數(shù)據(jù)圖表可在此處查閱：Footprint Analytics: Crypto Analysis Dashboards

2023?第一季度Web3安全態(tài)勢綜述

2023?年第一季度，據(jù)區(qū)塊鏈安全審計公司?Beosin?旗下?Beosin EagleEye?安全風險監(jiān)控、預警與阻斷平臺共監(jiān)測到Web3領域主要攻擊事件?61?起，總損失金額約為?2.95?億美元，較?2022?年第?4?季度下降了約?77%?。2023?年第一季度的總損失金額低于?2022?年的任何一個季度。

除攻擊事件外，?2023?年第一季度還監(jiān)測到主要?Rug Pull?事件?41?起，涉及金額約?2034?萬美元。

從月份來看，3?月為攻擊事件頻發(fā)的一個月，總損失金額達到了?2.35?億美元，占第一季度總損失金額的?79.7%?。

從被攻擊項目類型來看，DeFi為本季度被攻擊頻次最高、損失金額最多的項目類型。42?次安全事件總損失金額達到了?2.48?億美元 ，占總損失金額的?84%?。

從鏈平臺類型來看，80.8%?的損失金額來自?Ethereum，居所有鏈平臺的第一位。

從攻擊手法來看，本季度損失金額最高的攻擊手法為閃電貸攻擊，?8?次閃電貸事件損失約?1.98?億美元；攻擊手法頻率最高的為合約漏洞利用，?27?次攻擊占所有事件數(shù)量的?44%?。

從資金流向來看，本季度約有?2?億美元的被盜資產(chǎn)得以追回。本季度資金追回的情況優(yōu)于?2022?年的任何一個季度。

從審計情況來看，被攻擊的項目中，僅有?41%?的項目經(jīng)過了審計。

攻擊事件總覽

2023?年第一季度，Beosin EagleEye?安全風險監(jiān)控、預警與阻斷平臺共監(jiān)測到Web3領域主要攻擊事件?61?起，總損失金額約為?2.95?億美元。其中損失金額超過?1?億美元的安全事件共?1?起（Euler Finance?閃電貸攻擊事件損失?1.97?億美元）。損失?1000?萬美元-1?億美元區(qū)間的事件?2?起，?100?萬美元-1000?萬美元區(qū)間的事件?17?起。

從總體來看，第一季度攻擊事件損失金額呈現(xiàn)逐月增加的趨勢。3?月為攻擊事件頻發(fā)的一個月，總損失金額達到了?2.35?億美元，占第一季度總損失金額的?79.7%?。

被攻擊項目類型

84%?的損失金額來自?DeFi?類型

隨著長達數(shù)月的下行和多次黑天鵝事件清杠桿，加密市場觸底反彈。DeFi?的?TVL?隨著幣價在一季度震蕩回升。

2023?年第一季度，DeFi?類型項目共發(fā)生?42?次安全事件，占總事件數(shù)量的?68.9%?。DeFi?總損失金額達到了?2.48?億美元 ，占總損失金額的?84%?。DeFi?為本季度被攻擊頻次最高、損失金額最多的項目類型。

NFT類型損失金額排名第二（1852?萬美元），主要來自于?NFT?釣魚事件。排名第三的類型為個人用戶，該類別均為釣魚攻擊。損失金額的第四位為錢包攻擊事件。從類型上來看，損失金額的第?2-4?位均和用戶安全緊密相關。

2023?年第一季度僅發(fā)生了?1?次跨鏈橋安全事件，損失金額為?13?萬美元。而在?2022?年，?12?次跨鏈橋安全事件共造成了約?18.9?億美元損失，居所有項目類型損失的第一位。在?2022?年跨鏈橋安全事件頻發(fā)后，跨鏈橋項目的安全性在本季度得到了較大的提升。

各鏈平臺損失金額情況

80.8%?的損失金額來自?Ethereum

2023?年第一季度，Ethereum?鏈上共發(fā)生主要攻擊事件?17?起，損失金額約為?2.38?億美元。Ethereum?鏈上損失金額居所有鏈平臺的第一位，占比約?80.8%?。

BNB Chain?上監(jiān)測到了最多的攻擊事件，達到了?31?起。其總損失為?1948?萬美元，排所有鏈平臺損失的第二位。

損失排名第三的公鏈為Algorand，損失來自于?MyAlgo?錢包被盜事件。Algorand?鏈在?2022?年沒有發(fā)生過主要安全事件。

值得一提的是，?2022?年Solana鏈上損失金額排所有公鏈的第三位，而在本季度并未監(jiān)測到主要攻擊事件。

攻擊手法分析

本季度損失金額最高的攻擊手法為閃電貸，?8?次閃電貸事件損失約?1.98?億美元，占所有損失金額的?67%?。

攻擊手法頻率最高的為合約漏洞利用，?27?次攻擊占所有事件數(shù)量的?44%?。合約漏洞共造成?3905?萬美元的損失，為所有攻擊類型損失金額的第二位。

2023?年第一季度，DeFi?類型項目被攻擊了?42?次，其中有?22?次都源于合約漏洞利用。DeFi?項目方需要尤其注重合約的安全性。

按照漏洞類型細分，造成損失最多的前三名分別是業(yè)務邏輯/函數(shù)設計不當、權限問題和重入。17?次業(yè)務邏輯/函數(shù)設計不當漏洞共造成了?2244?萬美元的損失。

典型案例攻擊手法分析

1 Euler Finance?安全事件

事件概要

3?月?13?日，Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊，損失達到了 1.97 億美元。

3?月?16?日，Euler?基金會懸賞?100?萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。

3?月?17?日，Euler Labs?首席執(zhí)行官?Michael Bentley?發(fā)推文表示，Euler“一直是一個安全意識強的項目”。從?2021?年?5?月至?2022?年?9?月，Euler Finance?接受了?Halborn、Solidified、ZK Labs、Certora、Sherlock?和?Omnisica?等?6?家區(qū)塊鏈安全公司的?10?次審計。

從?3?月?18?日開始至?4?月?4?日，攻擊者開始陸續(xù)返還資金。期間攻擊者通過鏈上信息進行道歉，稱自己“攪亂了別人的錢，別人的工作，別人的生活”并請求大家的原諒。

4?月?4?日，Euler Labs?在推特上表示，經(jīng)過成功協(xié)商，攻擊者已歸還了所有盜取資金。

漏洞分析

在本次攻擊中，Etoken?合約的?donateToReserves?函數(shù)沒有正確檢查用戶實際持有的代幣數(shù)量和捐贈后用戶賬本的健康狀態(tài)。攻擊者利用這個漏洞，捐贈了?1?億個?eDAI，而實際上攻擊者只質(zhì)押了?3000?萬個?DAI。

由于捐贈后，用戶賬本的健康狀態(tài)符合清算條件，借貸合約被觸發(fā)清算。清算過程中，eDAI?和?dDAI?會被轉移到清算合約。但是，由于壞賬額度非常大，清算合約會應用最大折扣進行清算。清算結束后，清算合約擁有?310.93?M?個?eDAI?和?259.31?M?個?dDAI。

此時，用戶賬本的健康狀態(tài)已恢復，用戶可以提取資金。可提取的金額是?eDAI?和?dDAI?的差值。但池子中實際上只有?3890?萬?DAI，所以用戶只能提取這部分金額。

2 BonqDAO?安全事件

事件概要

2?月?1?日，加密協(xié)議?BonqDAO?遭到價格操控攻擊，攻擊者鑄造了?1?億個?BEUR?代幣，然后在 Uniswap 上將 BEUR 換成其他代幣，ALBT?價格下降到幾乎為零，這進一步引發(fā)了 ALBT 寶庫的清算。按照黑客攻擊時的代幣價格，損失高達?8800?萬美元，但是由于流動性耗盡，事件實際損失在?185?萬美元左右。

漏洞分析

本次攻擊事件攻擊者共進行了兩種方式的攻擊，一種是控制價格大量借出代幣，另一種是控制價格清算他人財產(chǎn)從而獲利。

BonqDAO 平臺采用的預言機使用函數(shù) ‘getCurrentValue’ 而不是 ‘getDataBefore’。

黑客通過質(zhì)押?10?個?TRB?代幣（價值僅約?175?美元）成為了價格報告者，并通過調(diào)用 submitValue 函數(shù)修改預言機中 WALBT 代幣的價格。價格設置完成之后，攻擊者調(diào)用?Bonq?合約的?createTrove?函數(shù)，創(chuàng)建?trove?合約，并向該合約中抵押了?0.1?個?WALBT?代幣進行借款操作。正常來說，借款額度應該是小于?0.1?個?WALBT?的價格，從而保證抵押率維持在一個安全的范圍，但是在本合約的借貸過程中，計算抵押物價值的方式是通過?TellorFlex?合約來進行實現(xiàn)的。而在上一步，攻擊者已經(jīng)把?WALBT?價格拉得異常高，導致攻擊者在本次借款中，借出了?1?億枚?BEUR?代幣。

攻擊者在第二筆交易中將?WALBT?價格設置得異常低，從而使用少量的成本將其他用戶所抵押的?WALBT?代幣清算出來。

3 Platypus Finance?安全事件

事件概要

2?月?17?日，Avalanche平臺的?Platypus Finance?因函數(shù)檢查機制問題遭到攻擊，損失約?850?萬美元。然而攻擊者并沒有在合約中實現(xiàn)提現(xiàn)功能，導致攻擊收益存放在攻擊合約內(nèi)無法提取。

2?月?23?日，Platypus?表示，已經(jīng)聯(lián)系了?Binance?并確認了黑客身份，并表示將至少向用戶償還?63%?的資金。

2?月?26?日，法國國家警察已經(jīng)逮捕并傳喚了兩名攻擊?Platypus?的嫌疑人。

漏洞分析

攻擊原因是?MasterPlatypusV?4?合約中的?emergencyWithdraw?函數(shù)檢查機制存在問題，僅檢測了用戶的借貸額是否超過該用戶的?borrowLimitUSP（借貸上限），而沒有檢查用戶是否歸還債務的情況。

攻擊者首先通過?AAVE?合約閃電貸借出?4400?萬枚的USDC存入?Pool?合約中，然后?mint?了?4400?萬枚?LP-USDC。接著攻擊者調(diào)用?borrow?函數(shù)借出了?4179?萬枚?USP，下一步立馬調(diào)用了?EmergencyWithdraw?函數(shù)。

在?EmergencyWithdraw?函數(shù)中有一個?isSolvent?函數(shù)來驗證借貸的余額超過可借貸最大值，返回?true?就可以進入?transfer?操作，而沒有考慮驗證負債金額是否已經(jīng)償還的情況。所以攻擊者可以在沒有償還債務的情況下直接調(diào)用成功提取出之前質(zhì)押的?4400?萬枚?LP-USDC。

資金流向分析

2023?年第一季度，約有 $?200,?146,?821?的被盜資產(chǎn)得以追回，占所有被盜資產(chǎn)的?67.8%?。其中，Euler Finance 被盜的?1.97?億美元資產(chǎn)已經(jīng)全部被黑客返還。更多追回的例子包括：?2?月?13?日，攻擊?dForce?的黑客返還了全部盜取的?365?萬美元資金；3?月?7?日，攻擊?Tender.fi?的白帽黑客返還了盜取資金并獲得了?62 ETH的賞金。本季度資金追回的情況優(yōu)于?2022?年的任何一個季度。

Beosin KYT?反洗錢分析平臺發(fā)現(xiàn)約有?2313?萬美元（7.8%?）的資產(chǎn)轉入了Tornado Cash，另外有?254?萬美元的資產(chǎn)轉入了其他混幣器。和去年相比，本季度轉入混幣器的被盜資金比例大幅度減少。事實上，從去年?8?月?Tornado Cash?遭受制裁以來，轉入?Tornado Cash?的被盜資金比例自?2022?年Q3開始就呈現(xiàn)持續(xù)下降趨勢。

同時，Beosin KYT?反洗錢分析平臺發(fā)現(xiàn)約有?6002?萬美元（20.3%?）的資產(chǎn)還停留在黑客地址余額。還有約?932?萬美元（3.1%?）的被盜資產(chǎn)轉入了各交易所。轉入交易所的事件大部分為涉及金額不高的攻擊事件，少部分為一些過了幾天才被公眾關注到的釣魚事件。由于關注度低或者關注延遲等原因，讓黑客有了將贓款轉入交易所的可乘之機。

項目審計情況分析

2023?年第一季度遭到攻擊的項目中，除開?8?個無法用是否審計衡量的事件（如一些個人用戶遭受的釣魚攻擊等），在剩下被攻擊的項目中，接受過審計的有?28?個，未接受審計的有?25?個。

本季度共有?27?起合約漏洞利用導致的攻擊事件，其中審計過的項目有?15?個（損失約?3119?萬美元），未審計的有?12?個（損失約?786?萬美元）。整個市場審計質(zhì)量依舊不容樂觀。建議項目方在選擇審計公司之前一定要多加比對，選擇專業(yè)的審計公司才能讓項目安全得到有效的保障。

Rug Pull 分析

2023?年第一季度，Web3領域共監(jiān)測到主要?Rug Pull?事件?41?起，涉及金額約 2034?萬美元。

從金額來看，?6?起（14.6%?）Rug Pull?事件金額在?100?萬美元之上，?10?萬至?100?萬美元區(qū)間的事件共?12?起（29.2%?），?10?萬美元以下的事件共?23?起（56%?）。

41?起?Rug Pull?事件中，有?34?個項目部署在BNB Chain，占到了?83%?。為何眾多詐騙項目選擇?BNB Chain?呢？原因可能有如下幾點：

1?）BNB Chain GAS?費用更低，出塊時間間隔也更短。

2?）BNB Chain?活躍用戶更多。詐騙項目會優(yōu)先選擇活躍用戶多的公鏈。

3?）BNB Chain?的用戶使用?Binance?出入金更方便快捷。

2023 Q1安全態(tài)勢總結

從總體上來看，?2023?年第一季度攻擊事件總損失金額低于?2022?年任何一個季度，資金追回情況也優(yōu)于?2022?年所有季度。在黑客猖獗的?2022?年過去之后，Web3領域的總體安全性在這一季度得到了較大的提升。

DeFi?為本季度被攻擊頻次最高、損失金額最多的項目類型。DeFi?領域共發(fā)生?42?次安全事件，其中?22?次都源自合約漏洞利用（22?個項目審計和未審計的項目各有?11?個）。如果尋找專業(yè)的安全公司進行審計，其中絕大部分漏洞都可以在審計階段被發(fā)現(xiàn)和進行修復。

本季度用戶安全也是值得關注的重點。隨著本季度?Blur?帶領?NFT?市場重回火熱，隨之而來的?NFT?釣魚事件也大幅增加。仔細檢查每一個鏈接是否是官網(wǎng)、檢查簽名內(nèi)容、完整檢查轉賬地址的正確性、從官方應用商店下載應用、安裝防釣魚插件 -- 每一個環(huán)節(jié)都必須時刻保持警惕。

本季度?Rug Pull?事件依舊頻發(fā)，其中?56%?的項目跑路金額在?10?萬美元以下。這類項目通常官網(wǎng)、推特、電報、Github?等信息缺失，沒有?Roadmap?或白皮書，團隊成員信息可疑，項目上線到最后跑路周期不超過三個月。建議用戶多多對項目進行背景調(diào)查，避免資金遭受損失。

關于 Beosin

Beosin?作為一家全球領先的區(qū)塊鏈安全公司，在全球?10?多個國家和地區(qū)設立了分部，業(yè)務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監(jiān)控、預警與阻斷、虛擬貨幣被盜資產(chǎn)追回、安全合規(guī)?KYT/AML?等“一站式”區(qū)塊鏈安全產(chǎn)品+服務，目前已為全球?3000?多個區(qū)塊鏈企業(yè)提供安全技術服務，審計智能合約超過?3000?份，保護客戶資產(chǎn)高達?5000?多億美元。

熱點：EOS 區(qū)塊鏈 數(shù)據(jù)