Q3 2022 Blockchain Security Overview Sono stati monitorati 37 exploit importanti, con una perdita totale di circa 405 milioni di dollari
1 Panoramica sulla sicurezza della blockchain nel 3° trimestre 2022
Sono stati monitorati 37 grandi exploit, con una perdita totale di circa 405 milioni di dollari
Nel terzo trimestre del 2022, Beosin EagleEye ha monitorato oltre 37 attacchi importanti nello spazio Web3, con perdite totali di circa 405 milioni di dollari, in calo del 43,6% rispetto ai 718,34 milioni di dollari del secondo trimestre del 2022 e con una diminuzione del 59,6% rispetto alla perdita di 1.002,58 milioni di dollari del terzo trimestre del 2021.
Da gennaio a settembre 2022, le attività perse nello spazio Web3 a causa di attacchi sono state pari a 2.317,91 milioni di dollari.
Crescita Q su Q
In termini di ogni mese, luglio ha visto una diminuzione significativa degli attacchi, diventando il mese con il minor numero di perdite da attacchi dal 2022. L’attività degli hacker è aumentata significativamente in agosto e settembre.
Per quanto riguarda i tipi di progetto, il 92% dell’importo perso proviene da bridge cross-chain e protocolli DeFi. 22 dei 37 attacchi si sono verificati nello spazio DeFi.
In termini di TVL, dopo un brusco calo di TVL da maggio a giugno, l’andamento di TVL di ciascuna catena è stato tendenzialmente stabile in questo trimestre. Tra la fine di luglio e l’inizio di agosto si è registrata una leggera tendenza all’aumento del TVL, che è stato anche il periodo con il maggior numero di attacchi e perdite in questo trimestre.
In termini di catene, l’importo delle perdite su Ethereum ha raggiunto i 374,28 milioni di dollari in questo trimestre, pari al 92% delle perdite totali. La catena più attaccata è stata la BNB Chain, che ha raggiunto le 16 volte.
In termini di tipologie di attacco, il 92% delle perdite è stato causato da exploit di vulnerabilità dei contratti e compromissione delle chiavi private.
In termini di flussi di fondi, circa 204,2 milioni di dollari dei fondi rubati sono confluiti in Tornado Cash, pari a circa il 50,4% dei fondi rubati nel trimestre. Solo il 4% circa dei fondi rubati è stato recuperato durante il trimestre.
In termini di audit, solo il 40% dei progetti rekt è stato controllato.
2 Panoramica degli exploit
Gli attacchi complessivi sono diminuiti nel T3 rispetto al T2
Nel terzo trimestre del 2022 sono stati monitorati 37 attacchi importanti nello spazio Web3, con una perdita totale di circa 405 milioni di dollari. Ci sono stati due attacchi con perdite pari o superiori a 100 milioni di dollari, tre attacchi con perdite pari o superiori a 10 milioni di dollari e 14 attacchi con perdite pari o superiori a 1 milione di dollari. Gli incidenti di sicurezza con perdite superiori a 100 milioni di dollari sono stati Nomad Bridge (190 milioni di dollari) e Wintermute (160 milioni di dollari).
Importo perdite Q3 per progetto
Agosto 2022 è stato il mese più attivo per gli hacker nel trimestre, con perdite di circa 210,62 milioni di dollari. Le perdite totali degli attacchi di luglio sono state di 30,05 milioni di dollari, il che lo rende il più basso ammontare di perdite in un mese dal 2022.
Q3 monthly loss amount & count
3 Tipi di progetti rekt
Ponti a catena incrociata e progetti DeFi rappresentano il 92% dell’importo delle perdite
Importo delle perdite del terzo trimestre & conteggio per categoria
Nel terzo trimestre del 2022, tre attacchi cross-chain bridge hanno comportato una perdita totale di circa 190,25 milioni di dollari; 22 attacchi nello spazio DeFi hanno comportato una perdita totale di 186,79 milioni di dollari. Circa il 92% delle perdite dovute agli attacchi provengono dai protocolli cross-chain bridge e DeFi.
A settembre 2022 si sono verificati 10 gravi incidenti di sicurezza a livello di cross-chain bridge, con perdite per oltre 1,4 miliardi di dollari. I ponti a catena incrociata sono stati l’area più colpita dagli attacchi nel 2022.
Oltre ai ponti cross-chain e ai protocolli DeFi, questo trimestre sono stati attaccati altri tipi di progetti, tra cui NFT, exchange, DAO, portafogli e bot MEV, rendendo la tipologia complessiva più diversificata rispetto al trimestre precedente.
4 Importo delle perdite per catena
Le perdite su Ethereum ammontano a 374,3 milioni di dollari
Importo delle perdite del Q3 & conteggio per catena
Questo trimestre si sono verificati 12 attacchi importanti su Ethereum, con una perdita totale di 374,28 milioni di dollari, al primo posto tra tutte le catene. Solana ha perso 18,37 milioni di dollari a causa di 3 exploit.
Le catene che hanno subito attacchi importanti in due trimestri consecutivi sono Ethereum, BNB Chain, Fantom e Avalanche.
La catena BNB ha subito il maggior numero di attacchi, con 16 exploit, e i progetti corrispondenti non sono stati sottoposti a revisione. L’ammontare di denaro coinvolto in questi 16 exploit è relativamente basso, con 14 incidenti che hanno comportato una singola perdita inferiore a 500.000 dollari.
Dopo aver registrato un brusco calo del TVL da maggio a giugno, la tendenza del TVL nelle varie catene si è stabilizzata in questo trimestre. Il TVL ha mostrato una leggera tendenza al rialzo nel periodo compreso tra la fine di luglio e l’inizio di agosto, che è stato anche il periodo con il maggior numero di attacchi e perdite in questo trimestre. A settembre il mercato delle criptovalute ha registrato una leggera flessione. Dopo la fusione di Ethereum del 15 settembre, il TVL di Ethereum ha registrato un leggero calo continuo.
Chain TVL
5 Analisi dei tipi di attacco
92% dell’importo perso è stato causato da exploit di vulnerabilità contrattuali e compromissione di chiavi private
Importo delle perdite del Q3 & conteggio per tipo di attacco
Nel terzo trimestre, gli exploit dei contratti hanno continuato a essere il tipo di attacco più comune. Circa 15 attacchi sono costituiti da exploit di vulnerabilità contrattuali, pari al 40,5% del numero totale. Le perdite totali dovute alle vulnerabilità contrattuali ammontano a 201,6 milioni di dollari, pari al 50,9% delle perdite totali.
Le quattro compromissioni di chiavi private di questo trimestre hanno comportato perdite per circa 167,24 milioni di dollari, il secondo maggior ammontare di perdite dopo gli exploit delle vulnerabilità contrattuali.
Rispetto al trimestre precedente, i tipi di attacchi di questo trimestre sono stati più diversificati. Tra i nuovi tipi di attacco emersi in questo trimestre vi sono l’hijacking BGP, la misconfigurazione e gli attacchi alla catena di approvvigionamento.
Quota di mercato Q3 dell’importo delle perdite per tipo di attacco
Quota di mercato Q3 del conteggio per tipo di attacco
Per quanto riguarda le vulnerabilità contrattuali, le principali vulnerabilità sfruttate in questo trimestre includono: problemi di convalida, rientranze, problemi di permessi, logica aziendale o funzioni non correttamente progettate e vulnerabilità di overflow. Queste vulnerabilità sono tutte scopribili e risolvibili durante la fase di audit.
Importo perdita Q3 & conteggio per vulnerabilità del contratto
6 Riepilogo degli incidenti di sicurezza tipici
6.1 Incidente di Nomad Bridge da 190 milioni di dollari
Il 2 agosto Nomad Bridge, una piattaforma cross-chain che supporta i trasferimenti di asset tra Ethereum, Moonbeam, Avalanche, Evmos e Milkomeda, ha subito un massiccio hack che è costato al progetto 190 milioni di dollari.
6.2 Incidente al portafoglio Slope su Solana
Il 3 agosto si è verificato un furto di portafogli su larga scala a Solana, con perdite stimate intorno ai 6 milioni di dollari.
6.3 Incidente di compromissione della chiave privata di Wintermute
Il 20 settembre, il market maker di criptovalute Wintermute è stato attaccato con una perdita di 160 milioni di dollari a causa di una compromissione della chiave privata.
7 Analisi dei flussi di fondi
L’8 agosto, l’Office of Foreign Assets Control (OFAC) del Dipartimento del Tesoro degli Stati Uniti ha sanzionato Tornado Cash, vietando a individui o organizzazioni statunitensi di interagire con essa. Nel terzo trimestre del 2022, circa 204,2 milioni di dollari di fondi rubati sono ancora confluiti in Tornado Cash, il che rappresenta il 50,4% dei fondi rubati in quel trimestre, una cifra inferiore a quella del secondo trimestre.
Circa 182,3 milioni di dollari di fondi rubati sono rimasti all’indirizzo dell’hacker come saldo. Alcuni fondi rubati sono stati trasferiti a indirizzi di altre catene, e questa parte è ancora conteggiata come saldo dell’indirizzo dell’hacker.
Circa 16,6 milioni di dollari di beni sono stati recuperati attraverso trattative sulla catena e restituzioni non richieste da parte di hacker white hat. Nel terzo trimestre del 2022 è stato recuperato solo il 4% circa dei fondi rubati, una percentuale molto più bassa rispetto al secondo trimestre.
Circa 1,92 milioni di dollari di beni rubati sono confluiti in borse come Binance e FixedFloat. Questi incidenti hanno generalmente coinvolto un numero ridotto di asset (di solito tra i 10 e i 100 mila dollari) e gli hacker hanno trasferito i fondi rubati alle borse subito dopo l’attacco, con il risultato che i progetti non sono riusciti a contattare le borse in tempo per congelare i fondi.
Flussi fondi Q3
8 Analisi di revisione dei progetti
Solo il 40% dei progetti è stato sottoposto ad audit
Nel 2022, la percentuale di progetti rekt sottoposti ad audit è stata di: 70% nel primo trimestre, 52% nel secondo trimestre e 40% nel terzo trimestre. La percentuale di progetti rekt non verificati mostra una tendenza all’aumento trimestre per trimestre.
Se revisionati – conteggio
Se verificato – importo
Di tutti i progetti rekt, i progetti sottoposti a revisione hanno perso un totale di 375,48 milioni di dollari, mentre i progetti non sottoposti a revisione hanno perso circa 29,56 milioni di dollari in attacchi. A prima vista, potrebbe sembrare che gli audit non siano serviti a proteggere il funzionamento sicuro dei progetti. Tuttavia, un’analisi più approfondita mostra che la maggior parte di questi progetti sottoposti a audit sono stati attaccati da problemi di livello non contrattuale, come la compromissione della chiave privata, gli attacchi alla catena di fornitura, gli attacchi DNS, il dirottamento BGP e la configurazione errata. Tra i progetti non controllati, l’85% è stato causato da vulnerabilità contrattuali o attacchi flashloan.
Si può notare che gli audit professionali sono ancora efficaci nel proteggere il progetto a livello contrattuale in una certa misura. Tuttavia, il funzionamento sicuro di un protocollo richiede anche un buon lavoro di controllo del rischio offline, la custodia della chiave privata, l’attenzione agli attacchi tradizionali alla sicurezza della rete e l’utilizzo attento di componenti di terze parti. Naturalmente, in questo trimestre, ci sono anche alcune vulnerabilità che avrebbero dovuto essere scoperte nella fase di audit, ma che non sono state presentate nel rapporto di audit, quindi si raccomanda al progetto di rivolgersi a una società di sicurezza professionale per condurre l’audit.
