建议用户做好风险管理,及时关注项目舆情动态。
作者:Mario,Donny,Beosin 研究团队
封面:Photo by Anton Maksimov 5642.su on Unsplash
*本报告由 Beosin、SUSS NiFT、Footprint Analytics 联合出品,公众号后台回复 “Q3” 可获取报告完整版。
*因篇幅有限,本篇内容仅展示报告安全态势部分,我们将在后续发布监管政策和 Q3 热点事件内容,请持续关注 Beosin 微信公众号。
前言
在 Web3 区块链技术的快速发展中,安全态势与监管一直是引人关注的焦点。本研究报告由区块链安全公司 Beosin 和 SUSS NiFT 联合发起的区块链生态安全联盟共同创作,旨在全面探讨 2023 年第三季度全球区块链安全态势、Web3 热点事件及加密行业重点监管政策。
在本报告中,我们将深入分析全球区块链安全态势,包括安全漏洞和攻击事件,以及 2023 年第三季度 Web3 热点事件,同时,我们将对加密行业的重要监管政策进行梳理和总结,以帮助读者了解各国政府和监管机构在区块链领域的立法和监管动态,以及其对行业发展的影响。
1 2023 Q3 Web3 安全态势综述
据区块链安全审计公司 Beosin 旗下 EagleEye 平台监测,2023 年第三季度 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 8 亿 8926 万美元。其中攻击事件 43 起,总损失金额约 5 亿 4016 万美元;钓鱼诈骗总损失金额约 6615 万美元;项目方 Rug Pull 事件 81 起,总损失约 2 亿 8296 万美元。
2023 年第三季度的损失超过了 2023 年上半年的总和。2023 年第一季度总损失约 3.3 亿美元,第二季度约 3.33 亿美元,而第三季度达到了 8 亿 8926 万美元。
从被攻击项目类型来看,DeFi 依旧是被攻击频次最高的类型。29 起攻击事件发生在 DeFi 领域,占总事件数量的 67.4%。损失金额最高的项目类型为公链。
从链平台类型来看,Ethereum 上共损失 2.27 亿美元,居所有链平台损失的第一位。Ethereum 上也发生了最多的安全事件,达到了 16 次。
从攻击手法来看,本季度共发生 9 次私钥泄露事件,造成损失达到了 2.23 亿美元,为损失金额最多的攻击类型。
从资金流向来看,有 3.6 亿美元(67%)还留在黑客地址。本季度仅有 10% 的被盗资金被追回。
从审计情况来看,经过审计和未经审计的项目大致比例相当,分别为 48.8% 和 46.5%。
2 攻击事件总览
43 起主要攻击事件造成损失 5 亿 4016 万美元
2023 年第三季度,Beosin EagleEye 平台共监测到 Web3 领域主要攻击事件 43 起,总损失金额达 5 亿 4016 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起,损失在 1000 万美元 – 1 亿美元区间的事件共 7 起,100 万美元 – 1000 万美元区间的事件 9 起。
损失金额超过千万美元的攻击事件(按金额排序):
● Mixin Network – 2 亿美元 9 月 25 日,Mixin 官推称,Mixin Network 云服务商数据库遭到黑客攻击,导致主网部分资产丢失,涉及资金约 2 亿美元。
● Curve/ Vyper – 7300 万美元 7 月 30 日,由于旧版本 Vyper 编译器中存在重入漏洞,导致多个 Curve 池被攻击,损失达 7300 万美元,事后约 5230 万美元已被黑客归还。
● CoinEx – 7000 万美元 9 月 12 日,加密交易所 CoinEx 因私钥泄露导致热钱包被盗,涉及 211 条链,总损失达到了 7000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● Alphapo – 6000 万美元 7 月 23 日,加密货币支付服务商 Alphapo 热钱包被盗,共损失 6000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● Stake – 4130 万美元 9 月 4 日,加密博彩平台 Stake 热钱包遭到黑客攻击,损失达 4130 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● CoinsPaid – 3730 万美元 7 月 22 日,加密支付平台 CoinsPaid 遭到黑客攻击,3730 万美元的资产被盗。黑客花费了六个月时间跟踪和研究 CoinsPaid 的系统,尝试了各种形式的攻击,包括社会工程、DoS、暴力破解、钓鱼等。该事件系朝鲜黑客组织 Lazarus 所为。
● Fortress IO – 1500 万美元 8 月 29 日,区块链基础设施 Fortress IO 因第三方云工具供应商遭到黑客攻击而损失 1500 万美元。
● Polynetwork – 1010 万美元 7 月 2 日,跨链桥 PolyNetwork 因私钥泄露而遭到攻击,黑客获利达 1010 万美元。
3 被攻击项目类型
本季度损失最高的项目类型为公链,来自于 Mixin Network 被盗 2 亿美元事件。这一次安全事件就占了季度总损失金额的 37%。
43 次黑客攻击事件中,共有 29 起事件发生在 DeFi 领域,占比约 67.4%。这 29 次 DeFi 攻击事件共导致了 9823 万美元的损失,排在所有项目类型的第二位。
损失排名第三位的类型为支付平台。两起支付平台安全事件共损失了 9730 万美元(Alphapo 6000 万美元、CoinsPaid 3730 万美元)。
其他被攻击的项目类型还包括:交易所、博彩平台、基础设施、跨链桥、未开源合约。从类型上看,黑客瞄准了公链、支付平台、博彩这类资金量高的平台。
4 各链平台损失金额情况
Ethereum 为损失金额最高、攻击事件最多的链
本季度 Ethereum 上共损失 2.27 亿美元,居所有链平台损失的第一位。Ethereum 上发生了最多的安全事件,达到了 16 次。
损失第二位为 Mixin Network,单次事件损失达到了 2 亿美元,居所有链平台损失的第二位。
Ethereum 和 Mixin 两条链的总金额达到了总损失的 79%。
按照事件数量排序,出现安全事件最多的 5 条公链分别是:Ethereum(16 次)、BNB Chain(10 次)、Arbitrum(3 次)、BTC(2 次)、Base(2 次)。
5 攻击手法分析
9 次私钥泄露事件造成损失 2.23 亿美元
本季度共发生 9 次私钥泄露事件,造成损失达到了 2.23 亿美元,为损失金额最多的攻击类型。本季度共发生 1000 万美元以上的安全事件 8 起,其中有 5 起都来自于私钥泄露:CoinEx(7000 万美元)、Alphapo(6000 万美元)、Stake.com(4130 万美元)、CoinsPaid(3730 万美元)、Polynetwork(1010 万美元)。
损失金额排第二的攻击类型为数据库攻击,损失达 2 亿美元,来自于 Mixin Network 事件。
损失金额排第三位的攻击类型为合约漏洞利用。22 次合约漏洞利用共造成损失约 9327 万美元。
按照漏洞细分,造成损失最多的为重入漏洞,合约漏洞事件里约有 82.8% 的损失金额来自重入漏洞。出现频次最高的为业务逻辑漏洞,22 次合约漏洞里出现了 13 次。
6 典型案例攻击手法分析
6.1 Exactly Protocol
2023 年 8 月 18 日,Optimism 链的 DeFi 借贷协议 Exactly Protocol 遭受黑客攻击,黑客获利超 700 万美元。
漏洞分析
漏洞合约中的多个 Market 地址参数可被操控。攻击者通过传入恶意的 Market 合约地址,成功绕过 permit 检查,执行了恶意的 deposit 函数,窃取了用户的抵押品 USDC 并清算用户资产,最终实现了攻击者的盈利目的。
安全建议
建议用作凭证代币的合约地址需要填加白名单功能,以免被恶意操控。
6.2 Vyper/Curve
7 月 31 日,以太坊编程语言 Vyper 发推表示,Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁漏洞。Curve 表示,多个使用 Vyper 0.2.15 的稳定币池 (CRV/alETH/msETH/pETH) 遭到攻击,总损失达到了 7300 万美元,事后约 5230 万美元已被黑客归还。
漏洞分析
本次攻击主要是源于是 Vyper 0.2.15 的防重入锁失效,攻击者在调用相关流动性池子的 remove_liquidity 函数移除流动性时通过重入 add_liquidity 函数添加流动性,由于余额更新在重入进 add_liquidity 函数之前,导致价格计算出现错误。
安全建议
当前使用 Vyper 0.2.15、0.2.16 和 0.3.0 版本的重入锁均存在失效的问题,建议相关项目方进行自查。项目上线后,强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息,及时规避安全风险。
6.3 Eralend
2023 年 7 月 25 日,ZkSync 链上 Eralend 借贷协议遭受攻击,损失约 340 万美元。
漏洞分析
本次攻击主要漏洞是价格预言只读重入,导致 EraLend 项目的 ctoken 合约借贷价值计算和清算价值计算不一致,借贷的数量高于偿还的数量,使得攻击者可以在借贷并清算后获利。攻击者重复利用多个合约进行上述操作,获得了大量的 USDC。
安全建议
在依赖 SyncSwap 项目实时储备量作价格计算时应考虑只读重入场景,防止相关函数在同一笔交易中价格计算不一致的情况发生。
7 反洗钱典型事件分析回顾
7.1 Beosin KYT 解析 Stake.com 被攻击安全事件
9 月 4 日,区块链安全审计公司 Beosin 旗下 Beosin EagleEye 安全风险监控、预警与阻断平台监测显示,加密博彩平台 Stake.com 遭遇黑客攻击。
攻击发生后,Stake.com 表示其 ETH 和 BSC 上热钱包发生未经授权的交易,正在进行调查,并将在钱包完全重新确保安全后尽快恢复存提款。
据 Beosin 安全分析团队查看之后,发现本次事件主要原因为 Stake 项目私钥泄露,导致至少约 4 千万美元资产的损失。因此,我们使用 Beosin KYT 虚拟资产反洗钱合规和分析平台对该事件进行了反洗钱分析。事件跟踪
ETH 链上资金流向
攻击发生后,在 ETH 链上,攻击者首先向 0x3130662aece32F05753D00A7B95C0444150BCd3C 地址发送 6000ETH、3,900,000 枚 USDC 和 9000,000 枚 DAI。
第二步:攻击者将 DAI,USDC 等 Token 兑换为 ETH 沉淀至如下 4 个地址,为后续资金分散混淆做准备
0xba36735021a9ccd7582ebc7f70164794154ff30e0x94f1b9b64e2932f6a2db338f616844400cd58e8a0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e0xbda83686c90314cfbaaeb18db46723d83fdf0c83
第三步:攻击者将上述四个地址的资金分别分散发送至 20 余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。
第四步:黑客将大部分资产分上百笔交易抵押进 DEX:Thorchain 其余资产则通过 1inch 和 SSwap 兑换为 USDT。
值得注意的是黑客将一小部分资金打入了 Binance 钱包。
Polygon 链上资金流向
黑客在 Polygon 链上转移资金手法和在 ETH 链上转移资金手法如出一辙。
在 Polygon 链, 攻击者先向 0xfe3f568d58919b14aff72bd3f14e6f55bec6c4e0 地址分别发送 3,250,000 枚 MATIC、4,220,000 枚 USDT、1,780,000 枚 USDC 和 70,000 枚 DAI。
第二步:攻击者将 DAI,USDC 等 Token 兑换为 MATIC 沉淀至如下 4 个地址,为后续资金分散混淆做准备:
0x32860a05c8c5d0580de0d7eab0d4b6456c397ce20xa2e898180d0bc3713025d8590615a832397a80320xa26213638f79f2ed98d474cbcb87551da909685e0xf835cc6c36e2ae500b33193a3fabaa2ba8a2d3dc
第三步:攻击者将上述四个地址的资金分别分散发送至 20 余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。
第四步:黑客将分散的资产发起数百笔交易转入 SquidRouter 进行跨链。
BNB Chain 链上资金流向
同 ETH 和 Polygon,在 BNB Chain 链上,攻击者用 Stake 钱包向 0x4464e91002c63a623a8a218bd5dd1f041b61ec04 地址分别发送 7,350,000 枚 BSC-USD、1,800,000 枚 USDC、1,300,000 枚 BUSD、300,000 枚 MATIC、12,000 枚 BNB、2,300 枚 ETH 和 40,000 枚 LINK。
第二步:将 BNB chain 上面的资产兑换为 BNB 沉淀至如下 4 个地址,为后续资金分散混淆做准备:
0xff29a52a538f1591235656f71135c24019bf82e50x95b6656838a1d852dd1313c659581f36b2afb2370xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd620xbcedc4f3855148df3ea5423ce758bda9f51630aa
第三步:攻击者将上述四个地址的资金分别分散发送至 20 余个地址,并且黑客为进一步提高提高追踪难度,同时在同级地址之间互相转账。
第四步:黑客将分散的资产发起数百笔交易转入 OKX DEX、BNB tokenhub 进行跨链或兑换为 BUSD 继续进行资金混淆。
值得注意的是黑客将一小部分资金打入了 OKX 钱包
9 月 5 日,加密博彩平台 Stake.com 发布公告称,平台所有服务已恢复,所有货币的存提款都在即时处理。这次事件让 Stake.com 在以太坊上被盗 1570 万美元,也在 BNB Chain 和 Polygon 网络被盗价值 2560 万美元的加密资产。这个事件的教训使 Stake.com 加强了安全措施,包括加强私钥管理和采取额外的防护措施,以确保用户资产的安全。
同时,Beosin 将继续致力于提供最先进的安全审计和风险监控解决方案,为加密资产的持有者和交易平台提供可靠的保障。这次事件向整个加密行业提出了警示,强调了安全性的重要性,并进一步推动了安全技术和合规措施的发展,以保护用户的数字资产免受潜在的威胁。
7.2 解析 JPEX 风波背后的资金流向
9 月 13 日,香港证监会发布了一篇名为《有关不受规管的虚拟资产交易平台》的声明,表示虚拟资产交易平台 JPEX 未获得证监会牌照且 JPEX 没有向证监会申请牌照。次日,JPEX 的社群发现 JPEX 平台的提币额度仅为 1000USDT,而提币手续费高达 999USDT,变相让用户无法出金。9 月 19 日,香港证监会举行新闻发布会,指出 JPEX 平台交易已停止运作。
目前,该事件的调查仍在进行中。我们通过 Beosin KYT 对 JPEX 进行实体地址溯源,确定 JPEX 关联地址后,Beosin 研究团队对资金进行了分析,以下是我们最新的分析情报。
JPEX 以太坊链上资金流向
JPEX 平台在 Ethereum 链上的存款钱包地址为 0x50c85e5587d5611cf5cdfba23640bc18b3571665,用户存入 JPEX 的资产会自动存入到该地址。而 Ethereum 链上的 USDT 资产,会转到出金钱包地址 0x9528043B8Fc2a68380F1583C389a94dcd50d085e。
存款钱包地址 0x50c8 在 9 月 19 日凌晨 1:37 分完成转账后就未有任何资金转移记录,已停止资金进出超过 24 小时。
而 USDT 出金钱包地址 0x9528 在 9 月 18 日下午 5 点左右向 FixedFloat 交易所(无需 KYC)的 3 个存款地址分别转入 10 万 USDT,此后该地址也未有任何资金转移记录。Beosin KYT 查询结果如下:
除了 USDT,ETH 还分布在 JPEX 的各个地址上,分布情况如下:
0x50c85e5587d5611cf5cdfba23640bc18b3571665:641 枚
0x31030a8C7E3c8fD0ba107e012d06f905CD080eD9:320 枚
0x87E1E7D3ee90715BCE8eA12Ef810363D73dc79FB:400 枚
0xcd19540f8d14bEbBb9885f841CA10F7bF5A71cAC:350 枚
0x22E70793915625909E28162C8a04ffe074A5Fc98:400 枚
0xd3528B66C3e3E6CF9C288ECC860C800D4CB12468:200 枚
Beosin 旗下 C 端的链上分析平台 EagleEye 追踪发现 ETH 以及 USDT 资金流向详情图如下图所示:
JPEX 比特币链上资金流向
比特币链上 BTC 分散在 JPEX 的各个地址上,分布情况如下:
3LJVASCfNRm9DEmHYaRbWhiKVSg14JqarS:28 枚
32JWJvigxttRmfYYcXEsCFScibnVU3bD92:20 枚
381agNrmetRakEsfz9oD1XGvwgR9Q6y6fa:30 枚
3LhYzsTZadkXaf6qsYQoP65ynGiiDv5XGU:20 枚
3KBnBZTNGkbqEaQV6jb6oGxoiMHwmVLoGM:25 枚
3A6G8gkxY9zgkRCHorSLvcj49J6Cp5TVBx:33 枚
Beosin 旗下 C 端的链上分析平台 EagleEye 追踪 BTC 资金流向详情图如下图所示:
目前,JPEX 未在公开社交平台正式回应此事。而整个加密社区对 JPEX 的做法表示谴责,不少投资者在 JPEX 之前的推文下留言要求降低手续费并开放提现额度。JPEX 的做法也可能让他们面临证监会更严厉的调查。
在 JPEX 风波中,我们通过用 Beosin KYT 对链上数据的分析和解读,揭示了 JPEX 平台的资金流向,以及用户应该如何分析链上数据来提升资产安全。这一系列事件引起了广泛的关注和警惕,也提醒了用户保护自己资产的重要性。
8 被盗资产的资金流向分析
约 3.6 亿美元被盗资金还留在黑客地址
第三季度被盗的资金中,有 3.6 亿美元(67%)还留在黑客地址。共有 9927 万美元(18.4%)转入了混币器:917 万美元转入了 Tornado Cash;9010 万美元转入了其他混币器,如 FixedFloat、Sinbad 等。
本季度有 5440 万美元的资产被追回,占比仅有 10%。和上半年相比,本季度资金追回的比例大幅减少。主要原因在于本季度朝鲜黑客组织 Lazarus 活动频繁,共盗取了 2.08 亿美元,而该黑客组织善于运用各种复杂的洗钱手段清洗盗取资金,基本没有返还的情况。
9 项目审计情况分析
经过审计和未经审计的项目大致比例相当,被攻击的 43 个项目中,经过审计和未经审计的项目大致比例相当,分别为 48.8% 和 46.5%。
在 22 次因为合约漏洞被攻击的项目中,没有审计过的项目占了 14 个(63.6%)。
10 Rug Pull 分析
81 起 Rug Pull 事件共损失 2.8 亿美元
2023 年第三季度,共监测到项目方 Rug Pull 事件 81 起,涉及金额达 2.8 亿美元。
超过千万美元的 Rug Pull 事件包括:Multichain(2.1 亿美元)、Bald(2300 万美元)和 Pepe(1550 万美元)。
Rug Pull 事件主要分布在 Ethereum 链(42 起)和 BNB Chain(33 起)。本季度大热的 Base 链也发生了 4 起 Rug pull 事件。
11 2023 Q3 安全态势总结
和 2023 年前两个季度相比,第三季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 8 亿 8926 万美元。第三季度损失的总金额比一二季度相加总和还要高,Web 3 安全领域形势依旧不容乐观。
本季度朝鲜黑客组织 Lazarus 活动频繁,四次攻击事件共盗取了超 2.08 亿美元,为本季度 Web3 安全领域的最大威胁。根据受攻击项目方 CoinsPaid 的调查结果,Lazarus 花了半年的时间试图渗透 CoinsPaid 系统并查找漏洞,期间尝试了包括社会工程、DoS、暴力破解、钓鱼等各种方式,最终通过一份虚假的工作邀请诱骗了一名员工下载恶意软件,从而盗取私钥。Lazarus 擅长运用黑客攻击中最薄弱的环节——人,对各类资金量高的平台进行复杂的攻击。对于大型加密服务提供商而言,需要对此类攻击特别提高警惕,定期对员工进行安全培训,对高特权员工实施安全实践,针对基础设施和应用程序中的所有可疑活动建立监控和警报系统。
43 起攻击事件中,依然有 22 起来自合约漏洞利用。建议项目方在上线之前寻找专业的安全公司进行审计。
本季度项目方 Rug Pull 损失金额大幅增加,从项目方公告来看,“内部纠纷”、“不可抗力因素” 等频繁出现。即便是资金量大、用户数量多的项目方也有 Rug Pull 的风险。建议用户做好风险管理,及时关注项目舆情动态。用户可以通过 EagleEye 平台查询项目安全信息和最新舆情,更安全地投资新项目。