Отчет о безопасности блокчейна Blockchain Security Alliance за третий квартал 3 г.

1 Обзор безопасности блокчейна за 3 квартал 2022 г.

В общей сложности было отслежено 37 крупных эксплойтов, общая сумма убытков составила около 405 миллионов долларов.

В третьем квартале 2022 года Beosin EagleEye отследила более 37 крупных атак в пространстве Web3 с общими потерями примерно в 405 миллионов долларов, что примерно на 43.6% меньше, чем 718.34 миллиона долларов во втором квартале 2 года, и на 2022% меньше, чем убытки в размере 59.6 1,002.58 миллиона долларов во втором квартале 3 года. 2021 кв. XNUMX г.

С января по сентябрь 2022 года активы, потерянные в пространстве Web3 из-за атак, составили 2,317.91 XNUMX миллиона долларов.

В пересчете на каждый месяц В июле количество атак значительно сократилось, что сделало его наименьшим количеством потерь от атак с 2022 года. Активность хакеров значительно возросла в августе и сентябре.

По типам проектов, 92% потерянной суммы пришлось на межсетевые мосты и протоколы DeFi. 22 из 37 атак произошли в пространстве DeFi.

По ТВЛ, после резкого падения TVL с мая по июнь динамика TVL каждой сети в этом квартале оставалась стабильной. С конца июля по начало августа наблюдалась небольшая тенденция к росту TVL, что также было периодом с наибольшим количеством атак и суммой потерь в этом квартале.

С точки зрения цепей, сумма убытков на Ethereum достигла $374.28 млн в этом квартале, что составляет 92% от общих убытков. Наиболее часто атакованной сетью была сеть BNB, которая достигла 16 атак.

Что касается типов атак, 92% суммы убытков было вызвано использованием уязвимостей контрактов и компрометацией закрытых ключей.

Что касается денежных потоков, около 204.2 млн долларов украденных средств перетекло в Tornado Cash, что составляет около 50.4% средств, украденных за квартал. В течение квартала было возвращено лишь около 4% украденных средств.

Что касается аудиторских проверок, только 40% проектов rekt прошли аудит.

2 Обзор эксплойтов

Общее число атак в третьем квартале снизилось по сравнению со вторым кварталом.

В третьем квартале 3 года в пространстве Web2022 было отслежено 37 крупных атак с общим ущербом примерно в 3 миллионов долларов. Было две атаки с потерями в 405 миллионов долларов и более, три атаки с потерями в 100 миллионов долларов и более и 10 атак с потерями в 14 миллион долларов и более. Инциденты безопасности с ущербом более 1 миллионов долларов были Кочевой мост ($ 190 млн.) И Зимнее Безмолвие (160 млн $).

Август 2022 года был самым активным месяцем для хакеров за квартал с потерями около 210.62 миллиона долларов. Общие потери от атак в июле составили 30.05 млн долларов, что делает их самыми низкими месячными потерями с 2022 года.

3 типа рект проектов  

На межсетевые мосты и проекты DeFi приходится 92% суммы убытков.

В третьем квартале 2022 года три атаки на мосты с перекрестными цепями привели к общим потерям примерно в 190.25 миллиона долларов; 22 атаки в пространстве DeFi привели к общим потерям в размере 186.79 миллиона долларов. Приблизительно 92% потерь от атак приходится на межсетевой мост и протоколы DeFi.

По состоянию на сентябрь 2022 года в 10 году произошло 2022 крупных инцидентов с безопасностью мостов между сетями, в результате которых был нанесен ущерб на сумму более 1.4 миллиарда долларов. Цепные мосты были наиболее пострадавшими от атак в 2022 году.

Помимо межсетевых мостов и протоколов DeFi, в этом квартале были атакованы и другие типы проектов, включая NFT, биржи, DAO, кошельки и боты MEV, что сделало их общие типы более разнообразными, чем в предыдущем квартале.

4 Сумма убытка по цепочке

Убытки на Ethereum составляют $374.3 млн.

В этом квартале на Ethereum произошло 12 крупных атак с общими потерями в размере 374.28 миллиона долларов, что является первым показателем среди всех сетей. Солана потеряла 18.37 миллиона долларов из-за трех эксплойтов.

Сети с крупными атаками в течение двух кварталов подряд включают Ethereum, BNB Chain, Fantom и Avalanche.

Сеть BNB подверглась наибольшему количеству атак, с 16 эксплойтами, и все соответствующие проекты не прошли аудит. Сумма денег, связанная с этими 16 эксплойтами, относительно невелика: 14 инцидентов привели к единовременному убытку менее 500,000 XNUMX долларов.

После резкого падения TVL с мая по июнь в этом квартале тенденция TVL в сетях стабилизировалась. TVL продемонстрировал небольшую тенденцию к росту в период с конца июля по начало августа, который также был периодом с наибольшим количеством атак и потерь в этом квартале. Криптовалютный рынок в целом немного снизился в сентябре. После слияния Ethereum 15 сентября, Ethereum TVL постоянно немного снижался.

5 Анализ типов атак

92% потерянной суммы было вызвано использованием уязвимостей контракта и компрометацией закрытого ключа.

В третьем квартале эксплойты контрактов оставались наиболее распространенным типом атак. Около 15 атак являются эксплойтами уязвимостей по контракту, что составляет 40.5% от общего числа. Общие убытки от уязвимостей контрактов составили 201.6 млн долларов, или 50.9% от общих убытков.

Четыре компрометации закрытых ключей в этом квартале привели к убыткам примерно в размере 167.24 млн долларов США, что является вторым по величине размером убытков после эксплойтов контрактных уязвимостей.

По сравнению с предыдущим кварталом типы атак в этом квартале были более разнообразными. Новые типы атак, появившиеся в этом квартале, включают перехват BGP, неправильную конфигурацию и атаки на цепочку поставок.

Что касается уязвимостей контрактов, то основные уязвимости, использованные в этом квартале, включают: проблемы с проверкой, повторный вход, проблемы с разрешениями, неправильно спроектированную бизнес-логику или функции и уязвимости переполнения. Все эти уязвимости можно обнаружить и исправить на этапе аудита.

6 Типичный обзор инцидентов, связанных с безопасностью

6.1 Инцидент на Nomad Bridge стоимостью 190 миллионов долларов

2 августа Nomad Bridge, кроссчейн-платформа, которая поддерживает передачу активов через Ethereum, Moonbeam, Avalanche, Evmos и Milkomeda, подверглась масштабному взлому, который стоил проекту 190 миллионов долларов.

6.2 Инцидент с кошельком Slope на Солане

3 августа на Солане произошел масштабный инцидент с кражей кошелька Slope, убытки которого оцениваются примерно в 6 миллионов долларов.

6.3 Инцидент с компрометацией закрытого ключа Wintermute

20 сентября крипто-маркетмейкер Wintermute подвергся атаке с убытком в размере 160 миллионов долларов из-за компрометации закрытого ключа. 

7 Анализ движения средств

Приблизительно 204.2 миллиона долларов украденных средств перетекли в Tornado Cash.

8 августа Управление по контролю за иностранными активами Министерства финансов США (OFAC) ввело санкции против Tornado Cash, запретив частным лицам или организациям США взаимодействовать с ним. В третьем квартале 2022 года примерно 204.2 миллиона долларов украденных средств все еще перетекали в Tornado Cash, что составляет 50.4 процента средств, украденных в этом квартале, что меньше, чем во втором квартале.

Приблизительно 182.3 миллиона долларов украденных средств остались на адресе хакера в качестве остатка. Некоторые украденные средства были переведены на адреса в других цепочках, и эта часть по-прежнему считается адресным балансом хакера.

Активы на сумму около 16.6 миллионов долларов были возвращены в результате переговоров в сети и незапрошенных возвратов от белых хакеров. В третьем квартале 2022 года было возвращено всего около 4% украденных средств, что намного меньше, чем во втором квартале.

Около 1.92 миллиона долларов украденных активов перетекло на такие биржи, как Binance и FixedFloat. В таких инцидентах обычно участвовало небольшое количество активов (обычно от 10 до 100 тысяч долларов), и хакеры переводили украденные средства на биржи сразу после атаки, в результате чего проекты не могли вовремя связаться с биржами, чтобы заморозить средства.

8 Анализ аудита проекта

Только 40% проектов прошли аудит

В 2022 году процент проверенных проектов составил: 70% в первом квартале, 52% во втором квартале и 40% в третьем квартале. Доля неаудированных проектов rekt показывает тенденцию к увеличению из квартала в квартал.

Из всех rekt-проектов проверенные проекты потеряли в общей сложности 375.48 млн долларов, а неаудированные проекты потеряли от атак около 29.56 млн долларов. На первый взгляд может показаться, что аудиты не служат для защиты безопасной работы проектов. Однако более глубокий анализ показывает, что большинство из этих проверенных проектов подвергались атакам внедоговорного уровня, таким как компрометация закрытого ключа, атаки на цепочку поставок, DNS-атаки, перехват BGP и неправильная конфигурация. Среди неаудированных проектов 85% были вызваны уязвимостями контрактов или атаками flashloan.

Можно видеть, что профессиональные аудиты по-прежнему в некоторой степени эффективны для обеспечения безопасности проекта на уровне контракта. Однако безопасная работа протокола также требует хорошей работы по контролю рисков в автономном режиме, безопасному хранению закрытого ключа, предупреждению о традиционных атаках на сетевую безопасность и осторожному использованию сторонних компонентов. Конечно, в этом квартале также есть некоторые уязвимости, которые должны были быть обнаружены на этапе аудита, но не были представлены в аудиторском отчете, поэтому рекомендуется, чтобы проект обратился к профессиональной охранной компании для проведения аудита.

Источник данных

Скачать полную версию отчету:

О Альянсе безопасности блокчейна

Альянс безопасности блокчейна был запущен несколькими подразделениями с различным отраслевым опытом, включая университетские учреждения, компании, занимающиеся безопасностью блокчейна, отраслевые ассоциации, поставщиков финтех-услуг и т. д. В первую группу совета альянса входят Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO. Pay, Onchain Custodian, Semisand, Coinhako, ParityBit и Huawei Cloud. В настоящее время членами являются: Университет Хуоби, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive и Центр цифровых сокровищ. Члены Security Alliance будут работать и сотрудничать вместе, чтобы постоянно защищать глобальную экосистему блокчейна с помощью своих технических возможностей. Совет Альянса также приглашает больше людей в областях, связанных с блокчейном, присоединиться и совместно защищать безопасность экосистемы блокчейна.

Регистрация Альянса

https://forms.gle/pb3NaUgS3a2Sswnc8

Контакты

Телеграмма：@kristenbeosin, @Web3Donny

Эл. почта: [электронная почта защищена]

Член Альянса — Беосин

Beosin — сингапурская ведущая глобальная компания по обеспечению безопасности блокчейнов, в которой работает более 100 экспертов по безопасности в области формальной проверки и безопасности блокчейна. С миссией «Защита экосистемы Web3.0» Beosin предоставляет интегрированные продукты и услуги безопасности блокчейна, включая аудит безопасности кода, мониторинг рисков, оповещение и блокировку для проектов, соблюдение требований безопасности KYT и KYC, а также восстановление украденных активов. В настоящее время Beosin предоставляет услуги безопасности более чем 2,000 блокчейн-предприятий по всему миру, провела аудит более 2,500 смарт-контрактов и защитила активы клиентов на сумму более 500 миллиардов долларов.

Член Альянса — Аналитика следа

Footprint Analytics — это инструмент для обнаружения и визуализации данных в блокчейне, включая данные NFT и GameFi. В настоящее время он собирает, анализирует и очищает данные из 18 цепочек и позволяет пользователям создавать диаграммы и информационные панели без кода, используя интерфейс перетаскивания, а также с помощью SQL или Python.