一、 概述
2024 年第一季因黑客攻擊、Rugpull 詐騙、釣魚攻擊等惡意行為,總計造成4.62 億美元損失,與2023 年第一季(約3.83 億美元)年增約20.63% 。本報告旨在對全球2024 年第一季度Web3產業安全狀況、重大事件、安全趨勢進行整理分析,為讀者提供有益的信息和新思路,為促進Web3的安全、健康發展貢獻力量。
二、安全事件分析
根據SharkTeam 鏈上安全分析平台ChainAegis 數據,2024 年第一季度Web3領域共發生了280 起安全事件(如圖1),損失金額累計超過4.62 億美元(如圖2),與去年同期相比,安全事件發生頻率增加約32.70% ,損失金額增加約20.63% 。
Figure 1 :Total Count of Security Incidents in 2024 Q1
Figure 2 :Total Loss of Security Incidents in 2024 Q1
2024 年Q1黑客攻擊共發生60 起,年比2023 年Q1增加140% ,損失金額達3.85 億美元,佔比83% (如圖3),相對2023 年Q1(3.62 億)較去年同期上升6.35 % 。
Rug Pull 共發生127 起,年比2023 年Q1( 30 起)激增323.33% ,損失金額卻下滑59.44% ,共821 萬美元,佔整個Q1損失金額的2% 。
釣魚攻擊在Q1總共發生93 起,年比增加,損失金額約6,866 萬美元,佔比約15% 。
Figure 3 :Amount of Loss by Attack Type in 2024 Q1
Figure 4 :Amount of Count by Attack Type in 2024 Q1
將Q1分月來看(如圖5), 1 月的損失最為嚴重,超過2.50 億美元,遠高於2 月(7,142 萬美元)和3 月(1.40 億美元)。其中1 月發生安全事件88 起,略高於2 月的72 起,略低於3 月的120 起,可見1 月單次安全事件的損失金額最高。造成1 月損失嚴重的攻擊手段是駭客攻擊,總共發生20 起駭客攻擊,造成2.17 億美元的損失。同時, 1 月釣魚攻擊也呈現高發狀態,總共發生39 起釣魚攻擊,但損失金額相對最低,共2,915 萬美元。 2 月整體安全事件發生頻次和損失金額相對1 月和3 月均處於較低水準。
Figure 5 :Web3 Security Incidents Overview in 2024 Q1
2.1 黑客攻擊
第一季共發生駭客攻擊60 起,共損失金額高達3.85 億美元。其中, 1 月損失最為嚴重為2.17 億美元。主要原因為1 月共發生2 起大額資金損失事件。
(1) 2024 年1 月1 日,跨鏈橋專案Orbit Chain 遭遇了網路攻擊,導致價值約8,150 萬美元的加密貨幣被盜。該事件涉及5 筆獨立的交易,每筆交易都指向不同的錢包地址。未經授權的資金流動包括5000 萬美元的穩定幣(其中包括3000 萬美元的USDT, 1000 萬美元的DAI 和1000 萬美元的USDC),價值約1000 萬美元的231 個wBTC 和價值約2150 萬美元的9500 以太坊。
(2) 2024 年1 月31 日Ripple 聯合創始人Chris Larsen 的四個錢包被攻擊,共計被盜2.37 億枚XRP,約合1.125 億美元。 ChainAegis 鏈上分析顯示,被竊資金已透過MEXC、Gate、Binance、Kraken、OKX、HTX、HitBTC 等轉移。這是2024 年迄今最大的加密貨幣竊盜案,也是加密世界迄今第20 大加密貨幣竊盜案,XRP 的價格在事件發生的24 小時內下跌約4.4% 。
2.2 Rug Pull & Scams
如下圖(圖6)所示,Rugpull Scam 事件1 月發生29 起,之後逐月增加, 3 月發生約63 起;1 月損失約451 萬美元, 2 月損失約149 萬美元。根據ChainAegis 分析,事件發生集中在主流鏈Ethereum 和BNB Chain,BNB Chain 計畫Rug Pull 事件發生頻率遠高於Ethereum。
除此之外, 2 月25 日,Blast 生態的GameFi 計畫RiskOnBlast 發生Rugpull。根據ChainAegis 分析顯示,RiskOnBlast 的地址0x 1 EeB 963133 f 657 Ed 3228 d 04 b 8 CD 9 a 13280 EFC 558 在22 日至24 日間,共募資420 枚ETH,隨後兌換125 萬美元,隨後兌換125 萬美元美元成DAI,轉移至ChangeNOW、MEXC、Bybit 等交易所存款地址套現。
Figure 6 :Overview of Rugpull & Scam by Month in 2024 Q1
2.3 釣魚攻擊
如下圖(圖7)所示,釣魚攻擊在1 月發生頻率最高共39 起,造成損失金額約2,915 萬美元;2 月發生頻率最低共21 起,造成損失金額約1,134 萬美元。 SharkTeam 提醒大家,多頭市場活躍,空投機會也多,但大家要提高警惕,避免被Angel Drainer、Pink Drainer 等活躍的釣魚團夥攻擊,轉賬和授權時一定要仔細檢查交易信息。
Figure 7 :Overview of Phishing by Month in 2024 Q1
三、典型案例分析
3.1 合約精度計算漏洞
2024 年1 月30 日,MIM_SPELL 遭受閃電貸攻擊,因為精確度運算漏洞,損失650 萬美元。被攻擊原因是項目方的智慧合約在進行借貸變數計算時精度出現了漏洞,使得關鍵變量elastic 和base 值被操縱後比例失衡,導致計算抵押物和借貸數量時出現問題,最終超額借出MIM 代幣。
被攻擊合約(0x 7259 e 1520)中borrow 函數和repay 函數在對elastic 和base 兩個變數進行計算時,都採用了向上取整的方式。
攻擊者(0x 87 F 58580)首先透過償還其他使用者藉款的方式,將elastic 變數和base 變數分別設定為了0 和97 。
隨後不斷的呼叫borrow 函數和repay 函數且參數amount 都為1 ,在第一次呼叫borrow 函數時,由於elastic= 0 ,會執行上述if 邏輯並回到add 函數中。這樣會導致elastic = 1 ,base = 98 。
攻擊者(0x 87 F 58580)再呼叫borrow 函數並傳入1 ,由於elastic= 1,會執行else 邏輯,計算出的回傳值為98 ,這樣在回到add 函數時,elastic= 2 ,base 變數為196.
但此時攻擊者(0x 87 F 58580)調用repay 函數並傳入1 ,由於elastic= 2,會執行else 邏輯,計算出的elastic 變量本來為1* 2/98 = 0 ,但由於下面存在向上取整的步驟,導致計算出的回傳值1 ,這樣在回到sub 函數時,elastic 變數又變回1 ,而base 變數為195 。
可以看到經歷一次borrow-repay 循環後,elastic 變量不變而base 變量近乎翻倍,利用這一漏洞,黑客頻繁進行borrow-repay 函數循環,最後再調用一次repay,最終使得elastic= 0 base = 120080183810681886665215049728 。
當elastic 和Base 變數之間的比例嚴重失衡後,攻擊者(0x 87 F 58580)添加極少量抵押物後即可藉出大量MIM 代幣,完成攻擊。
3.2 DeGame 被釣魚攻擊事件與Pink Drainer 詐騙集團
2024 年3 月,一名Web3用戶在不知情的情況下點擊了被盜號的DeGame 官推發布的釣魚鏈接並遭受損失。
事後,該用戶誤以為DeGame 在此過程中監守自盜所以在推特上公開了這一事件,一眾KOL 和媒體及相當一部分用戶在不知情的情況下將此事持續擴散,對DeGame 的品牌形象和平台口碑造成了很大的影響。
事發後,DeGame 啟動了緊急預案,幫助受害用戶嘗試追回資產,DeGame 釣魚攻擊事件的經過大致如下:
(1) 3 月14 日4: 00 AM 至9: 30 AM 期間,DeGame 官方X 帳號( @degame_l2 y ) 日發送4 條空投推文,推文中空投鏈接為均為仿製DeGame 官方的釣魚網站。一名用戶回饋,自己點擊該空投連結後損失約57 PufETH;
(2)DeGame 官方推特運營人員在9: 30 AM 之後發現了平台上的釣魚鏈接並刪除。同時DeGame 透過官方社媒和社群向全體用戶同步這一消息,並發布了提示公告。
(3)受害用戶在DeGame 官方推特帳戶異常的時間段內,瀏覽到了釣魚網站鏈接及攻擊者發布的說明文字,他在不知情的情況下以為該鏈接確實係DeGame 官方聯合其他項目方舉辦的代幣空投活動,點擊連結後依照攻擊者預設的提示操作,遺失了資產。
(4)用戶點擊釣魚網站連接錢包後,網站會自動偵測錢包地址中有無資產。若有資產,將直接彈出Permit Token Approval 交易簽名。與常規的交易簽名所不同的是,該簽名完全不上鏈,完全匿名,很可能被用於非正當途徑。另外使用者也不需要事先授權,就能透過附加一個授權簽章(Permit)與應用程式合約互動。
(5)在此次被盜事件中,釣魚黑客取得到了被盜用戶授權給釣魚合約地址0x d 560 b 5325 d 6669 aab 86 f 6 d 42 e 156133 c 534 cde 90 的Permit Token Approval 交易簽名,並在攻擊交易中提交Permit 呼叫Approve 取得代幣授權後轉移被盜資金。
(6)釣魚工具的提供者為駭客詐騙集團Pink Drainer,Pink Drainer 是一款惡意軟體即服務(Malware-as-a-Service,MaaS),能夠讓攻擊者快速建立惡意網站,透過該惡意軟件獲取非法資產。在這筆被盜交易中約有25% 左右的被盜資金轉移到了PinkDrainer: Wallet 2 ,即釣魚團夥PinkDrainer 的編號2 錢包地址,系釣魚實施方在使用釣魚團夥PinkDrainer 的釣魚工具後給PinkDrainer 的自動分成。
3.3 批量Rugpull 導致事件數量激增
2024 年Rugpull 事件數量激增和RugPull 工廠合約批量創建Rugpull 代幣有很大關係,SharkTeam 安全研究團隊對這些Rugpull 事件進行了詳細分析。在分析過程中,我們發現BNB Chain 上的Rugpull 工廠合約在過去一個月內已經發起了70 多次Rugpull,批量Rugpull 事件通常具有以下行為特徵:
(1)這些代幣都是由代幣工廠合約進行createToken 作業創建的。在createToken 函數中,創建代幣時需要傳入以下參數:代幣名稱、代幣符號、精度、供應量、代幣所有者地址、創建代幣對的工廠合約地址以及BUSD-T 穩定幣地址。其中,創建代幣對的工廠合約使用了PancakeSwap 的工廠合約,每個代幣都有不同的所有者地址。
(2)代幣所有者利用其它地址對Rugpull 代幣進行批量買入和賣出操作。在買入和賣出操作下,代幣的流動性明顯增加,價格也會逐漸上漲。
(3)以釣魚等方式宣傳,誘惑大量用戶購買,隨著流動性增加,代幣價格翻倍。
(4)代幣的價格達到一定的數值時,代幣所有者進場sell 操作進行Rugpull。
這一系列行為背後有一個分工明確的Web3詐騙團夥,構成了一個黑色產業鏈,主要涉及熱點蒐集、自動發幣、自動交易、虛假宣傳、釣魚攻擊、Rugpull 收割等環節。所發的Rugpull 虛假代幣都與產業熱點事件緊密相關,具有較強的迷惑性和鼓動性。用戶需時時提高警惕,保持理性,避免損失。
四、總結
2024 第一季因安全事件造成的總損失達4.62 億美元,本季幣價上漲等因素對總金額的增加有一定的影響,但總體而言,Web3安全情勢不容樂觀。智慧合約邏輯漏洞、Rugpull 黑色產業鏈、釣魚攻擊等是威脅用戶加密資產安全的主要原因,希望Web3用戶和專案方能盡快提高安全防範意識,減少損失。
About us
SharkTeam 的願景是保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成,精通區塊鍊和智慧合約底層理論。提供包括風險識別與阻斷、智慧合約審計、KYT/AML、鏈上分析等服務,並打造了鏈上智慧風險識別與阻斷平台ChainAegis,能有效對抗Web3世界的高級持續性威脅(Advanced Persistent Threat ,APT)。已與Web3生態各領域的關鍵參與者,如Polkadot、Moonbeam、polygon、Sui、OKX、imToken、Collab.Land、TinTinLand 等建立長期合作關係。
Twitter:https://twitter.com/sharkteamorg
Telegram:https://t.me/sharkteamorg
Discord:https://discord.gg/jGH9xXCjD
