Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

据BeosinEagleEye安全预警与监控平台监测显示,2022年第三季度共监测到区块链生态领域主要攻击事件超37起,总损失约4亿504万美元,较今年第二季度的7亿1834万美元下降约43.6%。较去年第三季度同期损失(10亿零258万美元)下降约59.6%。

2022第三季度区块链生态安全综述

主要攻击事件超37起,总损失约4亿504万美元

据BeosinEagleEye安全预警与监控平台监测显示,2022年第三季度共监测到区块链生态领域主要攻击事件超37起,总损失约4亿504万美元,较今年第二季度的7亿1834万美元下降约43.6%。较去年第三季度同期损失(10亿零258万美元)下降约59.6%。

2022年1-9月,区块链生态领域因攻击事件损失的总金额已达约23亿1791万美元。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

从时间上来看,7月攻击事件大幅减少,为2022年以来攻击损失金额最少的一个月。8、9月黑客活跃程度大幅增加。

从被攻击项目类型来看,92%的损失金额来自跨链桥和DeFi项目。37起攻击里,DeFi项目占了22次。

从TVL(总锁仓价值)来看,在经历了5-6月的TVL大幅下跌之后,本季度各链TVL走势趋于平稳。7月下旬至8月上旬区间TVL呈现小幅上扬趋势,这也是本季度攻击事件发生次数和损失金额最多的一段时间。

从链平台来看,本季度Ethereum上损失金额达3亿7428万美元,占到总损失的92%。被攻击频率最高的链为BNBChain,达到了16次。

从攻击手法来看,92%的损失金额源于合约漏洞利用和私钥泄露。

从资金流向来看,约2亿420万美元的被盗资金流入了TornadoCash,占该季度被盗资金的约50.4%。本季度仅有约4%的被盗资金被追回。

从审计情况来看,被攻击的项目中,仅有40%的项目经过了审计。

攻击事件总览

本季度攻击事件较上季度有所下降

2022年第三季度,共监测到区块链生态安全领域主要攻击事件37起,总损失金额约4亿504万美元。其中损失过亿美元的安全事件2起,损失超千万美元以上的事件3起,损失超百万美元以上的事件14起。损失过亿美元的安全事件分别为:NomadBridge(1.9亿美元),Wintermute(1.6亿美元)。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

从时间上来看,8月攻击事件频发,其攻击事件数量和损失金额均为本季度最高的一个月,损失金额达2亿1062万美元。7月攻击事件总损失约为3005万美元,为2022年以来攻击损失金额最少的一个月。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

被攻击项目类型

92%的损失金额来自跨链桥和DeFi项目

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

2022年第三季度,3次跨链桥攻击事件共造成约1亿9025万美元的损失;22次DeFi领域的攻击事件共损失1亿8679万美元。约92%的攻击损失金额来自跨链桥和DeFi项目。

截止2022年9月,2022年共发生10起主要跨链桥安全事件,总涉及金额达到了14亿623万美元。跨链桥为2022年区块链安全领域遭受攻击的重灾区。

除跨链桥和DeFi项目外,本季度被攻击项目的类型还包括NFT、交易所、DAO、钱包和MEV机器人,其总体类型较上一季度更为丰富。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

各链平台损失金额情况

Ethereum上损失金额达3亿7428万美元

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

本季度以太坊链上共发生典型安全事件12起,总损失金额达到3亿7428万美元,居各链平台损失金额第一位。Solana链上发生3起安全事件,损失共1837万美元。

和上一季度相比,以太坊、BNBChain、Fantom、Avalanche四条公链连续两个季度均监测到主要安全事件。

值得注意的是,BNBChain上发生了16次攻击事件,为攻击事件次数最多的公链,其对应的项目全都未经审计。

这16次攻击事件涉及金额相对较小,有14起事件单次损失在50万美元以下。

在经历了5-6月的TVL大幅下跌之后,本季度各链TVL走势趋于平稳。7月下旬至8月上旬区间TVL呈现小幅上扬趋势,这也是本季度攻击事件发生频率和损失金额最多的一段时间。进入9月,加密货币市场总体小幅下行。在9月15日以太坊合并完成后,以太坊TVL出现了持续的小幅下跌。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

攻击手法分析

92%的损失金额源于合约漏洞利用和私钥泄露

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

第三季度,合约漏洞利用依然是最常见的攻击手法。约有15起攻击事件源于合约漏洞利用,占总数量的40.5%。

合约漏洞造成的总损失达2亿160万美元,占总损失的50.9%。

本季度4次私钥泄露事件造成了约1亿6724万美元的损失,损失金额仅次于合约漏洞利用。

和上一季度相比,本季度的攻击类型更加多样化。本季度新出现的攻击类型包括:BGP劫持、错误配置、供应链攻击等。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元
Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

按合约漏洞细分,本季度被利用的漏洞主要包括:验证问题、重入、权限问题、业务逻辑或函数设计不当、溢出漏洞。这些漏洞都是可以在审计阶段发现并加以修复的。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

典型案例攻击手法分析

1.NomadBridge事件

8月2日,跨链桥Nomadbridge遭受到了大规模的黑客攻击,项目方损失达1.9亿美元。NomadBridge是一个区块链加密货币跨链平台,支持以太坊、Moonbeam、Avalanche、Evmos和Milkomeda等币种的跨链资产转移。本次攻击的原因是初始化过程中,「committedRoot」被设置为0引发的,攻击者可以绕过消息验证过程,滥用copy/paste交易发起攻击。普通用户也可以通过复制原始原始交易的calldata,替换为个人的原始地址,从Nomadbridge移除资金。最终,在4个小时内,超过500个地址重复了本次攻击,导致Nomadbridge损失高达1.9亿美元。

2.Solana公链上Slope钱包盗币事件

8月3日,Solana公链上Slope钱包发生大规模盗币事件,损失估算在600万美元左右。根据Solanafoundation提供的数据显示,近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者。对SlopeWallet(Android,Version:2.2.2)进行分析,发现SlopeWallet(Android,Version:2.2.2)使用了Sentry的服务,Sentry是一个被广泛应用的服务,Sentry运行在o7e.slope.fifinance域名下,在创建钱包的时候会将助记词和私钥等敏感数据发送到https://o7e.slope.fifinance/api/4/envelope/。

3.Wintermute私钥泄露事件

9月20日,加密做市商Wintermute因私钥泄露导致被攻击,损失达1.6亿美元。其原因为Wintermute被盗的EOA钱包是使用Profanity来创建的靓号钱包(开头0x0000000),而此前1inch发布了一份安全披露报告,声称通过名为Profanity的工具创建的EVM地址存在严重漏洞,被造成私钥泄露。

资金流向分析

约2亿420万美元的被盗资金流入TornadoCash

8月8日,美国财政部将TornadoCash列入制裁名单,禁止美国个人或组织与其进行交互。在2022年第三季度,依然有约2亿420万美元的被盗资金流入了TornadoCash,占该季度被盗资金的约50.4%,该比例低于第二季度。

约1亿8230万美元的被盗资金还留在黑客地址余额。一些黑客将盗取资金通过跨链的方式转移到其他地址,此部分仍统计为黑客地址余额。

约1660万美元的资产通过链上谈判、白帽主动返还等方式被追回。在2022年第三季度,仅有约4%的被盗资金被追回,该比例远低于第二季度。

约192万美元的被盗资产流入了币安、FixedFloat等交易所。此类相关事件一般由于涉及金额较小(通常为几万或十几万美元),且黑客在攻击成功后立刻将赃款转入了交易所,导致项目方未能及时联系交易所进行资金冻结。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

项目审计情况分析

仅有40%的项目经过了审计

2022年被攻击的项目中,经过审计的项目比例分别为:第一季度70%,第二季度52%,第三季度40%。未经审计的被攻击项目比例呈现逐季度增加的趋势。

Beosin2022年Q3全球区块链生态安全报告:总损失逾4亿美元

在所有被攻击的项目中,经过审计的项目总共损失金额达到了3亿7548万美元,未经审计的项目被攻击损失约为2956万美元。初看起来或许会认为,审计并没有起到保护项目安全运行的作用。

但仔细分析发现,在这些审计过且被攻击的项目中,大部分原因是私钥泄露、供应链攻击、DNS攻击、BGP劫持、错误配置等非合约层面的攻击。而未经审计的项目中,85%的原因来自合约漏洞或闪电贷攻击。

可以看出,专业的审计还是在一定程度有效在合约层面保障项目的安全性,然而一个项目的安全运营,还需要项目方做好线下的风控、保管好私钥、警惕传统网络安全攻击、谨慎使用第三方组件等。当然,本季度也出现了一些本该在审计阶段审计出的漏洞,却没有在审计报告中审出的情况,因此建议项目方专业的安全公司进行审计。

(声明:请读者严格遵守所在地法律法规,本文不代表任何投资建议)

(0)
上一篇 2022年10月28日 下午2:19
下一篇 2022年10月28日 下午2:43

相关推荐

  • 6.13日资讯快报

    1、跨链互操作性协议Multichain宣布集成Kava Network据官方推特,跨链互操作性协议 Multichain宣布集成Kava Network,目前用户可以将Kava上…

    2022年6月13日
    760
  • 其他国家如何看待加密货币?一窥不同国家的加密情绪

    加密货币情绪分析被认为是了解如何做出明智投资决策的绝佳方法。通过使用 NRC 情绪方法(Saif Mohammad,2011),作者研究了 Twitter 社交媒体中对比特币作为代表加密货币的关键词的情绪。大多数观察到的国家对加密货币持积极态度。这里选取部分国家作为样本进行分析:美国、印度、印度尼西亚和马来西亚

    2023年8月30日
    574
  • 打破围绕开源LLM的6大迷思

    在团队出发前硅谷的前一天晚上,我在 YouTube 上刷到 OpenAI 元老 John Schulman 在伯克利有关 RLHF 和 Hallucination 的讲座,他一阵见血地指出这类开源模型的做法只是「形似」,实际上降低了模型的 Truthfulness。之后的硅谷之旅我集齐了这个生态的不同视角,对开源社区的现状有了更加清醒的认知 —— 尽管 Stability AI 也非常积极地入场了 LLM,但是这里的 Stable Diffusion 时刻可能仍未到来。

    2023年6月30日
    1.9K

发表回复

登录后才能评论
微信

联系我们
邮箱:whylweb3@163.com
微信:gaoshuang613