1 2023 第一季度Web3 安全態勢綜述
2023 年第一季度,據區塊鏈安全審計公司Beosin 旗下Beosin EagleEye 安全風險監控、預警與阻斷平台共監測到Web3 領域主要攻擊事件61 起,總損失金額約為2.95 億美元,較2022 年第4 季度下降了約77%。2023 年第一季度的總損失金額低於2022 年的任何一個季度。
除攻擊事件外,2023 年第一季度還監測到主要Rug Pull 事件41 起,涉及金額約2034 萬美元。
從月份來看, 3 月為攻擊事件頻發的一個月,總損失金額達到了2.35 億美元,佔第一季度總損失金額的79.7%。
從被攻擊項目類型來看, DeFi 為本季度被攻擊頻次最高、損失金額最多的項目類型。42 次安全事件總損失金額達到了2.48 億美元,佔總損失金額的84%。
從鏈平台類型來看, 80.8% 的損失金額來自Ethereum,居所有鏈平台的第一位。
從攻擊手法來看,本季度損失金額最高的攻擊手法為閃電貸攻擊,8 次閃電貸事件損失約1.98 億美元;攻擊手法頻率最高的為合約漏洞利用,27 次攻擊佔所有事件數量的44%。
從資金流向來看,本季度約有2 億美元的被盜資產得以追回。本季度資金追回的情況優於2022 年的任何一個季度。
從審計情況來看,被攻擊的項目中,僅有41% 的項目經過了審計。
2 攻擊事件總覽
2023 年第一季度,Beosin EagleEye 安全風險監控、預警與阻斷平台共監測到Web3 領域主要攻擊事件61 起,總損失金額約為2.95 億美元。其中損失金額超過1 億美元的安全事件共1 起(Euler Finance 閃電貸攻擊事件損失1.97 億美元)。損失1000 萬美元-1 億美元區間的事件2 起,100 萬美元-1000 萬美元區間的事件17 起。
從總體來看,第一季度攻擊事件損失金額呈現逐月增加的趨勢。3 月為攻擊事件頻發的一個月,總損失金額達到了2.35 億美元,佔第一季度總損失金額的79.7%。
3 被攻擊項目類型
84% 的損失金額來自DeFi 類型
隨著長達數月的下行和多次黑天鵝事件清槓桿,加密市場觸底反彈。DeFi 的TVL 隨著幣價在一季度震盪回升。
2023 年第一季度,DeFi 類型項目共發生42 次安全事件,佔總事件數量的68.9%。DeFi 總損失金額達到了2.48 億美元,佔總損失金額的84%。DeFi 為本季度被攻擊頻次最高、損失金額最多的項目類型。
NFT 類型損失金額排名第二(1852 萬美元),主要來自於NFT 釣魚事件。排名第三的類型為個人用戶,該類別均為釣魚攻擊。損失金額的第四位為錢包攻擊事件。從類型上來看,損失金額的第2-4 位均和用戶安全緊密相關。
2023 年第一季度僅發生了1 次跨鏈橋安全事件,損失金額為13 萬美元。而在2022 年,12 次跨鏈橋安全事件共造成了約18.9 億美元損失,居所有項目類型損失的第一位。在2022 年跨鏈橋安全事件頻發後,跨鏈橋項目的安全性在本季度得到了較大的提升。
4 各鏈平台損失金額情況
80.8% 的損失金額來自Ethereum
2023 年第一季度,Ethereum 鏈上共發生主要攻擊事件17 起,損失金額約為2.38 億美元。Ethereum 鏈上損失金額居所有鏈平台的第一位,佔比約80.8%。
BNB Chain 上監測到了最多的攻擊事件,達到了31 起。其總損失為1948 萬美元,排所有鏈平台損失的第二位。
損失排名第三的公鍊為Algorand,損失來自於MyAlgo 錢包被盜事件。Algorand 鏈在2022 年沒有發生過主要安全事件。
值得一提的是,2022 年Solana 鏈上損失金額排所有公鏈的第三位,而在本季度並未監測到主要攻擊事件。
5 攻擊手法分析
本季度損失金額最高的攻擊手法為閃電貸,8 次閃電貸事件損失約1.98 億美元,佔所有損失金額的67%。
攻擊手法頻率最高的為合約漏洞利用,27 次攻擊佔所有事件數量的44%。合約漏洞共造成3905 萬美元的損失,為所有攻擊類型損失金額的第二位。
2023 年第一季度,DeFi 類型項目被攻擊了42 次,其中有22 次都源於合約漏洞利用。DeFi 項目方需要尤其註重合約的安全性。
按照漏洞類型細分,造成損失最多的前三名分別是業務邏輯/ 函數設計不當、權限問題和重入。17 次業務邏輯/ 函數設計不當漏洞共造成了2244 萬美元的損失。
6 典型案例攻擊手法分析
6.1 Euler Finance 安全事件
事件概要
3 月13 日,Ethereum 鏈上的借貸項目Euler Finance 遭到閃電貸攻擊,損失達到了1.97 億美元。
3 月16 日,Euler 基金會懸賞100 萬美元以徵集對逮捕黑客以及返還盜取資金有幫助的信息。
3 月17 日,Euler Labs 首席執行官Michael Bentley 發推文表示,Euler“一直是一個安全意識強的項目”。從2021 年5 月至2022 年9 月,Euler Finance 接受了Halborn、Solidified、ZK Labs、Certora、Sherlock 和Omnisica 等6 家區塊鏈安全公司的10 次審計。
從3 月18 日開始至4 月4 日,攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉,稱自己“攪亂了別人的錢,別人的工作,別人的生活”並請求大家的原諒。
4 月4 日,Euler Labs 在推特上表示,經過成功協商,攻擊者已歸還了所有盜取資金。
漏洞分析
在本次攻擊中,Etoken 合約的donateToReserves 函數沒有正確檢查用戶實際持有的代幣數量和捐贈後用戶賬本的健康狀態。攻擊者利用這個漏洞,捐贈了1 億個eDAI,而實際上攻擊者只質押了3000 萬個DAI。
由於捐贈後,用戶賬本的健康狀態符合清算條件,借貸合約被觸發清算。清算過程中,eDAI 和dDAI 會被轉移到清算合約。但是,由於壞賬額度非常大,清算合約會應用最大折扣進行清算。清算結束後,清算合約擁有310.93M 個eDAI 和259.31M 個dDAI。
此時,用戶賬本的健康狀態已恢復,用戶可以提取資金。可提取的金額是eDAI 和dDAI 的差值。但池子中實際上只有3890 萬DAI,所以用戶只能提取這部分金額。
6.2 BonqDAO 安全事件
事件概要
2 月1 日,加密協議BonqDAO 遭到價格操控攻擊,攻擊者鑄造了1 億個BEUR 代幣,然後在Uniswap 上將BEUR 換成其他代幣,ALBT 價格下降到幾乎為零,這進一步引發了ALBT 寶庫的清算。按照黑客攻擊時的代幣價格,損失高達8800 萬美元,但是由於流動性耗盡,事件實際損失在185 萬美元左右。
漏洞分析
本次攻擊事件攻擊者共進行了兩種方式的攻擊,一種是控制價格大量借出代幣,另一種是控制價格清算他人財產從而獲利。
BonqDAO 平台採用的預言機使用函數’getCurrentValue’ 而不是’getDataBefore’。
黑客通過質押10 個TRB 代幣(價值僅約175 美元)成為了價格報告者,並通過調用submitValue 函數修改預言機中WALBT 代幣的價格。價格設置完成之後,攻擊者調用Bonq 合約的createTrove 函數,創建trove 合約,並向該合約中抵押了0.1 個WALBT 代幣進行借款操作。正常來說,借款額度應該是小於0.1 個WALBT 的價格,從而保證抵押率維持在一個安全的範圍,但是在本合約的借貸過程中,計算抵押物價值的方式是通過TellorFlex 合約來進行實現的。而在上一步,攻擊者已經把WALBT 價格拉得異常高,導致攻擊者在本次借款中,借出了1 億枚BEUR 代幣。
攻擊者在第二筆交易中將WALBT 價格設置得異常低,從而使用少量的成本將其他用戶所抵押的WALBT 代幣清算出來。
6.3 Platypus Finance 安全事件
事件概要
2 月17 日,Avalanche 平台的Platypus Finance 因函數檢查機制問題遭到攻擊,損失約850 萬美元。然而攻擊者並沒有在合約中實現提現功能,導致攻擊收益存放在攻擊合約內無法提取。
2 月23 日,Platypus 表示,已經聯繫了Binance 並確認了黑客身份,並表示將至少向用戶償還63% 的資金。
2 月26 日,法國國家警察已經逮捕並傳喚了兩名攻擊Platypus 的嫌疑人。
漏洞分析
攻擊原因是MasterPlatypusV4 合約中的emergencyWithdraw 函數檢查機制存在問題,僅檢測了用戶的借貸額是否超過該用戶的borrowLimitUSP(借貸上限),而沒有檢查用戶是否歸還債務的情況。
攻擊者首先通過AAVE 合約閃電貸借出4400 萬枚的USDC 存入Pool 合約中,然後mint 了4400 萬枚LP-USDC。接著攻擊者調用borrow 函數借出了4179 萬枚USP,下一步立馬調用了EmergencyWithdraw 函數。
在EmergencyWithdraw 函數中有一個isSolvent 函數來驗證借貸的餘額超過可藉貸最大值,返回true 就可以進入transfer 操作,而沒有考慮驗證負債金額是否已經償還的情況。所以攻擊者可以在沒有償還債務的情況下直接調用成功提取出之前質押的4400 萬枚LP-USDC。
7 資金流向分析
2023 年第一季度,約有$200,146,821 的被盜資產得以追回,佔所有被盜資產的67.8%。其中,Euler Finance 被盜的1.97 億美元資產已經全部被黑客返還。更多追回的例子包括:2 月13 日,攻擊dForce 的黑客返還了全部盜取的365 萬美元資金;3 月7 日,攻擊Tender.fi 的白帽黑客返還了盜取資金並獲得了62 ETH 的賞金。本季度資金追回的情況優於2022 年的任何一個季度。
Beosin KYT 反洗錢分析平台發現約有2313 萬美元(7.8%)的資產轉入了Tornado Cash,另外有254 萬美元的資產轉入了其他混幣器。和去年相比,本季度轉入混幣器的被盜資金比例大幅度減少。事實上,從去年8 月Tornado Cash 遭受制裁以來,轉入Tornado Cash 的被盜資金比例自2022 年Q3 開始就呈現持續下降趨勢。
同時,Beosin KYT 反洗錢分析平台發現約有6002 萬美元(20.3%)的資產還停留在黑客地址餘額。還有約932 萬美元(3.1%)的被盜資產轉入了各交易所。轉入交易所的事件大部分為涉及金額不高的攻擊事件,少部分為一些過了幾天才被公眾關注到的釣魚事件。由於關注度低或者關注延遲等原因,讓黑客有了將贓款轉入交易所的可乘之機。
8 項目審計情況分析
2023 年第一季度遭到攻擊的項目中,除開8 個無法用是否審計衡量的事件(如一些個人用戶遭受的釣魚攻擊等),在剩下被攻擊的項目中,接受過審計的有28 個,未接受審計的有25 個。
本季度共有27 起合約漏洞利用導致的攻擊事件,其中審計過的項目有15 個(損失約3119 萬美元),未審計的有12 個(損失約786 萬美元)。整個市場審計質量依舊不容樂觀。建議項目方在選擇審計公司之前一定要多加比對,選擇專業的審計公司才能讓項目安全得到有效的保障。
9 Rug Pull 分析
2023 年第一季度,Web3 領域共監測到主要Rug Pull 事件41 起,涉及金額約2034 萬美元。
從金額來看,6 起(14.6%)Rug Pull 事件金額在100 萬美元之上,10 萬至100 萬美元區間的事件共12 起(29.2%),10 萬美元以下的事件共23 起(56%)。
41 起Rug Pull 事件中,有34 個項目部署在BNB Chain,占到了83%。為何眾多詐騙項目選擇BNB Chain 呢?原因可能有如下幾點:
1)BNB Chain GAS 費用更低,出塊時間間隔也更短。
2)BNB Chain 活躍用戶更多。詐騙項目會優先選擇活躍用戶多的公鏈。
3)BNB Chain 的用戶使用Binance 出入金更方便快捷。
10 2023 Q1 安全態勢總結
從總體上來看,2023 年第一季度攻擊事件總損失金額低於2022 年任何一個季度,資金追回情況也優於2022 年所有季度。在黑客猖獗的2022 年過去之後,Web3 領域的總體安全性在這一季度得到了較大的提升。
DeFi 為本季度被攻擊頻次最高、損失金額最多的項目類型。DeFi 領域共發生42 次安全事件,其中22 次都源自合約漏洞利用(22 個項目審計和未審計的項目各有11 個)。如果尋找專業的安全公司進行審計,其中絕大部分漏洞都可以在審計階段被發現和進行修復。
本季度用戶安全也是值得關注的重點。隨著本季度Blur 帶領NFT 市場重回火熱,隨之而來的NFT 釣魚事件也大幅增加。仔細檢查每一個鏈接是否是官網、檢查簽名內容、完整檢查轉賬地址的正確性、從官方應用商店下載應用、安裝防釣魚插件– 每一個環節都必須時刻保持警惕。
本季度Rug Pull 事件依舊頻發,其中56% 的項目跑路金額在10 萬美元以下。這類項目通常官網、推特、電報、Github 等信息缺失,沒有Roadmap 或白皮書,團隊成員信息可疑,項目上線到最後跑路週期不超過三個月。建議用戶多多對項目進行背景調查,避免資金遭受損失。
