첫 번째 레벨 제목
1. 2022년 2분기 Web3 보안 상황 요약
48건 이상의 주요 공격이 있었고 총 손실액은 약 7억 1,834만 달러였습니다.
2022년 2분기 Chengdu Lianan Chain Bing-블록체인 보안 상황 인식 플랫폼은 Web 3 분야에서 총 48건 이상의 주요 공격을 모니터링했으며 총 손실액은 약 7억 1,834만 달러입니다. 1분기 약 40% 하락, 2021년 2분기 손실($296.56 million)의 약 2.42배.
2022년 1월부터 6월까지 Web 3 분야의 공격으로 인한 총 손실액은 약 19억 1,287만 달러에 달했습니다.시간적으로는
4월은 해킹 공격이 가장 활발한 달로, 5월에는 공격 건수와 피해액이 모두 크게 감소한 반면, 6월에는 해커 활동이 회복되는 경향을 보였다.공격을 받는 프로젝트 유형의 관점에서 볼 때,
DeFi는 여전히 가장 많이 공격받는 프로젝트 유형이며 공격의 약 79.2%가 DeFi 분야에서 발생했습니다.TVL(Total Locked Value) 관점에서 보면,
모든 체인과 공격받은 프로젝트의 TVL 값은 5월에 크게 떨어졌습니다. 대부분의 프로젝트는 공격 시점 이후 TVL의 급격한 하락을 경험할 것입니다.체인 플랫폼 관점에서 보면,
이더리움은 이번 분기에 3억 8,135만 달러로 가장 많은 돈을 잃었습니다. 공격 빈도가 가장 높은 체인은 BNB 체인으로 26회에 이릅니다.공격 방법의 관점에서 볼 때,
가장 일반적인 공격 방법은 여전히 계약 익스플로잇과 플래시 론입니다. 공격의 약 45.8%는 계약 익스플로잇이었습니다. 플래시론으로 인한 피해액은 2억3300만 달러로 각종 공격 방식으로 인한 손실액 1위다.자본 흐름의 관점에서 보면,
도난당한 자금 중 약 4억 1,889만 달러가 해커에 의해 Tornado.cash로 전송되었으며, 이는 해당 분기에 도난당한 총 금액의 58.3%를 차지합니다.감사의 관점에서 보면,
다른 측면에서 이번 분기에 체인에서 총 43개 이상의 주요 러그 풀 이벤트가 모니터링되었으며 프로젝트 측은 총 약 US$34,266,402를 가져갔습니다. 불완전한 통계에 따르면 Discord 서버가 해킹당한 사례는 151건 이상입니다. 러그 풀 및 피싱 보안 사고는 5월과 6월에 자주 발생했습니다.
첫 번째 레벨 제목
2. 공격 이벤트 개요
4월은 이번 분기 해킹이 가장 활발한 달이었습니다.
시간적으로 보면 2022년 4월은 이번 분기 해킹 공격이 가장 활발한 달로 총 19건의 주요 보안 사고와 약 US$37,489의 손실이 발생했습니다. 공격 건수와 손실액 모두 5월에 크게 감소했는데, 이는 5월 전체 암호화폐 시장 가치의 급격한 하락과 관련이 있을 수 있습니다. 6월에는 시장이 온난화 추세를 보이지는 않았지만 해킹 공격 빈도와 프로젝트 손실액이 5월에 비해 크게 증가했습니다.
첫 번째 레벨 제목
3. 공격 대상 프로젝트 유형
79.2%의 공격이 DeFi 분야에서 발생했습니다.1분기와 마찬가지로,DeFi는 여전히 가장 많이 공격받는 프로젝트 유형이며 공격의 약 79.2%가 DeFi 분야에서 발생했습니다.
이번 분기에는 여전히 두 건의 교차 체인 브리지 공격이 있었고 누적 손실은 약 1억 달러였습니다. 2022년 1분기에 4개의 교차 체인 브리지 공격의 총 손실은 미화 9억 5천만 달러입니다. 지금까지 2022년 상반기 크로스체인 브릿지 공격으로 인한 손실액은 10억 5천만 달러에 달합니다.
첫 번째 레벨 제목
4. 공격받은 프로젝트의 TVL 분석
일부 프로젝트의 TVL은 공격을 받은 후 직접 0으로 재설정됩니다.
공격을 받은 프로젝트의 TVL과 공격 시점의 비율로 보면 대부분의 경우 손실액은 프로젝트의 TVL의 30% 미만이다. 그중 Blizz Finance, Beanstalk와 같은 개별 프로젝트도 손실이 TVL의 100% 또는 심지어 500%에 도달했습니다.
첫 번째 레벨 제목
5. 각 체인 플랫폼의 손실액
이더리움은 손실액이 가장 많고, BNB 체인은 공격 사건이 가장 많습니다.
이더리움은 이번 분기에 3억 8,135만 달러로 가장 많은 돈을 잃었습니다. 공격 빈도가 가장 높은 체인은 BNB 체인으로 26회에 이릅니다.
이전 분기와 비교하여 2분기 연속 공격을 받은 체인에는 Ethereum, BNB, Fantom 및 Cronos가 포함됩니다. 1분기 2건의 공격으로 3억 7,400만 달러의 손실을 입은 솔라나 체인은 이번 분기에 중대한 보안 사고를 감지하지 못했다.
2분기에는 모든 체인에서 5월에 TVL이 크게 감소했습니다. TVL이 선정한 2위 이더리움과 BNB체인은 여전히 해커들의 주요 타깃이다. 이번 분기 공격 비용은 총 7억 1,834만 달러로 6월 Osmosis, Elrond, Metis를 합친 TVL보다 많습니다.
DeFi 프로토콜에 대한 공격 수의 관점에서 볼 때, 2분기에는 BNB Chain에서 공격받은 DeFi 프로토콜이 총 프로토콜 수 중 가장 높은 비율을 차지하여 7%에 달했습니다. Metis의 DeFi 생태계는 충분히 풍부하지 않으며 공격은 한 번뿐이지만 상대적으로 많은 거래 수와 금액을 차지합니다.
첫 번째 레벨 제목
6. 공격 방식 분석
가장 일반적인 공격 방법은 여전히 계약 익스플로잇과 플래시 론입니다.
이번 분기에 계약 취약점을 악용한 공격이 가장 많았으며 계약 취약점을 이용한 공격은 22건으로 전체의 45.8%를 차지했으며 계약 취약점으로 인한 총 손실액은 약 1억 3800만 달러였습니다. 두 번째로 흔한 공격 방식은 플래시론으로 이번 분기에는 9건의 플래시론 공격이 발생해 2억3300만 달러의 손실이 발생해 각종 공격 방식의 손실액 1위를 차지했다.
1분기와 유사하게 Web3 분야에서 가장 일반적인 공격 방법은 여전히 계약 익스플로잇과 플래시 론입니다(1분기에 각각 50% 및 24%). 또한 개인키 유출로 인한 손실액은 여전히 1억315만 달러에 달해 개인키 보안에 여전히 주목해야 한다.이번 분기에 악용된 취약점은 주로 다음과 같습니다.그 중 가장 많이 악용되는 취약점은 부적절한 비즈니스 로직/기능 설계로 다른 취약점보다 훨씬 높다. 재진입 취약점은 이번 분기에 해커에 의해 한 번 악용되었으며 그로 인한 손실은 8,034만 달러에 달했습니다.
7. 대표 사례 공격 방식 분석
보조 제목
7.1 인버스 파이낸스의 두 차례 공격
이벤트 세부 정보:
2022년 4월 2일 인버스 파이낸스 프로젝트는 가격 조작의 공격을 받았으며 누적 손실은 약 1,500만 달러로 추정됩니다. 공격의 주된 이유는 TWAP 오라클이 사용하는 시간 창이 너무 짧기 때문입니다. Xinv 토큰의 가격을 계산할 때 WETH/INV 쌍을 사용하여 계산하십시오. 페어 풀이 조작되었고 timeElapsed 간격이 짧기 때문에 공격자는 xINV 토큰의 값을 조작하기 위해 호출이 현재 블록에 없다는 것을 만족시켜야 합니다.
보안 조언: 토큰 가격을 얻을 때 토큰의 실시간 잔액에 의존하지 말고 TWAP 유형의 가격 오라클을 사용하고 충분한 시간 창을 설정하십시오.
보조 제목
7.2 Akutar: 3,400만 달러 잠김 및 스마트 계약 버그로 인해 인출 불가
이벤트 세부 정보:
2022년 4월 24일, NFT 프로젝트 Akutars에서 3,400만 달러가 잠겼고 스마트 계약 취약성으로 인해 인출할 수 없었습니다. 특히 이 프로젝트의 계약은 보안 회사의 감사를 받지 않았습니다. 분석 결과 Akutars의 계약에는 두 가지 취약점이 포함되어 있는 것으로 나타났습니다.
취약점 1:
첫 번째 계약 취약성은 processRefunds에 있으며 여기서 설계자는 refundProgress 카운터를 기반으로 순환 환불을 수행합니다. 여기서 환불 작업은 call 함수를 사용하고, 환불 결과를 require 판단 조건으로 사용한다. 따라서 이때 공격자가 Queue에서 환불 작업을 수행하면 Call Refund가 공격자에게 호출될 때 공격자는 Fallback에서 악의적인 되돌리기를 수행하고 Queue 뒤에 있는 모든 사람은 환불을 할 수 없게 됩니다. 다행히 이 취약점은 실제로 공격자가 악용한 것은 아닙니다.
취약점 2:
이 취약점은 약 3,400만 달러 상당의 자산이 계약에 묶여 있는 직접적인 원인입니다.
claimProjectFunds 기능에서 이 기능은 주로 프로젝트 측에서 인출하는 데 사용됩니다. 함수 require(refundProgress >= totalBids)에서, 여기서 refundProgress는 처리된 사용자의 환불 수를 나타내고 totalBids는 모든 사용자가 입찰한 총 NFT 수를 나타냅니다. 사용자는 여러 NFT에 입찰할 수 있으므로 수치 비교에서 refundProgress는 totalBids보다 적을 수 있습니다.
환불 함수 processRefunds: require(_refundProgress < _bidIndex)에서 bidIndex는 입찰에 참여하는 모든 사용자를 의미하며, refundProgress는 결코 bidIndex보다 높지 않습니다. bidIndex의 값은 3669이고 totalBids의 값은 5495입니다.따라서, refundProgress>=5495 및 refundProgress
보안 제안: 프로젝트가 온라인 상태가 되기 전에 전문적인 보안 감사가 매우 필요합니다.
보조 제목
7.3 Beanstalk Farms: 해커는 약 8천만 달러의 수익을 올렸습니다.악의적인 제안을 방지하는 방법은 무엇입니까?
2022년 4월 17일 알고리즘 스테이블 통화 프로젝트인 Beanstalk Farms가 플래시 론의 공격을 받아 해커는 약 8천만 달러의 이익을 얻었고 프로토콜은 1억 8천 2백만 달러의 손실을 입었습니다. 이번 분기 적자폭이 가장 큰 종목이다.
이 공격을 돌이켜보면 공격자는 전날 Beanstalk: Beanstalk Protocol에서 자금을 인출하자는 제안을 시작한 다음 제안을 실행하기 위한 긴급 커밋을 위해 EmergencyCommit을 호출했습니다. 프로젝트 당사자가 제안 후 하루 만에 투표를 시작할 수 있다고 규정했기 때문입니다.
공격 과정에서 공격자는 "투표 계약의 투표 수는 계정의 제안 토큰 보유량으로 계산된다"는 허점을 이용해 플래시론을 통해 10억 달러 상당의 막대한 자금을 빌려주고 토큰을 교환해 투자했다. 마이닝 풀에서 임시로 막대한 양의 제안 토큰을 얻으면 다른 사람들이 투표하지 않고도 제안이 통과될 수 있습니다. 마침내 제안이 통과되어 실행되었고 공격자는 성공적으로 프로젝트 당사자의 자금을 인출한 다음 플래시 론을 교환 및 상환하고 이익을 남기고 시장을 떠났습니다.
안전 조언:
1. 투표에 사용되는 자금은 일정 기간 동안 계약에 잠겨 있어야 하며 계정의 현재 자금 잔고를 사용하여 투표 수를 계산하는 것을 피해야 합니다.
3. 계약 주소가 투표에 참여하는 것을 금지하는 것을 고려하십시오.
첫 번째 레벨 제목
여덟, 자본 흐름 분석
약 4억 1,889만 달러의 도난 자금이 Tornado.cash로 유입되었습니다.
자금 흐름의 관점에서 2022년 2분기에 약 4억 1,889만 달러의 도난 자금이 해커에 의해 Tornado.cash로 전송되었으며, 이는 분기 전체 도난 금액의 58.3%를 차지합니다. 또한 1억 3,100만 달러의 자산이 회수되었으며, 1억 6,845만 달러의 자산이 해커 주소에 남아 아직까지 거래소로 유입되거나 혼합되지 않은 상태입니다.데이터에서 알 수 있듯이이번 분기의 자금 회수는 이전 분기보다 낫습니다. 경우에 따라 프로젝트 팀은 체인의 정보를 통해 해커와 협상하고 일부 해커는 훔친 일정 금액을 반환하여 "면제"를 선택합니다. 법적 제재"
첫 번째 레벨 제목
9. 프로젝트 감사 분석
프로젝트의 52%만 감사를 받습니다.
공격을 받은 프로젝트의 52%만이 감사를 받았으며, 이는 이전 분기의 70%에 비해 증가한 것입니다. 이번 분기 공격으로 인한 감사된 프로젝트 손실액은 5억 4,763만 달러로 손실액의 76.2%를 차지해 전 분기보다 크게 늘었다.
감사된 프로젝트 손실은 여전히 5억 4,763만 달러에 달하지만 이것이 감사가 더 이상 중요하지 않다는 의미는 아닙니다.점점 더 많은 보안 회사들이 감사 사업에 뛰어들면서,감사 시장은 고르지 않고 혼합되어 있습니다. 일부 비전문 기업으로 인해 감사를 받아야 할 스마트 계약의 일부 허점이 감사되지 않았습니다.이에 일부 프로젝트 당사자들과 투자자들은 "감사도 백감사"라며 감사의 필요성과 전문성에 의문을 제기하기 시작했다.따라서 프로젝트 당사자는 프로젝트가 실행되기 전에 감사를 수행할 전문 보안 회사를 찾아야 합니다.
첫 번째 레벨 제목
10. 러그 당김 분석
프로젝트 파티는 총 약 34.266402 US 달러를 가져갔습니다.
Rug pull은 일반적으로 개발자가 DEX 유동성 풀에서 철수하거나 갑자기 프로젝트를 포기하여 경고 없이 투자자의 자금을 빼앗는 것을 의미하며 일반적으로 "도망"으로 알려져 있습니다. 2022년 2분기에 체인에서 총 43건의 주요 러그 풀 사건이 모니터링되었으며 프로젝트 측은 총 약 34,266,402달러를 가져갔습니다.지난 5월 각종 퍼블릭 체인과 프로젝트의 TVL이 급격히 줄어들자 일부 프로젝트 당사자는 러그 풀을 선택해 많은 투자자가 손실을 입었다. 그 이유는 계속 작동할 수 없기 때문일 수도 있고, "TVL이 0으로 돌아오기를 기다리는 것보다 도망치는 것이 낫다"일 수도 있고, 계획적으로 도망칠 수도 있지만 급격한 하락 TVL에서는 이 프로세스를 가속화했습니다.
첫 번째 레벨 제목
11. 디스코드 피싱 분석
이번 분기 디스코드 피싱 사례 자주 발생
러그 풀 데이터와 유사하게 피싱 보안 사건은 실제로 시장 침체기에 증가할 수 있습니다. 이번 분기 디스코드 피싱 수법은 로봇 계정 해킹, 관리자나 로봇 사칭으로 개인 메시지에 피싱 링크 전송, 소셜미디어를 통해 유사도 높은 디스코드 초대 링크 유포 등 다양한 형태로 나타났다. 시장이 약세일수록 더 많은 사용자와 프로젝트 당사자가 사기 방지 인식을 높이고 자산을 보호해야 합니다.
첫 번째 레벨 제목
12. 요약2022년 2분기에도 DeFi 보안은 여전히 관심의 초점이며, 약 79.2%의 공격이 DeFi 분야에서 발생했습니다.2분기 연속 DeFi는 해커 공격의 초점이었습니다. NFT, 크로스체인 브릿지, 거래소 보안 사건의 빈도는 DeFi만큼 높지 않지만 개별 사건에 관련된 금액도 엄청납니다.
따라서 모든 유형의 Web 3 프로젝트 당사자는 보안 인식을 강화하고 보안 보호를 잘 수행해야 합니다.이번 분기 공격의 약 45.8%는 계약 익스플로잇이었습니다.이러한 취약점의 대부분은 감사 단계에서 찾아 수정할 수 있습니다.
이번 분기에 공격을 받은 프로젝트 중 52%만이 감사를 받았습니다. 프로젝트에서 온라인으로 전환하기 전에 감사를 위한 전문 감사 회사를 찾는 것이 좋습니다.분기 동안 약 4억 1,889만 달러의 도난 자금이 해커에 의해 Tornado.cash로 세탁되었습니다. 또한 약 1억 3,100만 달러의 자산이 회수되었지만 대부분의 복구 방법은 체인에서 해커와 협상되어 해커가 도난당한 자금의 일부를 반환할 수 있었습니다. 사실 훔친 자금이 토네이도에 들어가는 것은 불가능한 일이 아니다.
Chengdu Lianan은 토네이도에 들어가는 일부 자금을 포함하여 도난 자금 추적을 지원하는 데 많은 성공적인 사례를 축적했습니다. 프로젝트 당사자가 불행히도 해킹을 당했을 때 해커와 협상하여 반환하는 것 외에도 일부 전문 보안 회사를 찾아 자금을 추적할 수 있는 것이 좋습니다.이번 분기에는 다양한 퍼블릭 체인과 프로젝트의 TVL 값이 크게 변동했으며, 각종 보안 사고로 인해 프로젝트 자금이 비정상적이거나 위험한 거래가 발생하는 상황도 발생했습니다. 프로젝트 당사자와 투자자 모두 적시에 프로젝트 운영에 주의를 기울일 것을 권장합니다.
. Chengdu Lianan [Chain Bing-Blockchain Security Situation Awareness Platform]을 사용하면 프로젝트 당사자와 사용자가 적시에 위험한 거래를 발견하여 신속하게 조치를 취할 수 있습니다.이번 분기 부진한 시장에서는 러그풀, 피싱 등 각종 보안 사고가 더 빈번하게 발생했고, 웹3 분야에서는 여전히 일부 웹2 공격 방식이 활동하고 있다.
모든 프로젝트 당사자와 사용자는 보안 의식을 높이고 개인 키를 안전하게 유지하며 알 수 없는 출처의 링크를 클릭하지 말고 다양한 정보에 대한 다중 채널 검증을 수행해야 합니다.
https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN
웹 피싱 방지 무기:
