本章作者:Beosin研究團(tuán)隊(duì)Eaton1��、2024年上半年Web3Blockchain安全態(tài)勢(shì)綜述
據(jù)BeosinAlert監(jiān)控及預(yù)警顯示�,2024年Q3Web3領(lǐng)域因黑客攻擊、釣魚詐騙和項(xiàng)目方RugPull造成的總損失達(dá)到了7.3億美元�����。其中主要攻擊事件23起,總損失金額約4.3億美元�;項(xiàng)目方RugPull事件3起,總損失約424萬美元�;釣魚詐騙總損失金額約2.95億美元。
從被攻擊項(xiàng)目類型來看���,損失最高的項(xiàng)目類型為CEX���,3次針對(duì)CEX的攻擊共造成了約2.97億美元的損失,約占所有攻擊損失金額的40.6%�����。
從各鏈損失金額來看����,Ethereum依舊為損失金額最高���、攻擊事件最多的鏈��。21次Ethereum上的攻擊與釣魚事件造成了3.48億美元的損失����,約占總損失的47.6%。
從攻擊手法來看����,Q3共發(fā)生5次私鑰泄露事件,造成損失達(dá)到了3.05億美元���,約占總攻擊損失金額的41.7%�����,是占比最高的攻擊類型���。
從資金流向來看,僅約有1690萬美元被盜資金被凍結(jié)或追回����。絕大部分(約78.9%)被盜資金仍存儲(chǔ)在攻擊
者的鏈上地址。
從審計(jì)情況來看����,被攻擊的項(xiàng)目中,經(jīng)過審計(jì)的項(xiàng)目方比例有所增加�����。2、被攻擊項(xiàng)目類型
CEX為損失金額最高的項(xiàng)目類型
2024年Q3��,損失最高的項(xiàng)目類型為CEX����,3次針對(duì)CEX的攻擊共造成了約2.97億美元的損失,占所有攻擊損失金額的40.6%��。CEX安全事件雖然次數(shù)不多�����,但每次被盜金額都巨大��,凸顯了當(dāng)前交易所生態(tài)的安全態(tài)勢(shì)不容樂觀��。
緊隨其后損失排在第二位的受害者類型為用戶錢包�����。8次針對(duì)用戶錢包的釣魚與社會(huì)工程學(xué)攻擊對(duì)普通用戶造成了約2.95億美元的損失����,占比約40.3%。和2024年上半年相比��,Q3針對(duì)普通用戶的攻擊和造成的損失有了大幅增加����。
23起黑客攻擊事件中,共有12起事件發(fā)生在DeFi領(lǐng)域�,占比約52.1%,是攻擊次數(shù)最多的項(xiàng)目類型�����,這12次DeFi攻擊事件共導(dǎo)致了超過4560萬美元的損失��,排在所有項(xiàng)目類型的第四位�。
其他被攻擊的項(xiàng)目類型還包括:基礎(chǔ)設(shè)施、Tokens等�。其中針對(duì)公鏈及跨鏈橋的攻擊造成的損失金額達(dá)8500萬美元,排在所有項(xiàng)目類型的第三位��。
損失金額排名第二的公鏈為BTC�,共計(jì)損失2.38億美元,約占總損失的32.5%�����。BTC損失金額來自于一次針對(duì)某巨鯨地址的社會(huì)工程學(xué)攻擊。
損失金額排名第三的公鏈為L(zhǎng)una(6500萬美元)�����,攻擊者利用了ibc-hooks超時(shí)回調(diào)中的重入漏洞對(duì)Luna進(jìn)行了攻擊����。
按照安全事件數(shù)量排名,前兩名分別為Ethereum(21次)�、BNBChain(4次)。各鏈生態(tài)的安全事件數(shù)量較上半年有所下降����。4、攻擊手法分析
約41.7%的損失金額來自私鑰泄露事件
2024年Q3���,共發(fā)生5次私鑰泄露事件�����,造成損失達(dá)到了3.05億美元�����,約占總攻擊損失金額的41.7%���。和上半年相同,私鑰泄露事件造成的損失依舊是所有攻擊類型的第一位�。造成較大損失的私鑰泄露事件有:WazirX(2.3億美元)、BingX(4500萬美元)����、Indodax(2200萬美元)。
損失金額排名第二的攻擊手法為社會(huì)工程學(xué)攻擊����,1次社會(huì)工程學(xué)攻擊造成損失2.38億美元。
23起攻擊事件中����,有18起來自合約漏洞利用,占比約78%���。合約漏洞利用總損失達(dá)1.28億美元�����,排名第三����。
按照漏洞細(xì)分,造成損失前三名的漏洞分別為:重入漏洞(9346萬美元)���、業(yè)務(wù)邏輯漏洞(約209萬美元)���、校驗(yàn)漏洞(1001萬美元)。出現(xiàn)次數(shù)最高的漏洞為業(yè)務(wù)邏輯漏洞����,18起合約漏洞攻擊中有7次是業(yè)務(wù)邏輯漏洞。5�����、反*洗*錢典型事件分析回顧5.1BeosinTrace對(duì)LI.FI事件進(jìn)行追蹤分析
7月16日�,據(jù)BeosinAlert監(jiān)控預(yù)警發(fā)現(xiàn)跨鏈協(xié)議LI.FI遭受攻擊,攻擊者利用項(xiàng)目合約中存在的call注入漏洞����,盜取授權(quán)給合約的用戶資產(chǎn)。
LI.FI項(xiàng)目合約存在一個(gè)depositToGasZipERC20函數(shù)��,可將指定Tokens兌換為平臺(tái)幣并存入GasZip合約����,但是在兌換邏輯處的代碼未對(duì)call調(diào)用的數(shù)據(jù)進(jìn)行限制�,導(dǎo)致攻擊者可利用此函數(shù)進(jìn)行call注入攻擊�����,提取走給合約授權(quán)用戶的資產(chǎn)��。
本次事件除了call注入的合約漏洞外�����,還有一點(diǎn)值得注意��,即Diamond模式下���,F(xiàn)acet合約的配置問題。進(jìn)一步分析發(fā)現(xiàn)�,GasZipFacet合約是在被攻擊的5天前部署,并在被攻擊前十多個(gè)小時(shí)由項(xiàng)目的多簽管理員在LI.FI主合約進(jìn)行注冊(cè)的�����。
所以����,通過這次事件可以發(fā)現(xiàn)����,對(duì)于Diamond這類可升級(jí)模式�����,新增功能合約的安全性也需要得到高度重視����。
BeosinTrace對(duì)被盜資金進(jìn)行追蹤發(fā)現(xiàn),損失金額包括633.59萬USDT�、319.19萬USDC、16.95萬DAI����,約1000萬美元。
BeosinTrace: 被盜資金流向圖
另一方面����,黑客向地址0x35fe...745CA轉(zhuǎn)移8010億枚SHIB,價(jià)值高達(dá)1402萬美元���,進(jìn)行分批拋售����。6、被盜資產(chǎn)的資金流向分析
據(jù)BeosinKYT反*洗*錢平臺(tái)分析顯示�����,2024年Q3被盜的資金中��,僅有1690萬美元被盜資金被凍結(jié)或追回��。該比例較上半年年顯著下降�。
約有5.77億美元(約78.9%)的被盜資金還保留在黑客地址����。隨著全球監(jiān)管機(jī)構(gòu)反*洗*錢力度的加大,黑客清洗贓款變得更加困難�����,因此相當(dāng)一部分黑客選擇暫時(shí)將盜取資金保留在鏈上地址�。
約有1.02億美元的被盜資金轉(zhuǎn)入了各交易所,占比約13.9%���,該比例高于2024上半年�。
共有3471.3萬美元(5.4%)轉(zhuǎn)入了混幣器。和上半年相比����,2024年Q3通過混幣器清洗的被盜資金再次大幅減少。
4個(gè)沒有經(jīng)過審計(jì)的項(xiàng)目中���,合約漏洞事件占了3起(75%)����。16個(gè)經(jīng)過審計(jì)的項(xiàng)目中���,合約漏洞事件占了11起(68.75%)���。兩者整體比例大致相當(dāng)。和上半年相比����,2024年整體安全審計(jì)質(zhì)量有所下滑。8��、2024年上半年Web3Blockchain安全態(tài)勢(shì)總結(jié)
和2023年同期相比���,2024年Q3因黑客攻擊�����、釣魚詐騙�、項(xiàng)目方RugPull造成的總損失略有下降,達(dá)到了7.3億美元(2023年Q3這一數(shù)字為8.89億美元)�。2024年Q3幣價(jià)下跌等因素對(duì)總金額的減少有一定的影響,但總體而言��,Web3安全領(lǐng)域形勢(shì)依舊不容樂觀��。
和上半年相同�,2024Q3造成危害最大的攻擊類型依舊為私鑰泄露。約41.7%的損失金額來自私鑰泄露事件���。從項(xiàng)目類型來看,私鑰泄露事件遍布于Web3各個(gè)領(lǐng)域:游戲平臺(tái)�����、Tokens合約��、個(gè)人錢包��、基礎(chǔ)設(shè)施���、交易所等����。各個(gè)Web3項(xiàng)目方/個(gè)人用戶都需要提高警惕,離線存儲(chǔ)私鑰�����、使用多重簽名����、謹(jǐn)慎使用第三方服務(wù)、對(duì)特權(quán)員工進(jìn)行定期安全培訓(xùn)�。
Q3僅有5.4%的被盜資產(chǎn)轉(zhuǎn)入了各類混幣器,另外有78.9%的資產(chǎn)還保留在黑客地址����,這進(jìn)一步說明了黑客清洗贓款難度的增加。
Q3依舊有13.9%的被盜資金轉(zhuǎn)入了各交易所����,這需要交易所及時(shí)識(shí)別黑客行為,積極配合執(zhí)法機(jī)構(gòu)和項(xiàng)目方凍結(jié)資金和進(jìn)行調(diào)證�。目前交易所和執(zhí)法機(jī)構(gòu)、項(xiàng)目方��、安全團(tuán)隊(duì)的合作已經(jīng)有了較為明顯的成果,相信未來會(huì)有更多被盜資金能夠追回�。
Q3的23起攻擊事件中,依然有18起來自合約漏洞利用����,建議項(xiàng)目方在上線前尋求專業(yè)的安全公司進(jìn)行審計(jì)。
