一級標題
一級標題
一級標題
一、2022第二季度Web3安全態勢綜述
主要攻擊事件超48 起,總損失約7 億1834 萬美元2022年第二季度,成都鏈安鏈必應-區塊鏈安全態勢感知平台共監測到Web 3領域主要攻擊事件超48起,總損失約7億1834萬美元,較第一季度的12億美元下降約40%,約是2021年第二季度損失(2億9656萬美元)的2.42倍。
2022年1-6月,Web 3領域因攻擊事件損失的總金額已達約19億1287萬美元。從時間上來看,
4月是黑客攻擊最活躍的月份,5月攻擊事件數量和損失金額都出現了大幅下降,6月黑客活躍度有回升趨勢。從被攻擊項目類型來看,
DeFi依舊是被攻擊次數最多的項目類型,約79.2%的攻擊發生在DeFi領域。從TVL(總鎖倉價值)來看,
所有的鍊和被攻擊的項目的TVL值在5月都出現了大幅下降。大部分項目在遭受攻擊的時間點之後都會出現TVL驟降的情況。從鏈平台來看,
本季度Ethereum上損失的金額最多,達到了3億8135萬美元。被攻擊頻率最高的鍊為BNB Chain,達到了26次。從攻擊手法來看,
最常見的攻擊手法依舊為合約漏洞利用和閃電貸。約有45.8%的攻擊為合約漏洞利用。因閃電貸造成的損失達2億3300萬美元,居各種攻擊方式損失金額第一位。從資金流向來看,
其他方面,本季度共監測到鏈上主要Rug pull事件超43起,項目方共計捲走約3426萬6402美元。據不完全統計,Discord服務器被黑案例超151個。 Rug pull和釣魚安全事件在5、6月份頻發。
一級標題
一級標題
一級標題
從時間上來看,2022年4月是本季度黑客攻擊最活躍的月份,共發生19起主要安全事件,損失約為3億7489美元。 5月攻擊事件數量和損失金額都大幅減少,或與5月整個加密貨幣市值大幅縮水有關。 6月雖然行情並未見回暖趨勢,但黑客攻擊頻率和項目損失金額卻較5月大幅增加。
一級標題
一級標題
三、被攻擊項目類型和第一季度相同,79.2% 的攻擊發生在DeFi 領域
本季度依舊發生了兩起跨鏈橋攻擊事件,累計損失金額約為1億美元。在2022年第一季度,4次跨鏈橋攻擊的總損失為9億5000萬美元。至此,2022年上半年因跨鏈橋攻擊造成的損失金額已達10億5000萬美元。
一級標題
一級標題
一級標題
從被攻擊項目與被攻擊時間的TVL比例來看,大部分情況下損失金額在項目TVL的30%以下。其中也有個別項目如Blizz Finance、Beanstalk,損失達到了TVL的100%甚至500%。
一級標題
一級標題
一級標題
五、各鏈平台損失金額情況
Ethereum 上損失金額最多,BNB Chain 攻擊事件最多
本季度Ethereum上損失的金額最多,達到了3億8135萬美元。被攻擊頻率最高的鍊為BNB Chain,達到了26次。
從DeFi協議被攻擊的次數上看,二季度BNB Chain上被攻擊的DeFi協議佔其總協議數量的比例最高,達到了7%。 Metis上DeFi生態還不夠豐富,雖然僅1筆攻擊,但不論在筆數和金額上都佔比較高。
一級標題
一級標題
一級標題
六、攻擊手法分析
合約漏洞利用為本季度最常見的攻擊手法,22次攻擊為合約漏洞利用,頻次占到了45.8%,因合約漏洞造成的總損失約為1億3800萬美元。第二常見的攻擊方式為閃電貸,本季度共發生9次閃電貸攻擊,造成的損失達2億3300萬美元,居各種攻擊方式損失金額第一位。本季度被利用的漏洞主要包括:本季度被利用的漏洞主要包括:
七、典型案例攻擊手法分析
二級標題
二級標題
二級標題
7.1 被攻擊兩次的Inverse Finance
安全建議:獲取代幣價格時應避免依賴於代幣實時餘額,而應使用TWAP類型的價格預言機,並設置足夠的時間窗口。
二級標題
二級標題
二級標題
事件詳情:
漏洞一:
漏洞一:
漏洞二:
第一個合約漏洞在processRefunds中,設計者根據refundProgress計數器進行循環退款。而這裡使用了call函數進行退款操作,且把退款的結果作為require的判定條件。因此如果此時有攻擊者在隊列中進行退款操作,調用call退款給攻擊者時,攻擊者在fallback中進行進行惡意的revert,則會導致隊列後面的所有人都無法進行退款。這個漏洞所幸沒被攻擊者進行實際利用。
漏洞二:
該漏洞是導致價值約3400萬美元資產被鎖死在合約中的直接原因。
安全建議:項目上線前的專業安全審計非常有必要。
二級標題
二級標題
二級標題
7.3 Beanstalk Farms:黑客獲利近8000萬美元,惡意提案如何防範?
2022年4月17日,算法穩定幣項目Beanstalk Farms遭到閃電貸攻擊,黑客獲利近8000萬美元,協議損失達1億8200萬美元。這是本季度損失金額最高的項目。
回顧本次攻擊,攻擊者在前一天發起提取Beanstalk: Beanstalk Protocol資金的提案,然後調用emergencyCommit進行緊急提交來執行提案。這是要因為項目方規定提案後1天才能開始投票。
攻擊過程中,攻擊者利用“投票合約中的票數由賬戶的提案代幣持有量計算得到”的漏洞,通過閃電貸借出價值10億美元的巨額資金,換取代幣後投入到礦池中,臨時獲得巨額的提案代幣,保證了提案不需要其他人投票也能通過。最終提案通過並執行,攻擊者成功提取項目方資金,隨後兌換並償還閃電貸,獲利離場。
3. 可考慮禁止合約地址參與投票。
一級標題
一級標題
一級標題
八、資金流向分析約4 億1889 萬美元的被盜資金流入Tornado.cash本季度資金追回的情況優於上一季度,在一些情況下,項目方會和黑客通過鏈上信息進行協商,部分黑客會選擇返還一定數量的贓款以“免於法律制裁”。
一級標題
一級標題
一級標題
九、項目審計情況分析
僅有52%的項目經過了審計被攻擊的項目中,僅有52%的項目經過了審計,而上個季度,該項比例為70%。本季度經過審計的項目因攻擊造成的損失達5億4763萬美元,佔損失金額的76.2%,遠高於上一季度。雖然經過審計的項目損失金額仍達到了5億4763萬美元,但這並不意味著審計不再重要了。隨著越來越多的安全公司踏足審計業務,一級標題
一級標題
十、Rug pull分析
一級標題
十、Rug pull分析在5月各公鍊和項目TVL大幅縮水的情況下,一些項目方選擇了Rug pull,導致一大批投資者受損。其原因或許是無法繼續運營,或許是認為“與其等著TVL歸零,不如自己先跑路”,或許是本就預謀好跑路,只是TVL急劇的下降加速了這一過程。
一級標題
一級標題
一級標題
和Rug pull數據類似的是,在市場行情低迷的情況下,釣魚類安全事件或許反而會增多。本季度出現的Discord釣魚方式形式繁多,例如機器人賬號被黑、偽裝管理員或機器人私信發送釣魚鏈接、通過社交媒體散播高仿Discord邀請鏈接等等。越是熊市,用戶和項目方反而越是應該提高反詐意識,保護好自己的資產安全。
一級標題
一級標題一級標題十二、總結
2022年第二季度,DeFi安全仍然是值得關注的焦點,約79.2%的攻擊發生在DeFi領域。連續兩個季度,DeFi一直都是黑客攻擊的重點對象。而NFT、跨鏈橋、交易所安全事件雖然頻次沒有DeFi那麼高,但個別事件涉及金額也很巨大。因此,Web 3各類型項目方都應加強安全意識,做好安全防護工作。
本季度約有45.8%的攻擊為合約漏洞利用,其中絕大部分漏洞都可以在審計階段發現和進行修復。
而在本季度被攻擊的項目中,僅有52%的項目經過了審計。建議項目在上線之前尋找專業的審計公司進行審計。本季度,約4億1889萬美元的被盜資金被黑客轉入了Tornado.cash進行洗幣。另外約有1億3100萬美元的資產被追回,但追回方式大多是通過鏈上和黑客進行協商,讓黑客返還部分被盜資金。其實被盜資金進入龍捲風後不是毫無辦法。
成都鏈安在協助被盜資金追踪方面已積累了不少成功案例,包括一些資金進入龍捲風的情況。建議項目方在不幸遇到被黑時,除了和黑客協商返還,也可尋求一些專業的安全公司進行資金追踪。本季度各公鍊和項目的TVL值都出現了較大波動,也有因為各類安全事件導致項目資金異常或出現風險交易的情況。建議項目方和投資者都因及時關注項目運行情況
。成都鏈安【鏈必應-區塊鏈安全態勢感知平台】可以讓項目方和用戶及時發現風險交易,從而快速採取措施。
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
在本季度行情低迷的情況下,Rug pull和釣魚等各類安全事件反而更加頻發,一些Web 2的攻擊方式在Web 3領域依舊活躍。
