原文作者:Beosin 研究团队 Mario、田大侠 Donny
原文来源:Beosin
一、 2024 年Q1 Web3区块链安全态势综述
据 Beosin Alert 监控及预警显示, 2024 年第一季度 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 7.78 亿美元。其中主要攻击事件 39 起,总损失金额约 6.17 亿美元;项目方 Rug Pull 事件 43 起,总损失约 7550 万美元;钓鱼诈骗总损失金额约 8624 万美元。 2024 年第一季度总损失约 7.78 亿美元,同比增长约 126% ,环比增长约 72% 。其中黑客攻击事件损失金额高于 2023 年的任何一个季度。 2 月的总损失金额达到了 4.22 亿美元,为 2024 年第一季度损失金额最高的月份。 从被攻击项目类型来看,游戏平台首次成为损失金额最高的项目类型。6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失,占所有攻击损失金额的 59% 。 从各链损失金额来看,Ethereum 依旧为损失金额最高、攻击事件最多的链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失,占到了总损失的 55.4% 。 从攻击手法来看,本季度共发生 13 次私钥泄露事件,造成损失达到了 4.58 亿美元,占到了总攻击损失金额的 74.3% ,是占比最高的攻击类型。 从资金流向来看,本季度大部分被盗资产被冻结和追回。约有 3.03 亿美元(49.2% )被盗资金被冻结, 7945 万美元(12.9% )被盗资金被追回。 从审计情况来看,被攻击的项目中,经过审计的项目方比例有所增加。 2024 年第一季度,Beosin Alert 共监测到 Web3 领域主要攻击事件 39 起,总损失金额达 6 亿 1670 万美元。其中损失金额超过 1 亿美元的安全事件共 2 起,损失在 1000 万美元 - 1 亿美元区间的事件共 5 起, 100 万美元 - 1000 万美元区间的事件 21 起。 损失金额超过千万美元的攻击事件(按金额排序): PlayDapp - 2.9 亿美元 攻击方式:私钥泄露 链平台:Ethereum 2 月 9 日,区块链游戏平台 PlayDapp 遭到攻击,黑客地址铸造了 2 亿枚 pla 代币,价值 3650 万美元。而后 PlayDapp 与黑客谈判失败,黑客于 2 月 12 日又铸造了 15.9 亿枚 PLA 代币,价值 2.539 亿美元,并将部分资金发送到 Gate.io 交易所。事后项目方将 PLA 合约暂停,并将 PLA 代币迁移到了 PDA 代币。 Chris Larsen (Ripple 联合创始人) - 1.12 亿美元 攻击方式:私钥泄露 链平台:XRP 1 月 31 日,Ripple 联合创始人 Chris Larsen 表示,自己的四个钱包遭到黑客攻击,共计被盗约 1.12 亿美元。币安团队已成功冻结了攻击者窃取的价值 420 万美元的 XRP。 Munchables - 6230 万美元 攻击方式:社会工程学 链平台:Blast 3 月 26 日,基于 Blast 的 Web3 游戏平台 Munchables 遭遇攻击,损失约 6250 万美元。疑似项目方因雇佣朝鲜黑客为开发者而遭受攻击。事后所有被盗资金已由黑客归还。 FixedFloat - 2610 万美元 攻击方式:安全结构漏洞 链平台:Ethereum 2 月 17 日,加密交易所 FixedFloat 遭遇攻击,损失约 2610 万美元,黑客已将大部分被盗资金转移到了 eXch 交易所。2 月 20 日,FixedFloat 表示,此事攻击”不是我们的员工所为,而是一次由我们安全结构漏洞引起的外部攻击“。 Curio Ecosystem - 1600 万美元 攻击方式:合约漏洞 - 访问控制漏洞 链平台:Ethereum 3 月 23 日,RWA 基础设施 Curio Ecosystem 遭受攻击,损失约 1600 万美元。 Somesing - 1158 万美元 攻击方式:私钥泄露 链平台:Klaytn 1 月 27 日,韩国 Web3 社交音乐服务遭受攻击,损失了 7.3 亿枚原生代币 SSX,价值 1158 万美元。 Jihoz.ron (Ronin 联合创始人) - 1000 万美元 攻击方式:私钥泄露 链平台:Ronin 2 月 23 日,Ronin 联合创始人 jihoz.ron 的两个地址因私钥泄露损失约 1000 万美元。 游戏平台首次成为损失金额最高的项目类型 本季度损失最高的项目类型为游戏平台, 6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失,占所有攻击损失金额的 59% 。游戏平台首次成为损失金额最高的被攻击项目类型。 排在第二位的受害者类型为个人钱包。两次个人钱包被盗事件造成了 1.225 亿美元的损失。这两起个人钱包被盗事件均为知名项目方联合创始人被盗(Ripple 联创和 Ronin 联创)。 39 次黑客攻击事件中,共有 17 起事件发生在 DeFi 领域,占比约 43.6% 。这 17 次 DeFi 攻击事件共导致了 3996 万美元的损失,排在所有项目类型的第三位。 其他被攻击的项目类型还包括:DEX、基础设施、支付平台、Web3音乐平台等。 四、各链损失金额情况 和 2023 年相同的是,Ethereum 依旧是损失金额最高的公链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失,占到了总损失的 55.4% 。 损失金额排名第二的公链为 XRP,来自一次 Ripple 联合创始人 Chris Larsen 钱包被盗事件。 损失金额排名第三的公链为 Blast 。3 次 Blast 链上的攻击事件共造成 6750 万美元的损失。Blast 链在各大新兴公链中损失金额排名第一位。 本季度 BNB Chain 仅发生了 4 次主要安全事件,损失约 801 万美元,损失金额和事件数量排名都较 2023 年大大下降。 本季度共发生 13 次私钥泄露事件,造成损失达到了 4.58 亿美元,占到了总攻击损失金额的 74.3% 。和 2023 年相同,私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有:PlayDapp(2.9 亿美元)、Ripple 联合创始人 Chris Larsen(1.12 亿美元)、Somesing(1158 万美元)、Ronin 联合创始人 Jihoz.ron(1000 万美元)。 39 起攻击事件中,有 21 起来自合约漏洞利用,总损失达 6556 万美元,排名第二。 损失金额排名第三的攻击手法为社会工程学攻击, 3 次社会工程学攻击造成损失约 6500 万美元。 按照漏洞细分,造成损失前三名的漏洞分别为:算法缺陷(2278 万美元)、访问控制漏洞(1632 万美元)、业务逻辑漏洞(1128 万美元)。出现次数最高的漏洞分别为业务逻辑漏洞, 21 起合约漏洞攻击中有 7 次是业务逻辑漏洞。 近期,一家已倒闭的香港交易所 Atom Asset (AAX) 开始将资金从其钱包转移到各种去中心化交易所和中心化平台,据称是为了逃避反洗钱(AML)控制。在被发现之前,最后一次已知的涉及 AAX 交易所钱包的交易发生在 2023 年 10 月和 2022 年 11 月。在倒闭之前,AAX 是香港最大的加密货币交易所之一,拥有超过 200 万用户。 根据 Beosin 团队的分析,发现自 2024 年 1 月 29 日起,AAX 交易所开始将 25100 枚 ETH 从其交易所钱包向外转移,其中转移资金共分了三笔,分别是一笔 500 ETH、一笔 600 ETH、一笔 24000 ETH。转移资金根据当前价格换算超 7400 万美元。 AAX 交易所事件来龙去脉 2022 年 11 月 13 日,就在加密货币交易所 FTX 申请破产后两天,AAX 也因交易对手风险暴露而停止提款并清除了所有社交渠道。最初,AAX 将冻结归因于针对涉嫌恶意攻击的安全措施。 2022 年 11 月 15 日,AAX 交易所发布声明表示其平台需要进行维护,除暂停提现外,将对衍生品进行自动清算。此后,AAX 停止了平台运行和社交媒体的更新。 而蹊跷的事就在于:沉寂 426 天后,AAX 交易所钱包开始活动,开始有大额资金开始转出至其它地址,尝试躲避 AML 工具的识别和监控! link: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c AAX 交易所事件链上资金分析 Beosin KYT 反洗钱分析平台对 AAX 交易所钱包近期的链上活动进行了深入研究,发现了一系列风险活动。首先,所有的 25100 枚 ETH 已被转移,操作人员采取了各种手段将部分 ETH 兑换为 USDT,然后通过跨链桥将资金转移到不同的区块链上,以进行资金的清洗。 Beosin KYT 反洗钱平台 其中,大部分资金被转移到了 Tron 区块链上,并通过一些地址进行中转,然后沉淀在某些地址中,未曾转移。这种行为表明了明显的逃避 AML 的企图,试图掩盖资金的真实来源和去向。 Beosin KYT 反洗钱平台 香港警方针对诈骗活动迅速采取行动,逮捕了两名与 AAX 相关的人员,目前正在努力绘制转移资金的路径并找回受影响用户的资产。 AAX 交易所利用去中心化交易所、加密货币兑换和跨链桥等技术手段,试图模糊资金流动的路径和来源。这为监管机构和 AML 分析平台带来了巨大的挑战。 据 Beosin KYT 反洗钱平台分析显示, 2024 年第一季度被盗的资金中,约有 3.03 亿美元(49.2% )被盗资金被冻结, 7945 万美元(12.9% )被盗资金被追回。该比例大大高于 2023 年。 约有 1.055 亿美元的被盗资金转入了各交易所,占比约 17.1% 。和 2023 年相比,今年黑客向交易所转入被盗资金的比例大幅增加。这为交易所反洗钱和合规提出了更高的要求。 共有 3012 万美元(4.9% )转入了混币器: 2990 万美元转入了 Tornado Cash;21.6 万美元转入了其他混币器。和去年相比, 2024 年第一季度通过混币清洗的被盗资金大幅减少。 39 起攻击事件里,有 12 起事件的项目方没有经过审计, 24 起事件的项目方经过了审计。经过审计的项目方比例略高于 2023 年,这表明整个 Web3 行业项目方对安全的重视程度提高了。 12 个没有经过审计的项目中,合约漏洞事件占了 8 起(66.7% )。相比之下, 24 个经过审计的项目中,合约漏洞事件占了 13 起(54.2% )。这显示出审计在一定程度上能够提高项目的安全性。 2024 年第一季度,共监测到项目方 Rug Pull 事件 43 起,涉及金额达 7550 万美元。 损失金额排名前 5 的 Rug pull 事件为:Bitforex(5650 万美元)、Hector Network(270 万美元)、MangoFarm(200 万美元)、OrdiZK(140 万美元)、RiskOnBlast(130 万美元)。这 5 起 Rug Pull 事件分布在 Ethereum、Fantom、Solana 和 Blast 四条链。 Ethereum 链上总共 Rug Pull 涉及金额达到了 5968 万美元,占总损失的 79% 。BNB Chain 链上发生了最多的 Rug Pull 事件,共 29 次,占总事件数量的 67.4% 。 和上个季度相比, 2024 年第一季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升,达到了 7.78 亿美元。本季度币价上涨因素对总金额的增加有一定的影响,但总体而言,Web3 安全领域形势依旧不容乐观。 本季度造成危害最大的攻击类型为私钥泄露,约 74.3% 的损失金额来自私钥泄露事件,这一趋势和 2023 年数据一致。从项目类型来看,私钥泄露事件遍布于Web3各个领域:游戏平台、DeFi、个人钱包、基础设施、NFT、支付平台、博彩平台、数据存储平台等。各个Web3项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。 本季度大部分资产被冻结和追回,这标志着全球监管体系的完善和反洗钱力度的加强。本季度黑客向交易所转入被盗资金的比例也大幅增加,这需要交易所及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,相信未来会有更多被盗资金能够追回。 本季度 39 起攻击事件中,依然有 21 起来自合约漏洞利用,建议项目方在上线前寻求专业的安全公司进行审计。Beosin 作为一家全球领先的区块链安全公司,致力于Web3生态的安全发展,已审计智能合约和公链主网超 3000 份,作为一家可信赖的区块链安全公司,可以为项目方提供卓越的安全审计服务。 原文链接二、 2024 年Q1攻击事件总览
39 起主要攻击事件共造成损失 6 亿 1670 万美元
三、被攻击项目类型
Ethereum 为损失金额最高、攻击事件最多的链
五、攻击手法分析
74.3% 的损失金额来自私钥泄露事件
六、反洗钱典型事件分析回顾
Atom Asset (AAX) 逃避反洗钱(AML)分析
七、被盗资产的资金流向分析
大部分被盗资产被冻结和追回
八、项目审计情况分析
经过审计的项目方比例有所增加
九、Rug Pull 分析
43 起 Rug Pull 事件共损失 7550 万美元
十、 2024 年Q1 Web3区块链安全态势总结