|
2022年上半年,Web 3领域共监测到主要安全事件约79起,因各类攻击造成的损失达到了19亿1287万美元。 我们可以从以下这组数据看到上半年的Web3安全领域的整体概况: 上半年发生7起跨链桥攻击事件,共损失11亿3599万美元;53%的攻击方式为合约漏洞利用;约26.6%的攻击方式为闪电贷;上半年共发生5起损失过亿的安全事件;整个DeFi市场TVL从1月初的2760亿美元跌到了6月末的800亿美元,下跌71%;黑客通过Tornado Cash共洗钱11亿4070万美元;约71%的攻击发生在DeFi领域。 在第一季度和第二季度的安全报告中,我们已经从各个维度展示和分析了区块链安全领域的总体态势,包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。
下载欧易OKEx 超多新手福利 2022年上半年发生了7起跨链桥攻击事件2022年上半年,共发生了7起跨链桥攻击事件,共计损失金额约11亿3599万美元,占了上半年总损失金额的59%。 53%的黑客攻击方式为合约漏洞利用2022上半年共监测到因合约漏洞造成的主要攻击案例42次,约53%的攻击方式为合约漏洞利用。 通过统计,2022上半年共监测到因合约漏洞造成的主要攻击案例42次,总损失达到了6亿4404万美元。 在所有被利用的漏洞中,逻辑或函数设计不当被黑客利用次数最多,其次为验证问题、重入漏洞。 单次损失金额最高的是签名验证漏洞。2022年2月3日,Solana跨链桥项目Wormhole遭到攻击,累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞,这个漏洞允许黑客伪造sysvar帐户来铸造wETH。 单次金额损失第二的漏洞是重入漏洞。2022年4月30日,Fei Protocol官方的Rari Fuse Pool遭受闪电贷加重入攻击,总共造成了8034万美元的损失。 在审计过程中最常见出现的总体来说分为四大类:1.ERC721/ERC1155重入攻击;2.逻辑漏洞;3.鉴权缺失;4.价格操控。 根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计,审计过程中出现的漏洞几乎都实际场景中被黑客利用过,其中合约逻辑漏洞利用仍然为主要部分。 2022年上半年使用闪电贷进行攻击的案例今年上半年使用闪电贷进行黑客攻击的案例总计21次,占比26.6%,涉及金额高达3亿3291万美元。其中上半年影响较大的攻击手法主要有闪电贷加治理攻击,闪电贷加价格操纵攻击,闪电贷加重入攻击等。 1)2022年4月17日,算法稳定币项目Beanstalk Farms遭到闪电贷加治理攻击,黑客获利7600万美元,协议损失达1亿8200万美元。 2)2022年4月28日 ,多链衍生品平台DEUS Finance遭遇闪电贷加价格操纵攻击,造成了约1570万美元的损失。 3)2022年4月30日,Fei Protocol官方的Rari Fuse Pool遭受闪电贷加重入攻击,黑客获利28380 ETH,价值约8000万美元。 闪电贷攻击频出不穷,那么项目方应该如何防范或者减缓闪电贷攻击呢?我们这里提出几条可能的建议: 要求关键交易跨越两个区块 如果一个资本密集型交易需要跨越至少两个区块,用户需要至少在两个区块时间段取出贷款,那么闪电贷攻击将会失效。但是要达到这一效果,两个区块之间用户价值必须锁定,以防止其偿还贷款。 时间加权平均定价(TWAP) 在价格操纵案例中,建议使用时间加权平均价格(TWAP)来跨多个区块计算流动性池中的价格。因为整个攻击交易序列需要在同一个区块内处理,但如果不操纵整个区块链就无法操纵 TWAP,从而可以避免闪电贷导致的瞬时价格异常。 更高频率的价格更新机制 同样在价格操作案例中,可以适当增加流动性池向预言机查询并更新价格的频率,随着更新次数的增加,池中代币的价格会更新得更快,并使价格操纵无效。 更严格的治理逻辑 在涉及到项目治理时,应该多方面考虑治理逻辑的严谨性,避免出现Beanstalk Farms那样的逻辑漏洞,一旦有个微小的漏洞,就有可能通过闪电贷无限放大,最后造成巨大的损失。 业务逻辑设计和实现时确保安全可靠 项目方在进行业务逻辑的设计和开发人员进行开发实现时,应充分考虑业务逻辑的完整性和安全性,注意极端情况。必要时,应找专业的审计机构进行审计和研究,防范各种可能的风险。 上半年共发生5起损失过亿的安全事件2022年上半年,共发生了5起损失过亿的安全事件,分别为: RoninNetwork: 6.25亿美元 Wormhole: 3.26亿美元 Beanstalk Farms: 1.82亿美元 Elrond: 1.13亿美元 Harmony: 1亿美元 这5起黑客攻击事件造成的总损失就达到了13.46亿美元,占2022年上半年总损失金额的70%。 在Q2的季报里,我们看到了一些项目在被攻击后TVL直接归零,后续也没有再重启。那么这些损失过亿的项目被攻击后都如何了呢? Ronin: 损失6.25亿美元,资产已转入Tornado Cash 3月29日,Axie Infinity的以太坊侧链Ronin Network遭到黑客攻击,损失约6.25亿美元。Ronin 侧链由 9 个验证器节点组成,要确认存款或取款,需要五个验证者签名。攻击者设法控制了 Sky Mavis 的四个 Ronin 验证器和一个由 Axie DAO 运行的第三方验证器。 攻击发生之后,Ronin攻击者将部分盗取资金转入Huobi、FTX、Binance、Crypto.com 等交易所,但各大交易所均发文表示将全力协助追回被盗资金。 随后,攻击者对被盗资产分散到了多个地址,并分批次通过Tornado Cash进行清洗。5月20日,Ronin攻击者将最后一笔盗取资金转入Tornado Cash,所有资产清洗完成。此时的ETH单价已从3,330美元下降到了约2,000美元,黑客实际获利比攻击时少了1.6亿美元。
Harmony:4.2万枚ETH转入Tornado Cash 6月24日,Harmony 跨链桥 Horizon Bridge 遭到攻击,损失金额逾 1 亿美元。 6月26日,Harmony创始人表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。资金从跨链桥的以太坊一侧被盗。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。 Harmony 表示已经开始联合执法部门和所有交易平台对黑客进行全球追查。与此同时,Harmony 也将黑客盗币返还让利的金额从最初的100万美元提升至 1000 万美元。然而黑客还是通过Tornado Cash对赃款进行了洗钱。 截止到6月30日,通过链必追-虚拟货币案件智能研判平台对被盗资金进行分析,可以看到黑客已将约4.2万枚ETH(价值约4620万美元)转移至Tornado Cash。
黑客通过Tornado Cash共洗钱11亿4070万美元2022年上半年,约有11亿4070万美元的被盗资金被黑客转进了Tornado Cash,约占总损失金额的60%。约有6亿3536万美元的被盗资金暂时还存放在黑客地址。
Footprint Analytics - 上半年被盗资金流向 数据统计显示,2022年上半年共有95000枚以太坊(约合23亿4000万美元)存入了Tornado Cash。也就是说,存入Tornado Cash里的资金至少有48.7%都来源于黑客。这还是在假设剩余所有人使用Tornado Cash作为交易隐私工具的情况下。事实上还有相当一部分人使用Tornado Cash进行加密货币犯罪交易,此类数据不在本报告的统计范围之内。 虽然混币技术增强了链上交易的匿名性和隐私性,但也被滥用于洗钱等犯罪,混币技术增加了犯罪资产的链上追踪难度。但是黑客采用Tornado Cash进行洗钱过程中,也会暴露出一些数据痕迹。通过对黑客所有转到Tornado的地址和金额进行金额聚合,同时对单位时间内所有从Tornado Cash转出的目的地址和金额进行金额聚合,进而对混币充币金额与混币提币金额进行关联匹配,从而达到黑客入金地址与出金地址关联进行违法资金的追踪。 成都链安同时致力于全链条打击虚拟货币犯罪能力建设体系,提供全链条打击虚拟货币犯罪的服务+产品,在虚拟货币反洗钱和监管方面很有经验,曾协助执法机构完成数起进入Tornado Cash案件的技术支持。 约71%的攻击发生在DeFi领域根据数据显示,2022年上半年,整个区块链生态共发生79起较大的安全事件,其中涉及DeFi安全的共有56起,占比71%;损失金额达5.5亿美元。在web3.0世界里,DeFi已经成为黑客攻击的重灾区。
Footprint Analytics - 被攻击项目分类及损失金额 那么,DeFi为何成为了web3.0世界里黑客攻击的重灾区呢? 第一,DeFi活跃度高。作为区块链最火的领域,DeFi从诞生开始就备受关注。活跃度高,参与的项目和用户自然也越多,也就更容易被黑客列为攻击目标。 第二,资金量大。统计数据显示,截止6月30日,DeFi总锁仓量高达824亿美元。虽然今年以来,加密行业市值缩水,DeFi的TVL也大量下滑,在加密行业整体市值下跌的大背景下,DeFi相对来说仍保持着巨额资金。如此巨大的资金量,则无疑是对黑客最好的吸引。 第三,DeFi业务逻辑复杂。如今,DeFi 生态越来越庞大,其业务的复杂度也越来越高。又因为DeFi产品之间也有较强的可组合性,这导致不同DeFi产品之间产生了流通性和资产共享。因此,DeFi业务逻辑上的复杂度,加上产品之间的组合和交互,就很可能会导致一些安全问题,从而被黑客抓住其中的机会。 第四,不少开发者缺乏安全意识,低估了漏洞的风险。数据显示,上半年DeFi项目中共发生33起因合约漏洞遭受的攻击。其中,最常见的是由代码逻辑错误引发的安全问题。 全面的外部安全审计、符合安全规范的编码和测试网络环境下的模拟测试是确保DeFi项目安全的最佳实现。 上述提到的代码级别技术规范问题,如果在项目上线前,接受第三方安全审计,是可以将问题扼杀在摇篮之中。或许正是出于这样的考虑,许多DeFi项目逐渐开始认识到安全审计的重要性,并选择资质过硬的安全公司加以执行。
| 
