最初のレベルのタイトル
1. 2022 年第 2 四半期の Web3 セキュリティ状況の概要
大規模な攻撃は48件以上発生し、被害総額は約7億1,834万米ドルに達した。
2022 年の第 2 四半期、成都連安チェーンの Bing-Blockchain セキュリティ状況認識プラットフォームは、Web 3 分野で計 48 件を超える主要な攻撃を監視し、総損失額は約 7 億 1,834 万ドルでした(前四半期の損失額は 12 億米ドル)。第 1 四半期の損失は約 40% 減少し、これは 2021 年の第 2 四半期の損失 (2 億 9,656 万ドル) の約 2.42 倍です。
2022年1月から6月までのWeb 3分野における攻撃による損失総額は約19億1,287万米ドルに達した。時間的には、
4 月はハッキング攻撃が最も活発な月で、5 月は攻撃件数と被害額がともに大幅に減少し、6 月にはハッカーの活動が活発化する傾向が見られました。攻撃されているプロジェクトの種類の観点から見ると、
DeFi は依然として最も攻撃されているプロジェクトの種類であり、攻撃の約 79.2% が DeFi 分野で発生しました。TVL(Total Locked Value)の観点から見ると、
すべてのチェーンと攻撃されたプロジェクトの TVL 値は 5 月に大幅に低下しました。ほとんどのプロジェクトでは、攻撃の時点後に TVL が突然低下します。チェーンプラットフォームの観点から見ると、
この四半期で最も多くの損失を出したのはイーサリアムで、3億8,135万ドルでした。攻撃頻度が最も高いチェーンはBNBチェーンで、26回に達します。攻撃手法の観点から見ると、
最も一般的な攻撃方法は依然として契約エクスプロイトとフラッシュ ローンです。攻撃の約 45.8% は契約エクスプロイトでした。フラッシュローンによる被害額は2億3300万ドルに上り、さまざまな攻撃手法の被害額でトップとなった。資本の流れの観点から見ると、
盗まれた資金のうち約 4 億 1,889 万ドルがハッカーによって Tornado.cash に送金され、この四半期に盗まれた総額の 58.3% を占めました。監査の観点から見ると、
その他の点では、この四半期にはチェーン上の合計 43 件を超える主要なラグ プル イベントが監視され、プロジェクト側は総額約 3,426 万 6,402 米ドルを奪いました。不完全な統計によると、Discord サーバーがハッキングされた事件は 151 件以上あります。 5 月と 6 月には、ラグプルやフィッシングのセキュリティ インシデントが頻繁に発生しました。
最初のレベルのタイトル
2. 攻撃イベントの概要
4 月は今四半期ハッキングが最も活発な月でした
時期的に見ると、2022 年 4 月はこの四半期でハッキング攻撃が最も活発な月であり、合計 19 件の重大なセキュリティ インシデントが発生し、約 37,489 米ドルの損失が発生しました。 5月は攻撃件数と損失額の両方が大幅に減少したが、これは5月に仮想通貨市場全体の価値が急激に縮小したことに関連している可能性がある。 6月の市場では温暖化傾向は見られなかったものの、ハッキング攻撃の頻度とプロジェクト損失額は5月に比べて大幅に増加した。
最初のレベルのタイトル
3. 攻撃されたプロジェクトの種類
攻撃の 79.2% が DeFi 分野で発生第1四半期と同様に、DeFi は依然として最も攻撃されているプロジェクトの種類であり、攻撃の約 79.2% が DeFi 分野で発生しました。
この四半期にもクロスチェーンブリッジ攻撃が依然として2件発生しており、累積損失は約1億ドルに達した。 2022 年の第 1 四半期には、4 件のクロスチェーンブリッジ攻撃による被害総額は 9 億 5,000 万米ドルに上ります。これまでのところ、2022年上半期にクロスチェーンブリッジ攻撃による損失額は10億5000万米ドルに達している。
最初のレベルのタイトル
4. 攻撃されたプロジェクトの TVL 分析
一部のプロジェクトの TVL は攻撃を受けると直接ゼロにリセットされます
攻撃を受けたプロジェクトの TVL と攻撃時点の比率から判断すると、ほとんどの場合、損失額はプロジェクトの TVL の 30% 未満です。中には、Blizz FinanceやBeanstalkのような個別プロジェクトもあり、その損失はTVLの100%、さらには500%に達しています。
最初のレベルのタイトル
5. 各チェーンプラットフォームの損失額
損失額が最も多いのはイーサリアム、攻撃事件が最も多いのはBNBチェーン
この四半期で最も多くの損失を出したのはイーサリアムで、3億8,135万ドルでした。攻撃頻度が最も高いチェーンはBNBチェーンで、26回に達します。
前四半期と比較して、2 四半期連続で攻撃を受けたチェーンには、イーサリアム、BNB、Fantom、Cronos が含まれます。ソラナ チェーンは、第 1 四半期に 2 件の攻撃により 3 億 7,400 万ドルの損失を被りましたが、この四半期には重大なセキュリティ インシデントは検出されませんでした。
第 2 四半期では、すべてのチェーンで 5 月の TVL が大幅に減少しました。 TVL のトップ 2 であるイーサリアムと BNB チェーンは、依然としてハッカーの主な標的となっています。今四半期の攻撃の被害額は総額 7 億 1,834 万ドルで、6 月の Osmosis、Elrond、Metis の合計 TVL を上回っています。
DeFi プロトコルに対する攻撃数の観点から見ると、第 2 四半期には、BNB チェーン上の攻撃を受けた DeFi プロトコルがプロトコル総数に占める割合が最も高く、7% に達しました。 Metis の DeFi エコロジーは十分に豊富ではなく、攻撃は 1 件しかありませんが、トランザクション数と金額は比較的多くなっています。
最初のレベルのタイトル
6. 攻撃手法の分析
最も一般的な攻撃方法は依然として契約エクスプロイトとフラッシュローンです
この四半期で最も多かった攻撃手法は契約の脆弱性の悪用で、契約の脆弱性を悪用した攻撃は22件で全体の45.8%を占め、契約の脆弱性による損失総額は約1億3,800万米ドルとなった。 2 番目に多い攻撃手法はフラッシュ ローンで、この四半期には 9 件のフラッシュ ローン攻撃が発生し、2 億 3,300 万米ドルの損失が発生し、さまざまな攻撃手法の損失額で第 1 位となりました。
第 1 四半期と同様、Web3 分野で最も一般的な攻撃方法は依然としてコントラクト エクスプロイトとフラッシュ ローンです (第 1 四半期ではそれぞれ 50% と 24%)。また、秘密鍵の漏洩による損失額は依然として1億315万ドルに達しており、秘密鍵の安全性は依然として注目に値する。この四半期に悪用された脆弱性は主に次のとおりです。その中で最も悪用される脆弱性は不適切なビジネス ロジック/機能設計であり、他の脆弱性よりもはるかに多く悪用されています。この四半期に一度、この再入可能脆弱性がハッカーによって悪用され、その結果生じた損失は 8,034 万米ドルに達しました。
7. 典型的なケースにおける攻撃手法の分析
副題
7.1 インバース・ファイナンスは二度攻撃された
イベントの詳細:
2022年4月2日、インバース・ファイナンス・プロジェクトが価格操作の攻撃を受け、累積損失は約1,500万米ドルと推定されている。攻撃の主な理由は、TWAP オラクルによって使用される時間枠が短すぎることです。 Xinv トークンの価格を計算するときは、WETH/INV のペアに基づいて計算します。ペア プールが操作されており、timeElapsed 間隔が短いため、攻撃者は xINV トークンの値を操作するために呼び出しが現在のブロック内にないことを確認する必要があります。
セキュリティに関するアドバイス: トークン価格を取得する際は、リアルタイムのトークン残高に依存することは避け、TWAP タイプの価格オラクルを使用し、十分な時間枠を設定してください。
副題
7.2 Akutars: スマート コントラクトのバグにより 3,400 万ドルがロックされ引き出し不能
イベントの詳細:
2022年4月24日、スマートコントラクトの脆弱性により、NFTプロジェクトAkutarsの3,400万ドルがロックされ、引き出すことができなくなりました。注目すべきは、プロジェクトの契約がセキュリティ会社の監査を受けていないことだ。分析の結果、Akutars の契約には 2 つの脆弱性が含まれていることが判明しました。
脆弱性 1:
最初の契約の脆弱性は processRefunds にあり、設計者は、refundProgress カウンタに基づいて循環返金を実行します。ここでは、返金処理にcall関数を使用し、返金結果をrequireの判定条件としています。したがって、この時点で攻撃者がキュー内で払い戻し操作を実行すると、攻撃者に通話の払い戻しが呼び出されたときに、攻撃者はフォールバックで悪意のある取り消しを実行し、キューの後ろにいる全員が払い戻しできなくなります。幸いなことに、この脆弱性は実際には攻撃者によって悪用されませんでした。
脆弱性 2:
この脆弱性は、約 3,400 万ドル相当の資産が契約にロックされている直接の原因です。
claimProjectFunds関数では主にプロジェクト側の出金に使用される関数です。関数 require (refundProgress >= totalBids) では、refundProgress は処理されたユーザーの払い戻しの数を示し、totalBids はすべてのユーザーが合計で入札した NFT の数を示します。ユーザーは複数の NFT に入札できるため、数値比較では、refundProgress が totalBids よりも小さい場合があります。
払い戻し関数 processRefunds: require(_refundProgress < _bidIndex); bidIndex は入札に参加しているすべてのユーザーを意味し、refundProgress が bidIndex より大きくなることはありません。 bidIndex の値は 3669、totalBids の値は 5495 です。したがって、refundProgress>=5495 および返金Progress
セキュリティに関する提案: プロジェクトをオンラインにする前に専門的なセキュリティ監査を行うことが非常に必要です。
副題
7.3 豆の木農場: ハッカーは約 8,000 万ドルの利益を上げました。悪意のある提案を防ぐには?
2022 年 4 月 17 日、アルゴリズム安定通貨プロジェクトである Beanstalk Farms がフラッシュ ローン攻撃を受け、ハッカーは 8,000 万米ドル近くの利益を得ましたが、プロトコルは 1 億 8,200 万米ドルを失いました。これは今四半期で最も損失額が多い項目です。
この攻撃を振り返ると、攻撃者は前日に Beanstalk から資金を引き出す提案 (Beanstalk プロトコル) を開始し、その後、その提案を実行するための緊急コミットを求めてEmergencyCommit を呼び出しました。これは、プロジェクト当事者が提案の 1 日後にのみ投票を開始できると規定しているためです。
攻撃中、攻撃者は「投票契約の投票数はアカウントの提案トークン保有量によって計算される」という抜け穴を利用し、10億ドル相当の巨額資金をフラッシュローンで貸し付け、トークンを交換して投資を行った。マイニング プール内のユーザーは、一時的に大量の提案トークンを取得します。これにより、他の人が投票することなく提案が可決されることが保証されます。最終的に提案は可決、実行され、攻撃者はプロジェクト当事者の資金を引き出すことに成功し、フラッシュローンを交換して返済し、利益を残して市場を去りました。
安全上のアドバイス:
1. 投票に使用される資金は契約で一定期間ロックされ、口座の現在の資金残高を投票数のカウントに使用することは避けるべきです。
3. 契約アドレスが投票に参加することを禁止することを検討します。
最初のレベルのタイトル
八、資本フロー分析
盗まれた約4億1,889万ドルの資金がTornado.cashに流入
資金の流れの観点から見ると、2022 年の第 2 四半期に、盗難資金のうち約 4 億 1,889 万米ドルがハッカーによって Tornado.cash に送金され、同四半期の盗難総額の 58.3% を占めました。さらに、1 億 3,100 万米ドルの資産が回収され、1 億 6,845 万米ドルの資産がハッカーのアドレスに残存しており、まだ混合も取引所にも流入していません。データが示すように、今四半期の資金回収は前四半期よりも良好で、場合によってはプロジェクトチームがチェーン上の情報を通じてハッカーと交渉し、一部のハッカーは盗んだ資金の一定額を「免除」として返還することを選択する可能性がある。法的制裁を。」
最初のレベルのタイトル
9. プロジェクト監査の分析
プロジェクトの 52% のみが監査されています
攻撃されたプロジェクトのうち監査を受けたのはわずか 52 パーセントでした(前四半期は 70 パーセントでした)。今四半期に監査対象となった攻撃によるプロジェクト損失は5億4,763万米ドルに達し、損失額の76.2%を占め、前四半期を大幅に上回った。
監査されたプロジェクトの損失は依然として 5 億 4,763 万ドルに達していますが、それは監査がもはや重要ではないという意味ではありません。監査ビジネスに参入するセキュリティ企業が増えるにつれ、監査市場には不均一性があり、さまざまな状況が混在しています。一部の専門的でない企業のせいで、監査されるべきスマートコントラクトの一部の抜け穴が監査されなかったそのため、一部のプロジェクト関係者や投資家の中には、「監査もホワイト監査ではないか」と、監査の必要性やプロ意識に疑問を抱くようになった。したがって、プロジェクト当事者は、プロジェクトを開始する前に監査を実施してくれる専門のセキュリティ会社を見つける必要があることをお勧めします。
最初のレベルのタイトル
10. ラグの引っ張り解析
プロジェクトパーティーは総額約3426万6402ドルを奪った
ラグプルとは通常、開発者が DEX 流動性プールから撤退するか、突然プロジェクトを放棄し、警告なしに投資家の資金を奪い取ることを指します。これは一般に「逃亡」として知られています。 2022年の第2四半期には、チェーン上で合計43件の主要なラグプル事件が監視され、プロジェクト側は総額約3,426万6,402米ドルを奪った。5月にさまざまなパブリックチェーンやプロジェクトのTVLが急激に縮小した際、一部のプロジェクト関係者はラグプルを選択し、これにより多数の投資家が損失を被った。理由は運営を続けられないからかもしれないし、「TVLがゼロに戻るのを待つより逃げた方が良い」からかもしれないし、あるいは計画的に逃げているのかもしれないが、急激な下落は続いている。 TVL はこのプロセスを加速しました。
最初のレベルのタイトル
11. Discord フィッシング分析
今四半期、Discord のフィッシング事件が多発
Rug プル データと同様に、市場の低迷時にはフィッシング セキュリティ インシデントが実際に増加する可能性があります。この四半期には、ロボット アカウントのハッキング、管理者またはロボットになりすましてプライベート メッセージでフィッシング リンクを送信する、模倣性の高い Discord の招待リンクをソーシャル メディアを通じて広めるなど、さまざまな形で Discord のフィッシング手法が登場しました。市場が弱気であればあるほど、より多くのユーザーとプロジェクト関係者が不正行為に対する意識を高め、資産を保護する必要があります。
最初のレベルのタイトル
12. まとめ2022 年の第 2 四半期においても、DeFi セキュリティは依然として注目の的であり、攻撃の約 79.2% が DeFi 分野で発生しました。2四半期連続で、DeFiがハッカー攻撃の焦点となっている。 NFT、クロスチェーンブリッジ、取引所のセキュリティインシデントの発生頻度はDeFiほど高くありませんが、個々のインシデントに関わる金額も膨大です。
したがって、あらゆる種類の Web 3 プロジェクト関係者はセキュリティ意識を強化し、セキュリティ保護に適切に取り組む必要があります。この四半期の攻撃の約 45.8% は契約エクスプロイトでした。これらの脆弱性のほとんどは監査段階で発見され、修正できます。
この四半期に攻撃されたプロジェクトのうち、監査を受けたのはわずか 52% でした。プロジェクトをオンラインにする前に、監査を行う専門の監査会社を見つけることをお勧めします。同四半期中に、盗まれた資金約 4 億 1,889 万ドルがハッカーによって Tornado.cash に洗浄されました。さらに、約 1 億 3,100 万米ドルの資産が回収されましたが、回収方法のほとんどはチェーン上のハッカーと交渉され、ハッカーは盗まれた資金の一部を取り戻すことができました。実際、盗まれた資金が竜巻に侵入することも不可能ではありません。
成都聯南は、竜巻に侵入した一部の資金を含め、盗難資金の追跡支援において多くの成功事例を蓄積してきた。不幸にしてプロジェクト関係者がハッキングされてしまった場合には、ハッカーと交渉して返還してもらうだけでなく、専門のセキュリティ会社に資金を追跡してもらうこともお勧めします。今四半期は、様々なパブリックチェーンやプロジェクトのTVL値が大きく変動しており、様々なセキュリティインシデントによりプロジェクト資金が異常な値となったり、リスクのある取引が発生したりする状況も発生しています。プロジェクト当事者と投資家の両方がタイムリーにプロジェクトの運営に注意を払うことをお勧めします
。 Chengdu Lianan [Chain Bing-Blockchain セキュリティ状況認識プラットフォーム] を使用すると、プロジェクト関係者とユーザーがリスクのある取引をタイムリーに発見し、迅速に対策を講じることができます。今四半期の市場の低迷において、ラグプルやフィッシングなどのさまざまなセキュリティインシデントが多発しており、一部の Web 2 攻撃手法は Web 3 分野でも依然として活発です。
すべてのプロジェクト関係者とユーザーは、セキュリティ意識を高め、秘密鍵を安全に保管し、未知のソースからのリンクをクリックせず、さまざまな情報のマルチチャネル検証を実施する必要があります。
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
Web フィッシング対策武器:
