fbpx
Połącz się z nami

Cześć, czego szukasz?

Hot News

Blockchain Security Alliance Q3 2022 Raport dotyczący bezpieczeństwa Blockchain

Blockchain Security Alliance Q3 2022 Blockchain Security Report

1 kwartał 2022 Przegląd zabezpieczeń Blockchain

W sumie monitorowano 37 głównych exploitów, z łączną stratą około 405 milionów dolarów

W trzecim kwartale 2022 r. Beosin EagleEye monitorował ponad 37 głównych ataków w przestrzeni Web3, przynosząc łączne straty w wysokości około 405 mln USD, co oznacza spadek o około 43,6% z 718,34 mln USD w drugim kwartale 2022 r. oraz spadek o 59,6% w porównaniu ze stratą 1 002,58 mln USD w drugim kwartale 2022 r. III kwartał 2021 r.

Od stycznia do września 2022 r. aktywa utracone w przestrzeni Web3 w wyniku ataków wyniosły 2317,91 mln USD.

Q ponad/na wzrosty Q
Q ponad/na wzrosty Q

W ujęciu każdego miesiąca, Lipiec przyniósł znaczny spadek liczby ataków, co oznacza najmniejszą stratę z ataków od 2022 roku. Aktywność hakerów znacznie wzrosła w sierpniu i wrześniu.

Pod względem typów projektów, 92% utraconej kwoty pochodziło z mostów międzyłańcuchowych i protokołów DeFi. 22 z 37 ataków miało miejsce w przestrzeni DeFi.

Pod względem TVL, po gwałtownym spadku TVL od maja do czerwca, trend na TVL każdej sieci był w tym kwartale stabilny. Od końca lipca do początku sierpnia zaobserwowano nieznaczny trend wzrostowy w TVL, który był również okresem o największej liczbie ataków i wysokości strat w tym kwartale.

W zakresie łańcuchów, kwota strat na Ethereum osiągnęła w tym kwartale 374,28 mln USD, co stanowi 92% całkowitych strat. Najczęściej atakowanym łańcuchem był BNB Chain, który osiągnął 16 razy.

Jeśli chodzi o rodzaje ataków, 92% kwoty strat zostało spowodowane przez luki w zabezpieczeniach kontraktów i złamanie klucza prywatnego.

W zakresie przepływów środków, około 204,2 miliona dolarów skradzionych środków wpłynęło do Tornado Cash, co stanowi około 50,4% środków skradzionych w kwartale. Tylko około 4% skradzionych środków zostało odzyskanych w ciągu kwartału.

W zakresie audytów, tylko 40% projektów rekt zostało skontrolowanych.

2 Przegląd exploitów

Ogólna liczba ataków spadła w III kwartale w porównaniu z II kwartałem

W trzecim kwartale 2022 r. w przestrzeni Web3 monitorowano 37 głównych ataków, które łącznie spowodowały straty w wysokości około 405 milionów dolarów. Miały miejsce dwa ataki ze stratami co najmniej 100 milionów dolarów, trzy ataki ze stratami co najmniej 10 milionów dolarów i 14 ataków ze stratami co najmniej 1 miliona dolarów. Incydenty związane z bezpieczeństwem z ponad 100 milionami dolarów strat były Most Nomadów (190 milionów dolarów) i Wintermute (160 milionów dolarów).

Kwota straty w III kwartale według projektu
Kwota straty w III kwartale według projektu

Sierpień 2022 był najbardziej aktywnym miesiącem dla hakerów w tym kwartale, ze stratami około 210,62 mln USD. Całkowite straty z ataków w lipcu wyniosły 30,05 miliona dolarów, co czyni ją najniższą kwotą strat w miesiącu od 2022 roku.

Miesięczna kwota strat i liczba w trzecim kwartale
Miesięczna kwota strat i liczba w trzecim kwartale

3 rodzaje projektów rekt

Mosty krzyżowe i projekty DeFi odpowiadają za 92% kwoty strat

Kwota strat w 3 kwartale i policz według kategorii
Kwota strat w 3 kwartale i policz według kategorii

W trzecim kwartale 2022 r. trzy ataki na mosty krzyżowe spowodowały całkowitą stratę w wysokości około 190,25 mln USD; 22 ataki w przestrzeni DeFi spowodowały całkowitą stratę w wysokości 186,79 miliona dolarów. Około 92% kwoty utraconych ataków pochodziło z protokołów cross-chain bridge i DeFi.

Według stanu na wrzesień 2022 r. w 2022 r. miało miejsce 10 poważnych incydentów związanych z bezpieczeństwem mostów krzyżowych, z ponad 1,4 mld USD stratami. Mosty krzyżowe były najbardziej dotkniętym obszarem ataków w 2022 roku.

Oprócz mostów międzyłańcuchowych i protokołów DeFi, inne rodzaje projektów zaatakowanych w tym kwartale obejmowały NFT, giełdy, DAO, portfele i boty MEV, dzięki czemu ich ogólne typy były bardziej zróżnicowane niż w poprzednim kwartale.

4 Kwota strat według łańcucha

Straty na Ethereum wynoszą 374,3 miliona dolarów

Kwota strat Q3 i liczenie według łańcucha
Kwota strat Q3 i liczenie według łańcucha

W tym kwartale miało miejsce 12 poważnych ataków na Ethereum, z całkowitą stratą 374,28 mln USD, zajmując pierwsze miejsce wśród wszystkich sieci. Solana straciła 18,37 miliona dolarów z 3 exploitów.

Łańcuchy z głównymi atakami w dwóch kolejnych kwartałach to Ethereum, BNB Chain, Fantom i Avalanche.

BNB Chain odnotował najwięcej ataków, z 16 exploitami, a odpowiadające im projekty nie zostały zbadane. Kwota pieniędzy zaangażowana w te 16 exploitów jest stosunkowo niewielka, a 14 incydentów wiąże się z pojedynczą stratą poniżej 500 000 USD.

Po gwałtownym spadku TVL od maja do czerwca, trend TVL w sieciach ustabilizował się w tym kwartale. TVL wykazał lekką tendencję wzrostową w okresie od końca lipca do początku sierpnia, który był również okresem największej liczby ataków i strat w tym kwartale. Rynek kryptowalut ogólnie przesunął się nieznacznie w dół we wrześniu. Po fuzji Ethereum 15 września, Ethereum TVL odnotowało ciągły, lekki spadek.

Łańcuch TVL
Łańcuch TVL

5 Analiza rodzajów ataków

92% utraconej kwoty zostało spowodowane przez luki w zabezpieczeniach kontraktowych i złamanie klucza prywatnego

Ilość strat Q3 i liczenie według typu ataku
Ilość strat Q3 i liczenie według typu ataku

W trzecim kwartale exploity kontraktowe nadal były najczęstszym typem ataków. Około 15 ataków to exploity wykorzystujące luki kontraktowe, co stanowi 40,5 procent całkowitej liczby. Całkowite straty wynikające z luk w zabezpieczeniach kontraktów wyniosły 201,6 mln USD, czyli 50,9% całkowitych strat.

Cztery włamania na klucze prywatne w tym kwartale spowodowały straty w wysokości około 167,24 mln USD, co jest drugą największą stratą po wykorzystaniu luk w zabezpieczeniach kontraktów.

W porównaniu z poprzednim kwartałem rodzaje ataków w tym kwartale były bardziej zróżnicowane. Nowe typy ataków, które pojawiły się w tym kwartale, obejmują porwanie BGP, błędną konfigurację i ataki w łańcuchu dostaw.

Udział w rynku kwoty strat w III kwartale według typu ataku
Udział w rynku kwoty strat w III kwartale według typu ataku
Udział w rynku w III kwartale według typu ataku
Udział w rynku w III kwartale według typu ataku

Jeśli chodzi o luki kontraktowe, główne luki wykorzystywane w tym kwartale to: problemy z walidacją, ponowne wejście, problemy z uprawnieniami, niewłaściwie zaprojektowana logika lub funkcje biznesowe oraz luki związane z przepełnieniem. Wszystkie te luki można wykryć i naprawić w fazie audytu.

Kwota strat w 3 kwartale i liczenie według słabych punktów kontraktowych
Kwota strat w 3 kwartale i liczenie według słabych punktów kontraktowych

6 Typowe podsumowanie incydentów związanych z bezpieczeństwem

6.1 Incydent na moście Nomad o wartości 190 milionów dolarów

2 sierpnia Nomad Bridge, platforma cross-chain, która obsługuje transfery aktywów przez Ethereum, Moonbeam, Avalanche, Evmos i Milkomeda, doznała ogromnego włamania, które kosztowało projekt 190 milionów dolarów.

6.2 Incydent w portfelu Slope na Solana

3 sierpnia na Solanie miał miejsce incydent z kradzieżą portfela Slope, którego straty szacowano na około 6 milionów dolarów.

6.3 Incydent złamania klucza prywatnego Wintermute

20 września Wintermute, animator rynku kryptowalut, został zaatakowany ze stratą 160 milionów dolarów z powodu włamania klucza prywatnego.

7 Analiza przepływu funduszy

Około 204,2 miliona dolarów skradzionych środków wpłynęło do Tornado Cash

8 sierpnia Biuro Kontroli Aktywów Zagranicznych Departamentu Skarbu USA (OFAC) usankcjonowało Tornado Cash, zakazując osobom lub organizacjom z USA interakcji z nim. W trzecim kwartale 2022 r. około 204,2 mln dolarów skradzionych środków nadal napływało do Tornado Cash, co stanowi 50,4 procent środków skradzionych w tym kwartale, czyli mniej niż w drugim kwartale.

Około 182,3 miliona dolarów skradzionych środków pozostało pod adresem hakera jako saldo. Niektóre skradzione fundusze zostały połączone z adresami w innych sieciach, a ta część jest nadal liczona jako saldo adresów hakera.

Około 16,6 miliona dolarów aktywów zostało odzyskanych dzięki negocjacjom w sieci i niezamówionym zwrotom od hakerów z białym kapeluszem. W III kwartale 2022 r. odzyskano tylko ok. 4% skradzionych środków, znacznie mniej niż w II kwartale.

Około 1,92 miliona dolarów skradzionych aktywów trafiło na giełdy takie jak Binance i FixedFloat. Takie incydenty na ogół dotyczyły niewielkiej liczby aktywów (zwykle około 10 000 do 100 000 USD), a hakerzy przekazali skradzione środki na giełdy natychmiast po ataku, co spowodowało, że projekty nie skontaktowały się z giełdami na czas, aby zamrozić fundusze.

Przepływy środków w III kwartale
Przepływy środków w III kwartale

8 Analiza audytu projektu

Tylko 40% projektów zostało skontrolowanych

W 2022 r. odsetek audytowanych projektów rekt wynosił: 70% w pierwszym kwartale, 52% w drugim kwartale i 40% w trzecim kwartale. Odsetek nieaudytowanych projektów rekt wykazuje tendencję wzrostową z kwartału na kwartał.

Czy audytowane - policz
Czy audytowane – liczyć
Czy audytowane – kwota
Czy audytowane – kwota

Spośród wszystkich projektów rekt skontrolowane projekty straciły łącznie 375,48 mln USD, a projekty nieskontrolowane około 29,56 mln USD w atakach. Na pierwszy rzut oka mogłoby się wydawać, że audyty nie służyły ochronie bezpiecznego funkcjonowania projektów. Jednak głębsza analiza pokazuje, że większość z tych skontrolowanych projektów została zaatakowana przez problemy na poziomie pozaumownym, takie jak złamanie klucza prywatnego, ataki na łańcuch dostaw, ataki DNS, przejęcia BGP i błędna konfiguracja. Wśród nieaudytowanych projektów 85% było spowodowanych lukami w umowach lub atakami typu flashloan.

Widać, że profesjonalne audyty są nadal w pewnym stopniu skuteczne w zabezpieczaniu projektu na poziomie kontraktu. Jednak bezpieczne działanie protokołu wymaga również dobrej pracy w zakresie kontroli ryzyka offline, przechowywania klucza prywatnego, bycia czujnym na tradycyjne ataki na bezpieczeństwo sieci i ostrożnego korzystania z komponentów innych firm. Oczywiście w tym kwartale pojawiły się również pewne podatności, które powinny były zostać wykryte w fazie audytu, ale nie zostały przedstawione w raporcie z audytu, dlatego zaleca się, aby projekt zlecił przeprowadzenie audytu profesjonalnej firmy ochroniarskiej.

Źródło danych

Pobierz pełną raport:

O Blockchain Security Alliance

Blockchain Security Alliance został uruchomiony przez kilka jednostek z różnych branż, w tym instytucje uniwersyteckie, firmy zajmujące się bezpieczeństwem blockchain, stowarzyszenia branżowe, dostawcy usług fintech itp. Pierwsza partia rady sojuszu obejmuje Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit i Huawei Cloud. Obecni członkowie to: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive i Digital Treasures Center. Członkowie Sojuszu Bezpieczeństwa będą pracować i współpracować, aby stale zabezpieczać globalny ekosystem blockchain własnymi siłami technicznymi. Rada Sojuszu wita również więcej osób w dziedzinach związanych z blockchain, aby dołączyć i wspólnie bronić bezpieczeństwa ekosystemu blockchain.

Rejestracja sojuszu

https://forms.gle/pb3NaUgS3a2Sswnc8

Kontakt

Telegram:@kristenbeosin, @Web3Donny

E-mail: [email protected]

Członek sojuszu – Beosin

Beosin to wiodąca globalna firma zajmująca się bezpieczeństwem blockchain z siedzibą w Singapurze, zatrudniająca ponad 100 ekspertów ds. bezpieczeństwa w zakresie formalnej weryfikacji i bezpieczeństwa blockchain. Zgodnie z misją „Securing Web3.0 Ecosystem”, Beosin zapewnia zintegrowane produkty i usługi bezpieczeństwa blockchain, w tym audyt bezpieczeństwa kodu, monitorowanie ryzyka, ostrzeganie i blokowanie projektów, zgodność bezpieczeństwa KYT i KYC oraz odzyskiwanie skradzionych zasobów. Beosin świadczy obecnie usługi bezpieczeństwa dla ponad 2000 przedsiębiorstw blockchain na całym świecie, skontrolował ponad 2500 inteligentnych kontraktów i chronił aktywa klientów o wartości ponad 500 miliardów dolarów.

Członek sojuszu – Footprint Analytics

Footprint Analytics to narzędzie do odkrywania i wizualizacji danych w całym łańcuchu bloków, w tym danych NFT i GameFi. Obecnie zbiera, analizuje i czyści dane z 18 łańcuchów i umożliwia użytkownikom tworzenie wykresów i pulpitów nawigacyjnych bez kodu przy użyciu interfejsu „przeciągnij i upuść”, a także SQL lub Python.

Napisany przez

Robert Rosa to ekspert w dziedzinie kryptowalut, który posiada głęboką wiedzę i doświadczenie w tej dziedzinie. Jego pasja do kryptowalut pojawiła się już wiele lat temu, kiedy to był jednym z pierwszych inwestorów na rynku kryptowalut. Robert posiada wiedzę na temat różnych rodzajów kryptowalut, ich historii, a także sposobów na inwestowanie i handlowanie nimi. Jego umiejętności analityczne pozwalają mu na skuteczne przewidywanie ruchów cenowych na rynku kryptowalut, co pozwala mu na podejmowanie trafnych decyzji inwestycyjnych. Jego wiedza o technologii blockchain i kryptowalutach jest na bardzo wysokim poziomie, dzięki czemu potrafi zrozumieć potencjał i zastosowania tej technologii w różnych branżach i dziedzinach życia. Robert jest także ekspertem w dziedzinie bezpieczeństwa kryptowalut i potrafi doradzić, jak zabezpieczyć swoje inwestycje i uniknąć oszustw. Robert jest również aktywnym członkiem społeczności kryptowalutowej i regularnie uczestniczy w konferencjach, webinariach i spotkaniach poświęconych tej tematyce. Dzięki temu jest na bieżąco z najnowszymi trendami i wydarzeniami na rynku kryptowalut. Jego umiejętności doradcze są również godne podziwu, ponieważ potrafi pomóc innym ludziom w zrozumieniu i wykorzystaniu potencjału kryptowalut. Jego podejście jest bardzo profesjonalne i indywidualne, co pozwala na dostosowanie doradztwa do potrzeb i oczekiwań klienta. W sumie, Robert Rosa to nie tylko specjalista od kryptowalut, ale również pasjonat, który potrafi połączyć swoją wiedzę i doświadczenie, aby pomóc innym w zrozumieniu i wykorzystaniu potencjału kryptowalut.

Kliknij, aby skomentować

Leave a Reply

Twój adres e-mail nie zostanie opublikowany.

Najnowsze

Inwestowanie wsparcie

Inwestowanie

Fundusze inwestycyjne oparte na Bitcoinie  odnotowały w ubiegłym tygodniu odpływ 423 mln USD. Oznacza to największy tygodniowy odpływ „z dużym marginesem” – tak wynika...

Giełda

Zainteresowanie parami YoBit Farming jest ogromne, o czym świadczy całkowity kapitał, który zmienia się wraz z kolejnymi transakcjami. Jednym z kluczowych elementów ekosystemu zdecentralizowanego finansowania...

Ciekawostki

Polscy sportowcy i kryptowaluty coraz częściej pojawiają się obok siebie. Przedstawiciele sportowych drużyn coraz częściej decydują się na inwestowanie w cyfrowy rynek. Podobny trend...

Inwestowanie

Top 5 kryptowalut, w które warto inwestować Nawet pomimo tego, że Internet dziś dostępny jest w każdym domu, a prawie każdy mieszkaniec krajów rozwiniętych...

Inwestowanie

Antony Di Iorio – założyciel Ethereum – porzuca kryptowaluty. Skąd wzięła się tak radykalna decyzja? Di Iorio twierdzi, że jego wybór wynika z potrzeb...

Inwestowanie

Gemini największą giełdą kryptowalut? Tak twierdzi jeden z jej założycieli – Cameron Winklevoss. Jego zdaniem przedsiębiorstwo dąży do tego, by stać się numerem jeden...

You May Also Like

Kryptowaluty

TenX to odpowiedź singapurskiego teamu na największy problem świata cyfrowych pieniędzy – możliwość dokonywania płatności  przy wykorzystaniu środków zgromadzonych w kryptowalucie. Twórcy tego innowacyjnego projektu...

Kryptowaluty

Rynek kryptowalut na świecie bardzo szybko się rozwija i zmienia. Aby nie pogubić się w wielkiej internetowej sieci warto poznać kilka najpopularniejszych obok Bitcoina,...

Hot News

Aktualny świat dąży do dwóch głównych aspektów. Mowa tutaj o zarabianiu pieniędzy oraz samorozwoju. Istotne jest to, że oba te elementy bardzo często się przeplatają,...

Hot News

Od 30 Października trwa mocna dyskusja na temat wiarygodności firmy futurenet i FutureAdPro na facebooku. Od wielu miesięcy w sieci pojawią się informacje na temat piramidy...