数据图表可在此处查阅:FootprintAnalytics:CryptoAnalysisDashboards
2023?第一季度Web3安全态势综述
2023?年第一季度,据区块链安全审计公司?Beosin?旗下?BeosinEagleEye?安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件?61?起,总损失金额约为?2.95?亿美元,较?2022?年第?4?季度下降了约?77%?。2023?年第一季度的总损失金额低于?2022?年的任何一个季度。
除攻击事件外,?2023?年第一季度还监测到主要?RugPull?事件?41?起,涉及金额约?2034?万美元。
从月份来看,3?月为攻击事件频发的一个月,总损失金额达到了?2.35?亿美元,占第一季度总损失金额的?79.7%?。
从被攻击项目类型来看,DeFi为本季度被攻击频次最高、损失金额最多的项目类型。42?次安全事件总损失金额达到了?2.48?亿美元,占总损失金额的?84%?。
从链平台类型来看,80.8%?的损失金额来自?Ethereum,居所有链平台的第一位。
从攻击手法来看,本季度损失金额最高的攻击手法为闪电贷攻击,?8?次闪电贷事件损失约?1.98?亿美元;攻击手法频率最高的为合约漏洞利用,?27?次攻击占所有事件数量的?44%?。
从资金流向来看,本季度约有?2?亿美元的被盗资产得以追回。本季度资金追回的情况优于?2022?年的任何一个季度。
从审计情况来看,被攻击的项目中,仅有?41%?的项目经过了审计。
攻击事件总览
2023?年第一季度,BeosinEagleEye?安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件?61?起,总损失金额约为?2.95?亿美元。其中损失金额超过?1?亿美元的安全事件共?1?起。损失?1000?万美元-1?亿美元区间的事件?2?起,?100?万美元-1000?万美元区间的事件?17?起。
区块链安全公司Beosin宣布完成近2000万美元A轮战略融资:金色财经报道,区块链核心安全服务厂商Beosin宣布完成近2000万美元战略融资,投资人为知名产业方,多家老股东跟投。Beosin是一家全球领先的区块链安全公司,其核心业务包括智能合约安全审计,区块链项目安全风险监控、预警与阻断,被盗虚拟资产追回,KYT/AML等“一站式”安全产品+服务解决方案,目前已为全球2000多个区块链企业服务,保护客户资产高达5000多亿美元。新资金将用于区块链安全新技术研发,生态建设和全球市场布局。[2022/11/3 12:12:23]
从总体来看,第一季度攻击事件损失金额呈现逐月增加的趋势。3?月为攻击事件频发的一个月,总损失金额达到了?2.35?亿美元,占第一季度总损失金额的?79.7%?。
被攻击项目类型
84%?的损失金额来自?DeFi?类型
随着长达数月的下行和多次黑天鹅事件清杠杆,加密市场触底反弹。DeFi?的?TVL?随着币价在一季度震荡回升。
2023?年第一季度,DeFi?类型项目共发生?42?次安全事件,占总事件数量的?68.9%?。DeFi?总损失金额达到了?2.48?亿美元,占总损失金额的?84%?。DeFi?为本季度被攻击频次最高、损失金额最多的项目类型。
NFT类型损失金额排名第二,主要来自于?NFT?钓鱼事件。排名第三的类型为个人用户,该类别均为钓鱼攻击。损失金额的第四位为钱包攻击事件。从类型上来看,损失金额的第?2-4?位均和用户安全紧密相关。
2023?年第一季度仅发生了?1?次跨链桥安全事件,损失金额为?13?万美元。而在?2022?年,?12?次跨链桥安全事件共造成了约?18.9?亿美元损失,居所有项目类型损失的第一位。在?2022?年跨链桥安全事件频发后,跨链桥项目的安全性在本季度得到了较大的提升。
Beosin:10月区块链生态安全事件损失总金额约9亿8104万美元:金色财经报道,据 Beosin EagleEye 安全预警与监控平台监测显示,2022 年 10 月,各类安全事件数量和涉及金额较 9 月大幅上升。10 月发生较典型安全事件超 25 起,其中攻击类安全事件损失总金额约 9.8104 亿美元,约为 9 月损失金额的 5.97 倍。10 月为 2022 年以来区块链领域损失金额最高的一个月,有 60% 的攻击事件来自合约漏洞利用。[2022/10/31 12:01:06]
各链平台损失金额情况
80.8%?的损失金额来自?Ethereum
2023?年第一季度,Ethereum?链上共发生主要攻击事件?17?起,损失金额约为?2.38?亿美元。Ethereum?链上损失金额居所有链平台的第一位,占比约?80.8%?。
BNBChain?上监测到了最多的攻击事件,达到了?31?起。其总损失为?1948?万美元,排所有链平台损失的第二位。
损失排名第三的公链为Algorand,损失来自于?MyAlgo?钱包被盗事件。Algorand?链在?2022?年没有发生过主要安全事件。
值得一提的是,?2022?年Solana链上损失金额排所有公链的第三位,而在本季度并未监测到主要攻击事件。
攻击手法分析
Beosin:ULME代币项目遭受黑客攻击事件简析:金色财经报道,10月25日,据Beosin EagleEye 安全预警与监控平台检测显示,ULME代币项目被黑客攻击,目前造成50646 BUSD损失,黑客首先利用闪电贷借出BUSD,由于用户前面给ULME合约授权,攻击者遍历了对合约进行授权的地址,然后批量转出已授权用户的BUSD到合约中,提高价格ULME价格,然后黑客卖掉之前闪电贷借出的ULME,赚取BUSD,归还闪电贷获利离场。Beosin安全团队建议用户用户取消BUSD对ULME合约的授权并及时转移资金减少损失。[2022/10/25 16:38:21]
本季度损失金额最高的攻击手法为闪电贷,?8?次闪电贷事件损失约?1.98?亿美元,占所有损失金额的?67%?。
攻击手法频率最高的为合约漏洞利用,?27?次攻击占所有事件数量的?44%?。合约漏洞共造成?3905?万美元的损失,为所有攻击类型损失金额的第二位。
2023?年第一季度,DeFi?类型项目被攻击了?42?次,其中有?22?次都源于合约漏洞利用。DeFi?项目方需要尤其注重合约的安全性。
按照漏洞类型细分,造成损失最多的前三名分别是业务逻辑/函数设计不当、权限问题和重入。17?次业务逻辑/函数设计不当漏洞共造成了?2244?万美元的损失。
典型案例攻击手法分析
1EulerFinance?安全事件
事件概要
3?月?13?日,Ethereum链上的借贷项目EulerFinance遭到闪电贷攻击,损失达到了1.97亿美元。
3?月?16?日,Euler?基金会悬赏?100?万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。
Beosin:QANplatform跨链桥遭受黑客攻击,涉及金额约189万美元:10月11日消息,据Beosin EagleEye Web3安全预警与监控平台监测显示,QANplatform跨链桥项目遭受黑客攻击。攻击交易为以下两笔0xf93047e41433d73ddf983cfa008aeb356ec89803c0a92b0e97ccdc6c42a13f51(bsc),
0x048a1a71fd41102c72427cc1d251f4ecbf70558562564306e919f66fd451fe82(eth)。
Beosin安全团队分析发现攻击者首先使用0x68e8198d5b3b3639372358542b92eb997c5c314地址(因为0x68e819是创建跨链桥地址,所以该地址应该属于项目方。)调用跨链桥合约中的bridgeWithdraw函数提取QANX代币,然后把QANX代币兑换为相应平台币。存放在攻击者地址上(0xF163A6cAB228085935Fa6c088f9Fc242AFD4FB11)。目前被盗资金中还存放在攻击者地址,Beosin安全团队将持续跟踪。Beosin Trace将对被盗资金进行持续追踪。[2022/10/11 10:31:06]
3?月?17?日,EulerLabs?首席执行官?MichaelBentley?发推文表示,Euler“一直是一个安全意识强的项目”。从?2021?年?5?月至?2022?年?9?月,EulerFinance?接受了?Halborn、Solidified、ZKLabs、Certora、Sherlock?和?Omnisica?等?6?家区块链安全公司的?10?次审计。
从?3?月?18?日开始至?4?月?4?日,攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉,称自己“搅乱了别人的钱,别人的工作,别人的生活”并请求大家的原谅。
4?月?4?日,EulerLabs?在推特上表示,经过成功协商,攻击者已归还了所有盗取资金。
漏洞分析
在本次攻击中,Etoken?合约的?donateToReserves?函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞,捐赠了?1?亿个?eDAI,而实际上攻击者只质押了?3000?万个?DAI。
LLE智能合约已通过Beosin(成都链安)的安全审计:据官方消息,Beosin(成都链安)今日已完成LLE智能合约项目的安全审计服务。
猎豹金融生态系统(Leopard lending ecology)是在以太坊区块链上的智能协议,以该协议为中心建立货币服务市场,服务市场是基于资产借贷需求,以计算得出利率。资产的供应商直接与协议进行交互,从而赚取浮动利率,而无需等待协商利率或抵押品等条款。
创始人Willians表示:我们LLE智能合约的整体设计清晰,逻辑缜密,代码安全可靠,具备了区块链上顶级去中心化金融项目条件之一。
合约地址:0xa1521aA6FE752195418ddbADB5A0c331608416B1;
审计报告编号:202009222010。[2020/9/24]
由于捐赠后,用户账本的健康状态符合清算条件,借贷合约被触发清算。清算过程中,eDAI?和?dDAI?会被转移到清算合约。但是,由于坏账额度非常大,清算合约会应用最大折扣进行清算。清算结束后,清算合约拥有?310.93?M?个?eDAI?和?259.31?M?个?dDAI。
此时,用户账本的健康状态已恢复,用户可以提取资金。可提取的金额是?eDAI?和?dDAI?的差值。但池子中实际上只有?3890?万?DAI,所以用户只能提取这部分金额。
2BonqDAO?安全事件
事件概要
2?月?1?日,加密协议?BonqDAO?遭到价格操控攻击,攻击者铸造了?1?亿个?BEUR?代币,然后在Uniswap上将BEUR换成其他代币,ALBT?价格下降到几乎为零,这进一步引发了ALBT宝库的清算。按照黑客攻击时的代币价格,损失高达?8800?万美元,但是由于流动性耗尽,事件实际损失在?185?万美元左右。
漏洞分析
本次攻击事件攻击者共进行了两种方式的攻击,一种是控制价格大量借出代币,另一种是控制价格清算他人财产从而获利。
BonqDAO平台采用的预言机使用函数‘getCurrentValue’而不是‘getDataBefore’。
黑客通过质押?10?个?TRB?代币成为了价格报告者,并通过调用submitValue函数修改预言机中WALBT代币的价格。价格设置完成之后,攻击者调用?Bonq?合约的?createTrove?函数,创建?trove?合约,并向该合约中抵押了?0.1?个?WALBT?代币进行借款操作。正常来说,借款额度应该是小于?0.1?个?WALBT?的价格,从而保证抵押率维持在一个安全的范围,但是在本合约的借贷过程中,计算抵押物价值的方式是通过?TellorFlex?合约来进行实现的。而在上一步,攻击者已经把?WALBT?价格拉得异常高,导致攻击者在本次借款中,借出了?1?亿枚?BEUR?代币。
攻击者在第二笔交易中将?WALBT?价格设置得异常低,从而使用少量的成本将其他用户所抵押的?WALBT?代币清算出来。
3PlatypusFinance?安全事件
事件概要
2?月?17?日,Avalanche平台的?PlatypusFinance?因函数检查机制问题遭到攻击,损失约?850?万美元。然而攻击者并没有在合约中实现提现功能,导致攻击收益存放在攻击合约内无法提取。
2?月?23?日,Platypus?表示,已经联系了?Binance?并确认了黑客身份,并表示将至少向用户偿还?63%?的资金。
2?月?26?日,法国国家警察已经逮捕并传唤了两名攻击?Platypus?的嫌疑人。
漏洞分析
攻击原因是?MasterPlatypusV?4?合约中的?emergencyWithdraw?函数检查机制存在问题,仅检测了用户的借贷额是否超过该用户的?borrowLimitUSP,而没有检查用户是否归还债务的情况。
攻击者首先通过?AAVE?合约闪电贷借出?4400?万枚的USDC存入?Pool?合约中,然后?mint?了?4400?万枚?LP-USDC。接着攻击者调用?borrow?函数借出了?4179?万枚?USP,下一步立马调用了?EmergencyWithdraw?函数。
在?EmergencyWithdraw?函数中有一个?isSolvent?函数来验证借贷的余额超过可借贷最大值,返回?true?就可以进入?transfer?操作,而没有考虑验证负债金额是否已经偿还的情况。所以攻击者可以在没有偿还债务的情况下直接调用成功提取出之前质押的?4400?万枚?LP-USDC。
资金流向分析
2023?年第一季度,约有$?200,?146,?821?的被盗资产得以追回,占所有被盗资产的?67.8%?。其中,EulerFinance被盗的?1.97?亿美元资产已经全部被黑客返还。更多追回的例子包括:?2?月?13?日,攻击?dForce?的黑客返还了全部盗取的?365?万美元资金;3?月?7?日,攻击?Tender.fi?的白帽黑客返还了盗取资金并获得了?62ETH的赏金。本季度资金追回的情况优于?2022?年的任何一个季度。
BeosinKYT?反分析平台发现约有?2313?万美元的资产转入了TornadoCash,另外有?254?万美元的资产转入了其他混币器。和去年相比,本季度转入混币器的被盗资金比例大幅度减少。事实上,从去年?8?月?TornadoCash?遭受制裁以来,转入?TornadoCash?的被盗资金比例自?2022?年Q3开始就呈现持续下降趋势。
同时,BeosinKYT?反分析平台发现约有?6002?万美元的资产还停留在黑客地址余额。还有约?932?万美元的被盗资产转入了各交易所。转入交易所的事件大部分为涉及金额不高的攻击事件,少部分为一些过了几天才被公众关注到的钓鱼事件。由于关注度低或者关注延迟等原因,让黑客有了将赃款转入交易所的可乘之机。
项目审计情况分析
2023?年第一季度遭到攻击的项目中,除开?8?个无法用是否审计衡量的事件,在剩下被攻击的项目中,接受过审计的有?28?个,未接受审计的有?25?个。
本季度共有?27?起合约漏洞利用导致的攻击事件,其中审计过的项目有?15?个,未审计的有?12?个。整个市场审计质量依旧不容乐观。建议项目方在选择审计公司之前一定要多加比对,选择专业的审计公司才能让项目安全得到有效的保障。
RugPull分析
2023?年第一季度,Web3领域共监测到主要?RugPull?事件?41?起,涉及金额约2034?万美元。
从金额来看,?6?起RugPull?事件金额在?100?万美元之上,?10?万至?100?万美元区间的事件共?12?起,?10?万美元以下的事件共?23?起。
41?起?RugPull?事件中,有?34?个项目部署在BNBChain,占到了?83%?。为何众多项目选择?BNBChain?呢?原因可能有如下几点:
1?)BNBChainGAS?费用更低,出块时间间隔也更短。
2?)BNBChain?活跃用户更多。项目会优先选择活跃用户多的公链。
3?)BNBChain?的用户使用?Binance?出入金更方便快捷。
2023Q1安全态势总结
从总体上来看,?2023?年第一季度攻击事件总损失金额低于?2022?年任何一个季度,资金追回情况也优于?2022?年所有季度。在黑客猖獗的?2022?年过去之后,Web3领域的总体安全性在这一季度得到了较大的提升。
DeFi?为本季度被攻击频次最高、损失金额最多的项目类型。DeFi?领域共发生?42?次安全事件,其中?22?次都源自合约漏洞利用。如果寻找专业的安全公司进行审计,其中绝大部分漏洞都可以在审计阶段被发现和进行修复。
本季度用户安全也是值得关注的重点。随着本季度?Blur?带领?NFT?市场重回火热,随之而来的?NFT?钓鱼事件也大幅增加。仔细检查每一个链接是否是官网、检查签名内容、完整检查转账地址的正确性、从官方应用商店下载应用、安装防钓鱼插件--每一个环节都必须时刻保持警惕。
本季度?RugPull?事件依旧频发,其中?56%?的项目跑路金额在?10?万美元以下。这类项目通常官网、推特、电报、Github?等信息缺失,没有?Roadmap?或白皮书,团队成员信息可疑,项目上线到最后跑路周期不超过三个月。建议用户多多对项目进行背景调查,避免资金遭受损失。
关于Beosin
Beosin?作为一家全球领先的区块链安全公司,在全球?10?多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规?KYT/AML?等“一站式”区块链安全产品+服务,目前已为全球?3000?多个区块链企业提供安全技术服务,审计智能合约超过?3000?份,保护客户资产高达?5000?多亿美元。
标签:SINEOS区块链EFINew Guinea Singing InuEOSKINGDOM区块链存证velodromefinance币新闻
GPT-4的发布一石激起千层浪,相比GPT-3.5,新一代的GPT不但能看图说话、分析图表,甚至SAT数学能考700分,生物奥林匹克竞赛排名前1%,司法考试排名前10%.
1900/1/1 0:00:00自辞任港交所行政总裁之后,李小加与其合伙人张高波创立了滴灌通,在运行了近一年多以后,形成了创新资本“滴管式”投资中国小微企业的闭环,今日在澳门又创新性地成立滴灌通澳门金融资产交易所.
1900/1/1 0:00:00作者:Mike伴随着3月23日晚挤爆Arbitrum基金会官网的ARB申领盛况,加密市场的流动性与关注度都在加速涌入Arbitrum生态.
1900/1/1 0:00:00头条▌外媒:美国前总统特朗普被正式拘捕4月5日消息,当地时间4日下午,特朗普抵达位于纽约曼哈顿下城区的曼哈顿刑事法院,准备出庭接受传讯.
1900/1/1 0:00:00作者:Aave战略负责人MarcZeller翻译:金色财经0x25去中心化已经成为区块链和去中心化应用世界中的一个热门词汇.
1900/1/1 0:00:00使用权益证明的以太坊的独特性在于参与者数量的最大化设计。它允许成百上千和成千上万的验证者活跃地参与决策过程。在笔者撰文时已经有大约50万的验证者实体在活跃地参与这个过程.
1900/1/1 0:00:00