数据图表可在此处查阅:Footprint Analytics: Crypto Analysis Dashboards
2023 年第一季度,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元,较 2022 年第 4 季度下降了约 77% 。2023 年第一季度的总损失金额低于 2022 年的任何一个季度。
除攻击事件外, 2023 年第一季度还监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
从月份来看,3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。
从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42 次安全事件总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。
从链平台类型来看,80.8% 的损失金额来自 Ethereum,居所有链平台的第一位。
从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击, 8 次闪电贷事件损失约 1.98 亿美元;攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。
从资金流向来看,本季度约有 2 亿美元的被盗资产得以追回。本季度资金追回的情况优于 2022 年的任何一个季度。
从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。
2023 年第一季度,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元。其中损失金额超过 1 亿美元的安全事件共 1 起(Euler Finance 闪电贷攻击事件损失 1.97 亿美元)。损失 1000 万美元-1 亿美元区间的事件 2 起, 100 万美元-1000 万美元区间的事件 17 起。
Beosin:Polygon链上LibertiVault合约遭遇攻击:金色财经报道,据Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Polygon链上LibertiVault合约遭遇攻击,损失约123ETH和56,234USDT,价值约29万美元。Beosin安全团队正在追踪资金流向。[2023/7/11 10:48:13]
从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。
随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi 的 TVL 随着币价在一季度震荡回升。
2023 年第一季度,DeFi 类型项目共发生 42 次安全事件,占总事件数量的 68.9% 。DeFi 总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。
NFT类型损失金额排名第二(1852 万美元),主要来自于 NFT 钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第 2-4 位均和用户安全紧密相关。
2023 年第一季度仅发生了 1 次跨链桥安全事件,损失金额为 13 万美元。而在 2022 年, 12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。在 2022 年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。
2023 年第一季度,Ethereum 链上共发生主要攻击事件 17 起,损失金额约为 2.38 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 80.8% 。
Beosin:SnarkJS 0.6.11及之前的版本中存在严重漏洞:金色财经报道,Beosin 安全研究人员在 SnarkJS 0.6.11及之前的版本的库中发现了一个严重漏洞,SnarkJS 是一款用于构建零知识证明的开源 JavaScript 库,广泛应用于 zk-SNARK 技术的实现和优化。Beosin在提了这个漏洞以后,第一时间联系项目方并协助修复,目前该漏洞还处于修复测试中。Beosin提醒所有使用了SnarkJS库的项目方,在SnarkJS 库这个漏洞还没完全修复时,一定要注意安全风险。[2023/5/18 15:11:20]
BNB Chain 上监测到了最多的攻击事件,达到了 31 起。其总损失为 1948 万美元,排所有链平台损失的第二位。
损失排名第三的公链为Algorand,损失来自于 MyAlgo 钱包被盗事件。Algorand 链在 2022 年没有发生过主要安全事件。
值得一提的是, 2022 年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。
本季度损失金额最高的攻击手法为闪电贷, 8 次闪电贷事件损失约 1.98 亿美元,占所有损失金额的 67% 。
攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。合约漏洞共造成 3905 万美元的损失,为所有攻击类型损失金额的第二位。
2023 年第一季度,DeFi 类型项目被攻击了 42 次,其中有 22 次都源于合约漏洞利用。DeFi 项目方需要尤其注重合约的安全性。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17 次业务逻辑/函数设计不当漏洞共造成了 2244 万美元的损失。
Beosin:Avalanche链上Platypus项目损失850万美元攻击事件解析:2月17日,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、 预警与阻断平台监测显示,Avalanche链上的Platypus项目合约遭受闪电贷攻击,Beosin安全团队分析发现攻击者首先通过闪电贷借出4400万USDC之后调用Platypus Finance合约的deposit函数质押,该函数会为攻击者铸造等量的LP-USDC,随后攻击者再把所有LP-USDC质押进MasterPlatypusV4合约的4号池子当中,然后调用positionView函数利用_borrowLimitUSP函数计算出可借贷余额,_borrowLimitUSP函数会返回攻击者在MasterPlatypusV4中质押物品的价值的百分比作为可借贷上限,利用该返回值通过borrow函数铸造了大量USP(获利点),由于攻击者自身存在利用LP-USDC借贷的大量债务(USP),那么在正常逻辑下是不应该能提取出质押品的,但是MasterPlatypusV4合约的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP(借贷上限)而没有检查用户是否归还债务的情况下,使攻击者成功提取出了质押品(4400万LP-USDC)。归还4400万USDC闪电贷后, 攻击者还剩余41,794,533USP,随后攻击者将获利的USP兑换为价值8,522,926美元的各类稳定币。[2023/2/17 12:12:32]
事件概要
3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。
3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。
3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler“一直是一个安全意识强的项目”。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。
从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。
Beosin:TempleDAO项目遭受黑客攻击,涉及金额约236万美元:据Beosin EagleEye Web3安全预警与监控平台监测显示,TempleDAO项目遭受黑客攻击。因为在StaxLPStaking合约的migrateStake函数缺少权限校验,导致任意人都可以通过该函数提取合约中的StaxLP。
Beosin安全团队分析发现攻击者已把全部获得的StaxLP代币全部兑换为ETH,目前被盗资金已全部转移到0x2B63d4A3b2DB8AcBb2671ea7B16993077F1DB5A0地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/12 10:31:30]
4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
漏洞分析
在本次攻击中,Etoken 合约的 donateToReserves 函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了 1 亿个 eDAI,而实际上攻击者只质押了 3000 万个 DAI。
由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI 和 dDAI 会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有 310.93 M 个 eDAI 和 259.31 M 个 dDAI。
此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是 eDAI 和 dDAI 的差值。但池子中实际上只有 3890 万 DAI,所以用户只能提取这部分金额。
2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。
Beosin:Jumpnfinance项目发生Rugpull,涉及金额约115万美元:金色财经报道,据Beosin EagleEye平台监测显示,Jumpnfinance项目Rugpull。攻击交易为0x48333962e6e946748a26d6222db95ce97e76c9ed3917123a7c9f2731f896b72c。Beosin安全团队分析发现攻击者首先调用0xe156合约的0x6b1d9018()函数,提取了该合约中的用户资产,存放在攻击者地址上(0xd3de02b1af100217a4bc9b45d70ff2a5c1816982)。目前被盗资金中2100 BNB ($581,700)已转入Tornado.Cash,剩余部分2,058 BNB($571,128)还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/10 12:51:13]
本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。
BonqDAO 平台采用的预言机使用函数 ‘getCurrentValue’ 而不是 ‘getDataBefore’。
黑客通过质押 10 个 TRB 代币(价值仅约 175 美元)成为了价格报告者,并通过调用 submitValue 函数修改预言机中 WALBT 代币的价格。价格设置完成之后,攻击者调用 Bonq 合约的 createTrove 函数,创建 trove 合约,并向该合约中抵押了 0.1 个 WALBT 代币进行借款操作。正常来说,借款额度应该是小于 0.1 个 WALBT 的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过 TellorFlex 合约来进行实现的。而在上一步,攻击者已经把 WALBT 价格拉得异常高,导致攻击者在本次借款中,借出了 1 亿枚 BEUR 代币。
攻击者在第二笔交易中将 WALBT 价格设置得异常低,从而使用少量的成本将其他用户所抵押的 WALBT 代币清算出来。
2 月 17 日,Avalanche平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。
2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。
攻击原因是 MasterPlatypusV 4 合约中的 emergencyWithdraw 函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的 borrowLimitUSP(借贷上限),而没有检查用户是否归还债务的情况。
攻击者首先通过 AAVE 合约闪电贷借出 4400 万枚的USDC存入 Pool 合约中,然后 mint 了 4400 万枚 LP-USDC。接着攻击者调用 borrow 函数借出了 4179 万枚 USP,下一步立马调用了 EmergencyWithdraw 函数。
在 EmergencyWithdraw 函数中有一个 isSolvent 函数来验证借贷的余额超过可借贷最大值,返回 true 就可以进入 transfer 操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的 4400 万枚 LP-USDC。
2023 年第一季度,约有 $ 200, 146, 821 的被盗资产得以追回,占所有被盗资产的 67.8% 。其中,Euler Finance 被盗的 1.97 亿美元资产已经全部被黑客返还。更多追回的例子包括: 2 月 13 日,攻击 dForce 的黑客返还了全部盗取的 365 万美元资金;3 月 7 日,攻击 Tender.fi 的白帽黑客返还了盗取资金并获得了 62 ETH的赏金。本季度资金追回的情况优于 2022 年的任何一个季度。
Beosin KYT 反分析平台发现约有 2313 万美元(7.8% )的资产转入了Tornado Cash,另外有 254 万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年 8 月 Tornado Cash 遭受制裁以来,转入 Tornado Cash 的被盗资金比例自 2022 年Q3开始就呈现持续下降趋势。
同时,Beosin KYT 反分析平台发现约有 6002 万美元(20.3% )的资产还停留在黑客地址余额。还有约 932 万美元(3.1% )的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。
2023 年第一季度遭到攻击的项目中,除开 8 个无法用是否审计衡量的事件(如一些个人用户遭受的钓鱼攻击等),在剩下被攻击的项目中,接受过审计的有 28 个,未接受审计的有 25 个。
本季度共有 27 起合约漏洞利用导致的攻击事件,其中审计过的项目有 15 个(损失约 3119 万美元),未审计的有 12 个(损失约 786 万美元)。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。
2023 年第一季度,Web3领域共监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。
从金额来看, 6 起(14.6% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 12 起(29.2% ), 10 万美元以下的事件共 23 起(56% )。
41 起 Rug Pull 事件中,有 34 个项目部署在BNB Chain,占到了 83% 。为何众多项目选择 BNB Chain 呢?原因可能有如下几点:
1 )BNB Chain GAS 费用更低,出块时间间隔也更短。
2 )BNB Chain 活跃用户更多。项目会优先选择活跃用户多的公链。
3 )BNB Chain 的用户使用 Binance 出入金更方便快捷。
从总体上来看, 2023 年第一季度攻击事件总损失金额低于 2022 年任何一个季度,资金追回情况也优于 2022 年所有季度。在黑客猖獗的 2022 年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。
DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。DeFi 领域共发生 42 次安全事件,其中 22 次都源自合约漏洞利用(22 个项目审计和未审计的项目各有 11 个)。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。
本季度用户安全也是值得关注的重点。随着本季度 Blur 带领 NFT 市场重回火热,随之而来的 NFT 钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件 -- 每一个环节都必须时刻保持警惕。
本季度 Rug Pull 事件依旧频发,其中 56% 的项目跑路金额在 10 万美元以下。这类项目通常官网、推特、电报、Github 等信息缺失,没有 Roadmap 或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。
Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球 3000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。
Beosin
企业专栏
阅读更多
金色财经 善欧巴
Chainlink预言机
金色早8点
白话区块链
Odaily星球日报
Arcane Labs
深潮TechFlow
欧科云链
BTCStudy
MarsBit
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。