Thành Đô Lianan mới ra mắt chuyên mục "Nghiên cứu bảo mật hàng quý", sẽ đánh giá tình hình bảo mật chuỗi khối toàn cầu mỗi quý.

tiêu đề cấp đầu tiên

1. Tổng quan về hệ sinh thái bảo mật chuỗi khối vào quý 1 năm 2022

Tổn thất từ ​​các sự cố an ninh lên tới khoảng 1,2 tỷ USD

Trong quý đầu tiên của năm 2022, theo số liệu thống kê được theo dõi bởi Thành Đô Lianan [Nền tảng nhận thức tình huống bảo mật chuỗi Bing-Blockchain],Thiệt hại do các sự cố an ninh tấn công gây ra lên tới khoảng 1,2 tỷ USD, cao gấp khoảng 9 lần so với mức 130 triệu USD cùng kỳ năm ngoái (Q1 2021).Đây cũng là số tiền cao hơn số tiền bị mất trong bất kỳ quý nào trong năm 2021.

tiêu đề phụ

Từ quan điểm của nền tảng chuỗi

tiêu đề phụ

Dưới góc độ dòng vốn

tiêu đề phụ

Về phương thức tấn công

tiêu đề phụ

Dưới góc độ kiểm toán

tiêu đề phụ

Từ loại dự án

tiêu đề cấp đầu tiên

2. Hơn 30 vụ tấn công điển hình xảy ra trong Q1

Dự án cầu vượt dây lỗ nặng

Trong quý đầu tiên của năm 2022, sẽ có khoảng 30 sự cố bảo mật điển hình trong lĩnh vực blockchain. Tổng số tiền thiệt hại khoảng1,2 tỷ USD, so với cùng kỳ năm ngoáităng 823%。

Trong top 20 bảng xếp hạng, Ronin có số tiền thua nhiều nhất là625 triệu, đó là số tiền Build Finance thấp nhất ($1,12 triệu)558 lần。

Qua biểu đồ thống kê có thể thấy, số tiền thua lỗ của hai dự án Ronin và Wormhole đã lên tới950 triệu USD, chiếm 80% tổng thiệt hại trong Q1 năm 2022.tiêu đề cấp đầu tiên

3. Các loại dự án bị tấn công

DeFi vẫn là một lĩnh vực trọng tâm của tin tặc

Trong quý 1 năm 2022, trong lĩnh vực blockchain, các dự án DeFi vẫn là trọng điểm bị tin tặc tấn công, có tổng cộng 19 sự cố bảo mật xảy ra và khoảng 60% vụ tấn công xảy ra trong lĩnh vực DeFi.

Ngoài ra, các cuộc tấn công chống lại NFT đã gia tăng trong quý đầu tiên của năm 2022 và dự án cầu xuyên chuỗi đã bị tấn công 4 lần, gây ra tổn thấtLên đến 950 triệu USDtiêu đề cấp đầu tiên

4. Số tiền thua lỗ của nền tảng chuỗi

Ethereum có tỷ lệ thua lỗ cao nhất

Quý 1 năm 2022,Thiệt hại do cuộc tấn công vào chuỗi Ethereum và Solana đứng ở vị trí thứ 2, với lần lượt là 654,48 triệu USD và 374 triệu USD.

Ethereum cũng bị tấn công thường xuyên nhất, chiếm 45% tổng tần suất; thứ hai là BNB Chain, chiếm 19%.

Cả hai cuộc tấn công vào chuỗi Solana đều dẫn đến tổn thất lớn: 326 triệu đô la cho Wormhole và 48 triệu đô la cho Cashio. Các phương thức tấn công của cả hai đều giống nhauMô tả hình ảnh。

Tỷ lệ mất nền tảng chuỗi

tiêu đề cấp đầu tiên

5. Phân tích các phương thức tấn công

Khai thác hợp đồng và cho vay nhanh là phổ biến nhất

Trong quý đầu tiên của năm 2022, trong lĩnh vực sinh thái bảo mật chuỗi khối, khoảng 50% phương thức tấn công là khai thác lỗ hổng hợp đồng và 24% phương thức tấn công là các khoản vay chớp nhoáng.

12% các cuộc tấn công là rò rỉ khóa riêng, tấn công lừa đảo và tấn công kỹ thuật xã hội. Kiểu tấn công này bắt nguồn từ việc bên dự án không giữ được khóa riêng hoặc thiếu cảnh giác.

Trong số các lỗ hổng hợp đồng bị tin tặc khai thác, lỗ hổng phổ biến nhất làLỗ hổng Reentrancy (30%), theo dõi bởiLogic nghiệp vụ không đúng (24%), tấn công chèn lệnh gọi (18%) và xác thực kém hoặc không đầy đủ (18%)tiêu đề cấp đầu tiên

tiêu đề phụ

lý lịch:

lý lịch:

Chi tiết:

Chi tiết:

Mô tả hình ảnh

Mã chức năng buyItem của hợp đồng vật phẩm

Từ quan điểm mã, hàm buyItem của hợp đồng không đánh giá loại mã thông báo sau khi chuyển tham số _quantity và trực tiếp nhân _quantity và _pricePerItem để tính tổng Giá, do đó, hàm safeTransferFrom có ​​thể được thanh toán bằng mã thông báo ERC-20 Khi số tiền chỉ bằng 0, hãy gọi hàm buyItem của hợp đồng để mua mã thông báo.

gợi ý:

gợi ý:

Nguyên nhân chính của sự cố bảo mật này là sự nhầm lẫn logic do sử dụng hỗn hợp mã thông báo ERC-1155 và mã thông báo ERC-721. Mã thông báo ERC-721 không có khái niệm về số lượng, nhưng hợp đồng sử dụng số lượng để tính giá mua của Cuối cùng, cũng không có cuộc thảo luận về phân loại khi các mã thông báo được chuyển giao.

tiêu đề phụ

lý lịch:

lý lịch:

Chi tiết:

Chi tiết:

Mô tả hình ảnh

Quy trình Build Finance bị tấn công

gợi ý:

gợi ý:

tiêu đề phụ

lý lịch:

lý lịch:

Chi tiết:

Chi tiết:

Mô tả hình ảnh

gợi ý:

gợi ý:

1. Chú ý đến tính bảo mật của máy chủ chữ ký;

2. Khi dịch vụ chữ ký ngoại tuyến, chính sách phải được cập nhật kịp thời, mô-đun dịch vụ tương ứng phải được đóng và địa chỉ tài khoản chữ ký tương ứng có thể được coi là bị loại bỏ;

3. Trong quá trình xác minh đa chữ ký, các dịch vụ đa chữ ký cần được tách biệt về mặt logic, nội dung chữ ký phải được xác thực độc lập, không thể xảy ra tình trạng một số người xác minh có thể trực tiếp yêu cầu người xác minh khác ký khi chưa được xác minh;

tiêu đề cấp đầu tiên

7. Phân tích dòng tiền bị đánh cắp

Tornado.Cash có thể là cách thông thường để tin tặc rửa tiền

Trong 80% trường hợp, tin tặc sẽ chuyển số tiền bị đánh cắp sang Tornado.Cash để trộn tiền ngay lập tức hoặc trong vòng vài ngày sau khi thành công.

Trong 10% trường hợp, tin tặc sẽ tạm thời để số tiền bị đánh cắp ở địa chỉ của chính chúng và đợi hàng tháng đến hàng năm trước khi chuyển tiền. Ví dụ, sàn giao dịch AscendEX đã bị đánh cắp vào tháng 12 năm ngoái, tin tặc đã đợi đến tháng 2 và tháng 3 năm nay để bắt đầu rửa tiền theo đợt. Năm nay, những kẻ tấn công Ronin vẫn thường xuyên thực hiện các hoạt động rửa tiền.

Một số ít tin tặc sẽ trả lại số tiền bị đánh cắp. Sau khi đánh cắp 48 triệu USD tiền quỹ, kẻ tấn công Cashio đã công khai tuyên bố sẽ hoàn trả cho những tài khoản trị giá dưới 100.000 USD, đồng thời tuyên bố rằng “mục đích của tôi là lấy tiền từ những người không cần nó chứ không phải từ những người cần nó đâu”. người ta lấy tiền."

tiêu đề cấp đầu tiên

Tám, phân tích tình hình kiểm toán dự án

30% tổn thất dự án chưa được kiểm toán chiếm 60% tổng số

Tình trạng kiểm toán dự án:

70% các dự án bị tấn công đã được kiểm toán bởi các công ty bảo mật bên thứ ba;

30% dự án chưa được kiểm toán, số tiền thua lỗ lên tới 720 triệu đô la Mỹ, chiếm 60% tổng số tiền thua lỗ trong quý I;

Mô tả hình ảnh

tiêu đề cấp đầu tiên

9. Kết thúc Q1 năm 2022

Sự cố bảo mật xảy ra thường xuyên và số lượng liên quan đã tăng lên đáng kể

Trong quý đầu tiên của năm 2022, thiệt hại do các cuộc tấn công vào sự cố bảo mật trong lĩnh vực chuỗi khối lên tới khoảng 1,2 tỷ đô la Mỹ, cao hơn số tiền bị mất trong bất kỳ quý nào trong năm 2021. Các dự án cầu nối chuỗi chéo đã bị đánh cắp với số lượng lớn và các dự án DeFi bị tấn công thường xuyên nhất, hai lĩnh vực này cũng có thể là tâm điểm của tin tặc trong tương lai.

Bên dự án nên kịp thời chú ý đến tình hình bất thường của quỹ. Thành Đô Lianan [Nền tảng nhận thức tình hình bảo mật chuỗi Bing-Blockchain] có thể cho phép bên dự án và người dùng phát hiện kịp thời các giao dịch rủi ro, để nhanh chóng thực hiện đo. Ví dụ: tạm dừng ngay các dịch vụ liên quan hoặc thông báo cho người dùng hủy ủy quyền, v.v. để tránh những tổn thất lớn hơn về sau.

Kiểm toán bảo mật dự án vẫn rất quan trọng.Khoảng 50% các phương thức tấn công là khai thác hợp đồng và hầu hết các lỗ hổng này có thể được phát hiện và sửa chữa sớm thông qua kiểm toán bảo mật.