本章作者:Beosin 研究團隊Eaton
據 Beosin Alert 監控及預警顯示,2024 年Q3 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了7.3億美元。其中主要攻擊事件23起,總損失金額約4.3億美元;項目方 Rug Pull 事件3起,總損失約424萬美元;釣魚詐騙總損失金額約2.95億美元。
2024年Q3釣魚造成的損失大幅上漲,攻擊與Rug Pull相比上半年持續下降。
從被攻擊項目類型來看,損失最高的項目類型爲 CEX,3次針對 CEX 的攻擊共造成了約 2.97 億美元的損失,約佔所有攻擊損失金額的 40.6%。
從各鏈損失金額來看,Ethereum 依舊爲損失金額最高、攻擊事件最多的鏈。21 次 Ethereum 上的攻擊與釣魚事件造成了3.48億美元的損失,約佔總損失的 47.6%。
從攻擊手法來看,Q3 共發生 5 次私鑰泄露事件,造成損失達到了 3.05 億美元,約佔總攻擊損失金額的41.7%,是佔比最高的攻擊類型。
從資金流向來看,僅約有1690萬美元被盜資金被凍結或追回。絕大部分(約78.9%)被盜資金仍存儲在攻擊
者的鏈上地址。
從審計情況來看,被攻擊的項目中,經過審計的項目方比例有所增加。
CEX 爲損失金額最高的項目類型
2024年Q3 ,損失最高的項目類型爲 CEX,3次針對 CEX 的攻擊共造成了約 2.97 億美元的損失,佔所有攻擊損失金額的 40.6%。CEX 安全事件雖然次數不多,但每次被盜金額都巨大,凸顯了當前交易所生態的安全態勢不容樂觀。
緊隨其後損失排在第二位的受害者類型爲用戶錢包。8次針對用戶錢包的釣魚與社會工程學攻擊對普通用戶造成了約2.95億美元的損失,佔比約 40.3%。和 2024年上半年相比,Q3針對普通用戶的攻擊和造成的損失有了大幅增加。
23起黑客攻擊事件中,共有12起事件發生在 DeFi 領域,佔比約 52.1%,是攻擊次數最多的項目類型,這12次 DeFi 攻擊事件共導致了超過4560萬美元的損失,排在所有項目類型的第四位。
其他被攻擊的項目類型還包括:基礎設施、代幣等。其中針對公鏈及跨鏈橋的攻擊造成的損失金額達8500萬美元,排在所有項目類型的第三位。
Ethereum爲損失金額最高、攻擊事件最多的鏈和2024上半年相同的是,在Q3,Ethereum 依舊是損失金額最高的公鏈。21次Ethereum上的攻擊與釣魚事件造成了3.48億美元的損失,佔到了總損失的47.6%。
損失金額排名第二的公鏈爲 BTC,共計損失 2.38億美元,約佔總損失的32.5%。BTC 損失金額來自於一次針對某巨鯨地址的社會工程學攻擊。
損失金額排名第三的公鏈爲 Luna(6500萬美元),攻擊者利用了 ibc-hooks 超時回調中的重入漏洞對Luna進行了攻擊。
按照安全事件數量排名,前兩名分別爲 Ethereum(21次)、BNB Chain(4次)。各鏈生態的安全事件數量較上半年有所下降。
約41.7%的損失金額來自私鑰泄露事件
2024年Q3,共發生5次私鑰泄露事件,造成損失達到了3.05億美元,約佔總攻擊損失金額的 41.7%。和上半年相同,私鑰泄露事件造成的損失依舊是所有攻擊類型的第一位。造成較大損失的私鑰泄露事件有:WazirX(2.3億美元)、BingX(4500萬美元)、Indodax(2200萬美元)。
損失金額排名第二的攻擊手法爲社會工程學攻擊,1次社會工程學攻擊造成損失2.38億美元。
23起攻擊事件中,有18起來自合約漏洞利用,佔比約78%。合約漏洞利用總損失達 1.28 億美元,排名第三。
按照漏洞細分,造成損失前三名的漏洞分別爲:重入漏洞(9346萬美元)、業務邏輯漏洞(約209萬美元)、校驗漏洞(1001萬美元)。出現次數最高的漏洞爲業務邏輯漏洞,18起合約漏洞攻擊中有7次是業務邏輯漏洞。
7月16日,據Beosin Alert監控預警發現跨鏈協議LI.FI遭受攻擊,攻擊者利用項目合約中存在的call注入漏洞,盜取授權給合約的用戶資產。
LI.FI項目合約存在一個depositToGasZipERC20函數,可將指定代幣兌換爲平台幣並存入GasZip合約,但是在兌換邏輯處的代碼未對call調用的數據進行限制,導致攻擊者可利用此函數進行call注入攻擊,提取走給合約授權用戶的資產。
本次事件除了call注入的合約漏洞外,還有一點值得注意,即Diamond模式下,Facet合約的配置問題。進一步分析發現,GasZipFacet合約是在被攻擊的5天前部署,並在被攻擊前十多個小時由項目的多籤管理員在LI.FI主合約進行注冊的。
所以,通過這次事件可以發現,對於Diamond這類可升級模式,新增功能合約的安全性也需要得到高度重視。
Beosin Trace對被盜資金進行追蹤發現,損失金額包括633.59萬USDT、319.19萬USDC、16.95萬DAI,約1000萬美元。
Beosin Trace: 被盜資金流向
7月18日,據Beosin Alert監控預警發現印度交易所WazirX被攻擊,攻擊者獲取到交易所多籤錢包管理員的籤名數據,修改錢包的邏輯合約,讓錢包執行錯誤的邏輯,來盜取資產,涉及資金超2.3億美元。
Beosin Trace對被盜資金進行追蹤,被盜資金部分的流线圖,目前來看,黑客已經將部分資金轉移進入Changenow與Binance交易所,其中0xf92949ab576ac2f8dc9e4650e73db083f1f9cd9f爲黑客在Binance的充幣地址。
Beosin Trace: 被盜資金流向圖
另一方面,黑客向地址0x35fe...745CA轉移8010億枚SHIB,價值高達1402萬美元,進行分批拋售。
據 Beosin KYT 反洗錢平台分析顯示,2024 年Q3 被盜的資金中,僅有1690萬美元被盜資金被凍結或追回。該比例較上半年年顯著下降。
約有 5.77 億美元(約78.9%)的被盜資金還保留在黑客地址。隨着全球監管機構反洗錢力度的加大,黑客清洗贓款變得更加困難,因此相當一部分黑客選擇暫時將盜取資金保留在鏈上地址。
約有 1.02 億美元的被盜資金轉入了各交易所,佔比約13.9%,該比例高於2024上半年。
共有 3471.3 萬美元(5.4%)轉入了混幣器。和上半年相比,2024年Q3通過混幣器清洗的被盜資金再次大幅減少。
經過審計的項目方比例有所增加
2024年Q3 ,23起攻擊事件裏,有4起事件的項目方沒有經過審計,16起事件的項目方經過了審計。經過審計的項目方比例高於上半年,這表明整個 Web3 行業項目方對安全的重視程度有所提高。
4個沒有經過審計的項目中,合約漏洞事件佔了3起(75%)。16個經過審計的項目中,合約漏洞事件佔了11起(68.75%)。兩者整體比例大致相當。和上半年相比,2024年整體安全審計質量有所下滑。
和2023年同期相比,2024年Q3因黑客攻擊、釣魚詐騙、項目方 Rug Pull 造成的總損失略有下降,達到了7.3億美元( 2023 年Q3 這一數字爲8.89億美元)。2024 年Q3幣價下跌等因素對總金額的減少有一定的影響,但總體而言,Web3 安全領域形勢依舊不容樂觀。
和上半年相同,2024 Q3造成危害最大的攻擊類型依舊爲私鑰泄露。約41.7% 的損失金額來自私鑰泄露事件。從項目類型來看,私鑰泄露事件遍布於Web3各個領域:遊戲平台、代幣合約、個人錢包、基礎設施、交易所等。各個Web3項目方/個人用戶都需要提高警惕,離线存儲私鑰、使用多重籤名、謹慎使用第三方服務、對特權員工進行定期安全培訓。
Q3僅有5.4%的被盜資產轉入了各類混幣器,另外有78.9%的資產還保留在黑客地址,這進一步說明了黑客清洗贓款難度的增加。
Q3依舊有13.9%的被盜資金轉入了各交易所,這需要交易所及時識別黑客行爲,積極配合執法機構和項目方凍結資金和進行調證。目前交易所和執法機構、項目方、安全團隊的合作已經有了較爲明顯的成果,相信未來會有更多被盜資金能夠追回。
Q3的23起攻擊事件中,依然有18起來自合約漏洞利用,建議項目方在上线前尋求專業的安全公司進行審計。
鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。
標題:Beosin重磅 | 2024年Q3 Web3區塊鏈安全態勢、反洗錢分析回顧
地址:https://www.torrentbusiness.com/article/127660.html
標籤:黑客攻擊