木星链 木星链
Ctrl+D收藏木星链
首页 > 火星币 > 正文

NBS:Beosin:2023年Q1全球Web3区块链安全态势报告

作者:

时间:1900/1/1 0:00:00

数据图表可在此处查阅:Footprint Analytics: Crypto Analysis Dashboards

2023 年第一季度,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元,较 2022 年第 4 季度下降了约 77% 。2023 年第一季度的总损失金额低于 2022 年的任何一个季度。

除攻击事件外, 2023 年第一季度还监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。

从月份来看,3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。

从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42 次安全事件总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。

从链平台类型来看,80.8% 的损失金额来自 Ethereum,居所有链平台的第一位。

从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击, 8 次闪电贷事件损失约 1.98 亿美元;攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。

从资金流向来看,本季度约有 2 亿美元的被盗资产得以追回。本季度资金追回的情况优于 2022 年的任何一个季度。

从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。

2023 年第一季度,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元。其中损失金额超过 1 亿美元的安全事件共 1 起(Euler Finance 闪电贷攻击事件损失 1.97 亿美元)。损失 1000 万美元-1 亿美元区间的事件 2 起, 100 万美元-1000 万美元区间的事件 17 起。

Beosin:BASE链上LeetSwap中axlUSD/WETH池子遭遇价格操控攻击分析:金色财经报道,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,BASE链上LeetSwap中axlUSD/WETH遭遇价格操控攻击,损失金额约62万美元。经Beosin分析攻击的主要原因是:攻击主要利用了pair合约中的_transferFeesSupportingTaxTokens函数,它允许任意人使用函数让pair合约中的axlUSD转移,导致代币价格上升,攻击者可以卖出代币进行获利。[2023/8/1 16:11:02]

从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。

随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi 的 TVL 随着币价在一季度震荡回升。

2023 年第一季度,DeFi 类型项目共发生 42 次安全事件,占总事件数量的 68.9% 。DeFi 总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。

NFT类型损失金额排名第二(1852 万美元),主要来自于 NFT 钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第 2-4 位均和用户安全紧密相关。

2023 年第一季度仅发生了 1 次跨链桥安全事件,损失金额为 13 万美元。而在 2022 年, 12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。在 2022 年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。

Beosin:1月各类攻击事件损失总金额约1464万美元,较去年12月下降约77%:金色财经报道,据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,2023年1月,各类安全事件涉及金额较2022年12月持续大幅下降。1月发生较典型安全事件超『19』起,各类攻击事件损失总金额约1464万美元,较去年12月下降约77%,比2022年任何一个月的损失金额都要低。

本月较大的安全事件为HECO生态跨链借贷平台LendHub因没有弃用旧合约而被攻击,损失近600万美元。此外,两起个人钱包被盗事件损失均超过百万美元,钱包的安全性问题依旧不容忽视。在黑客猖獗的2022年过去之后,2023开年的区块链安全态势总体相对平稳。本月针对项目方的攻击事件呈下降趋势,反倒是一些针对个人用户钱包、社媒账号的攻击事件有所增加。Beosin建议个人用户一定要提高防钓鱼意识,规范操作。本月发生的典型跑路事件均是通过后门代码进行Rug Pull,建议用户在交互前一定要仔细查看相关的审计报告,避免资产遭受损失。[2023/1/31 11:38:34]

2023 年第一季度,Ethereum 链上共发生主要攻击事件 17 起,损失金额约为 2.38 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 80.8% 。

BNB Chain 上监测到了最多的攻击事件,达到了 31 起。其总损失为 1948 万美元,排所有链平台损失的第二位。

损失排名第三的公链为Algorand,损失来自于 MyAlgo 钱包被盗事件。Algorand 链在 2022 年没有发生过主要安全事件。

值得一提的是, 2022 年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。

本季度损失金额最高的攻击手法为闪电贷, 8 次闪电贷事件损失约 1.98 亿美元,占所有损失金额的 67% 。

Beosin:Skyward Finance项目遭受攻击事件简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,Near链上的Skyward Finance项目遭受漏洞攻击,Beosin分析发现由于skyward.near合约的redeem_skyward函数没有正确校验token_account_ids参数,导致攻击者5ebc5ecca14a44175464d0e6a7d3b2a6890229cd5f19cfb29ce8b1651fd58d39传入相同的token_account_id,并多次领取了WNear奖励。本次攻击导致项目损失了约108万个Near,约320万美元。Beosin Trace追踪发现被盗金额已被攻击者转走。[2022/11/3 12:12:36]

攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。合约漏洞共造成 3905 万美元的损失,为所有攻击类型损失金额的第二位。

2023 年第一季度,DeFi 类型项目被攻击了 42 次,其中有 22 次都源于合约漏洞利用。DeFi 项目方需要尤其注重合约的安全性。

按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17 次业务逻辑/函数设计不当漏洞共造成了 2244 万美元的损失。

事件概要

3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。

3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler“一直是一个安全意识强的项目”。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。

区块链安全公司Beosin宣布完成近2000万美元A轮战略融资:金色财经报道,区块链核心安全服务厂商Beosin宣布完成近2000万美元战略融资,投资人为知名产业方,多家老股东跟投。Beosin是一家全球领先的区块链安全公司,其核心业务包括智能合约安全审计,区块链项目安全风险监控、预警与阻断,被盗虚拟资产追回,KYT/AML等“一站式”安全产品+服务解决方案,目前已为全球2000多个区块链企业服务,保护客户资产高达5000多亿美元。新资金将用于区块链安全新技术研发,生态建设和全球市场布局。[2022/11/3 12:12:23]

从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。

4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

漏洞分析

在本次攻击中,Etoken 合约的 donateToReserves 函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了 1 亿个 eDAI,而实际上攻击者只质押了 3000 万个 DAI。

由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI 和 dDAI 会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有 310.93 M 个 eDAI 和 259.31 M 个 dDAI。

此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是 eDAI 和 dDAI 的差值。但池子中实际上只有 3890 万 DAI,所以用户只能提取这部分金额。

2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。

动态 | 由BM父亲Stan Larimer发布的BEOS链已在太空处理了第一笔区块链交易:BEOS 是比特股和 EOS主网之间的中间链,它的存在能使两个生态系统之间的产品和服务实现自由流动。

2018 年 12 月,SovereignSky 完成了在 Elon Musk(现任特斯拉汽车企业的 CEO) 的 Space X Falcon-9 火箭上的第一颗卫星(总共 8 颗)的发射。SpaceQuest 已将 BEOS 混合 SovereignSky 区块链成功上传到 AprizeSat-5,并且已经完成了太空中的第一批区块链交易之一。区块链交易已于 12 月 13 日在 AprizeSat-5 卫星上被确认。[2020/1/13]

本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。

BonqDAO 平台采用的预言机使用函数 ‘getCurrentValue’ 而不是 ‘getDataBefore’。

黑客通过质押 10 个 TRB 代币(价值仅约 175 美元)成为了价格报告者,并通过调用 submitValue 函数修改预言机中 WALBT 代币的价格。价格设置完成之后,攻击者调用 Bonq 合约的 createTrove 函数,创建 trove 合约,并向该合约中抵押了 0.1 个 WALBT 代币进行借款操作。正常来说,借款额度应该是小于 0.1 个 WALBT 的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过 TellorFlex 合约来进行实现的。而在上一步,攻击者已经把 WALBT 价格拉得异常高,导致攻击者在本次借款中,借出了 1 亿枚 BEUR 代币。

攻击者在第二笔交易中将 WALBT 价格设置得异常低,从而使用少量的成本将其他用户所抵押的 WALBT 代币清算出来。

2 月 17 日,Avalanche平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。

2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。

2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。

攻击原因是 MasterPlatypusV 4 合约中的 emergencyWithdraw 函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的 borrowLimitUSP(借贷上限),而没有检查用户是否归还债务的情况。

攻击者首先通过 AAVE 合约闪电贷借出 4400 万枚的USDC存入 Pool 合约中,然后 mint 了 4400 万枚 LP-USDC。接着攻击者调用 borrow 函数借出了 4179 万枚 USP,下一步立马调用了 EmergencyWithdraw 函数。

在 EmergencyWithdraw 函数中有一个 isSolvent 函数来验证借贷的余额超过可借贷最大值,返回 true 就可以进入 transfer 操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的 4400 万枚 LP-USDC。

2023 年第一季度,约有 $ 200, 146, 821 的被盗资产得以追回,占所有被盗资产的 67.8% 。其中,Euler Finance 被盗的 1.97 亿美元资产已经全部被黑客返还。更多追回的例子包括: 2 月 13 日,攻击 dForce 的黑客返还了全部盗取的 365 万美元资金;3 月 7 日,攻击 Tender.fi 的白帽黑客返还了盗取资金并获得了 62 ETH的赏金。本季度资金追回的情况优于 2022 年的任何一个季度。

Beosin KYT 反分析平台发现约有 2313 万美元(7.8% )的资产转入了Tornado Cash,另外有 254 万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年 8 月 Tornado Cash 遭受制裁以来,转入 Tornado Cash 的被盗资金比例自 2022 年Q3开始就呈现持续下降趋势。

同时,Beosin KYT 反分析平台发现约有 6002 万美元(20.3% )的资产还停留在黑客地址余额。还有约 932 万美元(3.1% )的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。

2023 年第一季度遭到攻击的项目中,除开 8 个无法用是否审计衡量的事件(如一些个人用户遭受的钓鱼攻击等),在剩下被攻击的项目中,接受过审计的有 28 个,未接受审计的有 25 个。

本季度共有 27 起合约漏洞利用导致的攻击事件,其中审计过的项目有 15 个(损失约 3119 万美元),未审计的有 12 个(损失约 786 万美元)。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。

2023 年第一季度,Web3领域共监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。

从金额来看, 6 起(14.6% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 12 起(29.2% ), 10 万美元以下的事件共 23 起(56% )。

41 起 Rug Pull 事件中,有 34 个项目部署在BNB Chain,占到了 83% 。为何众多项目选择 BNB Chain 呢?原因可能有如下几点:

1 )BNB Chain GAS 费用更低,出块时间间隔也更短。

2 )BNB Chain 活跃用户更多。项目会优先选择活跃用户多的公链。

3 )BNB Chain 的用户使用 Binance 出入金更方便快捷。

从总体上来看, 2023 年第一季度攻击事件总损失金额低于 2022 年任何一个季度,资金追回情况也优于 2022 年所有季度。在黑客猖獗的 2022 年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。

DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。DeFi 领域共发生 42 次安全事件,其中 22 次都源自合约漏洞利用(22 个项目审计和未审计的项目各有 11 个)。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。

本季度用户安全也是值得关注的重点。随着本季度 Blur 带领 NFT 市场重回火热,随之而来的 NFT 钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件 -- 每一个环节都必须时刻保持警惕。

本季度 Rug Pull 事件依旧频发,其中 56% 的项目跑路金额在 10 万美元以下。这类项目通常官网、推特、电报、Github 等信息缺失,没有 Roadmap 或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。

Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球 3000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。

Beosin

企业专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

金色早8点

白话区块链

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签:NBSBSPEOSSINnbs币前景BSPAY币DEOSSingularityDAO

火星币热门资讯
BSP:现实资产上链赛道进展:一文了解 14 个类别 50 个 RWA 项目

作者:黑米,白泽研究院DeFi 正在通过对房地产、艺术品等实物资产进行代币化来改变格局。真实世界资产 (RWA) 代币化是一个将有形资产转换为代币或 NFT 的过程,使它们能够在链上进行交易.

1900/1/1 0:00:00
NFT:金色Web3.0日报 | MakerDAO发布“The Maker宪法”

DeFi数据1、DeFi代币总市值:526.43亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量24.

1900/1/1 0:00:00
WEB3:吓得我一激灵:暗网销售KYC钱包真相

此前,CertiK对KYC黑市、演员雇佣以及KYC买卖曾做过一些调研。包括Telegram和Discord的各类平台上都有兜售已通过KYC验证的Web3.0交易所账户服务,包括KYC演员买卖等.

1900/1/1 0:00:00
区块链:晚间必读 | 关于上海升级与ETH质押提款的“终极指南”

自 2022 年 9 月以太坊合并以来,权益证明 (PoS) 已成为除比特币之外所有主要 L1 链的主流共识机制.

1900/1/1 0:00:00
虚拟资产:港交所虚拟货币ETF报告发布 虚拟资产逐渐主流化

4月17日,港交所发布了《ETF与全球金融市场虚拟资产生态圈的发展》的研究报告,在报告中,分别对当下全球虚拟资产的发展情况、如何通过ETF把握住虚拟资产投资的机遇、以及ETF与香港虚拟资产生态圈.

1900/1/1 0:00:00
ETH:一文解读以太坊上海升级关键数据指标及常见错误

作者:themlpx编辑:Biteye 核心贡献者 Crush本文将会简要介绍以太坊的取款机制、如何理解取款数据、要研究的关键指标以及需要避免的误解.

1900/1/1 0:00:00