SIN:Beosin：2023年Q1全球Web3区块链安全态势报告

数据图表可在此处查阅：FootprintAnalytics:CryptoAnalysisDashboards

2023?第一季度Web3安全态势综述

2023?年第一季度，据区块链安全审计公司?Beosin?旗下?BeosinEagleEye?安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件?61?起，总损失金额约为?2.95?亿美元，较?2022?年第?4?季度下降了约?77%?。2023?年第一季度的总损失金额低于?2022?年的任何一个季度。

除攻击事件外，?2023?年第一季度还监测到主要?RugPull?事件?41?起，涉及金额约?2034?万美元。

从月份来看，3?月为攻击事件频发的一个月，总损失金额达到了?2.35?亿美元，占第一季度总损失金额的?79.7%?。

从被攻击项目类型来看，DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42?次安全事件总损失金额达到了?2.48?亿美元，占总损失金额的?84%?。

从链平台类型来看，80.8%?的损失金额来自?Ethereum，居所有链平台的第一位。

从攻击手法来看，本季度损失金额最高的攻击手法为闪电贷攻击，?8?次闪电贷事件损失约?1.98?亿美元；攻击手法频率最高的为合约漏洞利用，?27?次攻击占所有事件数量的?44%?。

从资金流向来看，本季度约有?2?亿美元的被盗资产得以追回。本季度资金追回的情况优于?2022?年的任何一个季度。

从审计情况来看，被攻击的项目中，仅有?41%?的项目经过了审计。

攻击事件总览

2023?年第一季度，BeosinEagleEye?安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件?61?起，总损失金额约为?2.95?亿美元。其中损失金额超过?1?亿美元的安全事件共?1?起。损失?1000?万美元-1?亿美元区间的事件?2?起，?100?万美元-1000?万美元区间的事件?17?起。

Beosin：Palmswap被攻击是因为添加和删除流动性的计算方法有问题:7月25日消息，Beosin Alert发推称，Palmswap被攻击是因为添加和删除流动性的计算方法有问题，当攻击者添加流动资金时，USDP和PLP之间的汇率为 1:1。 然而，当移除相同数额的PLP时，攻击者能够将其兑换为1.9 倍的USDP，从而获利。

此前消息，Palmswap遭攻击，损失超90万美元。[2023/7/25 15:56:43]

从总体来看，第一季度攻击事件损失金额呈现逐月增加的趋势。3?月为攻击事件频发的一个月，总损失金额达到了?2.35?亿美元，占第一季度总损失金额的?79.7%?。

被攻击项目类型

84%?的损失金额来自?DeFi?类型

随着长达数月的下行和多次黑天鹅事件清杠杆，加密市场触底反弹。DeFi?的?TVL?随着币价在一季度震荡回升。

2023?年第一季度，DeFi?类型项目共发生?42?次安全事件，占总事件数量的?68.9%?。DeFi?总损失金额达到了?2.48?亿美元，占总损失金额的?84%?。DeFi?为本季度被攻击频次最高、损失金额最多的项目类型。

NFT类型损失金额排名第二，主要来自于?NFT?钓鱼事件。排名第三的类型为个人用户，该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看，损失金额的第?2-4?位均和用户安全紧密相关。

2023?年第一季度仅发生了?1?次跨链桥安全事件，损失金额为?13?万美元。而在?2022?年，?12?次跨链桥安全事件共造成了约?18.9?亿美元损失，居所有项目类型损失的第一位。在?2022?年跨链桥安全事件频发后，跨链桥项目的安全性在本季度得到了较大的提升。

Beosin：Arbitrum上的Rodeo Finance疑似遭遇攻击，损失150万美元:金色财经报道，据Beosin旗下Beosin EagleEye监控显示，Arbitrum上的杠杆收益协议Rodeo Finance疑似遭遇攻击，目前统计被盗资金约150万美元，Beosin提醒用户注意资金安全。[2023/7/11 10:48:08]

各链平台损失金额情况

80.8%?的损失金额来自?Ethereum

2023?年第一季度，Ethereum?链上共发生主要攻击事件?17?起，损失金额约为?2.38?亿美元。Ethereum?链上损失金额居所有链平台的第一位，占比约?80.8%?。

BNBChain?上监测到了最多的攻击事件，达到了?31?起。其总损失为?1948?万美元，排所有链平台损失的第二位。

损失排名第三的公链为Algorand，损失来自于?MyAlgo?钱包被盗事件。Algorand?链在?2022?年没有发生过主要安全事件。

值得一提的是，?2022?年Solana链上损失金额排所有公链的第三位，而在本季度并未监测到主要攻击事件。

攻击手法分析

本季度损失金额最高的攻击手法为闪电贷，?8?次闪电贷事件损失约?1.98?亿美元，占所有损失金额的?67%?。

Beosin：攻击者利用多签钱包执行了修改TradingHelper合约的router地址的交易:2月21日，据区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，Hope Finance项目Rug Pull。Beosin安全团队分析发现攻击者(0xdfcb)利用多签钱包(0x1fc2)执行了修改TradingHelper合约的router地址的交易，从而使GenesisRewardPool合约在使用openTrade函数进行借贷时，调用TradingHelper合约SwapWETH函数进行swap后并不会通过原本的sushiswap的router进行swap操作，而是直接将转入的代币发送给攻击者(0x957d)从而获利。攻击者共两次提取约180万美金。

Beosin Trace追踪发现攻击者已将资金转入跨链合约至以太链，最终资金都已进入tornado.cash。

Beosin提醒用户：请勿在0x1FC2..E56c合约进行抵押操作，建议取消所有与该项目方相关的授权。[2023/2/21 12:19:54]

攻击手法频率最高的为合约漏洞利用，?27?次攻击占所有事件数量的?44%?。合约漏洞共造成?3905?万美元的损失，为所有攻击类型损失金额的第二位。

2023?年第一季度，DeFi?类型项目被攻击了?42?次，其中有?22?次都源于合约漏洞利用。DeFi?项目方需要尤其注重合约的安全性。

按照漏洞类型细分，造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17?次业务逻辑/函数设计不当漏洞共造成了?2244?万美元的损失。

Beosin：分布式资本创始人沈波目前被盗资金已经大部分兑换为DAI:金色财经报道，根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示，2022年11月23日，分布式资本创始人沈波发布消息表示个人钱包被盗，被盗资金约4200万美元。通过分析USDC的转账交易，定位到该笔攻击交易(0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7)。由于该笔交易是由0x6be85603322df6DC66163eF5f82A9c6ffBC5e894地址发起，因此认定为私钥泄露。目前被盗资金已经大部分兑换为DAI，并且转移到0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f

9和0x66F62574ab04989737228D18C3624f7FC1edAe14地址中，还有1606个Ether在0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。再次提醒用户注意钱包安全。Beosin Trace将持续对黑地址异动进行监控。[2022/11/23 8:00:14]

典型案例攻击手法分析

1EulerFinance?安全事件

事件概要

3?月?13?日，Ethereum链上的借贷项目EulerFinance遭到闪电贷攻击，损失达到了1.97亿美元。

3?月?16?日，Euler?基金会悬赏?100?万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3?月?17?日，EulerLabs?首席执行官?MichaelBentley?发推文表示，Euler“一直是一个安全意识强的项目”。从?2021?年?5?月至?2022?年?9?月，EulerFinance?接受了?Halborn、Solidified、ZKLabs、Certora、Sherlock?和?Omnisica?等?6?家区块链安全公司的?10?次审计。

从?3?月?18?日开始至?4?月?4?日，攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉，称自己“搅乱了别人的钱，别人的工作，别人的生活”并请求大家的原谅。

动态 | 成都链安推出Beosin-AML虚拟资产调查取证和反合规系统:为帮助虚拟资产服务商（VASP）监测交易风险、执行反合规程序，帮助监管部门监督VASP合规流程执行情况，帮助执法部门快速收集虚拟资产犯罪案件证据，为受害者提供技术协助，成都链安科技推出可视化的虚拟资产合规监测和调查取证分析系统Beosin-AML。系统上线技术援助服务，受害者被盗币或不慎参与了跑路盘、资金盘等非法项目后，可在网站提交相关信息，平台开展调查、分析和追踪等取证服务。成都链安Beosin-AML虚拟资产调查取证和反合规系统，采集链上交易数据，分析加密货币犯罪和安全事件，结合机器学习模型综合分析链上交易的合规和安全风险。帮助区块链行业建立合法、合规的应用生态。[2019/12/10]

4?月?4?日，EulerLabs?在推特上表示，经过成功协商，攻击者已归还了所有盗取资金。

漏洞分析

在本次攻击中，Etoken?合约的?donateToReserves?函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞，捐赠了?1?亿个?eDAI，而实际上攻击者只质押了?3000?万个?DAI。

由于捐赠后，用户账本的健康状态符合清算条件，借贷合约被触发清算。清算过程中，eDAI?和?dDAI?会被转移到清算合约。但是，由于坏账额度非常大，清算合约会应用最大折扣进行清算。清算结束后，清算合约拥有?310.93?M?个?eDAI?和?259.31?M?个?dDAI。

此时，用户账本的健康状态已恢复，用户可以提取资金。可提取的金额是?eDAI?和?dDAI?的差值。但池子中实际上只有?3890?万?DAI，所以用户只能提取这部分金额。

2BonqDAO?安全事件

事件概要

2?月?1?日，加密协议?BonqDAO?遭到价格操控攻击，攻击者铸造了?1?亿个?BEUR?代币，然后在Uniswap上将BEUR换成其他代币，ALBT?价格下降到几乎为零，这进一步引发了ALBT宝库的清算。按照黑客攻击时的代币价格，损失高达?8800?万美元，但是由于流动性耗尽，事件实际损失在?185?万美元左右。

漏洞分析

本次攻击事件攻击者共进行了两种方式的攻击，一种是控制价格大量借出代币，另一种是控制价格清算他人财产从而获利。

BonqDAO平台采用的预言机使用函数‘getCurrentValue’而不是‘getDataBefore’。

黑客通过质押?10?个?TRB?代币成为了价格报告者，并通过调用submitValue函数修改预言机中WALBT代币的价格。价格设置完成之后，攻击者调用?Bonq?合约的?createTrove?函数，创建?trove?合约，并向该合约中抵押了?0.1?个?WALBT?代币进行借款操作。正常来说，借款额度应该是小于?0.1?个?WALBT?的价格，从而保证抵押率维持在一个安全的范围，但是在本合约的借贷过程中，计算抵押物价值的方式是通过?TellorFlex?合约来进行实现的。而在上一步，攻击者已经把?WALBT?价格拉得异常高，导致攻击者在本次借款中，借出了?1?亿枚?BEUR?代币。

攻击者在第二笔交易中将?WALBT?价格设置得异常低，从而使用少量的成本将其他用户所抵押的?WALBT?代币清算出来。

3PlatypusFinance?安全事件

事件概要

2?月?17?日，Avalanche平台的?PlatypusFinance?因函数检查机制问题遭到攻击，损失约?850?万美元。然而攻击者并没有在合约中实现提现功能，导致攻击收益存放在攻击合约内无法提取。

2?月?23?日，Platypus?表示，已经联系了?Binance?并确认了黑客身份，并表示将至少向用户偿还?63%?的资金。

2?月?26?日，法国国家警察已经逮捕并传唤了两名攻击?Platypus?的嫌疑人。

漏洞分析

攻击原因是?MasterPlatypusV?4?合约中的?emergencyWithdraw?函数检查机制存在问题，仅检测了用户的借贷额是否超过该用户的?borrowLimitUSP，而没有检查用户是否归还债务的情况。

攻击者首先通过?AAVE?合约闪电贷借出?4400?万枚的USDC存入?Pool?合约中，然后?mint?了?4400?万枚?LP-USDC。接着攻击者调用?borrow?函数借出了?4179?万枚?USP，下一步立马调用了?EmergencyWithdraw?函数。

在?EmergencyWithdraw?函数中有一个?isSolvent?函数来验证借贷的余额超过可借贷最大值，返回?true?就可以进入?transfer?操作，而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的?4400?万枚?LP-USDC。

资金流向分析

2023?年第一季度，约有$?200,?146,?821?的被盗资产得以追回，占所有被盗资产的?67.8%?。其中，EulerFinance被盗的?1.97?亿美元资产已经全部被黑客返还。更多追回的例子包括：?2?月?13?日，攻击?dForce?的黑客返还了全部盗取的?365?万美元资金；3?月?7?日，攻击?Tender.fi?的白帽黑客返还了盗取资金并获得了?62ETH的赏金。本季度资金追回的情况优于?2022?年的任何一个季度。

BeosinKYT?反分析平台发现约有?2313?万美元的资产转入了TornadoCash，另外有?254?万美元的资产转入了其他混币器。和去年相比，本季度转入混币器的被盗资金比例大幅度减少。事实上，从去年?8?月?TornadoCash?遭受制裁以来，转入?TornadoCash?的被盗资金比例自?2022?年Q3开始就呈现持续下降趋势。

同时，BeosinKYT?反分析平台发现约有?6002?万美元的资产还停留在黑客地址余额。还有约?932?万美元的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件，少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因，让黑客有了将赃款转入交易所的可乘之机。

项目审计情况分析

2023?年第一季度遭到攻击的项目中，除开?8?个无法用是否审计衡量的事件，在剩下被攻击的项目中，接受过审计的有?28?个，未接受审计的有?25?个。

本季度共有?27?起合约漏洞利用导致的攻击事件，其中审计过的项目有?15?个，未审计的有?12?个。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对，选择专业的审计公司才能让项目安全得到有效的保障。

RugPull分析

2023?年第一季度，Web3领域共监测到主要?RugPull?事件?41?起，涉及金额约2034?万美元。

从金额来看，?6?起RugPull?事件金额在?100?万美元之上，?10?万至?100?万美元区间的事件共?12?起，?10?万美元以下的事件共?23?起。

41?起?RugPull?事件中，有?34?个项目部署在BNBChain，占到了?83%?。为何众多项目选择?BNBChain?呢？原因可能有如下几点：

1?）BNBChainGAS?费用更低，出块时间间隔也更短。

2?）BNBChain?活跃用户更多。项目会优先选择活跃用户多的公链。

3?）BNBChain?的用户使用?Binance?出入金更方便快捷。

2023Q1安全态势总结

从总体上来看，?2023?年第一季度攻击事件总损失金额低于?2022?年任何一个季度，资金追回情况也优于?2022?年所有季度。在黑客猖獗的?2022?年过去之后，Web3领域的总体安全性在这一季度得到了较大的提升。

DeFi?为本季度被攻击频次最高、损失金额最多的项目类型。DeFi?领域共发生?42?次安全事件，其中?22?次都源自合约漏洞利用。如果寻找专业的安全公司进行审计，其中绝大部分漏洞都可以在审计阶段被发现和进行修复。

本季度用户安全也是值得关注的重点。随着本季度?Blur?带领?NFT?市场重回火热，随之而来的?NFT?钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件--每一个环节都必须时刻保持警惕。

本季度?RugPull?事件依旧频发，其中?56%?的项目跑路金额在?10?万美元以下。这类项目通常官网、推特、电报、Github?等信息缺失，没有?Roadmap?或白皮书，团队成员信息可疑，项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查，避免资金遭受损失。

关于Beosin

Beosin?作为一家全球领先的区块链安全公司，在全球?10?多个国家和地区设立了分部，业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规?KYT/AML?等“一站式”区块链安全产品+服务，目前已为全球?3000?多个区块链企业提供安全技术服务，审计智能合约超过?3000?份，保护客户资产高达?5000?多亿美元。

标签：SINEOSANCDAIBUSINESSES价格EOSC价格Xend FinanceYFDAI

中币热门资讯