1 Q3 2022 Обзор безопасности блокчейна
Всего было отслежено 37 крупных эксплойтов, общий ущерб от которых составил около 405 миллионов долларов США
В третьем квартале 2022 года Beosin EagleEye отслеживал более 37 крупных атак в пространстве Web3, общий ущерб от которых составил около 405 миллионов долларов, что примерно на 43,6% меньше, чем 718,34 миллиона долларов во втором квартале 2022 года, и на 59,6% меньше, чем ущерб в 1002,58 миллиона долларов в третьем квартале 2021 года.
С января по сентябрь 2022 года активы, потерянные в пространстве Web3 в результате атак, составили $2 317,91 млн.
Что касается каждого месяца, то в июле наблюдалось значительное снижение количества атак, что стало наименьшей суммой потерь от атак с 2022 года. В августе и сентябре активность хакеров значительно возросла.
Что касается типов проектов, 92% потерянной суммы пришлось на межцепочечные мосты и протоколы DeFi. 22 из 37 атак произошли в пространстве DeFi.
Что касается ТВЛ, то после резкого падения ТВЛ с мая по июнь, в этом квартале тенденция ТВЛ каждой сети была стабильной. В конце июля - начале августа наблюдалась небольшая тенденция к росту TVL, в этот период также было зафиксировано наибольшее количество нападений и сумма убытков в этом квартале.
Что касается цепочек, то в этом квартале сумма потерь на Ethereum достигла $374,28 млн, составив 92% от общего объема потерь. Самой часто атакуемой цепочкой была цепочка BNB, количество атак на которую достигло 16 раз.
Что касается типов атак, 92% от суммы убытков было вызвано эксплуатацией уязвимостей контрактов и компрометацией закрытых ключей.
С точки зрения движения средств, около $204,2 млн из похищенных средств поступили в Tornado Cash, что составляет около 50,4% средств, похищенных в этом квартале. Только около 4% похищенных средств были возвращены в течение квартала.
Что касается аудита, то только 40% проектов rekt были проверены.
2 Обзор эксплойтов
Общее количество атак снизилось в третьем квартале по сравнению со вторым кварталом
В третьем квартале 2022 года в пространстве Web3 было отслежено 37 крупных атак, общий ущерб от которых составил около 405 миллионов долларов. Было две атаки с убытками в 100 млн долларов и более, три атаки с убытками в 10 млн долларов и более и 14 атак с убытками в 1 млн долларов и более. Инцидентами безопасности с ущербом более 100 миллионов долларов были Nomad Bridge (190 миллионов долларов) и Wintermute (160 миллионов долларов).
Август 2022 года был самым активным месяцем для хакеров в этом квартале, потери составили около 210,62 млн долларов. Общие потери от атак в июле составили $30,05 млн, что стало самым низким показателем потерь за месяц с 2022 года.
3 Типы проектов ректов
На межцепные мосты и проекты DeFi приходится 92% от суммы потерь
В третьем квартале 2022 года три атаки на кросс-чейн мост привели к общим потерям в размере около 190,25 млн долларов; 22 атаки в пространстве DeFi привели к общим потерям в размере 186,79 млн долларов. Примерно 92% от суммы убытков от атак пришлось на протоколы cross-chain bridge и DeFi.
По состоянию на сентябрь 2022 года в 2022 году произошло 10 крупных инцидентов, связанных с безопасностью межцепных мостов, ущерб от которых составил более 1,4 миллиарда долларов США. Межцепные мосты были наиболее пострадавшей областью от атак в 2022 году.
Помимо межцепочечных мостов и протоколов DeFi, другие типы проектов, атакованных в этом квартале, включали NFT, биржи, DAO, кошельки и MEV-боты, что делает их общие типы более разнообразными, чем в предыдущем квартале.
4 Размер убытка по цепочке
Потери на Ethereum составляют $374,3 млн.
В этом квартале на Ethereum было совершено 12 крупных атак, общий ущерб от которых составил 374,28 млн долларов, заняв первое место среди всех цепочек. Solana потеряла $18,37 млн от 3 эксплойтов.
Среди цепочек, подвергшихся крупным атакам в двух кварталах подряд, - Ethereum, BNB Chain, FANTOM и Avalanche.
Цепочка BNB подверглась наибольшему количеству атак - 16 эксплойтов, и все соответствующие проекты являются неаудированными. Сумма денег, задействованных в этих 16 эксплойтах, относительно невелика: в 14 инцидентах единовременный ущерб составил менее 500 000 долларов.
После резкого падения TVL с мая по июнь, в этом квартале тенденция TVL по сетям стабилизировалась. В период с конца июля по начало августа TVL продемонстрировал небольшую тенденцию к росту, и на этот период пришлось наибольшее количество атак и потерь в этом квартале. В сентябре криптовалютный рынок в целом немного снизился. После слияния Ethereum 15 сентября TVL Ethereum продолжал незначительно снижаться.
5 Анализ типов атак
92% потерянной суммы было вызвано эксплуатацией уязвимостей контрактов и компрометацией закрытых ключей
В третьем квартале наиболее распространенным типом атак по-прежнему были контрактные эксплойты. Около 15 атак являются эксплуатацией контрактных уязвимостей, что составляет 40,5 процента от общего числа. Общие потери от уязвимостей контрактов составили $201,6 млн, или 50,9 процента от общего числа потерь.
Четыре взлома закрытых ключей в этом квартале привели к убыткам в размере около 167,24 млн долларов США, что является вторым по величине убытком после использования уязвимостей в контрактах.
По сравнению с предыдущим кварталом, типы атак в этом квартале были более разнообразными. Новые типы атак, появившиеся в этом квартале, включают перехват BGP, неправильную конфигурацию и атаки на цепочки поставок.
По уязвимостям контрактов, основные уязвимости, использованные в этом квартале, включают: проблемы валидации, реентерабельность, проблемы с разрешениями, неправильно разработанная бизнес-логика или функции, а также уязвимости переполнения. Все эти уязвимости можно обнаружить и устранить на этапе аудита.
6 Типичная картина инцидента безопасности
6.1 Инцидент с кочевым мостом стоимостью $190 млн.
2 августа Nomad Bridge, межцепочечная платформа, поддерживающая перевод активов между Ethereum, Moonbeam, Avalanche, Evmos и Milkomeda, подверглась массированному взлому, который стоил проекту 190 миллионов долларов.
6.2 Инцидент с кошельком на склоне на Солане
3 августа на Солане произошел масштабный инцидент с кражей кошелька, ущерб от которого оценивается примерно в 6 миллионов долларов.
6.3 Инцидент с компрометацией закрытого ключа в Винтермуте
20 сентября криптомаркет-мейкер Wintermute подвергся атаке, в результате которой из-за компрометации закрытого ключа он потерял 160 миллионов долларов.
7 Анализ движения средств
Примерно $204,2 млн украденных средств поступили в Tornado Cash
8 августа Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на Tornado Cash, запретив американским физическим лицам и организациям взаимодействовать с ней. В третьем квартале 2022 года в Tornado Cash по-прежнему поступало около $204,2 млн похищенных средств, что составляет 50,4 процента от похищенных в этом квартале средств, что ниже, чем во втором квартале.
Приблизительно 182,3 миллиона долларов из похищенных средств остались на адресе хакера в качестве баланса. Часть похищенных средств была переведена на адреса других цепочек, и эта часть все еще учитывается как баланс адреса хакера.
Около $16,6 млн активов были возвращены в результате переговоров на цепочке и невостребованных возвратов от хакеров-белых шляп. В третьем квартале 2022 года было возвращено только около 4% похищенных средств, что значительно меньше, чем во втором квартале.
Около $1,92 млн. украденных активов поступило на такие биржи, как Binance и FixedFloat. Подобные инциденты обычно связаны с небольшим количеством активов (обычно от $10K до $100K), и хакеры переводили похищенные средства на биржи сразу после атаки, в результате чего проекты не успевали вовремя связаться с биржами, чтобы заморозить средства.
8 Анализ аудита проекта
Только 40% проектов прошли аудит
В 2022 году процент проектов rekt, прошедших аудит, составил: 70% в первом квартале, 52% во втором квартале и 40% в третьем квартале. Процент неаудированных проектов rekt показывает тенденцию к увеличению квартал за кварталом.
Из всех проектов rekt проверенные проекты потеряли в общей сложности $ 375,48 млн, а непроверенные проекты потеряли около $ 29,56 млн в результате атак. На первый взгляд может показаться, что аудиты не послужили защите безопасной работы проектов. Однако более глубокий анализ показывает, что большинство из этих проверенных проектов подверглись атакам на неконтрактном уровне, таким как компрометация закрытых ключей, атаки на цепочки поставок, DNS-атаки, перехват BGP и неправильная конфигурация. Среди неаудированных проектов 85% были вызваны уязвимостями в контрактах или атаками на флэш-кредиты.
Видно, что профессиональный аудит по-прежнему в определенной степени эффективен для обеспечения безопасности проекта на уровне контракта. Однако для безопасной работы протокола также необходимо хорошо контролировать риски в автономном режиме, надежно хранить закрытый ключ, быть внимательным к традиционным атакам сетевой безопасности и осторожно использовать компоненты сторонних производителей. Конечно, в этом квартале также есть некоторые уязвимости, которые должны были быть обнаружены на этапе аудита, но не были представлены в отчете об аудите, поэтому проекту рекомендуется обратиться к профессиональной компании по безопасности для проведения аудита.
Источник данных
Скачать полный отчет:
О Blockchain Security Alliance
Blockchain Security Alliance был запущен несколькими подразделениями с различным отраслевым опытом, включая университетские учреждения, компании по безопасности блокчейна, отраслевые ассоциации, поставщиков финтех-услуг и т.д. В первый состав совета альянса вошли Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit и Huawei Cloud. В число нынешних членов входят: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive и Digital Treasures Center. Члены Альянса безопасности будут работать и сотрудничать вместе, чтобы постоянно обеспечивать безопасность глобальной экосистемы блокчейн, используя свои собственные технические преимущества. Совет Альянса также приглашает больше людей в областях, связанных с блокчейном, присоединиться и совместно защищать безопасность экосистемы блокчейна.
Регистрация альянса
https://forms.gle/pb3NaUgS3a2Sswnc8
Связаться с
Telegram:@kristenbeosin, @Web3Donny
Электронная почта: [email protected]
Член Альянса - Beosin
Beosin - базирующаяся в Сингапуре ведущая глобальная компания по безопасности блокчейна, в которой работают более 100 экспертов в области формальной верификации и безопасности блокчейна. С миссией "Обеспечение безопасности экосистемы Web3.0", Beosin предоставляет интегрированные продукты и услуги по безопасности блокчейна, включая аудит безопасности кода, мониторинг рисков, оповещение и блокировку проектов, соответствие требованиям безопасности KYT и KYC, а также восстановление украденных активов. В настоящее время компания Beosin предоставила услуги безопасности более чем 2 000 предприятий блокчейн по всему миру, провела аудит более 2 500 смарт-контрактов и защитила активы клиентов на сумму более $500 млрд.
Член альянса - Footprint Analytics
Footprint Analytics - это инструмент для выявления и визуализации данных в блокчейне, включая данные NFT и GameFi. В настоящее время он собирает, анализирует и очищает данные из 18 цепочек и позволяет пользователям строить графики и приборные панели без кода, используя интерфейс drag-and-drop, а также SQL или Python.
Главные новости
Статистика криптовалютного рынка
События в сфере криптовалют и НФТ
Последнее видео
Tyranno Studios открывает новую эру в Web3-играх благодаря функциональной совместимости и удобству
Главный игровой директор Tyranno Studios Майкл Рубинелли рассказал CryptoSlate о своем видении web3-игр и направлении развития этой сферы.
Зейнеп Гейлан - 3 дня назад - 25 мин. просмотра
