Spis treści
1 kwartał 2022 Przegląd zabezpieczeń Blockchain
W sumie monitorowano 37 głównych exploitów, z łączną stratą około 405 milionów dolarów
W trzecim kwartale 2022 r. Beosin EagleEye monitorował ponad 37 głównych ataków w przestrzeni Web3, przynosząc łączne straty w wysokości około 405 mln USD, co oznacza spadek o około 43,6% z 718,34 mln USD w drugim kwartale 2022 r. oraz spadek o 59,6% w porównaniu ze stratą 1 002,58 mln USD w drugim kwartale 2022 r. III kwartał 2021 r.
Od stycznia do września 2022 r. aktywa utracone w przestrzeni Web3 w wyniku ataków wyniosły 2317,91 mln USD.
W ujęciu każdego miesiąca, Lipiec przyniósł znaczny spadek liczby ataków, co oznacza najmniejszą stratę z ataków od 2022 roku. Aktywność hakerów znacznie wzrosła w sierpniu i wrześniu.
Pod względem typów projektów, 92% utraconej kwoty pochodziło z mostów międzyłańcuchowych i protokołów DeFi. 22 z 37 ataków miało miejsce w przestrzeni DeFi.
Pod względem TVL, po gwałtownym spadku TVL od maja do czerwca, trend na TVL każdej sieci był w tym kwartale stabilny. Od końca lipca do początku sierpnia zaobserwowano nieznaczny trend wzrostowy w TVL, który był również okresem o największej liczbie ataków i wysokości strat w tym kwartale.
W zakresie łańcuchów, kwota strat na Ethereum osiągnęła w tym kwartale 374,28 mln USD, co stanowi 92% całkowitych strat. Najczęściej atakowanym łańcuchem był BNB Chain, który osiągnął 16 razy.
Jeśli chodzi o rodzaje ataków, 92% kwoty strat zostało spowodowane przez luki w zabezpieczeniach kontraktów i złamanie klucza prywatnego.
W zakresie przepływów środków, około 204,2 miliona dolarów skradzionych środków wpłynęło do Tornado Cash, co stanowi około 50,4% środków skradzionych w kwartale. Tylko około 4% skradzionych środków zostało odzyskanych w ciągu kwartału.
W zakresie audytów, tylko 40% projektów rekt zostało skontrolowanych.
2 Przegląd exploitów
Ogólna liczba ataków spadła w III kwartale w porównaniu z II kwartałem
W trzecim kwartale 2022 r. w przestrzeni Web3 monitorowano 37 głównych ataków, które łącznie spowodowały straty w wysokości około 405 milionów dolarów. Miały miejsce dwa ataki ze stratami co najmniej 100 milionów dolarów, trzy ataki ze stratami co najmniej 10 milionów dolarów i 14 ataków ze stratami co najmniej 1 miliona dolarów. Incydenty związane z bezpieczeństwem z ponad 100 milionami dolarów strat były Most Nomadów (190 milionów dolarów) i Wintermute (160 milionów dolarów).
Sierpień 2022 był najbardziej aktywnym miesiącem dla hakerów w tym kwartale, ze stratami około 210,62 mln USD. Całkowite straty z ataków w lipcu wyniosły 30,05 miliona dolarów, co czyni ją najniższą kwotą strat w miesiącu od 2022 roku.
3 rodzaje projektów rekt
Mosty krzyżowe i projekty DeFi odpowiadają za 92% kwoty strat
W trzecim kwartale 2022 r. trzy ataki na mosty krzyżowe spowodowały całkowitą stratę w wysokości około 190,25 mln USD; 22 ataki w przestrzeni DeFi spowodowały całkowitą stratę w wysokości 186,79 miliona dolarów. Około 92% kwoty utraconych ataków pochodziło z protokołów cross-chain bridge i DeFi.
Według stanu na wrzesień 2022 r. w 2022 r. miało miejsce 10 poważnych incydentów związanych z bezpieczeństwem mostów krzyżowych, z ponad 1,4 mld USD stratami. Mosty krzyżowe były najbardziej dotkniętym obszarem ataków w 2022 roku.
Oprócz mostów międzyłańcuchowych i protokołów DeFi, inne rodzaje projektów zaatakowanych w tym kwartale obejmowały NFT, giełdy, DAO, portfele i boty MEV, dzięki czemu ich ogólne typy były bardziej zróżnicowane niż w poprzednim kwartale.
4 Kwota strat według łańcucha
Straty na Ethereum wynoszą 374,3 miliona dolarów
W tym kwartale miało miejsce 12 poważnych ataków na Ethereum, z całkowitą stratą 374,28 mln USD, zajmując pierwsze miejsce wśród wszystkich sieci. Solana straciła 18,37 miliona dolarów z 3 exploitów.
Łańcuchy z głównymi atakami w dwóch kolejnych kwartałach to Ethereum, BNB Chain, Fantom i Avalanche.
BNB Chain odnotował najwięcej ataków, z 16 exploitami, a odpowiadające im projekty nie zostały zbadane. Kwota pieniędzy zaangażowana w te 16 exploitów jest stosunkowo niewielka, a 14 incydentów wiąże się z pojedynczą stratą poniżej 500 000 USD.
Po gwałtownym spadku TVL od maja do czerwca, trend TVL w sieciach ustabilizował się w tym kwartale. TVL wykazał lekką tendencję wzrostową w okresie od końca lipca do początku sierpnia, który był również okresem największej liczby ataków i strat w tym kwartale. Rynek kryptowalut ogólnie przesunął się nieznacznie w dół we wrześniu. Po fuzji Ethereum 15 września, Ethereum TVL odnotowało ciągły, lekki spadek.
5 Analiza rodzajów ataków
92% utraconej kwoty zostało spowodowane przez luki w zabezpieczeniach kontraktowych i złamanie klucza prywatnego
W trzecim kwartale exploity kontraktowe nadal były najczęstszym typem ataków. Około 15 ataków to exploity wykorzystujące luki kontraktowe, co stanowi 40,5 procent całkowitej liczby. Całkowite straty wynikające z luk w zabezpieczeniach kontraktów wyniosły 201,6 mln USD, czyli 50,9% całkowitych strat.
Cztery włamania na klucze prywatne w tym kwartale spowodowały straty w wysokości około 167,24 mln USD, co jest drugą największą stratą po wykorzystaniu luk w zabezpieczeniach kontraktów.
W porównaniu z poprzednim kwartałem rodzaje ataków w tym kwartale były bardziej zróżnicowane. Nowe typy ataków, które pojawiły się w tym kwartale, obejmują porwanie BGP, błędną konfigurację i ataki w łańcuchu dostaw.
Jeśli chodzi o luki kontraktowe, główne luki wykorzystywane w tym kwartale to: problemy z walidacją, ponowne wejście, problemy z uprawnieniami, niewłaściwie zaprojektowana logika lub funkcje biznesowe oraz luki związane z przepełnieniem. Wszystkie te luki można wykryć i naprawić w fazie audytu.
6 Typowe podsumowanie incydentów związanych z bezpieczeństwem
6.1 Incydent na moście Nomad o wartości 190 milionów dolarów
2 sierpnia Nomad Bridge, platforma cross-chain, która obsługuje transfery aktywów przez Ethereum, Moonbeam, Avalanche, Evmos i Milkomeda, doznała ogromnego włamania, które kosztowało projekt 190 milionów dolarów.
6.2 Incydent w portfelu Slope na Solana
3 sierpnia na Solanie miał miejsce incydent z kradzieżą portfela Slope, którego straty szacowano na około 6 milionów dolarów.
6.3 Incydent złamania klucza prywatnego Wintermute
20 września Wintermute, animator rynku kryptowalut, został zaatakowany ze stratą 160 milionów dolarów z powodu włamania klucza prywatnego.
7 Analiza przepływu funduszy
Około 204,2 miliona dolarów skradzionych środków wpłynęło do Tornado Cash
8 sierpnia Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC) usankcjonowało Tornado Cash, zakazując osobom lub organizacjom z USA interakcji z nim. W trzecim kwartale 2022 r. około 204,2 mln dolarów skradzionych środków nadal napływało do Tornado Cash, co stanowi 50,4 procent środków skradzionych w tym kwartale, czyli mniej niż w drugim kwartale.
Około 182,3 miliona dolarów skradzionych środków pozostało pod adresem hakera jako saldo. Niektóre skradzione fundusze zostały połączone z adresami w innych sieciach, a ta część jest nadal liczona jako saldo adresów hakera.
Około 16,6 miliona dolarów aktywów zostało odzyskanych dzięki negocjacjom w sieci i niezamówionym zwrotom od hakerów z białym kapeluszem. W III kwartale 2022 r. odzyskano tylko ok. 4% skradzionych środków, znacznie mniej niż w II kwartale.
Około 1,92 miliona dolarów skradzionych aktywów trafiło na giełdy takie jak Binance i FixedFloat. Takie incydenty na ogół dotyczyły niewielkiej liczby aktywów (zwykle około 10 000 do 100 000 USD), a hakerzy przekazali skradzione środki na giełdy natychmiast po ataku, co spowodowało, że projekty nie skontaktowały się z giełdami na czas, aby zamrozić fundusze.
8 Analiza audytu projektu
Tylko 40% projektów zostało skontrolowanych
W 2022 r. odsetek audytowanych projektów rekt wynosił: 70% w pierwszym kwartale, 52% w drugim kwartale i 40% w trzecim kwartale. Odsetek nieaudytowanych projektów rekt wykazuje tendencję wzrostową z kwartału na kwartał.
Spośród wszystkich projektów rekt skontrolowane projekty straciły łącznie 375,48 mln USD, a projekty nieskontrolowane około 29,56 mln USD w atakach. Na pierwszy rzut oka mogłoby się wydawać, że audyty nie służyły ochronie bezpiecznego funkcjonowania projektów. Jednak głębsza analiza pokazuje, że większość z tych skontrolowanych projektów została zaatakowana przez problemy na poziomie pozaumownym, takie jak złamanie klucza prywatnego, ataki na łańcuch dostaw, ataki DNS, przejęcia BGP i błędna konfiguracja. Wśród nieaudytowanych projektów 85% było spowodowanych lukami w umowach lub atakami typu flashloan.
Widać, że profesjonalne audyty są nadal w pewnym stopniu skuteczne w zabezpieczaniu projektu na poziomie kontraktu. Jednak bezpieczne działanie protokołu wymaga również dobrej pracy w zakresie kontroli ryzyka offline, przechowywania klucza prywatnego, bycia czujnym na tradycyjne ataki na bezpieczeństwo sieci i ostrożnego korzystania z komponentów innych firm. Oczywiście w tym kwartale pojawiły się również pewne podatności, które powinny były zostać wykryte w fazie audytu, ale nie zostały przedstawione w raporcie z audytu, dlatego zaleca się, aby projekt zlecił przeprowadzenie audytu profesjonalnej firmy ochroniarskiej.
Pobierz pełną raport:
O Blockchain Security Alliance
Blockchain Security Alliance został uruchomiony przez kilka jednostek z różnych branż, w tym instytucje uniwersyteckie, firmy zajmujące się bezpieczeństwem blockchain, stowarzyszenia branżowe, dostawcy usług fintech itp. Pierwsza partia rady sojuszu obejmuje Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit i Huawei Cloud. Obecni członkowie to: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive i Digital Treasures Center. Członkowie Sojuszu Bezpieczeństwa będą pracować i współpracować, aby stale zabezpieczać globalny ekosystem blockchain własnymi siłami technicznymi. Rada Sojuszu wita również więcej osób w dziedzinach związanych z blockchain, aby dołączyć i wspólnie bronić bezpieczeństwa ekosystemu blockchain.
Rejestracja sojuszu
https://forms.gle/pb3NaUgS3a2Sswnc8
Kontakt
Telegram:@kristenbeosin, @Web3Donny
E-mail: [email protected]
Członek sojuszu – Beosin
Beosin to wiodąca globalna firma zajmująca się bezpieczeństwem blockchain z siedzibą w Singapurze, zatrudniająca ponad 100 ekspertów ds. bezpieczeństwa w zakresie formalnej weryfikacji i bezpieczeństwa blockchain. Zgodnie z misją „Securing Web3.0 Ecosystem”, Beosin zapewnia zintegrowane produkty i usługi bezpieczeństwa blockchain, w tym audyt bezpieczeństwa kodu, monitorowanie ryzyka, ostrzeganie i blokowanie projektów, zgodność bezpieczeństwa KYT i KYC oraz odzyskiwanie skradzionych zasobów. Beosin świadczy obecnie usługi bezpieczeństwa dla ponad 2000 przedsiębiorstw blockchain na całym świecie, skontrolował ponad 2500 inteligentnych kontraktów i chronił aktywa klientów o wartości ponad 500 miliardów dolarów.
Członek sojuszu – Footprint Analytics
Footprint Analytics to narzędzie do odkrywania i wizualizacji danych w całym łańcuchu bloków, w tym danych NFT i GameFi. Obecnie zbiera, analizuje i czyści dane z 18 łańcuchów i umożliwia użytkownikom tworzenie wykresów i pulpitów nawigacyjnych bez kodu przy użyciu interfejsu „przeciągnij i upuść”, a także SQL lub Python.
