火星链 火星链
Ctrl+D收藏火星链

NBS:Beosin:2023年Q1全球Web3区块链安全态势报告

作者:

时间:1900/1/1 0:00:00

数据图表可在此处查阅:Footprint Analytics: Crypto Analysis Dashboards

2023 年第一季度,据区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元,较 2022 年第 4 季度下降了约 77% 。2023 年第一季度的总损失金额低于 2022 年的任何一个季度。

除攻击事件外, 2023 年第一季度还监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。

从月份来看,3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。

从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42 次安全事件总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。

从链平台类型来看,80.8% 的损失金额来自 Ethereum,居所有链平台的第一位。

从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击, 8 次闪电贷事件损失约 1.98 亿美元;攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。

从资金流向来看,本季度约有 2 亿美元的被盗资产得以追回。本季度资金追回的情况优于 2022 年的任何一个季度。

从审计情况来看,被攻击的项目中,仅有 41% 的项目经过了审计。

2023 年第一季度,Beosin EagleEye 安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件 61 起,总损失金额约为 2.95 亿美元。其中损失金额超过 1 亿美元的安全事件共 1 起(Euler Finance 闪电贷攻击事件损失 1.97 亿美元)。损失 1000 万美元-1 亿美元区间的事件 2 起, 100 万美元-1000 万美元区间的事件 17 起。

Beosin:Ara项目被攻击的根本原因是合约中处理权限存在漏洞:6月19日消息,Beosin Alert发推称,Ara项目被攻击的根本原因是合约中处理权限存在漏洞。0xB817开头地址批准了大量ARA与USDT交换合约,它没有限制从调用者转移的用于交换的资金。[2023/6/19 21:46:59]

从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3 月为攻击事件频发的一个月,总损失金额达到了 2.35 亿美元,占第一季度总损失金额的 79.7% 。

随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi 的 TVL 随着币价在一季度震荡回升。

2023 年第一季度,DeFi 类型项目共发生 42 次安全事件,占总事件数量的 68.9% 。DeFi 总损失金额达到了 2.48 亿美元 ,占总损失金额的 84% 。DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。

NFT类型损失金额排名第二(1852 万美元),主要来自于 NFT 钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第 2-4 位均和用户安全紧密相关。

2023 年第一季度仅发生了 1 次跨链桥安全事件,损失金额为 13 万美元。而在 2022 年, 12 次跨链桥安全事件共造成了约 18.9 亿美元损失,居所有项目类型损失的第一位。在 2022 年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。

2023 年第一季度,Ethereum 链上共发生主要攻击事件 17 起,损失金额约为 2.38 亿美元。Ethereum 链上损失金额居所有链平台的第一位,占比约 80.8% 。

Beosin与SUSS NiFT、NUS AIDF等共同成立“区块链生态安全联盟”:金色财经报道,9月24日,Web3安全公司Beosin宣布与SUSS NiFT、NUS AIDF、新加坡区块链协会、Fomo Pay、Coin Hako、Onchain Custodian、Paritybit、Semisand等在新加坡联合成立“区块链生态安全联盟”。未来,联盟成员将在区块链生态进行紧密合作,通过联盟整合区块链安全领域的技术创新,探索和建立区块链安全生态体系,促进区块链安全领域产学研合作和科技成果转化,营造良好的产业发展环境,推动区块链安全产业的发展。[2022/9/25 7:19:44]

BNB Chain 上监测到了最多的攻击事件,达到了 31 起。其总损失为 1948 万美元,排所有链平台损失的第二位。

损失排名第三的公链为Algorand,损失来自于 MyAlgo 钱包被盗事件。Algorand 链在 2022 年没有发生过主要安全事件。

值得一提的是, 2022 年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。

本季度损失金额最高的攻击手法为闪电贷, 8 次闪电贷事件损失约 1.98 亿美元,占所有损失金额的 67% 。

攻击手法频率最高的为合约漏洞利用, 27 次攻击占所有事件数量的 44% 。合约漏洞共造成 3905 万美元的损失,为所有攻击类型损失金额的第二位。

2023 年第一季度,DeFi 类型项目被攻击了 42 次,其中有 22 次都源于合约漏洞利用。DeFi 项目方需要尤其注重合约的安全性。

按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17 次业务逻辑/函数设计不当漏洞共造成了 2244 万美元的损失。

Beosin:Gnosis Omni Bridge跨链桥项目存在合约层面的重放漏洞:金色财经报道,Beosin 安全团队发现,在以太坊合并并分叉出 ETHW 后,Gnosis Omni Bridge跨链桥项目,由于合约代码中固定写死了chainID,而未真正验证当前所在链的chainID,导致合约在验证签名时能够在分叉链上验证通过。攻击者首先在 ETH 主网上通过omni Bridge 转移 WETH,随后将相同的交易内容在 ETHW 链上进行了重放,获取了等额的 ETHW。目前攻击者已经转移了 741 ETHW 到交易所。

Beosin 安全团队建议如果项目方合约里面预设了chainID,请先手动将chainId更新,即使项目方决定不支持ETHW,但是由于无法彻底隔绝通过跨链桥之间的资产流动,建议都在ETHW链上更新。[2022/9/19 7:04:46]

事件概要

3 月 13 日,Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击,损失达到了 1.97 亿美元。

3 月 16 日,Euler 基金会悬赏 100 万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3 月 17 日,Euler Labs 首席执行官 Michael Bentley 发推文表示,Euler“一直是一个安全意识强的项目”。从 2021 年 5 月至 2022 年 9 月,Euler Finance 接受了 Halborn、Solidified、ZK Labs、Certora、Sherlock 和 Omnisica 等 6 家区块链安全公司的 10 次审计。

从 3 月 18 日开始至 4 月 4 日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。

4 月 4 日,Euler Labs 在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。

漏洞分析

在本次攻击中,Etoken 合约的 donateToReserves 函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了 1 亿个 eDAI,而实际上攻击者只质押了 3000 万个 DAI。

仙人掌CTS智能合约已通过Beosin(成都链安)安全审计:据官方消息,Beosin(成都链安)近日已完成仙人掌CTS智能合约项目的安全审计服务。

?仙人掌CTS是基于波场底层打造的一个去中心化开放金融底层基础设施。结合跨链,同时包含去中心化稳定数字货币,去中心化预言机,去中心化保险,流动性挖矿,智能挖矿等等功能的创新和聚合,进而打造全面的去中心化金融平台。仙人掌CTS代币无ICO、零预挖且零私募,社区高度自治。仙人掌CTS将会在9月28日晚20点上线Justswap,并开启流动性挖矿。

合约地址:TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

审计报告编号:202009262149[2020/9/28]

由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI 和 dDAI 会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有 310.93 M 个 eDAI 和 259.31 M 个 dDAI。

此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是 eDAI 和 dDAI 的差值。但池子中实际上只有 3890 万 DAI,所以用户只能提取这部分金额。

2 月 1 日,加密协议 BonqDAO 遭到价格操控攻击,攻击者铸造了 1 亿个 BEUR 代币,然后在 Uniswap 上将 BEUR 换成其他代币,ALBT 价格下降到几乎为零,这进一步引发了 ALBT 宝库的清算。按照黑客攻击时的代币价格,损失高达 8800 万美元,但是由于流动性耗尽,事件实际损失在 185 万美元左右。

本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。

BonqDAO 平台采用的预言机使用函数 ‘getCurrentValue’ 而不是 ‘getDataBefore’。

黑客通过质押 10 个 TRB 代币(价值仅约 175 美元)成为了价格报告者,并通过调用 submitValue 函数修改预言机中 WALBT 代币的价格。价格设置完成之后,攻击者调用 Bonq 合约的 createTrove 函数,创建 trove 合约,并向该合约中抵押了 0.1 个 WALBT 代币进行借款操作。正常来说,借款额度应该是小于 0.1 个 WALBT 的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过 TellorFlex 合约来进行实现的。而在上一步,攻击者已经把 WALBT 价格拉得异常高,导致攻击者在本次借款中,借出了 1 亿枚 BEUR 代币。

REV智能合约已通过Beosin(成都链安)的安全审计:据官方消息,Justswap上的明星项目,REV团队释放出REV智能合约审计报告,由Beosin(成都链安)安全审计完成。

据了解,REV(Revolution Token)是基于区块链的新型社会实验型代币。其独特之处在于内嵌了交易燃烧、尾单博弈、持币分红三种独特的创新机制。

REV技术介绍:智能合约的整体设计清晰,逻辑缜密,代码安全靠谱,从性能和功能上完全具备了区块链顶级去中心化金融项目的一切条件。合约地址(认准唯一)

TSngG7y4RDSVG6QwoWM4MvVWJb3k8VLZJk。详情点击原文链接。[2020/9/16]

攻击者在第二笔交易中将 WALBT 价格设置得异常低,从而使用少量的成本将其他用户所抵押的 WALBT 代币清算出来。

2 月 17 日,Avalanche平台的 Platypus Finance 因函数检查机制问题遭到攻击,损失约 850 万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。

2 月 23 日,Platypus 表示,已经联系了 Binance 并确认了黑客身份,并表示将至少向用户偿还 63% 的资金。

2 月 26 日,法国国家警察已经逮捕并传唤了两名攻击 Platypus 的嫌疑人。

攻击原因是 MasterPlatypusV 4 合约中的 emergencyWithdraw 函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的 borrowLimitUSP(借贷上限),而没有检查用户是否归还债务的情况。

攻击者首先通过 AAVE 合约闪电贷借出 4400 万枚的USDC存入 Pool 合约中,然后 mint 了 4400 万枚 LP-USDC。接着攻击者调用 borrow 函数借出了 4179 万枚 USP,下一步立马调用了 EmergencyWithdraw 函数。

在 EmergencyWithdraw 函数中有一个 isSolvent 函数来验证借贷的余额超过可借贷最大值,返回 true 就可以进入 transfer 操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的 4400 万枚 LP-USDC。

2023 年第一季度,约有 $ 200, 146, 821 的被盗资产得以追回,占所有被盗资产的 67.8% 。其中,Euler Finance 被盗的 1.97 亿美元资产已经全部被黑客返还。更多追回的例子包括: 2 月 13 日,攻击 dForce 的黑客返还了全部盗取的 365 万美元资金;3 月 7 日,攻击 Tender.fi 的白帽黑客返还了盗取资金并获得了 62 ETH的赏金。本季度资金追回的情况优于 2022 年的任何一个季度。

Beosin KYT 反分析平台发现约有 2313 万美元(7.8% )的资产转入了Tornado Cash,另外有 254 万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年 8 月 Tornado Cash 遭受制裁以来,转入 Tornado Cash 的被盗资金比例自 2022 年Q3开始就呈现持续下降趋势。

同时,Beosin KYT 反分析平台发现约有 6002 万美元(20.3% )的资产还停留在黑客地址余额。还有约 932 万美元(3.1% )的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。

2023 年第一季度遭到攻击的项目中,除开 8 个无法用是否审计衡量的事件(如一些个人用户遭受的钓鱼攻击等),在剩下被攻击的项目中,接受过审计的有 28 个,未接受审计的有 25 个。

本季度共有 27 起合约漏洞利用导致的攻击事件,其中审计过的项目有 15 个(损失约 3119 万美元),未审计的有 12 个(损失约 786 万美元)。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。

2023 年第一季度,Web3领域共监测到主要 Rug Pull 事件 41 起,涉及金额约 2034 万美元。

从金额来看, 6 起(14.6% )Rug Pull 事件金额在 100 万美元之上, 10 万至 100 万美元区间的事件共 12 起(29.2% ), 10 万美元以下的事件共 23 起(56% )。

41 起 Rug Pull 事件中,有 34 个项目部署在BNB Chain,占到了 83% 。为何众多项目选择 BNB Chain 呢?原因可能有如下几点:

1 )BNB Chain GAS 费用更低,出块时间间隔也更短。

2 )BNB Chain 活跃用户更多。项目会优先选择活跃用户多的公链。

3 )BNB Chain 的用户使用 Binance 出入金更方便快捷。

从总体上来看, 2023 年第一季度攻击事件总损失金额低于 2022 年任何一个季度,资金追回情况也优于 2022 年所有季度。在黑客猖獗的 2022 年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。

DeFi 为本季度被攻击频次最高、损失金额最多的项目类型。DeFi 领域共发生 42 次安全事件,其中 22 次都源自合约漏洞利用(22 个项目审计和未审计的项目各有 11 个)。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。

本季度用户安全也是值得关注的重点。随着本季度 Blur 带领 NFT 市场重回火热,随之而来的 NFT 钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件 -- 每一个环节都必须时刻保持警惕。

本季度 Rug Pull 事件依旧频发,其中 56% 的项目跑路金额在 10 万美元以下。这类项目通常官网、推特、电报、Github 等信息缺失,没有 Roadmap 或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。

Beosin 作为一家全球领先的区块链安全公司,在全球 10 多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规 KYT/AML 等“一站式”区块链安全产品+服务,目前已为全球 3000 多个区块链企业提供安全技术服务,审计智能合约超过 3000 份,保护客户资产高达 5000 多亿美元。

Beosin

企业专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

金色早8点

白话区块链

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签:NBSBSPEOSSINnbs币未来价格BSPNetworkeos币还有希望吗ethnographyinbusiness答案

欧易交易所热门资讯
TIN:币安Launchpad上新惹争议:标准何在?原因为何?

争议之外,此次币安的 Launchpad 也被视为联手 Animoca Brands 在造教育风口.

1900/1/1 0:00:00
STU:当AI走进游戏 谁的盛宴?

游戏圈很久没有如此整齐划一地全面拥抱某项技术。近日,多名游戏行业人士告诉《科创板日报》记者,公司内部现在均已在对AI和ChatGPT进行研究讨论,思考将其更进一步应用于产品.

1900/1/1 0:00:00
ETH:金色早报 | 以太坊已完成Shapella升级

▌以太坊已完成Shapella升级金色财经报道,以太坊Shapella升级已在Epoch 194048时完成。数据显示,当前估计所有验证者在信标链上可提取的奖励为1,125,330ETH.

1900/1/1 0:00:00
BSP:品牌 NFT 项目在境外运营的法律合规事宜

继前 21/22 年 NFT 大爆发之后,我们看到 PFP NFT 业内已经建立了以 ABCD(Azuki、BAYC、Clonex Doodles)为标杆的 Web3 IP.

1900/1/1 0:00:00
DEFI:加密货币市场的5个积极看涨信号

持有ETH的看涨资产是有利可图的一年。在上周上海成功升级后,ETH开启上涨态势,该资产今年已经上涨了75%以上.

1900/1/1 0:00:00
CHAT:4 月大模型混战 华为阿里商汤都走到哪了?

3 月下旬,英伟达在美国加州总部举办了面向软件开发者的年度技术峰会 GTC。会上,创始人黄仁勋发布了专用于大语言模型部署的 GPU 推理平台——H100 NVL,其或将在推理阶段实现比现有最先进.

1900/1/1 0:00:00