[ad_1]
1 Q3 2022 区块链安全概述
共监测了 37 个重大漏洞,总损失约 4.05 亿美元
2022 年第三季度,Beosin EagleEye 监控了 Web3 领域的 37 多次重大攻击,总损失约 4.05 亿美元,比 2022 年第二季度的 7.1834 亿美元下降约 43.6%,比上一季度的损失 10.0258 亿美元下降 59.6%。 2021 年第三季度。
从 2022 年 1 月到 2022 年 9 月,Web3 空间因攻击而损失的资产总额为 23.1791 亿美元。
从每个月来看, 7 月的攻击显着减少,是自 2022 年以来攻击损失最小的一次。黑客活动在 8 月和 9 月显着增加。
从项目类型来看,92% 的损失来自跨链桥接和 DeFi 协议。 37 次攻击中有 22 次发生在 DeFi 领域。
在 TVL 方面,继5-6月TVL大幅下降后,本季度各链条TVL走势趋于稳定。 7月下旬至8月上旬TVL呈小幅上升趋势,也是本季度攻击次数和损失额最高的时期。
在链条方面, 本季度以太坊的亏损额达到 3.7428 亿美元,占总亏损的 92%。 被攻击次数最多的链是BNB Chain,达到了16次。
从攻击类型来看, 92% 的损失是由合约漏洞利用和私钥泄露造成的。
在资金流向方面, 大约 2.042 亿美元的被盗资金流入 Tornado Cash,约占该季度被盗资金的 50.4%。 本季度仅追回了约 4% 的被盗资金。
在审计方面, 只有 40% 的 rekt 项目得到了审计。
2 漏洞利用概述
与第二季度相比,第三季度的总体攻击下降了
2022 年第三季度,Web3 领域监测到 37 次重大攻击,总损失约为 4.05 亿美元。 损失超过 1 亿美元的攻击有 2 次,损失超过 1000 万美元的攻击有 3 次,损失超过 100 万美元的攻击有 14 次。 损失超过1亿美元的安全事件是 游牧桥 (1.9亿美元)和 冬寂 (1.6 亿美元)。
2022 年 8 月是本季度黑客最活跃的月份,损失约为 2.1062 亿美元。 7 月份攻击造成的总损失为 3005 万美元,是自 2022 年以来一个月内的最低损失。
3 rekt 项目的类型
跨链桥和 DeFi 项目占亏损额的 92%
2022年第三季度,三起跨链桥接攻击导致总损失约1.9025亿美元; DeFi 领域的 22 次攻击导致总损失 1.8679 亿美元。 大约 92% 的攻击损失量来自跨链桥接和 DeFi 协议。
截至2022年9月,2022年发生重大跨链桥安全事件10起,损失超过14亿美元。 跨链桥梁是 2022 年受攻击影响最严重的地区。
除了跨链桥和 DeFi 协议,本季度受到攻击的其他类型项目包括 NFT、交易所、DAO、钱包和 MEV 机器人,使其整体类型比上一季度更加多样化。
4 连锁损失金额
以太坊的损失达 3.743 亿美元
本季度以太坊发生 12 次重大攻击,总损失 3.7428 亿美元,在所有链中排名第一。 Solana 从 3 次攻击中损失了 1837 万美元。
连续两个季度遭受重大攻击的链包括以太坊、BNB Chain、Fantom 和 Avalanche。
BNB Chain 的攻击次数最多,有 16 个漏洞,其对应的项目均未经审计。 这 16 起攻击涉及的金额相对较小,有 14 起事件单次损失低于 50 万美元。
在经历了 5-6 月 TVL 的大幅下降后,本季度 TVL 跨链走势趋于稳定。 TVL在7月下旬至8月上旬呈小幅上升趋势,也是本季度攻击和损失金额最多的时期。 加密货币市场在 9 月份普遍小幅下跌。 9 月 15 日以太坊合并后,以太坊 TVL 连续小幅下跌。
5 攻击类型分析
92% 的损失是由合约漏洞利用和私钥泄露造成的
在第三季度,合约漏洞仍然是最常见的攻击类型。 约 15 次攻击是合约漏洞利用,占总数的 40.5%。 合同漏洞造成的总损失为 2.016 亿美元,占总损失的 50.9%。
本季度的四次私钥泄露造成了约 1.6724 亿美元的损失,是继合约漏洞利用之后的第二大损失。
与上一季度相比,本季度的攻击类型更加多样化。 本季度出现的新攻击类型包括 BGP 劫持、错误配置和供应链攻击。
按合约漏洞,本季度利用的主要漏洞包括:验证问题、重入、权限问题、设计不当的业务逻辑或功能、溢出漏洞。 这些漏洞在审计阶段都是可以发现和修复的。
6 典型安全事件回顾
6.1 Nomad Bridge 1.9 亿美元事件
8 月 2 日,支持跨以太坊、Moonbeam、Avalanche、Evmos 和 Milkomeda 的资产转移的跨链平台 Nomad Bridge 遭受了大规模黑客攻击,该项目损失了 1.9 亿美元。
6.2 Solana 上的 Slope 钱包事件
8 月 3 日,Solana 发生大规模 Slope 钱包盗窃事件,损失估计约为 600 万美元。
6.3 Wintermute 私钥泄露事件
9 月 20 日,加密货币做市商 Wintermute 因私钥泄露而遭到攻击,损失 1.6 亿美元。
7 资金流向分析
大约 2.042 亿美元的被盗资金流入 Tornado Cash
8 月 8 日,美国财政部外国资产控制办公室 (OFAC) 制裁了 Tornado Cash,禁止美国个人或组织与其互动。 在 2022 年第三季度,大约 2.042 亿美元的被盗资金仍流入 Tornado Cash,占该季度被盗资金的 50.4%,低于第二季度。
大约 1.823 亿美元的被盗资金作为余额留在了黑客的地址中。 部分被盗资金被桥接到其他链上的地址,这部分仍算作黑客的地址余额。
通过链上谈判和白帽黑客的主动回报,收回了大约 1660 万美元的资产。 2022 年第三季度,仅追回了约 4% 的被盗资金,这一比例远低于第二季度。
大约 192 万美元的被盗资产流入 Binance 和 FixedFloat 等交易所。 此类事件一般涉及少量资产(通常在 1 万美元到 10 万美元左右),黑客在攻击后立即将被盗资金转移到交易所,导致项目未能及时联系交易所冻结资金。
8 项目审计分析
只有40%的项目被审计
2022年被审计的rekt项目比例为:一季度70%,二季度52%,三季度40%。 未经审计的rekt项目比例呈逐季上升趋势。
在所有rekt项目中,经审计的项目共损失37548万美元,未经审计的项目在攻击中损失约2956万美元。 乍一看,审计似乎并不能保护项目的安全运行。 然而,更深入的分析表明,这些审计项目中的大多数都受到了非合同级别问题的攻击,例如私钥泄露、供应链攻击、DNS 攻击、BGP 劫持和错误配置。 在未经审计的项目中,85% 是由合约漏洞或闪贷攻击引起的。
可以看出,专业审计在一定程度上对合同层面的项目保障还是有效的。 但是,一个协议的安全运行还需要做好离线风控、妥善保管私钥、警惕传统网络安全攻击、谨慎使用第三方组件。 当然,本季度也存在一些本应在审计阶段发现但未在审计报告中呈现的漏洞,因此建议项目寻求专业的安全公司进行审计。
数据源
下载完整报告:
关于区块链安全联盟
区块链安全联盟由多个行业背景不同的单位发起,包括高校机构、区块链安全公司、行业协会、金融科技服务商等。首批联盟理事会成员包括Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、ParityBit 和华为云。 现有成员包括:火币大学、陌陌、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、Digital Treasures Center。 安全联盟成员将携手合作,以各自的技术优势,持续保障全球区块链生态系统的安全。 联盟理事会也欢迎更多区块链相关领域的人士加入,共同捍卫区块链生态的安全。
联盟注册
https://forms.gle/pb3NaUgS3a2Sswnc8
接触
电报:@kristenbeosin, @Web3Donny
电子邮件: [email protected]
联盟成员 – Beosin
Beosin 是一家总部位于新加坡的全球领先的区块链安全公司,拥有 100 多名形式验证和区块链安全方面的安全专家。 Beosin 以“保护 Web3.0 生态系统”为使命,提供集成的区块链安全产品和服务,包括代码安全审计、风险监控、项目警报和阻止、安全合规 KYT 和 KYC,以及被盗资产追回。 Beosin 目前已为全球 2000 多家区块链企业提供安全服务,审计了 2500 多份智能合约,为客户保护了超过 5000 亿美元的资产。
联盟成员 – 足迹分析
Footprint Analytics 是一种用于发现和可视化跨区块链数据的工具,包括 NFT 和 GameFi 数据。 它目前收集、解析和清理来自 18 个链的数据,并允许用户使用拖放界面以及 SQL 或 Python 构建图表和仪表板而无需代码。
[ad_2]
Source link
