Přehled zabezpečení blockchainu za 3. čtvrtletí 2022 Celkem bylo sledováno 37 významných exploitů s celkovou ztrátou přibližně 405 milionů dolarů
1 Přehled zabezpečení blockchainu za 3. čtvrtletí 2022
Bylo monitorováno celkem 37 významných exploitů s celkovou ztrátou přibližně 405 milionů dolarů
Ve třetím čtvrtletí roku 2022 monitorovala společnost Beosin EagleEye více než 37 významných útoků v oblasti Web3 s celkovými ztrátami ve výši přibližně 405 milionů dolarů, což představuje pokles o přibližně 43,6 % oproti 718,34 milionu dolarů ve druhém čtvrtletí roku 2022 a pokles o 59,6 % oproti ztrátě ve výši 1 002,58 milionu dolarů ve třetím čtvrtletí roku 2021.
Od ledna do září 2022 činily ztráty aktiv v prostoru Web3 v důsledku útoků celkem 2 317,91 milionu dolarů.
Z hlediska jednotlivých měsíců došlo v červenci k výraznému poklesu počtu útoků, takže od roku 2022 byla zaznamenána nejmenší výše ztrát z útoků. V srpnu a září aktivita hackerů výrazně vzrostla.
Z hlediska typů projektů pocházelo 92 % částky ztrát z cross-chain mostů a protokolů DeFi. K 22 z 37 útoků došlo v oblasti DeFi.
Pokud jde o TVL, po prudkém poklesu TVL z května na červen měl trend TVL jednotlivých řetězců v tomto čtvrtletí tendenci být stabilní. Konec července až začátek srpna vykazoval mírně vzestupný trend v TVL, což bylo také období s nejvyšším počtem útoků a výší ztrát v tomto čtvrtletí.
Z hlediska řetězců dosáhla výše ztrát na Ethereu v tomto čtvrtletí 374,28 milionu dolarů, což představuje 92 % celkových ztrát. Nejčastěji napadaným řetězcem byl řetězec BNB, který dosáhl 16násobného počtu útoků.
Pokud jde o typy útoků, 92 % částky ztrát bylo způsobeno zneužitím zranitelnosti smlouvy a kompromitací soukromého klíče.
Pokud jde o toky finančních prostředků, přibližně 204,2 milionu dolarů z ukradených prostředků plynulo do Tornado Cash, což představuje přibližně 50,4 % prostředků ukradených v tomto čtvrtletí. Během čtvrtletí se podařilo získat zpět pouze asi 4 % ukradených prostředků.
Pokud jde o audity, bylo zkontrolováno pouze 40 % rektálních projektů.
2Přehled zneužití
Ve třetím čtvrtletí došlo v porovnání s druhým čtvrtletím k poklesu celkového počtu útoků
Ve 3. čtvrtletí 2022 bylo v oblasti Web3 monitorováno 37 velkých útoků s celkovou ztrátou přibližně 405 milionů dolarů. Byly zaznamenány dva útoky se ztrátou 100 milionů dolarů a více, tři útoky se ztrátou 10 milionů dolarů a více a 14 útoků se ztrátou 1 milion dolarů a více. Bezpečnostními incidenty se ztrátami nad 100 milionů dolarů byly Nomad Bridge (190 milionů dolarů) a Wintermute (160 milionů dolarů).
Srpen 2022 byl pro hackery nejaktivnějším měsícem ve čtvrtletí, kdy ztráty dosáhly přibližně 210,62 milionu dolarů. Celkové ztráty z útoků v červenci činily 30,05 milionu dolarů, což je nejnižší částka ztrát za měsíc od roku 2022.
3 Typy rekt. projektů
Mosty napříč řetězci a projekty DeFi představují 92 % částky ztrát
Ve třetím čtvrtletí roku 2022 způsobily tři útoky na cross-chain bridge celkovou ztrátu přibližně 190,25 milionu dolarů; 22 útoků v oblasti DeFi způsobilo celkovou ztrátu 186,79 milionu dolarů. Přibližně 92 % částky ztrát z útoků pocházelo z protokolů cross-chain bridge a DeFi.
V září 2022 došlo v roce 2022 k 10 velkým bezpečnostním incidentům typu cross-chain bridge se ztrátami přesahujícími 1,4 miliardy dolarů. Cross-chain mosty byly v roce 2022 nejvíce postiženou oblastí útoky.
Kromě cross-chain mostů a DeFi protokolů patřily mezi další typy projektů napadených v tomto čtvrtletí NFT, burzy, DAO, peněženky a MEV boty, takže jejich celkové typy byly rozmanitější než v předchozím čtvrtletí.
4 Výše ztráty podle řetězců
Ztráty na Ethereu činí 374,3 milionu dolarů
V tomto čtvrtletí došlo na Ethereum ke 12 velkým útokům s celkovou ztrátou 374,28 milionu dolarů, což je na prvním místě mezi všemi řetězci. Solana přišla v důsledku 3 exploitů o 18,37 milionu dolarů.
Mezi řetězce s významnými útoky ve dvou po sobě jdoucích čtvrtletích patří Ethereum, BNB Chain, Fantom a Avalanche.
Nejvíce útoků zaznamenal řetězec BNB Chain, a to 16 exploitů, přičemž všechny jejich odpovídající projekty jsou neauditované. Objem peněz, kterých se těchto 16 exploitů týkalo, je relativně malý – 14 incidentů zahrnovalo jednu ztrátu menší než 500 000 USD.
Poté, co v období od května do června došlo k prudkému poklesu TVL, se trend TVL napříč řetězci v tomto čtvrtletí stabilizoval. V období od konce července do začátku srpna, které bylo zároveň obdobím s největším počtem útoků a výší ztrát v tomto čtvrtletí, vykazoval TVL mírně vzestupnou tendenci. V září se trh s kryptoměnami obecně pohyboval mírně směrem dolů. Po sloučení Etherea 15. září zaznamenal TVL Etherea nepřetržitý mírný pokles.
5 Analýza typů útoků
92 % ztracené částky bylo způsobeno zneužitím zranitelnosti smlouvy a kompromitací soukromého klíče
Ve třetím čtvrtletí byly nejčastějším typem útoku nadále zneužití smluv. Zhruba 15 útoků představuje zneužití smluvních zranitelností, což představuje 40,5 % z celkového počtu. Celkové ztráty způsobené smluvními zranitelnostmi činily 201,6 milionu dolarů, což je 50,9 procenta celkových ztrát.
Čtyři kompromitace soukromých klíčů v tomto čtvrtletí vedly ke ztrátám ve výši přibližně 167,24 milionu dolarů, což je po zneužití smluvních zranitelností druhá nejvyšší částka ztrát.
Ve srovnání s předchozím čtvrtletím byly typy útoků v tomto čtvrtletí rozmanitější. Mezi nové typy útoků, které se objevily v tomto čtvrtletí, patří únos protokolu BGP, chybná konfigurace a útoky na dodavatelský řetězec.
Podle smluvních zranitelností patří mezi hlavní zranitelnosti zneužívané v tomto čtvrtletí: problémy s validací, reentrancí, problémy s oprávněními, nesprávně navržená obchodní logika nebo funkce a zranitelnosti typu přetečení. Všechny tyto zranitelnosti lze odhalit a opravit během fáze auditu.
6 Rekapitulace typických bezpečnostních incidentů
6.1 Incident s mostem Nomad Bridge za 190 milionů dolarů
Dne 2. srpna došlo k masivnímu hackerskému útoku na Nomad Bridge, cross-chain platformu, která podporuje převody aktiv napříč platformami Ethereum, Moonbeam, Avalanche, Evmos a Milkomeda, který projekt stál 190 milionů dolarů.
6.2Incident s peněženkou Slope na Solaně
3. srpna došlo na Solaně k rozsáhlému incidentu s krádeží peněženky Slope, jehož ztráty se odhadují na přibližně 6 milionů dolarů.
6.3 Incident s kompromitací soukromých klíčů ve Wintermute
Dne 20. září byl napaden tvůrce kryptografického trhu Wintermute se ztrátou 160 milionů dolarů v důsledku kompromitace soukromého klíče.
7 Analýza finančních toků
Přibližně 204,2 milionu dolarů v ukradených prostředcích přiteklo do společnosti Tornado Cash
Osmého srpna Úřad pro kontrolu zahraničních aktiv (OFAC) amerického ministerstva financí uvalil na společnost Tornado Cash sankce, které zakazují americkým jednotlivcům nebo organizacím s ní komunikovat. Ve třetím čtvrtletí roku 2022 do Tornado Cash stále proudilo přibližně 204,2 milionu dolarů ukradených finančních prostředků, což představuje 50,4 % finančních prostředků ukradených v tomto čtvrtletí, což je méně než ve druhém čtvrtletí.
Přibližně 182,3 milionu dolarů z ukradených prostředků zůstalo na hackerově adrese jako zůstatek. Některé ukradené prostředky byly přemostěny na adresy v jiných řetězcích a tato část je stále započítávána jako zůstatek na adrese hackera.
Přibližně 16,6 milionu USD prostředků bylo získáno zpět prostřednictvím jednání na řetězci a nevyžádaných návratů od hackerů white hat. Ve třetím čtvrtletí roku 2022 se podařilo získat zpět pouze asi 4 % ukradených prostředků, což je mnohem nižší procento než ve druhém čtvrtletí.
Na burzy, jako jsou Binance a FixedFloat, přiteklo přibližně 1,92 milionu dolarů z ukradených aktiv. Tyto incidenty se obvykle týkaly malého počtu aktiv (obvykle kolem 10 až 100 tisíc dolarů) a hackeři převedli ukradené prostředky na burzy bezprostředně po útoku, což vedlo k tomu, že projekty nedokázaly včas kontaktovat burzy, aby prostředky zmrazily.
8 Analýza auditu projektu
Pouze 40 % projektů bylo podrobeno auditu
V roce 2022 bylo zkontrolováno procento projektů rekt: 70 % v prvním čtvrtletí, 52 % ve druhém čtvrtletí a 40 % ve třetím čtvrtletí. Procento neauditovaných rektro projektů vykazuje čtvrtletně rostoucí trend.
Ze všech rektorovaných projektů přišly auditované projekty o celkem 375,48 milionu dolarů a neauditované projekty přišly při útocích o cca 29,56 milionu dolarů. Na první pohled by se mohlo zdát, že audity nesloužily k ochraně bezpečného provozu projektů. Hlubší analýza však ukazuje, že většina těchto auditovaných projektů byla napadena problémy na nesmluvní úrovni, jako je kompromitace soukromých klíčů, útoky na dodavatelský řetězec, útoky na DNS, únosy BGP a chybná konfigurace. Mezi neauditovanými projekty bylo 85 % způsobeno zranitelnostmi na smluvní úrovni nebo útoky typu flashloan.
Je vidět, že odborné audity jsou stále do určité míry účinné při zabezpečení projektu na úrovni smlouvy. Bezpečný provoz protokolu však vyžaduje také dobrou práci při kontrole rizik offline, bezpečné uchovávání soukromého klíče, ostražitost před tradičními útoky na bezpečnost sítě a opatrné používání komponent třetích stran. V tomto čtvrtletí se samozřejmě objevily i některé zranitelnosti, které měly být odhaleny ve fázi auditu, ale nebyly uvedeny v auditní zprávě, proto se doporučuje, aby projekt vyhledal profesionální bezpečnostní firmu, která audit provede.