Buidler DAO 联合出品:2022年全球 Web3 区块链安全年报

*本报告由Beosin、Buidler DAO、LegalDAO、Footprint Analytics联合出品,公众号后台回复“2022”可获取《2022年全球Web3区块链安全态势报告及加密行业监管政策总结》完整版。

*因篇幅限制,本篇文章先展示2022年全球Web3区块链安全态势,完整版阅读请在后台查阅,数据统计截止至2022年12月20日。

2022年全年,Beosin EagleEye安全风险监控、预警与阻断平台共监测到Web3领域主要攻击事件超167起,因各类攻击造成的总损失达到了36亿384万美元,较2021年攻击类损失增加了47.4%。其中单次损失超过一亿美元的安全事件共10起,1000万至一亿美元的安全事件共21起。

从项目类型来看,12次跨链桥安全事件共造成了约18.9亿美元损失,居所有项目类型损失的第一位。DeFi类型项目被攻击了113次,约为67.6%,是被攻击频次最高的项目类型。

2022年共有20条公链发生过重要安全事件,按损失金额排名前三的分别是Ethereum、BNB Chain、Solana;按攻击事件次数排名前三的分别是BNB Chain、Ethereum、Solana。

漏洞利用为全年频率最高、且损失最多的攻击方式。2022年全年涉及漏洞利用的攻击事件有87起,总损失达到了14.58亿美元。

在2022年监测到的167次主要攻击事件里,经过审计与未经审计的项目几乎各占一半,比例分别为51.5%和48.5%。

2022年约有13.96亿美元的被盗资金转入了Tornado Cash,占所有攻击事件损失资金的38.7%。全年约有2.89亿美元的被盗资金得以追回,仅占所有损失的8%。

全年区块链领域犯罪金额达到了137亿6074美元(金融犯罪暂不计入)。其中洗钱类占73.3亿美元,攻击事件36亿美元,传销类10.15亿美元,诈骗类8.3亿美元。

全年诈骗类事件中,包括Rug pull事件243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。约86.4%的项目跑路金额集中在几千至几十万美元区间。

2022全球加密货币市场市值大幅缩水,年底TVL较年初高峰时期下降了约80%。市场遭受重创,出现了以三箭资本、Luna、FTX为代表的一系列黑天鹅事件。

在全球市值大幅缩水的情况下,2022年区块链安全领域总体犯罪数据仍然达到了137亿美元,攻击事件更是较2021年大幅增加。2022年全球区块链安全态势总体十分严峻,对2023年的安全行业也提出了更高、更迫切的需求。如何应对猖獗的黑客攻击、如何加快建立全球监管体系、如何迎来技术突破解决已有的安全行业弊端,这些都将是2023年需要重点思考和迫切解决的问题。

2022 十大安全事件回顾

2022年3月29日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Axie Infinity侧链Ronin遭到攻击,按照当时的价格来算有约6.24亿美元的加密货币被盗。黑客先利用盗取的私钥伪造提款凭证,这个提款凭证至少需要5个签名者同意才可以成功,最后攻击者设法控制了5个验证器成功执行了提款凭证盗取了链上资金。

据调查,黑客通过社工的方式向Sky Mavis的工程师发送虚假的offer录取信,该文档允许黑客渗透到 Ronin 的系统。攻击发生后,攻击者将被盗资产分散到了多个地址,并分批次通过Tornado Cash进行清洗。5月20日,Ronin攻击者将最后一笔盗取资金转入Tornado Cash,所有资产清洗完成。6月28日,Ronin在推特宣布重新开放。

Beosin安全团队对此类跨链桥项目给出以下建议:1、注意签名服务器的安全性;2、签名服务在相关业务下线时,应及时更新策略,关闭对应的服务模块,并且可以考虑弃用对应的签名账户地址;3、多签验证时,多签服务之间应该逻辑隔离,独立对签名内容进行验证,不能出现部分验证者能够直接请求其它验证者进行签名而不用经过验证的情况;4、项目方应实时监控项目资金异常情况。

2022年10月7日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,BNB Chain跨链桥“代币中心”(Token Hub)遭遇黑客攻击,黑客首先于区块高度 21955968 通过调用合约缴纳 100 BNB 注册成为 Relayer。凌晨两点半左右开始,黑客从BNB Chain的“代币中心”(TokenHub)系统合约分两次(2:26、4:43)共获取了200万枚BNB。并将其中90万枚BNB在BNB Chain上借贷协议Venus进行抵押,借出6250万BUSD、5000万USDT、3500万USDC。Beosin安全团队分析发现由于币安跨链桥BSC Token Hub在进行跨链交易验证时,使用了一个特殊的预编译合约用于验证 IAVL 树。而该实现方式存在漏洞,该漏洞可能允许攻击者伪造任意消息。

10月24日,币安创始人赵长鹏表示,已在执法部门帮助下缩小了攻击者身份的可能范围。此外,赵长鹏还表示能够冻结大约80%到90%的被盗资金,实际损失在1亿美元左右。

2022年11月15日,在FTX 宣布破产后不久,便传出其遭到黑客攻击,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,本次涉及金额约4.4亿美元。当时FTX 社区聊天管理员向交易所的官方电报组发送了一条消息,指出该破产平台已被黑客入侵,所有应用程序都是恶意软件。管理员建议用户删除该应用程序,不要访问该网站或打开他们的移动应用程序,因为这很可能会感染木马。由于还有很多未知数,许多人认为,这很可能是内部人员的操作。

2022年2月3日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Wormhole遭到黑客攻击,导致约3.26亿美元的损失。Beosin安全团队分析发现黑客利用了 Wormhole 合约中的签名验证漏洞,这个漏洞允许黑客伪造 sysvar 帐户来铸造 wETH。这个漏洞已经在 Solana 1.9.4 中被修补,离最终上线还需要审核过程,而黑客正是利用这个间隙对仍在使用 Solana 1.8 的合约展开了攻击。

攻击发生后,Wormhole宣布已恢复其跨链桥资金,并已重新上线。加密投资基金Jump Crypto 2月4日宣布,已投入12万枚以太坊以弥补跨链桥 Wormhole 的被盗损失,以支持 Wormhole 继续发展。

2022年8月2日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,跨链通讯协议Nomad遭到了大规模的黑客攻击,参与此次攻击的黑客地址超 500条,项目方损失达1.9亿美元。Beosin安全团队通过交易分析,发现项目方错误的添加了0x000...000作为可接受的根,导致判断恒成立,从而攻击者可以提取合约中的资金。

因此,任何攻击者只需要复制第一个黑客的交易并使用一个未曾使用过的攻击地址将其替换,然后点击通过Etherscan发送,就能盗取项目资金。同时由于存在问题的是Replica合约,所以其对应的所有BridgeRouter相关DApp都会受到影响,因此被盗资表现出多币种的特点。

8 月3 日,Nomad 发布返还被盗资金说明,号召白帽黑客返还被盗资金。截止8月15日,项目方已追回3700万美元。

2022年4月17日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,算法稳定币项目Beanstalk Farms遭受闪电贷攻击,协议损失1.82亿美元,攻击者获利约8000万美元(除去攻击所需的一些借贷资金)。攻击者在攻击后很快便将所获8000万美元全部转入Tornado Cash混币。

攻击者从攻击的前一天发起了提案交易,提案通过会提取Beanstalk: Beanstalk Protocol合约中的资金。黑客通过闪电贷换取了大量的资金储备,再进行反复兑换。最后对提案进行投票,导致提案通过。针对本次事件,Beosin安全团队建议:1. 投票所用资金应在合约中锁定一定时间,避免使用账户的当前资金余额来统计投票数量,以避免可能出现的反复投票以及使用闪电贷进行投票;2. 项目方和社区应关注所有提案,如果提案是恶意提案,建议在提案投票期间应及时做出处理措施,将提案废弃,禁止其接受投票以及执行;3. 可考虑禁止合约地址参与投票;此外项目上线前最好进行全面的安全审计,规避安全风险。

2022年9月20日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Wintermute在DeFi黑客攻击中损失1.6亿美元。Beosin安全团队分析发现攻击者频繁的利用0x0000000fe6a...地址调用0x00000000ae34...合约的0x178979ae函数向攻击者合约转账,通过反编译合约,发现调用0x178979ae函数需要权限校验,通过函数查询,确认0x0000000fe6a地址拥有setCommonAdmin权限,并且该地址在攻击之前和该合约有正常的交互,那么可以确认0x0000000fe6a的私钥被泄露。

9月21日,Wintermute确认其于6月份使用Profanity和一个内部工具来创建钱包地址,而该Profanity工具存在私钥爆破的风险。

2022年10月12日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,Solana上的Mango协议遭受黑客攻击,受影响金额约1.16亿美元。黑客使用了两个账户,一共1000万USDT起始资金,就撬动上亿资产。本次攻击主要原因是因为杠杆合约没有限制Mango开仓的头寸,导致攻击者可以拉高Mango代币获利。

2022年6月5日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,区块链网络 Elrond 遭受黑客攻击,黑客“获得”了近 165 万枚EGLD,并且通过去中心化交易所 Maiar 砸盘,导致内部 $EGLD 暴跌 92%,接着官方暂停了 DEX 以及相关 APIs,并表示已经评估应对方案。

Elrond 事后发布报告称,攻击者没有利用任何智能合约代码漏洞,问题出在虚拟机上。Elrond 生态 DEX 项目 Maiar 此前出现的 bug 已经解决,几乎所有被盗取的资金都已被追回。已知错误造成的剩余缺失资金都将由 Elrond 基金会全额承担。

2022年6月24日,Beosin EagleEye安全风险监控、预警与阻断平台监测显示,以太坊与Harmony间跨链桥Horizon遭遇攻击,损失约1亿美元。Harmony创始人表示,Horizon 被攻击并非因为智能合约漏洞,而是由私钥泄露导致。虽然 Harmony 对私钥进行了加密存储,但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。

攻击发生后,Harmony立即停止了Horizon桥,以防止进一步的交易。然后,它联系了联邦调查局和多个网络安全和交易所合作伙伴,以调查、跟踪和协助检索被盗资产。然而黑客还是通过Tornado Cash对赃款进行了清洗。7月27日,Harmony发布了补偿提案。

被攻击项目类型

2022年,12次跨链桥安全事件共造成了约18.9亿美元损失,居所有项目类型损失的第一位。跨链桥安全事件里,单次损失超过1亿美元的事件就发生了5起,分别是Ronin(6.24亿美元)、BSC Token Hub(5.6亿美元)、Wormhole(3.26亿美元)、Nomad(1.9亿美元)和Harmony(1亿美元)事件,其攻击手法主要包括社会工程学、私钥泄露、链平台或合约漏洞等。

全年167次主要攻击事件里,DeFi类型项目被攻击了113次,约为67.6%,是被攻击频次最高的项目类型。DeFi是继跨链桥之后损失排名第二的项目类型,总计损失约9.5亿美元。

全年共发生交易所、钱包安全事件共21起,共损失金额约6亿美元。此类事件涉及金额高、波及用户广,其攻击手法主要是私钥泄露、合约漏洞、供应链攻击。

各链损失金额

2022年共有20条公链发生过主要安全事件,按损失金额排名前三的分别是Ethereum、BNB Chain、Solana;按攻击事件次数排名前三的分别是BNB Chain、Ethereum、Solana。

59次Ethereum上的攻击事件造成了20.1亿美元的损失,占到了全年总损失的55.8%。

BNB Chain上的攻击事件达到了72次,70%的项目损失金额集中在几千至几十万美元区间。**值得注意的是,BNB Chain上遭受攻击的项目约64%都未经审计,且未经审计的项目中攻击手法80%都是合约漏洞利用。

7次Solana链上的攻击事件共造成了5亿1276万美元的损失,单个事件平均损失居各链第一位。Solana链上的重大安全事件包括2月的Wormhole事件(3.26亿美元)、3月的Cashio事件(4800万美元)和10月的Mango Market事件(1.16亿美元)。

攻击手法分析

漏洞利用为全年频率最高、且损失最多的攻击方式。2022年全年涉及漏洞利用的攻击事件有87起,总损失达到了14.58亿美元。

损失金额排名第二的攻击方式为社会工程学,也就是3月的Ronin事件,损失金额达到了6.24亿美元。

损失金额排名第三的攻击方式为私钥泄露,19次私钥泄露共造成损失约4.3亿美元,其中有8起事件单次损失金额都在1000万美元以上。根据部分事件的调查结果来看,团队成员/前成员盗取私钥的情况频发,项目方需要格外注意运营安全,加强团队管理。还有部分因使用第三方工具导致私钥泄露的情况,建议项目方在使用第三方工具前均应进行仔细的安全评估。

按照漏洞类型细分,造成损失最多的前三名分别是验证问题、链平台漏洞(BNB Chain事件)和业务逻辑/函数设计不当。

18次验证问题造成了6.19亿美元的损失,主要事件包括:Wormhole事件中的签名验证漏洞、Nomad bridge事件中的消息验证绕过等。

出现频次最高的是业务逻辑/函数设计不当问题,达到了30次。在Beosin的日常审计过程中,该类漏洞也是出现频率最高、最容易被开发者忽略的问题。

项目审计情况

在2022年监测到的167次主要攻击事件里,经过审计与未经审计的项目几乎各占一半,比例分别为51.5%和48.5%。

在86个经过审计的项目里,仍有39次攻击事件(45%)源自于漏洞利用。整个市场审计质量不容乐观。经过Beosin对这些事件的复盘发现,绝大部分漏洞是完全可以在审计阶段发现并修复的。

2022年因合约漏洞被攻击的项目中,没有出现Beosin审计过的项目 (数据来源:https://rekt.news/leaderboard/)。建议项目上线之前一定要寻找专业的安全公司进行审计,才能有效地保障资产安全。

被盗资金流向分析

2022年约有13.96亿美元的被盗资金转入了Tornado Cash,占所有攻击事件损失资金的38.7%。自8月Tornado Cash受到美国OFAC制裁后,转入Tornado Cash的资金较上半年大幅下降。第四季度仅有4485万美元的资金转入了Tornado Cash。

全年约有2.89亿美元的被盗资金得以追回,仅占所有损失的8%。其中绝大部分来自白帽黑客主动返还。

约有1824.8万美元的被盗资金流入了各类交易所。通常一些涉案金额较少的黑客会在攻击后立刻将资金转入交易所。对交易所而言,能在攻击发生的及时识别黑客地址并阻止其交易尤为重要。

约有4.43亿美元的被盗资金被交易所冻结,其主要金额来源于10月的BNB Chain事件,当时币安立即冻结了黑客80%至90%的资金,实际损失在1亿美元左右。

Rug pull 数据

2022年全年共发生Rug pull事件243起,总涉及金额达到了4.25亿美元(FTX事件暂不计入)。

243起rug pull事件中,涉及金额在千万美元以上的共8个项目。210个项目(约86.4%)跑路金额集中在几千至几十万美元区间。

2022年,Rug pull事件具有以下特点:

  1. 全年Rug项目数量多。平均每1.5天就有一个项目跑路。

  2. Rug周期时间短。大部分项目在上线后3个月内就跑路,因此大部分资金量集中在几千至几十万美元区间。

  3. 多数项目未经审计。有些项目的代码里暗藏后门函数,对于普通投资者而言,很难评估项目的安全性。

  4. 社交媒体信息欠缺。至少有一半的rug pull项目没有完善的官网、推特账号、电报/Discord群组。

  5. 项目不规范。有些项目虽然也有官网和白皮书,但仔细一看有不少拼写和语法错误,有些甚至是大段抄袭。

  6. 蹭热点项目增多。今年出现了各类蹭热点币种跑路事件,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常及其快速地上线又火速卷款而逃。

Beosin 安全团队

对 2023 区块链安全行业展望

2022年,全球加密市场发生了诸多大事件:加密总市值大幅缩水;Terra崩盘、三箭资本 (3AC) 和FTX破产;Tornado Cash遭受制裁;以太坊合并;新公链快速发展。在市值严重缩水的情况下,2022年黑客盗取资金却创下了新高。全年因各类攻击造成的总损失达到了36亿384万美元,比2021年增加了约11.6亿美元。2022年全球Web3安全形势比以往都要严峻。

全年攻击事件中,仅有8%的资金被追回。在Tornado Cash今年8月遭到制裁之后,第三、四季度的被盗资金流入Tornado Cash的金额的确较第一、二季度大幅减少,但黑客攻击频率和盗取金额在第三、四季度并没有减少。要真正程度上抑制黑客的猖獗活动,需要整个行业做出多方努力,包括以下方面:

  1. 快速制定和完善全球监管体系。真正有震慑力的,还是要对加密领域本身的犯罪行为诉诸法律制裁。目前已有一些国家的监管政策已初具雏形,预计2023年全球会有更多国家将监管政策体系化。

  2. 从源头对黑客攻击进行阻断。目前整个安全市场包括Beosin已有一些成功阻断黑客攻击的案例,随着技术的逐渐成熟,2023年预计会有更多的黑客攻击在源头上被阻断。

  3. 被盗资金追回。项目方、用户、安全公司、交易所、监管机构需要多方合作,锁定黑客链上地址及更多身份信息。随着全球监管体系的完善,找回被盗资金将不再是小概率事件。

  4. 加强整个基础设施建设。2023可能会出现从基础设施层面解决行业安全的新技术或新项目。同时,现存的区块链头部项目方也会对自身安全进行系统优化。

  5. 项目方做好自身安全防护。部分项目开发匆忙、未经审计就上线是导致项目遭受攻击的一大原因。此外,合约安全、私钥/钱包安全、传统安全、甚至团队运营安全等,有一个薄弱的领域都可能让项目方造成巨大损失。对于项目方来说,需要一个解决方案能兼顾各方面的安全问题。明年预计会有更多成熟的项目方找到相对完善的解决方案。

  6. 新兴赛道的安全防护。在熊市的情况下,整个市场都在等待Web3的下一个叙事。2023年新兴赛道一旦刚开始流行,因为成熟度不完善、大量新项目方新用户涌入,必定会成为黑客的首要攻击目标。整个市场的安全从业者必须具备快速学习的能力,以应对市场不断变幻的新兴挑战。

  7. 个人用户安全意识的提升。明年的大趋势是降低普通用户进入Web3的门槛,面向新用户进行安全知识普及教育是非常有必要的。

  8. 更便捷有效的治理模式。个人用户遭遇资产被盗的情况,往往由于金额较小、信息零散、关注度低、报案无果等原因最终不了了之。目前已有一些DAO针对此类问题建立了初步的解决方式,预计明年会有更完善的体系出现。

  9. 更开放、共享的安全行业。正如上面所提到的,合约安全、私钥/钱包安全、传统安全、团队运营安全等方方面面都需要保障,而这需要整个安全行业的共同努力。这也是Beosin成立【区块链生态安全联盟】的初心。


MOVE OVER HODL,

IT'S TIME TO BUIDL!

Buidler DAO 聚集华语至全球的 Web3 人才和项目,致力于打造 SocialDAO 治理范式和 DAO Tools 解决方案。

内部五大公会共同协作:孵化、技术公会构建项目加速生态;投研、教育公会输出深度内容;运营公会负责社区治理与增长。

官方链接:https://link3.to/buidlerdao

深度参与:https://tally.so/r/wA7LlN

Subscribe to Buidler DAO
Receive the latest updates directly to your inbox.
Mint this entry as an NFT to add it to your collection.
Verification
This entry has been permanently stored onchain and signed by its creator.