数据图表可在此处查阅:FootprintAnalytics:CryptoAnalysisDashboards2023第一季度Web3安全态势综述
2023年第一季度,据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件61起,总损失金额约为2.95亿美元,较2022年第4季度下降了约77%。2023年第一季度的总损失金额低于2022年的任何一个季度。除攻击事件外,2023年第一季度还监测到主要RugPull事件41起,涉及金额约2034万美元。
从月份来看,3月为攻击事件频发的一个月,总损失金额达到了2.35亿美元,占第一季度总损失金额的79.7%。从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42次安全事件总损失金额达到了2.48亿美元,占总损失金额的84%。从链平台类型来看,80.8%的损失金额来自Ethereum,居所有链平台的第一位。从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击,8次闪电贷事件损失约1.98亿美元;攻击手法频率最高的为合约漏洞利用,27次攻击占所有事件数量的44%。从资金流向来看,本季度约有2亿美元的被盗资产得以追回。本季度资金追回的情况优于2022年的任何一个季度。从审计情况来看,被攻击的项目中,仅有41%的项目经过了审计。攻击事件总览
2023年第一季度,BeosinEagleEye安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件61起,总损失金额约为2.95亿美元。其中损失金额超过1亿美元的安全事件共1起。损失1000万美元-1亿美元区间的事件2起,100万美元-1000万美元区间的事件17起。
Beosin:jimbos protocol 项目疑似遭受攻击,累计损失约750万美元:金色财经报道,据区块链安全审计公司Beosin旗下Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,2023年5月28日,jimbos protocol项目疑似遭受攻击,目前被盗资金已经通过跨链协议转移到以太坊上的0x5f3开头的地址,到目前该笔资金仍存放在该地址上。[2023/5/28 9:46:42]
从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3月为攻击事件频发的一个月,总损失金额达到了2.35亿美元,占第一季度总损失金额的79.7%。被攻击项目类型
84%的损失金额来自DeFi类型
随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi的TVL随着币价在一季度震荡回升。
2023年第一季度,DeFi类型项目共发生42次安全事件,占总事件数量的68.9%。DeFi总损失金额达到了2.48亿美元,占总损失金额的84%。DeFi为本季度被攻击频次最高、损失金额最多的项目类型。
NFT类型损失金额排名第二,主要来自于NFT钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第2-4位均和用户安全紧密相关。2023年第一季度仅发生了1次跨链桥安全事件,损失金额为13万美元。而在2022年,12次跨链桥安全事件共造成了约18.9亿美元损失,居所有项目类型损失的第一位。在2022年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。
区块链智能标签技术公司Beontag完成1.2亿欧元债务融资:1月17日消息,区块链智能标签技术公司 Beontag 宣布通过其全资子公司 Tag Lux Sarl. 完成 1.2 亿欧元债务融资,德意志银行领投。Beontag 推出的智能标签技术能让 Web2 和 Web3 领域里的品牌商为客户提供基于智能手机的售后服务和体验,其智能标签使消费者可以访问详细说明产品生命周期的链上数字证书,还可以让消费者以转售为目的转让所有权,其客户包括 Alexander McQueen、Dolce & Gabbana 和 Bulgari 等奢侈品牌。[2023/1/17 11:16:52]
各链平台损失金额情况
80.8%的损失金额来自Ethereum
2023年第一季度,Ethereum链上共发生主要攻击事件17起,损失金额约为2.38亿美元。Ethereum链上损失金额居所有链平台的第一位,占比约80.8%。
BNBChain上监测到了最多的攻击事件,达到了31起。其总损失为1948万美元,排所有链平台损失的第二位。损失排名第三的公链为Algorand,损失来自于MyAlgo钱包被盗事件。Algorand链在2022年没有发生过主要安全事件。值得一提的是,2022年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。
攻击手法分析
Beosin:SEAMAN合约遭受漏洞攻击简析:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月29日,SEAMAN合约遭受漏洞攻击。Beosin分析发现是由于SEAMAN合约在每次transfer函数时,都会将SEAMAN代币兑换为凭证代币GVC,而SEAMAN代币和GVC代币分别处于两个交易对,导致攻击者可以利用该函数影响其中一个代币的价格。
攻击者首先通过50万BUSD兑换为GVC代币,接下来攻击者调用SEAMAN合约的transfer函数并转入最小单位的SEAMAN代币,此时会触发合约将能使用的SEAMAN代币兑换为GVC,兑换过程是合约在BUSD-SEAMAN交易对中将SEAMAN代币兑换为BUSD,接下来在BUSD-GVC交易对中将BUSD兑换为GVC,攻击者通过多次调用transfer函数触发_splitlpToken()函数,并且会将GVC分发给lpUser,会消耗BUSD-GVC交易对中GVC的数量,从而抬高了该交易对中GVC的价格。最后攻击者通过之前兑换的GVC兑换了50.7万的BUSD,获利7781 BUSD。Beosin Trace追踪发现被盗金额仍在攻击者账户(0x49fac69c51a303b4597d09c18bc5e7bf38ecf89c),将持续关注资金走向。[2022/11/29 21:10:04]
本季度损失金额最高的攻击手法为闪电贷,8次闪电贷事件损失约1.98亿美元,占所有损失金额的67%。
攻击手法频率最高的为合约漏洞利用,27次攻击占所有事件数量的44%。合约漏洞共造成3905万美元的损失,为所有攻击类型损失金额的第二位。2023年第一季度,DeFi类型项目被攻击了42次,其中有22次都源于合约漏洞利用。DeFi项目方需要尤其注重合约的安全性。按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17次业务逻辑/函数设计不当漏洞共造成了2244万美元的损失。
Beosin:分布式资本创始人沈波目前被盗资金已经大部分兑换为DAI:金色财经报道,根据区块链安全审计公司Beosin旗下Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,2022年11月23日,分布式资本创始人沈波发布消息表示个人钱包被盗,被盗资金约4200万美元。通过分析USDC的转账交易,定位到该笔攻击交易(0xf6ff8f672e41b8cfafb20881f792022f6573bd9fbf4f00acaeea97bbc2f6e4f7)。由于该笔交易是由0x6be85603322df6DC66163eF5f82A9c6ffBC5e894地址发起,因此认定为私钥泄露。目前被盗资金已经大部分兑换为DAI,并且转移到0x4ac9ca41efe0ea19b8f3493a91d8a5f706e1e8f
9和0x66F62574ab04989737228D18C3624f7FC1edAe14地址中,还有1606个Ether在0x24B93EED37e6FfE948A9bdF365d750B52AdCBC2e。再次提醒用户注意钱包安全。Beosin Trace将持续对黑地址异动进行监控。[2022/11/23 8:00:14]
典型案例攻击手法分析
1EulerFinance安全事件
事件概要3月13日,Ethereum链上的借贷项目EulerFinance遭到闪电贷攻击,损失达到了1.97亿美元。3月16日,Euler基金会悬赏100万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。3月17日,EulerLabs首席执行官MichaelBentley发推文表示,Euler“一直是一个安全意识强的项目”。从2021年5月至2022年9月,EulerFinance接受了Halborn、Solidified、ZKLabs、Certora、Sherlock和Omnisica等6家区块链安全公司的10次审计。从3月18日开始至4月4日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
4月4日,EulerLabs在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。漏洞分析在本次攻击中,Etoken合约的donateToReserves函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了1亿个eDAI,而实际上攻击者只质押了3000万个DAI。由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI和dDAI会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有310.93M个eDAI和259.31M个dDAI。此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是eDAI和dDAI的差值。但池子中实际上只有3890万DAI,所以用户只能提取这部分金额。
2BonqDAO安全事件
事件概要2月1日,加密协议BonqDAO遭到价格操控攻击,攻击者铸造了1亿个BEUR代币,然后在Uniswap上将BEUR换成其他代币,ALBT价格下降到几乎为零,这进一步引发了ALBT宝库的清算。按照黑客攻击时的代币价格,损失高达8800万美元,但是由于流动性耗尽,事件实际损失在185万美元左右。漏洞分析本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。BonqDAO平台采用的预言机使用函数‘getCurrentValue’而不是‘getDataBefore’。黑客通过质押10个TRB代币成为了价格报告者,并通过调用submitValue函数修改预言机中WALBT代币的价格。价格设置完成之后,攻击者调用Bonq合约的createTrove函数,创建trove合约,并向该合约中抵押了0.1个WALBT代币进行借款操作。正常来说,借款额度应该是小于0.1个WALBT的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过TellorFlex合约来进行实现的。而在上一步,攻击者已经把WALBT价格拉得异常高,导致攻击者在本次借款中,借出了1亿枚BEUR代币。攻击者在第二笔交易中将WALBT价格设置得异常低,从而使用少量的成本将其他用户所抵押的WALBT代币清算出来。3PlatypusFinance安全事件
事件概要2月17日,Avalanche平台的PlatypusFinance因函数检查机制问题遭到攻击,损失约850万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。2月23日,Platypus表示,已经联系了Binance并确认了黑客身份,并表示将至少向用户偿还63%的资金。2月26日,法国国家警察已经逮捕并传唤了两名攻击Platypus的嫌疑人。漏洞分析攻击原因是MasterPlatypusV4合约中的emergencyWithdraw函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的borrowLimitUSP,而没有检查用户是否归还债务的情况。攻击者首先通过AAVE合约闪电贷借出4400万枚的USDC存入Pool合约中,然后mint了4400万枚LP-USDC。接着攻击者调用borrow函数借出了4179万枚USP,下一步立马调用了EmergencyWithdraw函数。
在EmergencyWithdraw函数中有一个isSolvent函数来验证借贷的余额超过可借贷最大值,返回true就可以进入transfer操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的4400万枚LP-USDC。资金流向分析
2023年第一季度,约有$200,146,821的被盗资产得以追回,占所有被盗资产的67.8%。其中,EulerFinance被盗的1.97亿美元资产已经全部被黑客返还。更多追回的例子包括:2月13日,攻击dForce的黑客返还了全部盗取的365万美元资金;3月7日,攻击Tender.fi的白帽黑客返还了盗取资金并获得了62ETH的赏金。本季度资金追回的情况优于2022年的任何一个季度。
BeosinKYT反分析平台发现约有2313万美元的资产转入了TornadoCash,另外有254万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年8月TornadoCash遭受制裁以来,转入TornadoCash的被盗资金比例自2022年Q3开始就呈现持续下降趋势。同时,BeosinKYT反分析平台发现约有6002万美元的资产还停留在黑客地址余额。还有约932万美元的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。项目审计情况分析
2023年第一季度遭到攻击的项目中,除开8个无法用是否审计衡量的事件,在剩下被攻击的项目中,接受过审计的有28个,未接受审计的有25个。本季度共有27起合约漏洞利用导致的攻击事件,其中审计过的项目有15个,未审计的有12个。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。
RugPull分析
2023年第一季度,Web3领域共监测到主要RugPull事件41起,涉及金额约2034万美元。从金额来看,6起RugPull事件金额在100万美元之上,10万至100万美元区间的事件共12起,10万美元以下的事件共23起。
41起RugPull事件中,有34个项目部署在BNBChain,占到了83%。为何众多项目选择BNBChain呢?原因可能有如下几点:1)BNBChainGAS费用更低,出块时间间隔也更短。2)BNBChain活跃用户更多。项目会优先选择活跃用户多的公链。3)BNBChain的用户使用Binance出入金更方便快捷。
2023Q1安全态势总结
从总体上来看,2023年第一季度攻击事件总损失金额低于2022年任何一个季度,资金追回情况也优于2022年所有季度。在黑客猖獗的2022年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。DeFi为本季度被攻击频次最高、损失金额最多的项目类型。DeFi领域共发生42次安全事件,其中22次都源自合约漏洞利用。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。本季度用户安全也是值得关注的重点。随着本季度Blur带领NFT市场重回火热,随之而来的NFT钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件--每一个环节都必须时刻保持警惕。本季度RugPull事件依旧频发,其中56%的项目跑路金额在10万美元以下。这类项目通常官网、推特、电报、Github等信息缺失,没有Roadmap或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。关于Beosin
Beosin作为一家全球领先的区块链安全公司,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务,目前已为全球3000多个区块链企业提供安全技术服务,审计智能合约超过3000份,保护客户资产高达5000多亿美元。
上周,比特币突破31000美元,以太坊突破2100美元,纷纷创下过去10个月以来的新高,极大刺激了市场的交易情绪,「牛回」等各种口号响彻各大加密社区.
1900/1/1 0:00:00加密交易所TraderJoe是交易量排名前五的DEX,原本是AVAX上最大的DEX,在去年底择扩展到Arbitrum生态上后“火力全开”,吸引了大量流动性的同时,原生代币JOE也不断高涨.
1900/1/1 0:00:00昨日,知名BAYC持有者Franklin在社交媒体发文称,由于自己需要紧急处理一些债务问题,他不得不在流动性尚可的情况下抛售大量BAYC,以偿还BendDAO贷款.
1900/1/1 0:00:00主持人:Patrick,蓝驰创投嘉宾:肖风,万向区块链董事长及HashKeyGroup董事长整理:Amber,ForesightNews本文为以太坊上海升级共学系列活动中.
1900/1/1 0:00:003月16日,Arbitrum官方宣布将向社区分发空投激励,引起市场广泛关注,也让很多人坐上了财富列车.
1900/1/1 0:00:00未来两周共有7种代币将迎来解锁。本周,Galxe、ImmutableX解锁。次周,5个项目将迎来代币解锁,分别为Acala、Euler、Ronin、YieldGuildGames、X2Y2.
1900/1/1 0:00:00