1 Q3 2022 區塊鏈安全概述
共監測了 37 個重大漏洞,總損失約 405 億美元
2022 年第三季度,Beosin EagleEye 監控了 Web37 領域的 3 多次重大攻擊,總損失約 405 億美元,比 43.6 年第二季度的 718.34 億美元下降約 2%,比上一季度的損失 2022 億美元下降 59.6%。 1,002.58 年第三季度。
從 2022 年 3 月到 2,317.91 年 XNUMX 月,WebXNUMX 空間因攻擊而損失的資產總額為 XNUMX 億美元。
從每個月來看, 2022 月的攻擊顯著減少,是自 XNUMX 年以來攻擊損失最小的一次。黑客活動在 XNUMX 月和 XNUMX 月顯著增加。
從項目類型來看,92% 的損失來自跨鏈橋接和 DeFi 協議。 22 次攻擊中有 37 次發生在 DeFi 領域。
在 TVL 方面,繼XNUMX-XNUMX月TVL大幅下降後,本季度各鏈條TVL走勢趨於穩定。 XNUMX月下旬至XNUMX月上旬TVL呈小幅上升趨勢,也是本季度攻擊次數和損失金額最高的時期。
在鏈條方面, 本季度以太坊的虧損額達到 374.28 億美元,佔總虧損的 92%。 被攻擊頻率最高的鍊是BNB Chain,達到了16次。
從攻擊類型來看, 92% 的損失是由合約漏洞利用和私鑰洩露造成的。
在資金流向方面, 大約 204.2 億美元的被盜資金流入 Tornado Cash,約佔該季度被盜資金的 50.4%。 本季度僅追回了約 4% 的被盜資金。
在審計方面, 只有 40% 的 rekt 項目得到了審計。
2 漏洞利用概述
與第二季度相比,第三季度的總體攻擊下降了
3 年第三季度,Web2022 領域監測到 37 次重大攻擊,總損失約為 3 億美元。 損失超過 405 億美元的攻擊有 100 次,損失超過 10 萬美元的攻擊有 14 次,損失超過 1 萬美元的攻擊有 100 次。 損失超過XNUMX億美元的安全事件是 游牧橋 ($ 190百萬)和 溫特穆特 ($ 160百萬)。
2022 年 210.62 月是本季度黑客最活躍的月份,損失約為 30.05 億美元。 2022 月份攻擊造成的總損失為 XNUMX 萬美元,是自 XNUMX 年以來一個月內的最低損失。
3 rekt 項目的類型
跨鏈橋和 DeFi 項目佔虧損額的 92%
2022年第三季度,三起跨鏈橋接攻擊導致總損失約190.25億美元; DeFi 領域的 22 次攻擊導致總損失 186.79 億美元。 大約 92% 的攻擊損失量來自跨鏈橋接和 DeFi 協議。
截至2022年10月,2022年發生重大跨鏈橋安全事件1.4起,損失超過2022億美元。 跨鏈橋樑是 XNUMX 年受攻擊影響最嚴重的地區。
除了跨鏈橋和 DeFi 協議,本季度受到攻擊的其他類型項目包括 NFT、交易所、DAO、錢包和 MEV 機器人,使其整體類型比上一季度更加多樣化。
4 連鎖損失金額
以太坊的損失達 374.3 億美元
本季度以太坊發生 12 次重大攻擊,總損失 374.28 億美元,在所有鏈中排名第一。 Solana 從 18.37 次攻擊中損失了 3 萬美元。
連續兩個季度遭受重大攻擊的鏈包括以太坊、BNB Chain、Fantom 和 Avalanche。
BNB Chain 的攻擊次數最多,有 16 個漏洞,其對應的項目均未經審計。 這 16 起攻擊涉及的金額相對較小,有 14 起事件單次損失低於 500,000 萬美元。
在經歷了 15 月至 XNUMX 月 TVL 的大幅下降後,本季度 TVL 跨鏈走勢趨於穩定。 TVL在XNUMX月下旬至XNUMX月上旬期間呈小幅上升趨勢,這也是本季度攻擊和損失金額最多的時期。 加密貨幣市場在 XNUMX 月份普遍小幅下跌。 XNUMX 月 XNUMX 日以太坊合併後,以太坊 TVL 連續小幅下跌。
5 攻擊類型分析
92% 的損失是由合約漏洞利用和私鑰洩露造成的
在第三季度,合約漏洞仍然是最常見的攻擊類型。 約 15 次攻擊是合約漏洞利用,佔總數的 40.5%。 合同漏洞造成的總損失為 201.6 億美元,佔總損失的 50.9%。
本季度的四次私鑰洩露造成了約 167.24 億美元的損失,是繼合約漏洞利用之後的第二大損失。
與上一季度相比,本季度的攻擊類型更加多樣化。 本季度出現的新攻擊類型包括 BGP 劫持、錯誤配置和供應鏈攻擊。
按合約漏洞分,本季度利用的主要漏洞包括:驗證問題、重入、權限問題、設計不當的業務邏輯或功能、溢出漏洞。 這些漏洞在審計階段都是可以發現和修復的。
6 典型安全事件回顧
6.1 Nomad Bridge 190 億美元事件
2 月 190 日,支持跨以太坊、Moonbeam、Avalanche、Evmos 和 Milkomeda 的資產轉移的跨鏈平台 Nomad Bridge 遭受了大規模黑客攻擊,該項目損失了 XNUMX 億美元。
6.2 Solana 上的 Slope 錢包事件
3 月 6 日,Solana 發生大規模 Slope 錢包盜竊事件,損失估計約為 XNUMX 萬美元。
6.3 Wintermute 私鑰洩露事件
20 月 160 日,加密貨幣做市商 Wintermute 因私鑰洩露而遭到攻擊,損失 XNUMX 億美元。
7 資金流向分析
大約 204.2 億美元的被盜資金流入 Tornado Cash
8 月 2022 日,美國財政部外國資產控制辦公室 (OFAC) 制裁了 Tornado Cash,禁止美國個人或組織與其互動。 在 204.2 年第三季度,大約 50.4 億美元的被盜資金仍流入 Tornado Cash,佔該季度被盜資金的 XNUMX%,低於第二季度。
大約 182.3 億美元的被盜資金作為餘額留在了黑客的地址中。 部分被盜資金被橋接到其他鏈上的地址,這部分仍算作黑客的地址餘額。
通過鏈上談判和白帽黑客的主動回報,收回了大約 16.6 萬美元的資產。 2022 年第三季度,僅追回了約 4% 的被盜資金,這一比例遠低於第二季度。
大約 1.92 萬美元的被盜資產流入 Binance 和 FixedFloat 等交易所。 此類事件一般涉及少量資產(通常在 10 萬美元到 100 萬美元左右),黑客在攻擊後立即將被盜資金轉移到交易所,導致項目未能及時聯繫交易所凍結資金。
8 項目審計分析
只有40%的項目被審計
2022年被審計的rekt項目比例為:一季度70%,二季度52%,三季度40%。 未經審計的rekt項目比例呈逐季上升趨勢。
在所有rekt項目中,經審計的項目共損失375.48萬美元,未經審計的項目在攻擊中損失約29.56萬美元。 乍一看,審計似乎並不能保護項目的安全運行。 然而,更深入的分析表明,這些審計項目中的大多數都受到了非合同級別問題的攻擊,例如私鑰洩露、供應鏈攻擊、DNS 攻擊、BGP 劫持和錯誤配置。 在未經審計的項目中,85% 是由合約漏洞或閃貸攻擊引起的。
可以看出,專業審計在一定程度上對合同層面的項目保障還是有效的。 但是,一個協議的安全運行還需要做好離線風控、妥善保管私鑰、警惕傳統網絡安全攻擊、謹慎使用第三方組件。 當然,本季度也存在一些本應在審計階段發現但未在審計報告中呈現的漏洞,因此建議項目尋求專業的安全公司進行審計。
下載全文 report:
關於區塊鏈安全聯盟
區塊鏈安全聯盟由多個行業背景不同的單位發起,包括高校機構、區塊鏈安全公司、行業協會、金融科技服務商等。首批聯盟理事會成員包括Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay、Onchain Custodian、Semisand、Coinhako、ParityBit 和華為雲。 現有成員包括:火幣大學、陌陌、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、Digital Treasures Center。 安全聯盟成員將攜手合作,以各自的技術優勢,持續保障全球區塊鏈生態系統的安全。 聯盟理事會也歡迎更多區塊鏈相關領域的人士加入,共同捍衛區塊鏈生態的安全。
聯盟註冊
https://forms.gle/pb3NaUgS3a2Sswnc8
聯絡我們
電報:@kristenbeosin, @Web3Donny
Email: [電子郵件保護]
聯盟成員 - Beosin
Beosin 是一家總部位於新加坡的全球領先的區塊鏈安全公司,擁有 100 多名形式驗證和區塊鏈安全方面的安全專家。 Beosin 以“保護 Web3.0 生態系統”為使命,提供集成的區塊鏈安全產品和服務,包括代碼安全審計、風險監控、項目警報和阻止、安全合規 KYT 和 KYC,以及被盜資產追回。 Beosin 目前已為全球 2,000 多家區塊鏈企業提供安全服務,審計了 2,500 多份智能合約,為客戶保護了超過 500 億美元的資產。
聯盟成員 - 足跡分析
Footprint Analytics 是一種用於發現和可視化跨區塊鏈數據的工具,包括 NFT 和 GameFi 數據。 它目前收集、解析和清理來自 18 個鏈的數據,並允許用戶使用拖放界面以及 SQL 或 Python 構建圖表和儀表板而無需代碼。
來源:https://cryptoslate.com/blockchain-security-alliance-q3-2022-blockchain-security-report/