一位。
從攻擊手法來看(按根本原因進行統計),最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成損失2.64 億美元,佔所有損失金額的56% 。
從資金流向來看,約有2.15 億美元的被盜資產得以追回,佔所有被盜資產的45.5% 。另外約有1.13 億美元的被盜資產轉入了Tornado Cash 和其他混幣器。
從審計情況來看,被攻擊的項目中,約有49% 的項目沒有經過審計。
與黑客攻擊事件較2022 年下降的趨勢相反的是,對普通用戶而言,釣魚詐騙和項目方Rug Pull 事件在2023 年上半年更加頻發。據不完全統計,這兩類事件涉及總金額達到了至少1.84 億美元。由於釣魚門檻技術的降低(例如可以通過一些渠道向釣魚團伙購買惡意工具包,賺取利潤後進行分成),導致2023 年上半年釣魚詐騙事件大幅增加,成為威脅Web3 用戶安全的主要原因。
二、攻擊事件總覽
108 起攻擊事件造成損失4 億7143 萬美元
2023 年上半年,Beosin EagleEye 安全風險監控、預警與阻斷平台共監測到Web3 領域主要攻擊事件108 起,總損失金額達4 億7143 萬美元。其中損失金額超過1 億美元的安全事件共1 起,損失在1000 萬美元- 1 億美元區間的事件共7 起, 100 萬美元- 1000 萬美元區間的事件23 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● Euler Finance – 1.97 億美元
3 月13 日,DeFi 協議Euler Finance 遭到攻擊,損失達到了1.97 億美元。 4 月4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
● Atomic Wallet – 6700 萬美元
6 月3 日,多名Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜,統計發現被盜金額至少達到了6700 萬美元。黑客已將被盜資金通過混幣平台Sinbad 進行了清洗,被攻擊原因仍在調查中。
● MEV attack – 2500 萬美元
4 月3 日,多個MEV 機器人遭受惡意三明治攻擊,總共損失約2500 萬美元。
● Bitrue – 2400 萬美元
4 月14 日,加密交易所Bitrue 熱錢包遭受攻擊,損失達2400 萬美元。
● FPG – 2000 萬美元
6 月11 日,加密貨幣經紀公司Floating Point Group (FPG)遭到網絡攻擊,損失約2000 萬美元的加密貨幣。
● GDAC – 1300 萬美元
4 月9 日,韓國加密貨幣交易所GDAC 遭到黑客攻擊,損失近1300 萬美元。
● Yearn Finance – 1150 萬美元
4 月13 日,Yearn Finance 的yusdt 合約遭受黑客攻擊,黑客獲利超1000 萬美元。
● MyAlgo Wallet – 1120 萬美元
2 月,MyAlgo 錢包遭到中間人攻擊,損失達1120 萬美元。
三、被攻擊項目類型
85 次DeFi 安全事件造成2.92 億美元損失
2023 年上半年,DeFi 類型項目共發生85 次安全事件,佔總事件數量的78.7% 。 DeFi 總損失金額達到了2.92 億美元,佔總損失金額的62% 。 DeFi 為被攻擊頻次最高、損失金額最多的項目類型。
85 次DeFi 安全事件裡,有51 起安全事件都源自於合約漏洞利用,損失達2.49 億美元,佔DeFi 損失總金額的85% 。
錢包攻擊事件帶來了約7820 萬美元的損失,金額佔所有項目類型的第二位。其中Atomic Wallet 攻擊事件至少損失了6700 萬美元,MyAlgo 錢包攻擊事件損失為1120 萬美元。
排名第三的項目類型為交易所,損失約5014 萬美元。交易所攻擊事件在2022 年全年數據裡損失排名也是第三位,今年延續了攻擊頻發趨勢。
跨鏈橋項目在2022 年損失金額排名第一(18.9 億美元),而在2023 年上半年損失大幅下降到了138 萬美元。
四、各鏈平台損失金額情況
75.6% 的損失金額來自Ethereum
2023 年上半年,Ethereum 鏈上共發生主要攻擊事件27 起,損失金額約為3.56 億美元。 Ethereum 鏈上損失金額居所有鏈平台的第一位,佔比約75.6% 。
BNB Chain 上監測到了最多的攻擊事件,達到了58 起,攻擊事件總數佔所有事件的53.7% 。 BNB Chain 上發生的58 次攻擊事件裡,有40 個被攻擊項目都未經審計。
Arbitrum 鏈上共發生7 次攻擊事件,造成損失約1671 萬美元,安全事件損失金額和數量與2022 年相比有所增加(Arbitrum 在整個2022 年只發生過兩次主要的安全事件)。
2022 年Solana 鏈上損失金額排所有公鏈的第三位,而在2023 年上半年並未監測到主要攻擊事件。
五、攻擊手法分析
合約漏洞利用最頻發、損失金額最多
* 說明:多種攻擊手法並存時,以根本原因為准進行分類。信息不足或項目方未公佈原因的攻擊事件分類至「暫不清晰」
2023 年上半年,攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成損失2.64 億美元,佔所有損失金額的56% 。
約有1 億美元的安全事件攻擊手法暫不清晰,其中包括Atomic Wallet 錢包被盜6700 萬美元、加密貨幣經紀公司FPG 被攻擊2000 萬美元等事件。此類事件涉及金額大,影響用戶眾多。建議此類項目方在進行事件原因調查的同時,應積極和第三方安全公司進行合作,及時公佈調查結果,採取必要的修復措施,對用戶資產安全肩負起責任。
另外,還有7 次私鑰洩露事件造成了約2767 萬美元的損失。在2022 年,私鑰洩露損失也是居所有攻擊類型的第三位。私鑰洩露事件一直持續威脅著項目方安全。從一些事件披露來看,加強核心成員的職業道德和安全意識管理尤為重要。
按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。 36 次業務邏輯漏洞共造成了約2.39 億美元的損失,佔所有因合約漏洞攻擊損失的90% 。此類漏洞是開發者最容易遺漏的問題,被攻擊後造成的損失往往較大,有9 起事件的損失金額都超過了100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。
六、典型案例攻擊手法分析
6.1 Euler Finance 安全事件
3 月13 日,Ethereum 鏈上的借貸項目Euler Finance 遭到閃電貸攻擊,損失達到了1.97 億美元。
3 月16 日,Euler 基金會懸賞100 萬美元以徵集對逮捕黑客以及返還盜取資金有幫助的信息。
3 月17 日,Euler Labs 首席執行官Michael Bentley 發推文表示,Euler「一直是一個安全意識強的項目」。從2021 年5 月至2022 年9 月,Euler Finance 接受了Halborn、Solidified、ZK Labs、Certora、Sherlock 和Omnisica 等6 家區塊鏈安全公司的10 次審計。
從3 月18 日開始至4 月4 日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己「攪亂了別人的錢,別人的工作,別人的生活」並請求大家的原諒。
4 月4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
漏洞分析:复盤Euler Finance 2 億美元被盜案的來龍去脈,本次事件帶給我們哪些啟示?
6.2 BonqDAO 安全事件
2 月1 日,加密協議BonqDAO 遭到價格操控攻擊,攻擊者鑄造了1 億個BEUR 代幣,然後在Uniswap 上將BEUR 換成其他代幣,ALBT 價格下降到幾乎為零,這進一步引發了ALBT 寶庫的清算。按照黑客攻擊時的代幣價格,損失高達8800 萬美元,但是由於流動性耗盡,事件實際損失在185 萬美元左右。
漏洞分析:開年最大黑客事件,損失8800 萬美元,加密協議BonqDAO 被攻擊事件分析
6.3 Platypus Finance 安全事件
2 月17 日,Avalanche 平台的Platypus Finance 因函數檢查機制問題遭到攻擊,損失約850 萬美元。然而攻擊者並沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。
2 月23 日,Platypus 表示,已經聯繫了Binance 並確認了黑客身份,並表示將至少向用戶償還63% 的資金。
2 月26 日,法國國家警察已經逮捕並傳喚了兩名攻擊Platypus 的嫌疑人。
漏洞分析:閃電貸攻擊如何防範? Avalanche 鏈上Platypus 項目損失850 萬美元攻擊事件分析
6.4 Yearn Finance 安全事件
2023 年4 月13 日,Yearn Finance 的yusdt 合約遭受黑客閃電貸攻擊,黑客獲利超1000 萬美元。 yUSDT 疑似在1000 多天前部署時便被錯誤配置,錯誤地使用了Fulcrum iUSDC 部署,而不是Fulcrum iUSDT。
5 月26 日,Yearn 攻擊者已將4134 枚ETH 轉入Tornado Cash。
漏洞分析:被盜超1000 萬美元,Yearn Finance 如何被黑客「盯上」?
七、反洗錢典型事件分析回顧
據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平台監測顯示,Atomic Wallet 於今年6 月初遭攻擊,據Beosin 團隊統計,綜合鏈上已知的受害人報案信息,此次攻擊造成的損失至少約6700 萬美元。
我們將深入探討這起黑客盜竊案的資金清洗細節,並使用Beosin KYT虛擬資產反洗錢合規和分析平台,對黑客的洗錢套路進行追踪和分析。
事件綜述
根據Beosin 團隊分析,此次被盜事件截止目前涉及的鏈包括BTC、ETH、TRX 在內總共21 條鏈。被盜資金主要集中在以太坊鏈。其中:
以太坊鏈
已查出被盜資金為16262 個ETH 價值的虛擬貨幣,約3000 萬美元。
波場鏈
波場鏈已知被盜資金為251335387.3208 個TRX 價值的虛擬貨幣,約1700 萬美元。
BTC 鏈
BTC 鏈已知被盜資金為420.882 個BTC 價值的虛擬貨幣,折合1260 萬美元。
BSC 鏈
BSC 鏈已知被盜資金為40.206266 個BNB 價值的虛擬貨幣。
其餘鏈
XRP: 1676015 個XRP,約84 萬美元
LTC: 2839.873689 個LTC,約22 萬美元
DOGE: 800575.67369797 個DOGE,約5 萬美元
以太坊
在黑客對贓款的操作中,以太坊被攻擊鏈路上有兩種主要的方式:
1、通過合約進行發散後利用Avalanche 跨鏈洗錢
根據Beosin 團隊分析,黑客會首先將錢包中有價值的幣統一換成公鏈的主幣,再通過兩個合約來進行匯集。
該合約地址會通過兩層中轉將ETH 打包成WETH,再將WETH 轉入用於將ETH 發散的合約,通過最高5 層中轉轉入Avalanche 用於Cross Bridge 的錢包地址中進行跨鏈操作,該跨鏈不使用合約進行,屬於Avalanche 的內部記賬式交易類型。
以太坊鏈路簡圖如下:
全文閱讀:一場涉及至少6000 萬美元的錢包被盜案,Beosin KYT 帶你拆穿黑客洗錢套路
八、被盜資產的資金流向分析
45.5% 的被盜資產得以追回
2023 年上半年,Beosin KYT虛擬資產反洗錢合規和分析平台顯示,約有2.15 億美元的被盜資產得以追回,佔所有被盜資產的45.5% 。而在2022 年,僅有8% 的被盜資產被追回。 2023 年資金追回的機會大幅提升。除了與黑客談判追回以外,依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外,全球監管體系的完善和執法力度的加大,也對黑客行為起到了警戒作用。
約有1.13 億美元的被盜資產轉入了混幣器。其中轉入Tornado Cash 約4538 萬美元,其他混幣平台約6814 萬美元。自2022 年8 月Tornado Cash 受到美國OFAC 制裁後,黑客使用Tornado Cash 進行混幣的總金額大幅減少,而其他混幣平台的使用率明顯增加,如FixedFloat、Sinbad 等。
九、項目審計情況分析
審計和未審計項目比例大致相當,在108 個被攻擊項目中,經過審計的項目為51 個,未經審計的項目為53 個,比例大致相當。該比例與2022 年情況也大體一致。
在經過審計的51 個項目裡,有31 個項目(60% )被攻擊原因來自合約漏洞利用。該比例高於去年的45 %,整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。
十、Rug Pull 分析
110 起Rug Pull 事件捲走7587 萬美元
2023 年上半年,Web3 領域共監測到主要Rug Pull 事件110 起,涉及金額約7587 萬美元。
從金額來看, 14 起(12.7% )Rug Pull 事件金額在100 萬美元之上, 10 萬至100 萬美元區間的事件共41 起(37.3% ), 10 萬美元以下的事件共55 起(50% )。
涉及金額最大的Rug Pull 事件為Fintoch 項目,該項目捲走了約3160 萬美元的資產。
從鏈平台來看,BNB Chain 上發生了80 起Rug Pull 事件,涉及金額5337 萬美元,遠遠高於其他的公鏈。
2023 上半年安全態勢總結
總體而言,Web3 領域黑客攻擊事件的總損失金額較2022 年有了大幅度下降。 2022 年上半年攻擊總損失約19.1 億美元, 2022 年下半年約16.9 億美元,而2023 上半年該數值下降到了4.7 億美元,並且其中約有2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢,促成這一現象的主要原因有:全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器Tornado Cash 被制裁、AML 反洗錢技術和程序的完善等。另外,也出現了依靠社區力量,通過鏈下情報對黑客身份進行定位並迫使黑客返還的案例。
即便黑客攻擊大幅放緩,合約安全問題依舊不能忽略。 2023 年上半年,最頻發、造成損失最多的攻擊手法為合約漏洞利用。 60 次合約漏洞事件造成了2.64 億美元的損失,其中絕大多數被利用的漏洞是業務邏輯問題。一些較為複雜的業務邏輯漏洞,需要經驗豐富的專業審計公司才能發現。 Beosin 審計團隊會對每一次黑客攻擊事件都會進行深入分析(推特@BeosinAlert),確保將其中總結出的經驗和技術應用到項目審計過程中,以應對實際可能發生的黑客攻擊。
與黑客攻擊事件下降的趨勢相反的是,針對普通用戶的釣魚詐騙更加頻發。上半年出現了以Venom Drainer 為代表的一系列錢包Drainer 團伙,他們開發惡意工具包後進行售賣,購買者成功釣魚獲利後再與之進行分成。此類釣魚詐騙波及用戶面廣,單是Venom Drainer 這一個團伙就產生了至少1.5 萬個受害者。對於普通用戶而言,最好能夠經常關注安全公司的提醒,系統性地學習一些防釣魚防被盜知識,也可以安裝一些防釣魚插件、交易預執行工具等進行提醒(但不能完全依賴工具,加強自身安全意識永遠是第一位的)。