1 Q3 2022 Blockchain-Sicherheitsübersicht
Insgesamt wurden 37 große Exploits überwacht, mit einem Gesamtverlust von etwa 405 Millionen US-Dollar
Im dritten Quartal 2022 überwachte Beosin EagleEye über 37 größere Angriffe im Web3-Bereich mit Gesamtverlusten von etwa 405 Millionen US-Dollar, was einem Rückgang von etwa 43.6 % gegenüber 718.34 Millionen US-Dollar im zweiten Quartal 2 und einem Rückgang von 2022 % gegenüber dem Verlust von 59.6 Millionen US-Dollar entspricht Q1,002.58 3.
Von Januar bis September 2022 beliefen sich die durch Angriffe im Web3-Bereich verlorenen Vermögenswerte auf insgesamt 2,317.91 Millionen US-Dollar.
In Bezug auf jeden Monat, Der Juli verzeichnete einen deutlichen Rückgang der Angriffe und war damit der geringste Verlust durch Angriffe seit 2022. Die Hackeraktivität nahm im August und September deutlich zu.
In Bezug auf die Projekttypen, 92 % des verlorenen Betrags stammten von Cross-Chain-Bridges und DeFi-Protokollen. 22 der 37 Angriffe fanden im DeFi-Raum statt.
In Bezug auf TVL, nach einem starken Rückgang der TVL von Mai bis Juni, tendierte der Trend der TVL jeder Kette in diesem Quartal dazu, stabil zu sein. Ende Juli bis Anfang August zeigte sich ein leichter Aufwärtstrend bei der TVL, was auch der Zeitraum mit der höchsten Angriffszahl und Schadenssumme in diesem Quartal war.
Was die Ketten angeht, Die Höhe der Verluste bei Ethereum erreichte in diesem Quartal 374.28 Millionen US-Dollar, was 92 % der Gesamtverluste ausmacht. Die am häufigsten angegriffene Kette war die BNB-Kette, die 16 Mal erreichte.
In Bezug auf Angriffstypen, 92 % der Schadenssumme wurde durch Vertragsschwachstellen-Exploits und Kompromittierungen privater Schlüssel verursacht.
In Bezug auf die Mittelflüsse Etwa 204.2 Millionen US-Dollar der gestohlenen Gelder flossen in Tornado Cash, was etwa 50.4 % der im Quartal gestohlenen Gelder entspricht. Nur etwa 4 % der gestohlenen Gelder wurden während des Quartals zurückerlangt.
In Bezug auf Audits, nur 40 % der rekt-Projekte wurden auditiert.
2 Exploits im Überblick
Insgesamt gingen die Angriffe in Q3 im Vergleich zu Q2 zurück
Im dritten Quartal 3 wurden 2022 größere Angriffe im Web37-Bereich mit einem Gesamtschaden von etwa 3 Millionen US-Dollar überwacht. Es gab zwei Angriffe mit Verlusten von 405 Millionen Dollar oder mehr, drei Angriffe mit Verlusten von 100 Millionen Dollar oder mehr und 10 Angriffe mit Verlusten von 14 Million Dollar oder mehr. Das waren Sicherheitsvorfälle mit über 1 Millionen Dollar Schaden Nomadenbrücke (190 Mio. USD) und Winterstumm ($ 160 Mio.).
August 2022 war mit Verlusten von rund 210.62 Millionen US-Dollar der aktivste Monat für Hacker im Quartal. Die Gesamtverluste durch Angriffe im Juli beliefen sich auf 30.05 Millionen US-Dollar und waren damit die niedrigsten Verluste in einem Monat seit 2022.
3 Arten von rekt-Projekten
Kettenübergreifende Brücken und DeFi-Projekte machen 92 % der Verlustsumme aus
Im dritten Quartal 2022 führten drei Cross-Chain-Bridge-Angriffe zu einem Gesamtverlust von etwa 190.25 Millionen US-Dollar; 22 Angriffe im DeFi-Raum führten zu einem Gesamtverlust von 186.79 Millionen Dollar. Ungefähr 92 % der Angriffsverluste stammten von der Cross-Chain-Bridge und den DeFi-Protokollen.
Im September 2022 gab es im Jahr 10 2022 größere kettenübergreifende Bridge-Sicherheitsvorfälle mit Verlusten von über 1.4 Milliarden US-Dollar. Kettenübergreifende Brücken waren im Jahr 2022 das am stärksten von Angriffen betroffene Gebiet.
Neben Cross-Chain-Bridges und DeFi-Protokollen gehörten zu den anderen Arten von Projekten, die in diesem Quartal angegriffen wurden, NFTs, Börsen, DAOs, Wallets und MEV-Bots, wodurch ihre Gesamttypen vielfältiger wurden als im Vorquartal.
4 Verlustbetrag pro Kette
Die Verluste bei Ethereum belaufen sich auf 374.3 Millionen Dollar
In diesem Quartal ereigneten sich 12 größere Angriffe auf Ethereum mit einem Gesamtverlust von 374.28 Millionen US-Dollar, was den ersten Platz unter allen Ketten einnimmt. Solana verlor 18.37 Millionen Dollar durch 3 Exploits.
Ketten mit größeren Angriffen in zwei aufeinanderfolgenden Quartalen sind Ethereum, BNB Chain, Fantom und Avalanche.
BNB Chain sah mit 16 Exploits die meisten Angriffe, und ihre entsprechenden Projekte sind alle ungeprüft. Der Geldbetrag, der bei diesen 16 Exploits involviert ist, ist relativ gering, da bei 14 Vorfällen ein einzelner Verlust von weniger als 500,000 US-Dollar zu verzeichnen war.
Nachdem der TVL von Mai bis Juni stark zurückgegangen war, stabilisierte sich der TVL-Trend in allen Ketten in diesem Quartal. TVL zeigte im Zeitraum von Ende Juli bis Anfang August einen leichten Aufwärtstrend, was auch der Zeitraum mit den meisten Angriffen und Schadenssummen in diesem Quartal war. Der Kryptomarkt bewegte sich im September allgemein leicht nach unten. Nach der Fusion von Ethereum am 15. September verzeichnete die Ethereum TVL einen kontinuierlichen leichten Rückgang.
5 Analyse der Angriffsarten
92 % des verlorenen Betrags wurden durch Vertragsschwachstellen-Exploits und die Kompromittierung privater Schlüssel verursacht
Auch im dritten Quartal waren Vertrags-Exploits die häufigste Angriffsart. Etwa 15 Angriffe sind Vertragsschwachstellen-Exploits, was 40.5 Prozent der Gesamtzahl ausmacht. Die Gesamtverluste durch Vertragsschwachstellen beliefen sich auf 201.6 Millionen US-Dollar oder 50.9 Prozent der Gesamtverluste.
Die vier Kompromittierungen privater Schlüssel in diesem Quartal führten zu Verlusten in Höhe von etwa 167.24 Millionen US-Dollar, dem zweitgrößten Verlustbetrag nach Ausnutzung von Vertragsschwachstellen.
Im Vergleich zum Vorquartal waren die Angriffsarten in diesem Quartal vielfältiger. Zu den neuen Angriffstypen, die in diesem Quartal aufgetaucht sind, gehören BGP-Hijacking, Fehlkonfiguration und Supply-Chain-Angriffe.
Nach Vertragsschwachstellen gehören zu den wichtigsten Schwachstellen, die in diesem Quartal ausgenutzt wurden: Validierungsprobleme, Wiedereintritt, Berechtigungsprobleme, falsch gestaltete Geschäftslogik oder Funktionen und Überlaufschwachstellen. Diese Schwachstellen sind alle während der Auditphase auffindbar und behebbar.
6 Zusammenfassung typischer Sicherheitsvorfälle
6.1 Nomad Bridge $ 190 Millionen Vorfall
Am 2. August erlitt Nomad Bridge, eine Cross-Chain-Plattform, die Vermögenstransfers über Ethereum, Moonbeam, Avalanche, Evmos und Milkomeda unterstützt, einen massiven Hack, der das Projekt 190 Millionen Dollar kostete.
6.2 Slope Wallet-Vorfall auf Solana
Am 3. August ereignete sich auf Solana ein groß angelegter Diebstahl von Slope-Brieftaschen mit einem geschätzten Verlust von rund 6 Millionen US-Dollar.
6.3 Wintermute-Kompromittierung des privaten Schlüssels
Am 20. September wurde der Krypto-Marktmacher Wintermute mit einem Verlust von 160 Millionen US-Dollar aufgrund einer Kompromittierung privater Schlüssel angegriffen.
7 Mittelflussanalyse
Ungefähr 204.2 Millionen Dollar an gestohlenen Geldern flossen in Tornado Cash
Am 8. August sanktionierte das Office of Foreign Assets Control (OFAC) des US-Finanzministeriums Tornado Cash und verbot US-Personen oder -Organisationen, damit zu interagieren. Im dritten Quartal 2022 flossen immer noch ungefähr 204.2 Millionen US-Dollar an gestohlenen Geldern in Tornado Cash, was 50.4 Prozent der in diesem Quartal gestohlenen Gelder entspricht, was weniger ist als im zweiten Quartal.
Ungefähr 182.3 Millionen US-Dollar der gestohlenen Gelder verblieben als Restbetrag in der Adresse des Hackers. Einige gestohlene Gelder wurden zu Adressen in anderen Ketten überbrückt, und dieser Teil wird immer noch als Adressguthaben des Hackers gezählt.
Etwa 16.6 Millionen US-Dollar an Vermögenswerten wurden durch On-Chain-Verhandlungen und unaufgeforderte Rücksendungen von White-Hat-Hackern wiederhergestellt. Im dritten Quartal 2022 wurden nur etwa 4 % der gestohlenen Gelder wiederhergestellt, ein viel geringerer Prozentsatz als im zweiten Quartal.
Rund 1.92 Millionen Dollar an gestohlenen Vermögenswerten flossen in Börsen wie Binance und FixedFloat. Solche Vorfälle betrafen im Allgemeinen eine kleine Anzahl von Vermögenswerten (normalerweise etwa 10 bis 100 US-Dollar), und die Hacker überwiesen die gestohlenen Gelder unmittelbar nach dem Angriff an die Börsen, was dazu führte, dass die Projekte die Börsen nicht rechtzeitig kontaktierten, um die Gelder einzufrieren.
8 Projektauditanalyse
Nur 40 % der Projekte wurden geprüft
Im Jahr 2022 betrug der Prozentsatz der geprüften rekt-Projekte: 70 % im ersten Quartal, 52 % im zweiten Quartal und 40 % im dritten Quartal. Der Anteil der ungeprüften rekt-Projekte zeigt von Quartal zu Quartal einen steigenden Trend.
Von allen Rekt-Projekten verloren die geprüften Projekte insgesamt 375.48 Millionen US-Dollar und die ungeprüften Projekte etwa 29.56 Millionen US-Dollar durch Angriffe. Auf den ersten Blick scheint es, dass Audits nicht dazu dienten, den sicheren Betrieb der Projekte zu gewährleisten. Eine eingehendere Analyse zeigt jedoch, dass die meisten dieser geprüften Projekte von Problemen auf nicht vertraglicher Ebene angegriffen wurden, wie z. B. Kompromittierung privater Schlüssel, Angriffe auf die Lieferkette, DNS-Angriffe, BGP-Hijacking und Fehlkonfiguration. 85 % der ungeprüften Projekte wurden durch Vertragsschwachstellen oder Flashloan-Angriffe verursacht.
Es zeigt sich, dass professionelle Audits das Projekt auf Vertragsebene noch einigermaßen absichern. Der sichere Betrieb eines Protokolls erfordert jedoch auch eine gute Offline-Risikokontrolle, die sichere Aufbewahrung des privaten Schlüssels, die Warnung vor herkömmlichen Angriffen auf die Netzwerksicherheit und den sorgfältigen Einsatz von Komponenten von Drittanbietern. Natürlich gibt es in diesem Quartal auch einige Schwachstellen, die in der Auditphase hätten entdeckt werden sollen, aber nicht im Auditbericht aufgeführt wurden, daher wird empfohlen, dass das Projekt ein professionelles Sicherheitsunternehmen mit der Durchführung des Audits beauftragt.
Laden Sie das vollständige herunter berichten:
Über die Blockchain Security Alliance
Die Blockchain Security Alliance wurde von mehreren Einheiten mit unterschiedlichem Branchenhintergrund ins Leben gerufen, darunter Universitätsinstitutionen, Blockchain-Sicherheitsunternehmen, Branchenverbände, Fintech-Dienstleister usw. Die erste Gruppe des Allianzrates umfasst Beosin, SÜSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain-Verwahrer, Semisand, Coinhako, ParityBit und Huawei Cloud. Zu den aktuellen Mitgliedern gehören: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive und Digital Treasures Center. Die Mitglieder der Security Alliance werden zusammenarbeiten und kooperieren, um das globale Blockchain-Ökosystem mit ihren eigenen technischen Stärken kontinuierlich zu sichern. Der Allianzrat begrüßt auch mehr Menschen in Blockchain-bezogenen Bereichen, sich anzuschließen und gemeinsam die Sicherheit des Blockchain-Ökosystems zu verteidigen.
Allianzregistrierung
https://forms.gle/pb3NaUgS3a2Sswnc8
Kontakt
Telegramm:@kristenbeosin, @Web3Donny
Email: [E-Mail geschützt]
Allianzmitglied – Beosin
Beosin ist ein führendes globales Blockchain-Sicherheitsunternehmen mit Sitz in Singapur und mehr als 100 Sicherheitsexperten für formelle Verifizierung und Blockchain-Sicherheit. Mit der Mission „Securing Web3.0 Ecosystem“ bietet Beosin integrierte Blockchain-Sicherheitsprodukte und -dienste, einschließlich Code-Sicherheitsaudit, Risikoüberwachung, Alarmierung und Blockierung für Projekte, Sicherheitskonformität KYT & KYC und Wiederherstellung gestohlener Vermögenswerte. Beosin hat derzeit Sicherheitsdienste für mehr als 2,000 Blockchain-Unternehmen weltweit erbracht, über 2,500 Smart Contracts geprüft und über 500 Milliarden US-Dollar an Vermögenswerten für Kunden geschützt.
Allianzmitglied – Footprint Analytics
Footprint Analytics ist ein Tool zum Aufdecken und Visualisieren von Daten in der gesamten Blockchain, einschließlich NFT- und GameFi-Daten. Es sammelt, analysiert und bereinigt derzeit Daten aus 18 Ketten und ermöglicht es Benutzern, Diagramme und Dashboards ohne Code mithilfe einer Drag-and-Drop-Oberfläche sowie mit SQL oder Python zu erstellen.
