*本报告由Beosin、SUSS NiFT、Footprint Analytics联合出品,公众号后台回复“Q3”可获取报告完整版。*因篇幅有限,本篇内容仅展示报告安全态势部分,我们将在后续发布监管政策和Q3热点事件内容,请持续关注Beosin微信公众号。
本章作者:Beosin 研究团队Mario、Donny在Web3区块链技术的快速发展中,安全态势与监管一直是引人关注的焦点。本研究报告由区块链安全公司Beosin和SUSS NiFT联合发起的区块链生态安全联盟共同创作,旨在全面探讨2023年第三季度全球区块链安全态势、Web3热点事件及加密行业重点监管政策。在本报告中,我们将深入分析全球区块链安全态势,包括安全漏洞和攻击事件,以及2023年第三季度Web3热点事件,同时,我们将对加密行业的重要监管政策进行梳理和总结,以帮助读者了解各国政府和监管机构在区块链领域的立法和监管动态,以及其对行业发展的影响。1 2023 Q3 Web3安全态势综述
据区块链安全审计公司Beosin旗下EagleEye平台监测,2023年第三季度Web3领域因黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失达到了 8 亿 8926 万美元。其中攻击事件 43 起,总损失金额约 5 亿 4016 万美元;钓鱼诈骗总损失金额约 6615 万美元;项目方Rug Pull事件 81 起,总损失约 2 亿 8296 万美元。2023年第三季度的损失超过了2023年上半年的总和。2023年第一季度总损失约3.3亿美元,第二季度约3.33亿美元,而第三季度达到了 8 亿 8926 万美元。从被攻击项目类型来看,DeFi依旧是被攻击频次最高的类型。29 起攻击事件发生在DeFi领域,占总事件数量的67.4%。损失金额最高的项目类型为公链。从链平台类型来看,Ethereum上共损失 2.27 亿美元,居所有链平台损失的第一位。Ethereum上也发生了最多的安全事件,达到了 16 次。从攻击手法来看,本季度共发生 9 次私钥泄露事件,造成损失达到了 2.23 亿美元,为损失金额最多的攻击类型。从资金流向来看,有 3.6 亿美元(67%)还留在黑客地址。本季度仅有 10% 的被盗资金被追回。从审计情况来看,经过审计和未经审计的项目大致比例相当,分别为 48.8% 和 46.5%。2 攻击事件总览
43 起主要攻击事件造成损失 5 亿 4016 万美元2023年第三季度,Beosin EagleEye平台共监测到 Web3 领域主要攻击事件 43 起,总损失金额达 5 亿 4016 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 - 1 亿美元区间的事件共 7 起,100 万美元 - 1000 万美元区间的事件 9 起。9 月 25 日,Mixin 官推称,Mixin Network 云服务商数据库遭到黑客攻击,导致主网部分资产丢失,涉及资金约 2 亿美元。● Curve/ Vyper - 7300 万美元7 月 30 日,由于旧版本 Vyper 编译器中存在重入漏洞,导致多个 Curve 池被攻击,损失达 7300 万美元,事后约 5230 万美元已被黑客归还。9 月 12 日,加密交易所 CoinEx 因私钥泄露导致热钱包被盗,涉及 211 条链,总损失达到了 7000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。7 月 23 日,加密货币支付服务商 Alphapo 热钱包被盗,共损失 6000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。9 月 4 日,加密博彩平台 Stake 热钱包遭到黑客攻击,损失达 4130 万美元。该事件系朝鲜黑客组织 Lazarus 所为。7 月 22 日,加密支付平台 CoinsPaid 遭到黑客攻击,3730 万美元的资产被盗。黑客花费了六个月时间跟踪和研究 CoinsPaid 的系统,尝试了各种形式的攻击,包括社会工程、DoS、暴力破解、钓鱼等。该事件系朝鲜黑客组织 Lazarus 所为。8 月 29 日,区块链基础设施 Fortress IO 因第三方云工具供应商遭到黑客攻击而损失 1500 万美元。7 月 2 日,跨链桥 PolyNetwork 因私钥泄露而遭到攻击,黑客获利达 1010 万美元。3 被攻击项目类型
本季度损失最高的项目类型为公链,来自于 Mixin Network 被盗 2 亿美元事件。这一次安全事件就占了季度总损失金额的 37%。43 次黑客攻击事件中,共有 29 起事件发生在DeFi领域,占比约 67.4%。这 29 次 DeFi 攻击事件共导致了 9823 万美元的损失,排在所有项目类型的第二位。损失排名第三位的类型为支付平台。两起支付平台安全事件共损失了 9730 万美元(Alphapo 6000万美元、CoinsPaid 3730万美元)。其他被攻击的项目类型还包括:交易所、博彩平台、基础设施、跨链桥、未开源合约。从类型上看,黑客瞄准了公链、支付平台、博彩这类资金量高的平台。
4 各链平台损失金额情况
本季度 Ethereum 上共损失 2.27 亿美元,居所有链平台损失的第一位。Ethereum 上发生了最多的安全事件,达到了 16 次。损失第二位为 Mixin Network,单次事件损失达到了 2 亿美元,居所有链平台损失的第二位。Ethereum 和 Mixin 两条链的总金额达到了总损失的 79%。按照事件数量排序,出现安全事件最多的5条公链分别是:Ethereum(16次)、BNB Chain(10次)、Arbitrum(3次)、BTC(2次)、Base(2次)。
5 攻击手法分析
本季度共发生 9 次私钥泄露事件,造成损失达到了 2.23 亿美元,为损失金额最多的攻击类型。本季度共发生 1000 万美元以上的安全事件 8 起,其中有 5 起都来自于私钥泄露:CoinEx(7000万美元)、Alphapo(6000万美元)、Stake.com(4130万美元)、CoinsPaid(3730万美元)、Polynetwork(1010万美元)。损失金额排第二的攻击类型为数据库攻击,损失达 2 亿美元,来自于 Mixin Network 事件。损失金额排第三位的攻击类型为合约漏洞利用。22 次合约漏洞利用共造成损失约 9327 万美元。按照漏洞细分,造成损失最多的为重入漏洞,合约漏洞事件里约有 82.8% 的损失金额来自重入漏洞。出现频次最高的为业务逻辑漏洞,22 次合约漏洞里出现了 13 次。
6 典型案例攻击手法分析
6.1 Exactly Protocol
2023年8月18日,Optimism 链的 DeFi 借贷协议 Exactly Protocol 遭受黑客攻击,黑客获利超 700 万美元。漏洞合约中的多个Market地址参数可被操控。攻击者通过传入恶意的Market合约地址,成功绕过permit检查,执行了恶意的deposit函数,窃取了用户的抵押品USDC并清算用户资产,最终实现了攻击者的盈利目的。建议用作凭证代币的合约地址需要填加白名单功能,以免被恶意操控。6.2 Vyper/Curve
7 月 31 日,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁漏洞。Curve 表示,多个使用 Vyper 0.2.15 的稳定币池 (CRV/alETH/msETH/pETH) 遭到攻击,总损失达到了 7300 万美元,事后约 5230 万美元已被黑客归还。本次攻击主要是源于是Vyper 0.2.15的防重入锁失效,攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性,由于余额更新在重入进add_liquidity函数之前,导致价格计算出现错误。当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。6.3 Eralend
2023年7月25日,ZkSync链上Eralend借贷协议遭受攻击,损失约 340 万美元。本次攻击主要漏洞是价格预言只读重入,导致EraLend项目的ctoken合约借贷价值计算和清算价值计算不一致,借贷的数量高于偿还的数量,使得攻击者可以在借贷并清算后获利。攻击者重复利用多个合约进行上述操作,获得了大量的USDC。在依赖SyncSwap项目实时储备量作价格计算时应考虑只读重入场景,防止相关函数在同一笔交易中价格计算不一致的情况发生。7 反洗钱典型事件分析回顾
7.1 Beosin KYT解析Stake.com被攻击安全事件
9月4日,区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示,加密博彩平台Stake.com遭遇黑客攻击。攻击发生后,Stake.com表示其ETH和BSC上热钱包发生未经授权的交易,正在进行调查,并将在钱包完全重新确保安全后尽快恢复存提款。 据Beosin安全分析团队查看之后,发现本次事件主要原因为Stake项目私钥泄露,导致至少约4千万美元资产的损失。因此,我们使用Beosin KYT虚拟资产反洗钱合规和分析平台对该事件进行了反洗钱分析。攻击发生后,在ETH链上,攻击者首先向0x3130662aece32F05753D00A7B95C0444150BCd3C地址发送6000ETH、3,900,000 枚USDC和9000,000枚DAI。第二步:攻击者将DAI,USDC等Token兑换为ETH沉淀至如下4个地址,为后续资金分散混淆做准备0xba36735021a9ccd7582ebc7f70164794154ff30e0x94f1b9b64e2932f6a2db338f616844400cd58e8a0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e0xbda83686c90314cfbaaeb18db46723d83fdf0c83第三步:攻击者将上述四个地址的资金分别分散发送至20余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。第四步:黑客将大部分资产分上百笔交易抵押进DEX:Thorchain 其余资产则通过1inch和SSwap兑换为USDT。值得注意的是黑客将一小部分资金打入了Binance钱包。黑客在Polygon链上转移资金手法和在ETH链上转移资金手法如出一辙。在Polygon链, 攻击者先向0xfe3f568d58919b14aff72bd3f14e6f55bec6c4e0地址分别发送3,250,000 枚MATIC、4,220,000 枚USDT、1,780,000枚USDC和70,000枚DAI。第二步:攻击者将DAI,USDC等Token兑换为MATIC沉淀至如下4个地址,为后续资金分散混淆做准备:0x32860a05c8c5d0580de0d7eab0d4b6456c397ce20xa2e898180d0bc3713025d8590615a832397a80320xa26213638f79f2ed98d474cbcb87551da909685e0xf835cc6c36e2ae500b33193a3fabaa2ba8a2d3dc第三步:攻击者将上述四个地址的资金分别分散发送至20余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。第四步:黑客将分散的资产发起数百笔交易转入SquidRouter进行跨链。同ETH和Polygon,在BNB Chain链上,攻击者用Stake钱包向0x4464e91002c63a623a8a218bd5dd1f041b61ec04地址分别发送7,350,000枚BSC-USD、1,800,000枚USDC、1,300,000枚BUSD、300,000枚MATIC、12,000枚BNB、2,300枚ETH和40,000枚LINK。第二步:将BNB chain上面的资产兑换为BNB沉淀至如下4个地址,为后续资金分散混淆做准备:0xff29a52a538f1591235656f71135c24019bf82e50x95b6656838a1d852dd1313c659581f36b2afb2370xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd620xbcedc4f3855148df3ea5423ce758bda9f51630aa第三步:攻击者将上述四个地址的资金分别分散发送至20余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。第四步:黑客将分散的资产发起数百笔交易转入OKX DEX、BNB tokenhub进行跨链或兑换为BUSD继续进行资金混淆。9月5日,加密博彩平台Stake.com发布公告称,平台所有服务已恢复,所有货币的存提款都在即时处理。这次事件让Stake.com在以太坊上被盗1570万美元,也在BNB Chain和Polygon网络被盗价值2560万美元的加密资产。这个事件的教训使Stake.com加强了安全措施,包括加强私钥管理和采取额外的防护措施,以确保用户资产的安全。同时,Beosin将继续致力于提供最先进的安全审计和风险监控解决方案,为加密资产的持有者和交易平台提供可靠的保障。这次事件向整个加密行业提出了警示,强调了安全性的重要性,并进一步推动了安全技术和合规措施的发展,以保护用户的数字资产免受潜在的威胁。7.2 解析JPEX风波背后的资金流向
9月13日,香港证监会发布了一篇名为《有关不受规管的虚拟资产交易平台》的声明,表示虚拟资产交易平台JPEX未获得证监会牌照且JPEX没有向证监会申请牌照。次日,JPEX的社群发现JPEX平台的提币额度仅为1000USDT,而提币手续费高达999USDT,变相让用户无法出金。9月19日,香港证监会举行新闻发布会,指出JPEX平台交易已停止运作。目前,该事件的调查仍在进行中。我们通过Beosin KYT对JPEX进行实体地址溯源,确定JPEX关联地址后,Beosin研究团队对资金进行了分析,以下是我们最新的分析情报。JPEX平台在Ethereum链上的存款钱包地址为0x50c85e5587d5611cf5cdfba23640bc18b3571665,用户存入JPEX的资产会自动存入到该地址。而Ethereum链上的USDT资产,会转到出金钱包地址0x9528043B8Fc2a68380F1583C389a94dcd50d085e。存款钱包地址0x50c8在9月19日凌晨1:37分完成转账后就未有任何资金转移记录,已停止资金进出超过24小时。而USDT出金钱包地址0x9528在9月18日下午5点左右向FixedFloat交易所(无需KYC)的3个存款地址分别转入10万USDT,此后该地址也未有任何资金转移记录。Beosin KYT查询结果如下:除了USDT,ETH还分布在JPEX的各个地址上,分布情况如下: 0x50c85e5587d5611cf5cdfba23640bc18b3571665:641枚0x31030a8C7E3c8fD0ba107e012d06f905CD080eD9:320枚0x87E1E7D3ee90715BCE8eA12Ef810363D73dc79FB:400枚0xcd19540f8d14bEbBb9885f841CA10F7bF5A71cAC:350枚0x22E70793915625909E28162C8a04ffe074A5Fc98:400枚0xd3528B66C3e3E6CF9C288ECC860C800D4CB12468:200枚Beosin旗下C端的链上分析平台EagleEye追踪发现ETH以及USDT资金流向详情图如下图所示:
JPEX 比特币链上资金流向
比特币链上BTC分散在JPEX的各个地址上,分布情况如下:3LJVASCfNRm9DEmHYaRbWhiKVSg14JqarS:28枚32JWJvigxttRmfYYcXEsCFScibnVU3bD92:20枚381agNrmetRakEsfz9oD1XGvwgR9Q6y6fa:30枚3LhYzsTZadkXaf6qsYQoP65ynGiiDv5XGU:20枚3KBnBZTNGkbqEaQV6jb6oGxoiMHwmVLoGM:25枚3A6G8gkxY9zgkRCHorSLvcj49J6Cp5TVBx:33枚Beosin旗下C端的链上分析平台EagleEye追踪BTC资金流向详情图如下图所示:目前,JPEX未在公开社交平台正式回应此事。而整个加密社区对JPEX的做法表示谴责,不少投资者在JPEX之前的推文下留言要求降低手续费并开放提现额度。JPEX的做法也可能让他们面临证监会更严厉的调查。在JPEX风波中,我们通过用Beosin KYT对链上数据的分析和解读,揭示了JPEX平台的资金流向,以及用户应该如何分析链上数据来提升资产安全。这一系列事件引起了广泛的关注和警惕,也提醒了用户保护自己资产的重要性。8 被盗资产的资金流向分析
第三季度被盗的资金中,有 3.6 亿美元(67%)还留在黑客地址。共有 9927 万美元(18.4%)转入了混币器:917 万美元转入了 Tornado Cash;9010 万美元转入了其他混币器,如FixedFloat、Sinbad 等。本季度有 5440 万美元的资产被追回,占比仅有 10%。和上半年相比,本季度资金追回的比例大幅减少。主要原因在于本季度朝鲜黑客组织 Lazarus 活动频繁,共盗取了 2.08 亿美元,而该黑客组织善于运用各种复杂的洗钱手段清洗盗取资金,基本没有返还的情况。
9 项目审计情况分析
经过审计和未经审计的项目大致比例相当,被攻击的43个项目中,经过审计和未经审计的项目大致比例相当,分别为 48.8% 和 46.5%。
在 22 次因为合约漏洞被攻击的项目中,没有审计过的项目占了 14 个(63.6%)。10 Rug Pull 分析
81 起 Rug Pull 事件共损失 2.8 亿美元2023年第三季度,共监测到项目方 Rug Pull 事件 81 起,涉及金额达 2.8 亿美元。超过千万美元的 Rug Pull 事件包括:Multichain(2.1 亿美元)、Bald(2300 万美元)和 Pepe(1550 万美元)。Rug Pull 事件主要分布在 Ethereum 链(42起)和 BNB Chain(33起)。本季度大热的 Base 链也发生了 4 起 Rug pull 事件。11 2023 Q3 安全态势总结
和 2023 年前两个季度相比,第三季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 8 亿 8926 万美元。第三季度损失的总金额比一二季度相加总和还要高,Web 3 安全领域形势依旧不容乐观。本季度朝鲜黑客组织 Lazarus 活动频繁,四次攻击事件共盗取了超 2.08 亿美元,为本季度 Web3 安全领域的最大威胁。根据受攻击项目方 CoinsPaid 的调查结果,Lazarus 花了半年的时间试图渗透 CoinsPaid 系统并查找漏洞,期间尝试了包括社会工程、DoS、暴力破解、钓鱼等各种方式,最终通过一份虚假的工作邀请诱骗了一名员工下载恶意软件,从而盗取私钥。Lazarus擅长运用黑客攻击中最薄弱的环节——人,对各类资金量高的平台进行复杂的攻击。对于大型加密服务提供商而言,需要对此类攻击特别提高警惕,定期对员工进行安全培训,对高特权员工实施安全实践,针对基础设施和应用程序中的所有可疑活动建立监控和警报系统。43 起攻击事件中,依然有 22 起来自合约漏洞利用。建议项目方在上线之前寻找专业的安全公司进行审计。本季度项目方 Rug Pull 损失金额大幅增加,从项目方公告来看,“内部纠纷”、“不可抗力因素”等频繁出现。即便是资金量大、用户数量多的项目方也有 Rug Pull 的风险。建议用户做好风险管理,及时关注项目舆情动态。用户可以通过EagleEye平台查询项目安全信息和最新舆情,更安全地投资新项目。Beosin作为一家全球领先的区块链安全公司,在全球10多个国家和地区设立了分部,业务涵盖项目上线前的代码安全审计、项目运行时的安全风险监控、预警与阻断、虚拟货币被盗资产追回、安全合规KYT/AML等“一站式”区块链安全产品+服务,公司致力于Web3生态的安全发展,已为全球3000多个企业提供区块链安全技术服务,包括HashKey Group、Amber Group、BNB Chain等,已审计智能合约和公链主网超3000份,包括PancakeSwap、Ronin Network、OKCSwap等。欢迎点击公众号留言框,与我们联系。