2022年,BeosinEagleEye安全风险监测、预警和阻断平台监测到Web3领域的重大攻击超过167起,各类攻击造成的损失总额达到36.384亿美元。相比2021年的攻击损失增加了47.4%。其中,单次损失超过1亿美元的安全事件有10起,损失在1000万至1亿美元的安全事件有21起。
从项目类型来看跨链桥12起安全事故共造成损失约18.9亿美元,在所有项目类型中排名第一。DeFi类型项目被攻击113次,占比67.6%,是被攻击次数最多的项目类型。
2022年,公链发生重大安全事故20起,损失金额排名前三的分别是以太坊、BNB链、索拉纳;前三名攻击是BNB链,以太坊和索拉纳。
漏洞利用是全年最频繁、代价最高的攻击方式。2022年,涉及剥削的攻击有87起,总损失达14.58亿美元。2022年监测到的167起重大攻击中,已审计和未审计项目几乎各占一半,分别占51.5%和48.5%。
2022年,约有13.96亿美元的被盗资金被转移到TornadoCash,占所有攻击损失资金的38.7%。。全年追回被盗资金约2.89亿美元,仅占全部损失的8%。
区块链场犯罪金额达13.76074美元(暂时不包括金融犯罪)。其中洗钱占73.3亿美元,攻击占36亿美元,传销占10.15亿美元,诈骗占8.3亿美元。
全年欺诈事件中,,包括243起拉毯事件,涉及金额总计4.25亿美元(FTX事件暂不包括在内)。约86.4%的项目运行金额集中在几千到几十万美元的范围内。
2022全球加密货币市场市值大幅缩水年底,TVL比年初的高峰期下降了80%左右。市场受到重创,出现了以三建资本、露娜、FTX为代表的一系列黑天鹅事件。
在全球市值大幅缩水的情况下2022年,区块链安全领域整体犯罪数据仍达137亿美元,攻击次数较2021年大幅增加。2022年,全球区块链安全形势非常严峻,这也对2023年的安全行业提出了更高、更迫切的需求。。如何应对猖獗的黑客攻击,如何加快建立全球监管体系,如何迎来技术突破解决现有安全行业的短板,都将是2023年需要重点关注和迫切解决的问题。
2022年3月29日根据BeosinEagleEye安全风险监测、预警与阻断平台的监测,AxieInfinity的侧链Ronin遭到攻击,按照当时的价格,约6.24亿美元的加密货币被盗。。起初,黑客使用偷来的私钥伪造取款凭证,这至少需要5个签名者';同意成功。最后,攻击者设法控制了5个验证者成功执行取款凭证,窃取了链上的资金。
据调查,黑客通过社会工作者向SkyMavis工程师发送了一封虚假的录用信,这使得黑客可以渗透到Ronin's系统。攻击后,攻击者将窃取的资产分散到多个地址。,并被龙卷风现金批量清洗。5月20日,浪人攻击者将最后一笔被盗资金转入龙卷风现金,所有资产被清洗。6月28日,Ronin在推特上宣布重新开放。
beosin安全团队对此类跨链桥项目给出以下建议:1.注意签名服务器的安全性;2.签名服务下线时,应及时更新策略,关闭相应的服务模块,并考虑丢弃相应的签名账号地址;3.在多重签名验证期间,多签名服务要进行逻辑隔离,签名内容要独立验证,使部分验证者不经验证不能直接请求其他验证者签名;4.项目方应实时监控项目资金的异常情况。
2022年10月7日Beosin鹰眼安全风险监测、预警与阻断平台的监测显示,BNB链跨链桥"令牌中心"被黑了。黑客首先通过调用合同在21955968的块高支付100BNB注册为中继。凌晨两点半左右开始。黑客从BNB链获得200万'的TokenHub系统合同两次(2:26和4:43)。而90万件BNB被BNB链家的贷款协议金星抵押。,贷款6250万BUSD,5000万USDT和3500万USDC。Beosin安全团队发现,BSCTokenHub作为货币安全的跨链桥梁,正在进行跨链交易验证。一个特殊的预编译契约用于验证IAVL树。但是,这种实现中存在漏洞,使得攻击者能够伪造任意消息。[XY002][XY001]10月24日,Bi'创始人赵昌鹏;安说在执法机构的帮助下,攻击者的可能范围';的身份已经缩小了。此外,赵昌鹏还表示,他可以冻结大约80%到90%的被盗资金,实际损失在1亿美元左右。
2022年11月15日FTX宣布破产后不久,就有报道称其遭到黑客攻击。BeosinEagleEye安全风险监测、预警与封堵平台监测显示,涉案金额约4.4亿美元。。当时,FTX社区聊天管理员向该交易所的官方电报组发送了一条消息,指出该破产平台已被黑客攻击,所有应用程序都是恶意软件。管理员建议用户删除应用程序,不要访问网站或打开他们的移动应用程序。因为很可能感染了木马。因为还有很多未知,所以很多人认为这很可能是内部人的操作。
2022年2月3日BeosinEagleEye安全风险监测、预警和阻断平台的监测显示,Wormhole被黑客攻击,造成约3.26亿美元的损失。。Beosin安全团队发现,黑客利用了虫洞合约中的签名验证漏洞,该漏洞允许黑客伪造sysvar帐户来铸造wETH。此漏洞已在Solana1.9.4中修复。最终推出前还有一个审核过程,黑客利用这个空隙攻击仍在使用Solana1.8的合约。
攻击发生后,虫洞宣布收回跨链桥资金,重新上线。。加密投资基金JumpCrypto于2月4日宣布投入12万以太币弥补跨链桥虫洞的损失,以支持虫洞的继续发展。
2022年8月2日BeosinEagleEye安全风险监测预警与阻断平台监测显示,跨链通信协议Nomad遭到黑客大规模攻击,参与攻击的黑客地址超过500个,项目方损失达1.9亿美元。。通过交易分析,Beosin安全团队发现项目方错误地添加了0x000…000作为可接受的根,导致判决被持有,从而攻击者可以提取合同中的资金。
因此,任何攻击者只需要复制第一个黑客的交易,替换成未使用的攻击地址,然后点击通过以太扫描发送,就可以盗取项目资金。同时,因为问题是复制合同因此,所有与BridgeRouter相关的DApp都会受到影响,因此被盗资金呈现多币种的特征。
8月3日,Nomad发布关于返还被盗资金的声明,呼吁白帽黑客返还被盗资金。截至8月15日。,项目方已追回3700万美元。
2022年4月17日,BeosinEagleEye安全风险监测、预警与阻断平台监测显示,算法稳定币项目BeanstalkFarms遭到闪电贷款攻击,协议损失1.82亿美元。攻击者获利约8000万美元(不包括攻击所需的一些借贷资金)。袭击发生后不久,袭击者将8000万美元全部转入龙卷风现金。
攻击者从攻击前一天发起了一个提案交易,提案通过后Beanstalk:Beanstalk协议合同中的资金将被提取。黑客通过闪电贷款换取大量资金储备,然后反复交换。最后,对提案进行投票。,导致提案通过。针对此次事件,Beosin安全团队建议:1。用于投票的资金应在合同中锁定一定时间,账户中的当前资金余额不得用于计票。以避免可能出现的重复投票和闪电贷款投票;2.项目方和社区应关注所有提案。如果提案是恶意的,建议在提案表决时及时采取措施,将提案丢弃。,禁止其接受投票和执行;3.考虑禁止合同地址投票;另外,项目上线前最好进行全面的安全审核,避免安全风险。
2022年9月20日BeosinEagleEye安全风险监测、预警和阻断平台的监测显示,Wintermute在DeFi黑客攻击中损失了1.6亿美元。。Beosin安全团队发现攻击者频繁使用0x0000000f6a…地址调用0x0000000ae34…contract的0x178979ae函数向攻击者转账';的合同,并反编译该合同。发现调用0x178979ae函数需要权限验证。通过函数查询,确认地址0x0000000fe6a具有setCommonAdmin权限,该地址在攻击前与契约有正常的交互。那么可以确认0x0000000fe6a的私钥已经泄露。
9月21日,Wintermute确认其在6月份使用了亵渎语言和一个内部工具创建了一个钱包地址。而且亵渎工具有私钥爆炸的风险。
2022年10月12日BeosinEagleEye安全风险监测、预警与阻断平台的监测显示,Solana上的芒果协议被黑,受影响金额约1.16亿美元。黑客使用了两个账户,初始资金总计1000万USDT币,会撬动上亿资产。这种攻击的主要原因是杠杆合约没有限制芒果的头寸';的开放位置,从而导致攻击者';的能力,提高芒果代币的利润。
2022年6月5日BeosinEagleEye安全风险监测、预警与拦截平台的监测显示,区块链埃尔隆德遭到黑客攻击,黑客"获得"将近165万埃及镑,通过分散的交易所市场粉碎了它们。结果内部$EGLD暴跌92%,随后官方暂停了DEX和相关API,并表示已经评估了应对方案。
埃尔隆德后来报告说,攻击者没有利用任何智能合同代码漏洞。问题出在虚拟机上。埃尔隆德Eco-DEX项目Maiar以前的bug已经解决,几乎所有被盗资金都已追回。其余因已知失误造成的资金缺失将全部由埃尔隆德基金会承担。
2022年6月24日BeosinEagleEye安全风险监测预警与阻断平台的监测显示,以太坊与和谐之间的跨链桥视界受到攻击,损失约1亿美元。和谐创始人说Horizon被攻击不是因为智能合约漏洞,而是因为私钥泄露。虽然Harmony加密了私钥,但攻击者解密了其中的一部分,并签署了一些未经授权的交易。袭击发生后,和谐立即停止了地平线大桥,以防止进一步的交易。然后,它联系了联邦调查局和几个网络安全和交换合作伙伴,以调查、跟踪和协助找回被盗资产。。然而,黑客仍然通过龙卷风现金清洗了被盗的钱。7月27日,和谐发布了赔偿建议书。
2022年跨链桥12起安全事故共造成损失约18.9亿美元,在所有项目类型中排名第一。跨链桥梁安全事件中,单次损失超过1亿美元的事件有5起。分别是Ronin(6.24亿美元)、BSCTokenHub(5.6亿美元)、Wormhole(3.26亿美元)、Nomad(1.9亿美元)和Harmony(1亿美元)。其攻击手段主要有社会工程、私钥泄露、链平台或合同漏洞。
全年167次主要攻击事件里DeFi项目被攻击113次,占比67.6%,是被攻击次数最多的项目类型。DeFi是继跨链桥之后第二类亏损的项目,总亏损约9.5亿美元。
全年共发生21起交易所和钱包安全事故,总损失约6亿美元。这类事件涉及金额高,影响用户面广。主要的攻击方式有私钥泄露、合同漏洞和供应链攻击。
2022年,公链发生重大安全事故20起,损失金额排名前三的分别是以太坊、BNB链、索拉纳;前三名攻击是BNB链,以太坊和索拉纳。
59次以太坊攻击造成20.1亿美元损失,占全年总损失的55.8%。
BNB链遭受攻击72次,70%的项目损失集中在几千到几十万美元的范围内。值得注意的是,BNB链上被攻击的项目中,约有64%是未经审计的。在未经审计的项目中,80%的攻击是合同漏洞。[XY002][XY001]索拉纳链7次攻击共造成损失5.1276亿美元,单次事件平均损失位居各链之首。。索拉纳链中的重大安全事件包括2月的虫洞事件(3.26亿美元)、3月的Cashio事件(4800万美元)和10月的芒果市场事件(1.16亿美元)。
(注:FTX事件暂不计入)
漏洞利用是全年最频繁、代价最高的攻击方式。2022年,涉及剥削的攻击有87起,总损失达14.58亿美元。
社会工程是代价第二大的攻击,也就是3月份的Ronin事件,损失6.24亿美元。
损失金额第三种攻击方式是私钥泄露,19次私钥泄露造成的总损失约为4.3亿美元。其中单笔损失金额在1000万美元以上的事件有8起。根据一些事件的调查结果,团队成员/前成员频繁窃取私钥,因此项目方需要特别注意操作安全,加强团队管理。还有一些情况是由于使用第三方工具导致私钥泄露。建议项目方在使用第三方工具前进行仔细的安全评估。
按照漏洞类型细分损失排名前三的分别是验证问题、链接平台漏洞(BNB连锁事件)和业务逻辑/功能设计不当。18个验证问题造成了6.19亿美元的损失。主要事件包括:虫洞事件中的签名验证漏洞、游牧桥事件中的消息验证旁路等。
业务逻辑/功能设计不当的问题出现次数最多,达到30次。在Beosin的日常审计过程中,这种漏洞也是出现频率最高,最容易被开发者忽略的。
在2022年监控的167起主要攻击中,几乎51.5%经过审计,48.5%未经审计。86个审计项目中,仍有39起攻击(45%)源自利用漏洞。整个市场的审计质量不容乐观。Beosin'重新审视这些事件,发现大部分漏洞都可以在审计阶段发现并修复。
2022年因合同漏洞被攻击的项目中,没有贝奥森审核的项目(数据来源)。建议项目上线前一定要找专业的安全公司进行审计,有效保证资产安全。
【所有金额均以事件发生时刻进行换算】
2022年,约有13.96亿美元的被盗资金被转移到TornadoCash,占所有攻击损失资金的38.7%。自从龙卷风现金在八月被OFAC制裁后,转入龙卷风现金的资金较上半年大幅下降。在第四季度,只有4485万美元被转移到龙卷风现金。
全年追回被盗资金约2.89亿美元,仅占全部损失的8%。。大部分来自自愿回归的白帽黑客。
约1824.8万美元被盗资金流入各交易所。通常情况下,一些涉案金额较少的黑客会在攻击后立即将资金转移到交易所。作为交换,能够识别黑客尤为重要';并在攻击发生时阻止其交易。
大约4.43亿美元的被盗资金被交易所冻结,其中大部分来自10月份的BNB连锁事件,当时Bi'安立刻冻结了黑客80%到90%的资金。,实际损失在1亿美元左右。
2022年共发生243起拉毯事件,涉及金额总计4.25亿美元(暂时不包括FTX事件)。
243起rug pull事件中,共涉及金额1000万美元以上的项目8个。210个项目(约86.4%)的运行金额集中在几千到几十万美元的范围内。
2022年拉地毯事件具有以下特征:
1。全年有许多地毯项目。平均每1.5天就有一个项目跑路。
2。地毯周期短。大部分项目上线后3个月内跑路。所以大部分资金都集中在几千到几十万美元的区间。
3。大多数项目都没有经过审计。一些项目在代码中隐藏了后门功能,因此普通投资者很难评估项目的安全性。
4。缺乏社交媒体信息。至少一半的rugpull项目没有完善的官网、Twitter账号和telegraph/disco群。
5。项目不规范。有些项目虽然有官网和白皮书,但是细看却有很多拼写和语法错误,有的甚至大段大段抄袭。
6。热点的数量增加了。今年出现了各种热钱跑路事件,月鸟、LUNAv2、伊丽莎白、川普等。一般上线很快,跑路也很快。
2022年全球加密市场发生了很多大事:加密总市值大幅缩水;泰拉倒闭,三箭资本(3AC)和FTX破产;龙卷风现金被制裁;以太坊合并;新公链发展迅速。在市值严重下跌的情况下2022年,黑客盗取资金却创下新高。全年各类攻击造成的总损失达36.384亿美元,较2021年增加约11.6亿美元。2022年,全球Web3安全形势将比以往更加严峻。
全年的攻击中,只追回了8%的资金。今年8月份龙卷风现金被制裁后,第三、四季度流入龙卷风现金的被盗资金量确实比第一、二季度大幅下降。然而,黑客攻击的频率和盗窃的金额在第三和第四季度并没有减少。要真正遏制黑客的猖獗活动,需要整个行业做出多方面的努力,包括以下几个方面:
1。迅速制定和完善全球监管体系。真的很震惊对于加密领域本身的犯罪行为,还是要诉诸法律制裁。目前一些国家的监管政策已经成型,预计2023年全球会有更多国家的监管政策系统化。
2。从源头上阻断黑客攻击。。目前整个安全市场已经有一些拦截黑客攻击的成功案例,包括Beosin。随着技术的逐渐成熟,预计2023年将会有更多的黑客攻击被阻断在源头。
3。追回被盗资金。项目方、用户、安全公司、交易所和监管机构需要多方合作,锁定黑客链上的地址和更多身份信息。随着全球监管体系的完善,追回被盗资金将不再是小概率事件。
4。加强整体基础设施建设。。2023年可能会有新技术或者新项目从基础设施层面解决行业安全。同时,现有的区块链头项目也将系统地优化自身的安全性。
5。项目方应做好自身的安全防护。。有些项目开发匆忙,没有经过审核就上线了,这是项目被攻击的一大原因。此外,还有合同安全、私钥/钱包安全、传统安全甚至团队运营安全等薄弱领域,可能给项目方造成巨大损失。对于项目方来说,,需要一个能够考虑到安全问题各个方面的解决方案。预计明年会有更成熟的项目方找到相对完善的解决方案。
6。新兴轨道的安全防护。在熊市的情况下,整个市场都在等待Web3的下一个叙事。。2023年新兴赛道一旦刚刚流行起来,由于其不完善的成熟度和新项目新用户的涌入,必将成为黑客的首要目标。整个市场的安全从业者必须具备快速学习的能力,以应对市场上不断变化的新兴挑战。
7。提高个人用户的安全意识。明年的大趋势是降低普通用户进入Web3的门槛,所以对新用户进行安全知识教育是非常有必要的。8。更便捷有效的治理模式。个人用户遭遇资产盗窃。,往往因为金额小、信息分散、关注度低、举报无果等原因,最后不了了之。目前已经有一些Dao针对此类问题建立了初步的解决方案,预计明年会有更完善的系统出现。
9。更加开放和共享的安全行业。如前所述,合同安全、私钥/钱包安全、传统安全、团队运营安全等各个方面都需要保障,这需要整个安全行业的共同努力。这也是Beosin成立[区块链生态安全联盟]的初心。