Resumen de la seguridad de la cadena de bloques del tercer trimestre de 2022 Se supervisaron un total de 37 exploits importantes, con una pérdida total de aproximadamente 405 millones de dólares
1 Resumen de la seguridad de la cadena de bloques del tercer trimestre de 2022
Se supervisaron un total de 37 exploits importantes, con una pérdida total de aproximadamente 405 millones de dólares
En el tercer trimestre de 2022, Beosin EagleEye supervisó más de 37 ataques importantes en el espacio Web3, con unas pérdidas totales de aproximadamente 405 millones de dólares, lo que supone un descenso de aproximadamente el 43,6% respecto a los 718,34 millones de dólares del segundo trimestre de 2022 y una disminución del 59,6% respecto a las pérdidas de 1.002,58 millones de dólares del tercer trimestre de 2021.
De enero a septiembre de 2022, los activos perdidos en el espacio Web3 debido a los ataques ascendieron a 2.317,91 millones de dólares.
Q over/on Q growths
En cuanto a cada mes, en julio se produjo un importante descenso de los ataques, convirtiéndose en el que menos pérdidas ha sufrido desde 2022. La actividad de los hackers aumentó significativamente en agosto y septiembre.
En cuanto a los tipos de proyectos, el 92% de la cantidad perdida provino de puentes de cadena cruzada y protocolos DeFi. 22 de los 37 ataques se produjeron en el espacio DeFi.
En términos de TVL, después de una fuerte caída de TVL de mayo a junio, la tendencia de TVL de cada cadena tendió a ser estable este trimestre. De finales de julio a principios de agosto se observa una ligera tendencia al alza de la TVL, que fue también el periodo con mayor número de ataques y cantidad de pérdidas en este trimestre.
En cuanto a las cadenas, el importe de las pérdidas en Ethereum alcanzó los 374,28 millones de dólares este trimestre, lo que supone el 92% de las pérdidas totales. La cadena más atacada fue la cadena BNB, que alcanzó 16 veces.
En términos de tipos de ataque, el 92% del importe de las pérdidas fue causado por explotaciones de vulnerabilidad de contratos y compromisos de claves privadas.
En cuanto a los flujos de fondos, alrededor de 204,2 millones de dólares de los fondos robados fluyeron hacia Tornado Cash, lo que representa alrededor del 50,4% de los fondos robados en el trimestre. Sólo se recuperó alrededor del 4% de los fondos robados durante el trimestre.
En cuanto a las auditorías, sólo el 40% de los proyectos rekt fueron auditados.
2 Resumen de los exploits
Los ataques en general disminuyeron en el tercer trimestre en comparación con el segundo
En el tercer trimestre de 2022, se supervisaron 37 ataques importantes en el espacio Web3, con una pérdida total de aproximadamente 405 millones de dólares. Hubo dos ataques con pérdidas de 100 millones de dólares o más, tres ataques con pérdidas de 10 millones de dólares o más y 14 ataques con pérdidas de 1 millón de dólares o más. Los incidentes de seguridad con pérdidas superiores a 100 millones de dólares fueron Nomad Bridge (190 millones de dólares) y Wintermute (160 millones de dólares).
Importe de las pérdidas del tercer trimestre por proyecto
Agosto de 2022 fue el mes más activo para los hackers en el trimestre, con pérdidas de unos 210,62 millones de dólares. Las pérdidas totales por ataques en julio fueron de 30,05 millones de dólares, lo que supone la cantidad más baja de pérdidas en un mes desde 2022.
Q3 monthly loss amount & count
3Tipos de proyectos rekt
Los puentes transversales y los proyectos DeFi representan el 92% del importe de las pérdidas
Importe de las pérdidas del tercer trimestre & recuento por categorías
En el tercer trimestre de 2022, tres ataques a puentes de cadenas cruzadas dieron lugar a una pérdida total de aproximadamente 190,25 millones de dólares; 22 ataques en el espacio DeFi dieron lugar a una pérdida total de 186,79 millones de dólares. Aproximadamente el 92% del importe de las pérdidas por ataques provino de los protocolos cross-chain bridge y DeFi.
En septiembre de 2022, se produjeron 10 incidentes de seguridad importantes en los puentes de cadena cruzada, con más de 1.400 millones de dólares en pérdidas. Los puentes de cadena cruzada fueron el área más afectada por los ataques en 2022.
Además de los puentes de cadena cruzada y los protocolos DeFi, otros tipos de proyectos atacados este trimestre incluyeron NFTs, intercambios, DAOs, carteras y bots MEV, lo que hace que sus tipos generales sean más diversos que en el trimestre anterior.
12 ataques importantes se produjeron en Ethereum este trimestre, con una pérdida total de 374,28 millones de dólares, ocupando el primer lugar entre todas las cadenas. Solana perdió 18,37 millones de dólares por 3 exploits.
Las cadenas con ataques importantes en dos trimestres consecutivos son Ethereum, BNB Chain, Fantom y Avalanche.
La cadena BNB fue la que más ataques sufrió, con 16 exploits, y sus correspondientes proyectos no están auditados. La cantidad de dinero involucrada en estos 16 exploits es relativamente pequeña, con 14 incidentes que implican una sola pérdida de menos de 500.000 dólares.
Después de experimentar un fuerte descenso de TVL de mayo a junio, la tendencia de TVL en todas las cadenas se estabilizó este trimestre. La TVL mostró una ligera tendencia al alza en el periodo comprendido entre finales de julio y principios de agosto, que fue también el periodo con más ataques y cantidad de pérdidas de este trimestre. En general, el mercado de criptomonedas se movió ligeramente a la baja en septiembre. Tras la fusión de Ethereum el 15 de septiembre, el TVL de Ethereum experimentó un ligero descenso continuo.
Chain TVL
5 Análisis de los tipos de ataque
El 92% de las pérdidas fueron causadas por explotaciones de vulnerabilidad de contratos y compromiso de claves privadas
Cantidad de pérdidas en el tercer trimestre & recuento por tipo de ataque
En el tercer trimestre, los exploits por contrato siguieron siendo el tipo de ataque más común. Alrededor de 15 ataques son explotaciones de vulnerabilidades por contrato, lo que representa el 40,5% del número total. Las pérdidas totales derivadas de las vulnerabilidades por contrato ascendieron a 201,6 millones de dólares, es decir, el 50,9% de las pérdidas totales.
Los cuatro ataques a claves privadas de este trimestre han supuesto unas pérdidas de aproximadamente 167,24 millones de dólares, la segunda mayor cantidad de pérdidas después de los ataques a vulnerabilidades contractuales.
En comparación con el trimestre anterior, los tipos de ataques de este trimestre fueron más diversos. Entre los nuevos tipos de ataque que surgieron este trimestre se encuentran el secuestro de BGP, la desconfiguración y los ataques a la cadena de suministro.
Cuota de mercado del tercer trimestre del importe de las pérdidas por tipo de ataque
Cuota de mercado del 3er trimestre de recuento por tipo de ataque
Por vulnerabilidades contractuales, las principales vulnerabilidades explotadas este trimestre incluyen: problemas de validación, reentrada, problemas de permisos, lógica o funciones de negocio mal diseñadas y vulnerabilidades de desbordamiento. Todas estas vulnerabilidades se pueden descubrir y solucionar durante la fase de auditoría.
Cantidad de pérdidas del tercer trimestre & recuento por vulnerabilidades del contrato
6 Recapitulación de incidentes de seguridad típicos
6.1 Incidente de 190 millones de dólares en el puente Nomad
El 2 de agosto, Nomad Bridge, una plataforma de cadena cruzada que soporta transferencias de activos a través de Ethereum, Moonbeam, Avalanche, Evmos y Milkomeda, sufrió un hackeo masivo que costó al proyecto 190 millones de dólares
6.2 Incidente con la cartera Slope en Solana
El 3 de agosto, se produjo un incidente de robo de carteras a gran escala en Solana, con pérdidas estimadas en unos 6 millones de dólares.
6.3 Incidente de compromiso de claves privadas en Wintermute
El 20 de septiembre, el creador de mercado de criptomonedas Wintermute fue atacado con una pérdida de 160 millones de dólares debido a un compromiso de la clave privada.
7 Análisis del flujo de fondos
Aproximadamente 204,2 millones de dólares en fondos robados fluyeron hacia Tornado Cash
El 8 de agosto, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE.UU. sancionó a Tornado Cash, prohibiendo a personas u organizaciones estadounidenses interactuar con él. En el tercer trimestre de 2022, aproximadamente 204,2 millones de dólares de fondos robados siguieron entrando en Tornado Cash, lo que representa el 50,4% de los fondos robados en ese trimestre, cifra inferior a la del segundo trimestre.
Aproximadamente 182,3 millones de dólares de los fondos robados permanecieron en la dirección del hacker como saldo. Algunos fondos robados se transfirieron a direcciones de otras cadenas, y esta parte se sigue contando como saldo de la dirección del pirata informático.
Se recuperaron unos 16,6 millones de dólares de activos a través de negociaciones en la cadena y devoluciones no solicitadas de hackers de sombrero blanco. En el tercer trimestre de 2022, solo se recuperó alrededor del 4% de los fondos robados, un porcentaje mucho menor que en el segundo trimestre.
Alrededor de 1,92 millones de dólares de activos robados fluyeron en intercambios como Binance y FixedFloat. Por lo general, estos incidentes afectaron a un pequeño número de activos (normalmente entre 10.000 y 100.000 dólares), y los piratas informáticos transfirieron los fondos robados a las bolsas inmediatamente después del ataque, por lo que los proyectos no pudieron ponerse en contacto con las bolsas a tiempo para congelar los fondos.
Q3 fund flows
8Análisis de auditoría de proyectos
Sólo se auditó el 40% de los proyectos
En 2022, el porcentaje de proyectos rekt que fueron auditados fue: 70% en el primer trimestre, 52% en el segundo y 40% en el tercero. El porcentaje de proyectos rekt no auditados muestra una tendencia creciente trimestre a trimestre.
Si se audita – recuento
Si se ha auditado – importe
De todos los proyectos rekt, los auditados perdieron un total de 375,48 millones de dólares, y los no auditados, unos 29,56 millones de dólares en ataques. A primera vista, podría parecer que las auditorías no sirvieron para proteger el funcionamiento seguro de los proyectos. Sin embargo, un análisis más profundo muestra que la mayoría de estos proyectos auditados fueron atacados por problemas de nivel no contractual, como el compromiso de la clave privada, los ataques a la cadena de suministro, los ataques al DNS, el secuestro de BGP y la mala configuración. Entre los proyectos no auditados, el 85% fueron causados por vulnerabilidades contractuales o por ataques a nivel de flash.
Se puede ver que las auditorías profesionales siguen siendo eficaces para asegurar el proyecto a nivel de contrato hasta cierto punto. Sin embargo, el funcionamiento seguro de un protocolo también requiere un buen trabajo de control de riesgos fuera de línea, la custodia de la clave privada, estar alerta ante los ataques tradicionales a la seguridad de la red y utilizar con cuidado los componentes de terceros. Por supuesto, en este trimestre, también hay algunas vulnerabilidades que deberían haberse descubierto en la fase de auditoría pero que no se presentaron en el informe de auditoría, por lo que se recomienda que el proyecto busque una empresa de seguridad profesional para realizar la auditoría.
