tiêu đề cấp đầu tiên

1. Tổng hợp tình hình bảo mật Web3 quý II/2022

Có hơn 48 cuộc tấn công lớn, với tổng thiệt hại khoảng 718,34 triệu đô la Mỹ

Trong quý 2 năm 2022, Nền tảng nhận thức tình huống bảo mật Bing-Blockchain chuỗi Thành Đô Lianan đã theo dõi tổng cộng hơn 48 cuộc tấn công lớn trong lĩnh vực Web 3, với tổng thiệt hại khoảng 718,34 triệu đô la Mỹ, so với 1,2 tỷ đô la Mỹ trong quý II năm 2022. quý đầu tiên Mức giảm khoảng 40%, gấp khoảng 2,42 lần mức lỗ trong quý 2 năm 2021 ($296,56 triệu).

Từ tháng 1 đến tháng 6 năm 2022, tổng thiệt hại do các cuộc tấn công trong lĩnh vực Web 3 đã lên tới khoảng 1,91287 tỷ USD.Về mặt thời gian,

Tháng 4 là tháng hoạt động tấn công của tin tặc nhiều nhất. Trong tháng 5, số vụ tấn công và số tiền thiệt hại đều giảm mạnh. Trong tháng 6, hoạt động của tin tặc có xu hướng tăng lên.Từ quan điểm của loại dự án bị tấn công,

DeFi vẫn là loại dự án bị tấn công nhiều nhất và khoảng 79,2% các cuộc tấn công xảy ra trong lĩnh vực DeFi.Từ quan điểm của TVL (Tổng giá trị bị khóa),

Giá trị TVL của tất cả các chuỗi và dự án bị tấn công đã giảm đáng kể trong tháng Năm. Hầu hết các dự án sẽ bị giảm TVL đột ngột sau thời điểm xảy ra cuộc tấn công.Từ quan điểm nền tảng chuỗi,

Ethereum mất nhiều tiền nhất trong quý này ở mức 381,35 triệu đô la. Chuỗi có tần suất tấn công cao nhất là Chuỗi BNB, đạt 26 lần.Về phương thức tấn công,

Các phương pháp tấn công phổ biến nhất vẫn là khai thác hợp đồng và cho vay chớp nhoáng. Khoảng 45,8% các cuộc tấn công là khai thác hợp đồng. Thiệt hại do các khoản vay chớp nhoáng gây ra lên tới 233 triệu đô la Mỹ, đứng đầu về số tiền thiệt hại trong các phương thức tấn công khác nhau.Dưới góc độ dòng vốn,

Khoảng 418,89 triệu đô la tiền bị đánh cắp đã được tin tặc chuyển đến Tornado.cash, chiếm 58,3% tổng số tiền bị đánh cắp trong quý.Từ quan điểm kiểm toán,

Ở các khía cạnh khác, tổng cộng hơn 43 sự kiện Rug pull lớn trên chuỗi đã được theo dõi trong quý này và phía dự án đã lấy đi tổng cộng khoảng 34.266.402 đô la Mỹ. Theo thống kê chưa đầy đủ, đã có hơn 151 trường hợp máy chủ Discord bị hack. Các sự cố bảo mật lừa đảo và lừa đảo thường xuyên xảy ra vào tháng Năm và tháng Sáu.

tiêu đề cấp đầu tiên

2. Tổng quan về các sự kiện tấn công

Tháng 4 là tháng hoạt động hack nhiều nhất trong quý này

Về thời gian, tháng 4 năm 2022 là tháng xảy ra nhiều vụ tấn công hack nhất trong quý này, với tổng cộng 19 sự cố bảo mật lớn và thiệt hại khoảng 37.489 USD. Cả số vụ tấn công và số tiền thua lỗ đều giảm đáng kể trong tháng 5, điều này có thể liên quan đến sự sụt giảm mạnh của toàn bộ giá trị thị trường tiền điện tử trong tháng 5. Mặc dù thị trường không có xu hướng ấm lên trong tháng 6, nhưng tần suất các cuộc tấn công hack và số lượng dự án bị thất thoát đã tăng đáng kể so với tháng 5.

tiêu đề cấp đầu tiên

3. Các loại dự án bị tấn công

79,2% các cuộc tấn công xảy ra trong lĩnh vực DeFiTương tự như quý đầu tiên,DeFi vẫn là loại dự án bị tấn công nhiều nhất và khoảng 79,2% các cuộc tấn công xảy ra trong lĩnh vực DeFi.

Vẫn còn hai cuộc tấn công cầu xuyên chuỗi trong quý này, với khoản lỗ lũy kế khoảng 100 triệu đô la. Trong quý đầu tiên của năm 2022, tổng thiệt hại của 4 cuộc tấn công cầu xuyên chuỗi là 950 triệu đô la Mỹ. Cho đến nay, số tiền thiệt hại do các cuộc tấn công cầu xuyên chuỗi trong nửa đầu năm 2022 đã lên tới 1,05 tỷ đô la Mỹ.

tiêu đề cấp đầu tiên

4. Phân tích TVL của dự án bị tấn công

TVL của một số dự án bị reset trực tiếp về 0 sau khi bị tấn công

Đánh giá từ tỷ lệ TVL của dự án bị tấn công so với thời điểm bị tấn công, trong hầu hết các trường hợp, lượng tổn thất nhỏ hơn 30% TVL của dự án. Trong số đó, có cả những dự án đơn lẻ như Blizz Finance và Beanstalk, mức lỗ lên tới 100%, thậm chí 500% TVL.

tiêu đề cấp đầu tiên

5. Số tiền thua lỗ trên mỗi nền tảng chuỗi

Ethereum có số tiền thua lỗ lớn nhất và BNB Chain có nhiều sự cố tấn công nhất

Ethereum mất nhiều tiền nhất trong quý này ở mức 381,35 triệu đô la. Chuỗi có tần suất tấn công cao nhất là Chuỗi BNB, đạt 26 lần.

So với quý trước, các chuỗi đã trải qua các cuộc tấn công trong hai quý liên tiếp bao gồm Ethereum, BNB, Fantom và Cronos. Chuỗi Solana, chịu thiệt hại 374 triệu đô la do hai cuộc tấn công trong quý đầu tiên, đã không phát hiện bất kỳ sự cố bảo mật lớn nào trong quý này.

Trong quý 2, tất cả các chuỗi đều chứng kiến ​​sự sụt giảm TVL đáng kể trong tháng 5. Chuỗi Ethereum và BNB, top 2 của TVL, vẫn là mục tiêu chính của tin tặc. Các cuộc tấn công trong quý này tiêu tốn tổng cộng 718,34 triệu đô la, nhiều hơn tổng TVL của Osmosis, Elrond và Metis trong tháng 6.

Từ góc độ số lượng các cuộc tấn công vào các giao thức DeFi, trong quý thứ hai, các giao thức DeFi bị tấn công trên Chuỗi BNB chiếm tỷ lệ cao nhất trong tổng số các giao thức, đạt 7%. Hệ sinh thái DeFi trên Metis chưa đủ phong phú, mặc dù chỉ có một cuộc tấn công nhưng chiếm số lượng và số lượng giao dịch tương đối cao.

tiêu đề cấp đầu tiên

6. Phân tích các phương thức tấn công

Các phương pháp tấn công phổ biến nhất vẫn là khai thác hợp đồng và cho vay nhanh

Khai thác lỗ hổng hợp đồng là phương thức tấn công phổ biến nhất trong quý này, có 22 cuộc tấn công là khai thác lỗ hổng hợp đồng, chiếm 45,8% tổng số vụ tấn công, tổng thiệt hại do lỗ hổng hợp đồng gây ra là khoảng 138 triệu đô la Mỹ. Phương thức tấn công phổ biến thứ hai là flash loan, có 9 cuộc tấn công flash loan trong quý này, gây thiệt hại 233 triệu đô la Mỹ, đứng đầu về số lượng thiệt hại của các phương thức tấn công.

Tương tự như quý đầu tiên, các phương thức tấn công phổ biến nhất trong lĩnh vực Web3 vẫn là khai thác hợp đồng và cho vay nhanh (lần lượt là 50% và 24% trong quý đầu tiên). Ngoài ra, tổn thất do rò rỉ khóa riêng vẫn lên tới 103,15 triệu đô la Mỹ và tính bảo mật của khóa riêng vẫn đáng được quan tâm.Các lỗ hổng được khai thác trong quý này chủ yếu bao gồm:Trong đó, lỗ hổng bị khai thác nhiều nhất là thiết kế chức năng/logic nghiệp vụ không phù hợp, tỷ lệ này cao hơn nhiều so với các lỗ hổng khác. Lỗ hổng tái nhập đã bị tin tặc khai thác một lần trong quý này và thiệt hại dẫn đến 80,34 triệu đô la Mỹ.

7. Phân tích các phương thức tấn công trong các trường hợp điển hình

tiêu đề phụ

7.1 Inverse Finance bị tấn công hai lần

Chi tiết sự kiện:

Vào ngày 2 tháng 4 năm 2022, dự án Inverse Finance đã bị tấn công bởi hành vi thao túng giá và thiệt hại lũy kế ước tính vào khoảng 15 triệu đô la Mỹ. Lý do chính của cuộc tấn công là cửa sổ thời gian được sử dụng bởi nhà tiên tri TWAP quá ngắn. Khi tính giá Xinv token thì dựa vào cặp WETH/INV để tính. Vì nhóm cặp đã bị thao túng và khoảng thời gian timeElapsed ngắn, nên kẻ tấn công cần phải chắc chắn rằng lệnh gọi không nằm trong khối hiện tại để thao túng giá trị của mã thông báo xINV.

Lời khuyên bảo mật: Tránh dựa vào số dư mã thông báo theo thời gian thực khi lấy giá mã thông báo, nhưng hãy sử dụng các dự báo giá kiểu TWAP và đặt khoảng thời gian đủ.

tiêu đề phụ

7.2 Akutars: 34 triệu USD bị khóa và không thể rút do lỗi hợp đồng thông minh

Chi tiết sự kiện:

Vào ngày 24 tháng 4 năm 2022, 34 triệu đô la trong dự án NFT Akutars đã bị khóa và không thể rút do lỗ hổng hợp đồng thông minh. Đáng chú ý, các hợp đồng của dự án chưa được kiểm toán bởi các công ty bảo mật. Sau khi phân tích, người ta thấy rằng hợp đồng của Akutars có hai lỗ hổng.

Lỗ hổng một:

Lỗ hổng hợp đồng đầu tiên nằm trong processRefunds, trong đó nhà thiết kế thực hiện hoàn trả vòng tròn dựa trên bộ đếm refundProgress. Ở đây, chức năng cuộc gọi được sử dụng cho hoạt động hoàn trả và kết quả hoàn trả được sử dụng làm điều kiện phán quyết của yêu cầu. Do đó, nếu kẻ tấn công thực hiện thao tác hoàn trả trong hàng đợi vào thời điểm này, khi cuộc gọi hoàn lại tiền được gọi cho kẻ tấn công, kẻ tấn công thực hiện hoàn nguyên độc hại trong dự phòng và mọi người phía sau hàng đợi sẽ không thể hoàn trả. May mắn thay, lỗ hổng này không thực sự bị khai thác bởi những kẻ tấn công.

Lỗ hổng hai:

Lỗ hổng này là nguyên nhân trực tiếp khiến tài sản trị giá khoảng 34 triệu USD bị khóa trong hợp đồng.

Trong chức năng ElementProjectFunds, chức năng này chủ yếu được sử dụng để rút tiền bởi phía dự án. Trong hàm yêu cầu (refundProgress >= totalBids), trong đó refundProgress cho biết số tiền hoàn lại của người dùng đã được xử lý và totalBids cho biết tổng số NFT mà tất cả người dùng đã đặt giá thầu. Vì người dùng có thể đặt giá thầu cho nhiều NFT, nên tiến độ hoàn tiền có thể thấp hơn tổng giá thầu khi so sánh bằng số.

Trong chức năng hoàn tiền processRefunds: require(_refundProgress < _bidIndex); bidIndex có nghĩa là tất cả người dùng tham gia đấu thầu, refundProgress sẽ không bao giờ cao hơn bidIndex. Giá trị của bidIndex là 3669 và giá trị của totalBids là 5495.Do đó, refundProgress>=5495 và refundProgress

Đề xuất bảo mật: Kiểm toán bảo mật chuyên nghiệp trước khi dự án trực tuyến là rất cần thiết.

tiêu đề phụ

7.3 Trang trại Beanstalk: Tin tặc đã kiếm được gần 80 triệu đô la lợi nhuận Làm cách nào để ngăn chặn các đề xuất độc hại?

Vào ngày 17 tháng 4 năm 2022, Beanstalk Farms, một dự án tiền tệ ổn định theo thuật toán, đã bị tấn công bởi một khoản vay chớp nhoáng. Các tin tặc đã kiếm được gần 80 triệu đô la Mỹ và giao thức bị mất 182 triệu đô la Mỹ. Đây là mặt hàng có số lỗ lớn nhất trong quý này.

Nhìn lại cuộc tấn công này, kẻ tấn công đã khởi tạo một đề xuất rút tiền từ Beanstalk: Giao thức Beanstalk vào ngày hôm trước, sau đó gọi EmergencyCommit cho một cam kết khẩn cấp để thực hiện đề xuất. Điều này là do bên dự án quy định rằng việc bỏ phiếu chỉ có thể bắt đầu 1 ngày sau khi đề xuất.

Trong cuộc tấn công, kẻ tấn công đã lợi dụng kẽ hở "số phiếu bầu trong hợp đồng bỏ phiếu được tính bằng số lượng token đề xuất nắm giữ của tài khoản", cho vay một số tiền khổng lồ trị giá 1 tỷ đô la Mỹ thông qua các khoản vay flash, trao đổi token và đầu tư chúng trong nhóm khai thác, tạm thời nhận được một lượng lớn mã thông báo đề xuất, điều này đảm bảo rằng đề xuất có thể được thông qua mà không cần người khác bỏ phiếu. Cuối cùng, đề xuất đã được thông qua và thực hiện, kẻ tấn công đã rút thành công tiền của bên dự án, sau đó trao đổi và hoàn trả khoản vay chớp nhoáng, đồng thời rời thị trường với lợi nhuận.

Lời khuyên an toàn:

1. Số tiền được sử dụng để bỏ phiếu phải được khóa trong hợp đồng trong một khoảng thời gian nhất định và tránh sử dụng số dư tiền hiện tại của tài khoản để đếm số phiếu bầu;

3. Cân nhắc việc cấm các địa chỉ hợp đồng tham gia biểu quyết.

tiêu đề cấp đầu tiên

Tám, phân tích dòng vốn

Khoảng 418,89 triệu đô la tiền bị đánh cắp đã chảy vào Tornado.cash

Từ góc độ dòng tiền, trong quý 2 năm 2022, khoảng 418,89 triệu USD tiền bị đánh cắp đã bị tin tặc chuyển sang Tornado.cash, chiếm 58,3% tổng số tiền bị đánh cắp trong quý. Ngoài ra, 131 triệu đô la Mỹ tài sản đã được thu hồi và 168,45 triệu đô la Mỹ tài sản vẫn nằm trong địa chỉ của tin tặc và chưa được trộn lẫn hoặc chuyển vào các sàn giao dịch.như được hiển thị bởi dữ liệu,Việc thu hồi tiền trong quý này tốt hơn quý trước, trong một số trường hợp, nhóm dự án sẽ thương lượng với tin tặc thông qua thông tin trên chuỗi, và một số tin tặc sẽ chọn trả lại một số tiền nhất định đã đánh cắp để "miễn trừ". chế tài pháp lý”.

tiêu đề cấp đầu tiên

9. Phân tích kiểm toán dự án

Chỉ 52% dự án được kiểm toán

Chỉ 52% các dự án bị tấn công đã được kiểm toán, so với 70% trong quý trước. Dự án được kiểm toán thiệt hại do các cuộc tấn công trong quý này lên tới 547,63 triệu đô la Mỹ, chiếm 76,2% số tiền thiệt hại, cao hơn nhiều so với quý trước.

Mặc dù tổn thất của dự án đã được kiểm toán vẫn lên tới 547,63 triệu đô la, nhưng điều đó không có nghĩa là kiểm toán không còn quan trọng nữa.Khi ngày càng có nhiều công ty bảo mật bước vào lĩnh vực kiểm toán,Thị trường kiểm toán không đồng đều và hỗn hợp. Do một số công ty không chuyên nghiệp, một số lỗ hổng trong hợp đồng thông minh lẽ ra phải được kiểm toán đã không được kiểm toánDo đó, một số bên dự án và nhà đầu tư bắt đầu đặt câu hỏi về sự cần thiết và tính chuyên nghiệp của kiểm toán, cho rằng “kiểm toán cũng là kiểm toán trắng”.Do đó, bên dự án nên tìm một công ty bảo vệ chuyên nghiệp để tiến hành kiểm toán trước khi dự án đi vào hoạt động.

tiêu đề cấp đầu tiên

10. Phân tích kéo thảm

Bên dự án đã lấy đi tổng cộng khoảng 34,266402 đô la Mỹ

Rug pull thường đề cập đến việc nhà phát triển rút khỏi nhóm thanh khoản DEX hoặc đột ngột từ bỏ dự án, lấy đi tiền của nhà đầu tư mà không báo trước, thường được gọi là "bỏ chạy". Trong quý 2 năm 2022, tổng cộng 43 sự cố kéo Rug lớn trên chuỗi đã được theo dõi và phía dự án đã lấy đi tổng cộng khoảng 34.266.402 đô la Mỹ.Vào tháng 5, khi TVL của nhiều chuỗi công khai và dự án giảm mạnh, một số bên dự án đã chọn Rug pull, khiến một số lượng lớn nhà đầu tư bị thua lỗ. Nguyên nhân có thể là nó không thể tiếp tục hoạt động, hoặc có thể là “thà bỏ chạy còn hơn đợi TVL về 0”, hoặc có thể là nó đã tính toán trước để bỏ chạy nhưng sự sụt giảm mạnh trong TVL đã đẩy nhanh quá trình này.

tiêu đề cấp đầu tiên

11. Phân tích lừa đảo Discord

Các trường hợp lừa đảo Discord xảy ra thường xuyên trong quý này

Tương tự như dữ liệu Rug pull, các sự cố bảo mật lừa đảo thực sự có thể gia tăng trong thời kỳ thị trường suy thoái. Các phương thức lừa đảo trên Discord đã xuất hiện trong quý này dưới nhiều hình thức khác nhau, chẳng hạn như tài khoản rô bốt bị tấn công, giả làm quản trị viên hoặc rô bốt gửi liên kết lừa đảo trong tin nhắn riêng tư, phát tán liên kết lời mời Discord giả mạo cao thông qua mạng xã hội, v.v. Thị trường càng bi quan, người dùng và các bên tham gia dự án càng phải nâng cao nhận thức chống gian lận và bảo vệ tài sản của họ.

tiêu đề cấp đầu tiên

12. Tóm tắtTrong quý 2 năm 2022, bảo mật DeFi vẫn là tâm điểm chú ý và khoảng 79,2% các cuộc tấn công xảy ra trong lĩnh vực DeFi.Trong hai quý liên tiếp, DeFi là tâm điểm của các cuộc tấn công của tin tặc. Mặc dù tần suất của các sự cố bảo mật NFT, cầu nối chéo và sàn giao dịch không cao bằng DeFi, nhưng số lượng liên quan đến các sự cố riêng lẻ cũng rất lớn.

Do đó, tất cả các loại bên dự án Web 3 nên tăng cường nhận thức về bảo mật và làm tốt công việc bảo vệ an ninh.Khoảng 45,8% các cuộc tấn công trong quý này là khai thác hợp đồng,Hầu hết các lỗ hổng này có thể được tìm thấy và khắc phục trong giai đoạn kiểm toán.

Trong số các dự án bị tấn công trong quý này, chỉ có 52% được kiểm toán. Dự án nên tìm một công ty kiểm toán chuyên nghiệp để kiểm toán trước khi đưa lên mạng.Trong quý, khoảng 418,89 triệu đô la tiền bị đánh cắp đã bị tin tặc rửa vào Tornado.cash. Ngoài ra, khoảng 131 triệu đô la Mỹ tài sản đã được thu hồi, nhưng hầu hết các phương thức khôi phục đã được thương lượng với tin tặc trên chuỗi, cho phép tin tặc trả lại một số tiền bị đánh cắp. Trên thực tế, việc số tiền bị đánh cắp lọt vào cơn lốc xoáy không phải là không thể.

Thành Đô Lianan đã tích lũy nhiều trường hợp thành công trong việc hỗ trợ theo dõi các khoản tiền bị đánh cắp, bao gồm cả một số khoản tiền đi vào cơn lốc xoáy. Đề nghị bên dự án khi chẳng may bị hack, ngoài việc thương lượng với hacker để trả lại, còn có thể tìm kiếm một số công ty bảo mật chuyên nghiệp để theo dõi quỹ.Trong quý này, giá trị TVL của các chuỗi công khai và dự án khác nhau đã dao động rất nhiều, đồng thời cũng có những trường hợp quỹ dự án xảy ra bất thường hoặc giao dịch rủi ro do các sự cố bảo mật khác nhau. Đề nghị cả bên dự án và nhà đầu tư quan tâm đến hoạt động của dự án một cách kịp thời

. Thành Đô Lianan [Nền tảng nhận thức tình hình bảo mật chuỗi Bing-Blockchain] cho phép các bên dự án và người dùng phát hiện kịp thời các giao dịch rủi ro để nhanh chóng thực hiện các biện pháp.Trong thị trường trì trệ trong quý này, nhiều sự cố bảo mật khác nhau như Rug pull và lừa đảo đã xảy ra thường xuyên hơn và một số phương thức tấn công Web 2 vẫn hoạt động trong lĩnh vực Web 3.

Tất cả các bên tham gia dự án và người dùng nên nâng cao nhận thức về bảo mật, giữ an toàn cho các khóa riêng tư của họ, không nhấp vào các liên kết từ các nguồn không xác định và tiến hành xác minh đa kênh các thông tin khác nhau.

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

Vũ khí chống lừa đảo trực tuyến: