Q3 2022 Blockchain Security Overview In totaal werden 37 grote exploits gecontroleerd, met een totaal verlies van ongeveer 405 miljoen dollar
1 Q3 2022 Blockchain Beveiligingsoverzicht
Er zijn in totaal 37 grote exploits gecontroleerd, met een totaal verlies van ongeveer $405 miljoen
In het derde kwartaal van 2022 controleerde Beosin EagleEye meer dan 37 grote aanvallen in de Web3-ruimte, met een totaal verlies van ongeveer 405 miljoen dollar, een daling van ongeveer 43,6% ten opzichte van 718,34 miljoen dollar in Q2 2022 en een daling van 59,6% ten opzichte van het verlies van 1.002,58 miljoen dollar in Q3 2021.
Van januari tot september 2022 bedroeg het vermogensverlies in de Web3-ruimte als gevolg van aanvallen in totaal $2.317,91 miljoen.
Q over/op Q groei
In termen van elke maand kende juli een aanzienlijke daling van het aantal aanvallen, waardoor het het minste verliesbedrag door aanvallen sinds 2022 was. In augustus en september nam de activiteit van hackers aanzienlijk toe.
In termen van de projecttypes kwam 92% van het verloren bedrag van cross-chain bridges en DeFi protocollen. 22 van de 37 aanvallen vonden plaats in de DeFi-ruimte.
Wat TVL betreft, na een scherpe daling van de TVL van mei tot juni, was de trend van de TVL van elke keten dit kwartaal stabiel. Eind juli en begin augustus was er een licht stijgende trend in TVL, wat ook de periode was met het hoogste aantal aanvallen en het hoogste verliesbedrag in dit kwartaal.
In termen van ketens bereikte het verliesbedrag op Ethereum dit kwartaal 374,28 miljoen dollar, goed voor 92% van de totale verliezen. De meest aangevallen keten was de BNB-keten, die 16 keer werd aangevallen.
Wat de soorten aanvallen betreft, werd 92% van het verlies veroorzaakt door misbruik van contractkwetsbaarheden en compromittering van particuliere sleutels.
In termen van geldstromen stroomde ongeveer 204,2 miljoen dollar van de gestolen fondsen naar Tornado Cash, goed voor ongeveer 50,4% van de in het kwartaal gestolen fondsen. Slechts ongeveer 4% van de gestolen middelen werd in de loop van het kwartaal teruggevonden.
Wat de controles betreft, werd slechts 40% van de gerekte projecten gecontroleerd.
2 Overzicht van exploits
Alle aanvallen daalden in het derde kwartaal ten opzichte van het tweede kwartaal
In Q3 2022 werden 37 grote aanvallen gecontroleerd in de Web3-ruimte, met een totaal verlies van ongeveer 405 miljoen dollar. Er waren twee aanvallen met verliezen van 100 miljoen dollar of meer, drie aanvallen met verliezen van 10 miljoen dollar of meer en 14 aanvallen met verliezen van 1 miljoen dollar of meer. De beveiligingsincidenten met meer dan $100 miljoen aan verliezen waren Nomad Bridge ($190 miljoen) en Wintermute ($160 miljoen).
Q3 verliesbedrag per project
Augustus 2022 was de meest actieve maand voor hackers in het kwartaal, met verliezen van ongeveer $210,62 miljoen. De totale verliezen door aanvallen in juli bedroegen $30,05 miljoen, waarmee het laagste bedrag aan verliezen in een maand sinds 2022.
Q3 monthly loss amount & count
3 Soorten rekt-projecten
Kettingbruggen en DeFi projecten zijn goed voor 92% van het verliesbedrag
Q3 loss amount & count by category
In het derde kwartaal van 2022 resulteerden drie “cross-chain bridge”-aanvallen in een totaal verlies van ongeveer $190,25 miljoen; 22 aanvallen in de DeFi ruimte resulteerden in een totaal verlies van $186,79 miljoen. Ongeveer 92% van het bedrag van het aanvalsverlies was afkomstig van de cross-chain bridge en DeFi protocollen.
In september 2022 waren er 10 grote cross-chain bridge beveiligingsincidenten, met meer dan 1,4 miljard dollar aan verliezen. Kettingbruggen werden het meest getroffen door aanvallen in 2022.
Naast cross-chain bridges en DeFi-protocollen waren er dit kwartaal ook andere soorten projecten die werden aangevallen, zoals NFT’s, exchanges, DAO’s, wallets en MEV-bots, waardoor de totale soorten diverser zijn dan in het vorige kwartaal.
4 Verliesbedrag per keten
Verliezen op Ethereum bedragen $374,3 miljoen
Q3 loss amount & count by chain
12 grote aanvallen vonden dit kwartaal plaats op Ethereum, met een totaal verlies van $374,28 miljoen, de eerste plaats onder alle ketens. Solana verloor 18,37 miljoen dollar door 3 exploits.
Ketens met grote aanvallen in twee opeenvolgende kwartalen zijn Ethereum, BNB Chain, Fantom en Avalanche.
BNB Chain zag de meeste aanvallen, met 16 exploits. Met deze 16 exploits is relatief weinig geld gemoeid, met 14 incidenten met een enkel verlies van minder dan 500.000 dollar.
Na een scherpe daling in TVL van mei op juni, stabiliseerde de trend van TVL over ketens dit kwartaal. TVL vertoonde een licht stijgende trend in de periode van eind juli tot begin augustus, wat ook de periode was met de meeste aanvallen en verliesbedragen dit kwartaal. De cryptomarkt ging in september over het algemeen licht neerwaarts. Na de Ethereum-fusie op 15 september zag de Ethereum TVL een voortdurende lichte daling.
Chain TVL
5 Analyse van aanvalstypen
92% van het verloren bedrag werd veroorzaakt door misbruik van contractuele kwetsbaarheden en compromittering van particuliere sleutels
Q3 loss amount & count by attack type
In het derde kwartaal bleven contract-exploits het meest voorkomende aanvalstype. Ongeveer 15 aanvallen zijn contract-kwetsbaarheden, goed voor 40,5 procent van het totale aantal. De totale verliezen door contractuele kwetsbaarheden bedroegen 201,6 miljoen dollar, ofwel 50,9 procent van de totale verliezen.
De vier inbreuken op privésleutels dit kwartaal leidden tot ongeveer 167,24 miljoen dollar aan verliezen, het op één na grootste bedrag na exploits van contractgebreken.
Vergeleken met het vorige kwartaal waren de soorten aanvallen in dit kwartaal diverser. Nieuwe aanvalstypen die dit kwartaal opdoken zijn onder meer BGP-kaping, misconfiguratie en aanvallen in de toeleveringsketen.
Q3 market share of loss amount by attack type
Q3 market share of count by attack type
De belangrijkste kwetsbaarheden die dit kwartaal zijn uitgebuit zijn: validatieproblemen, reentrancy, toestemmingsproblemen, verkeerd ontworpen bedrijfslogica of functies en overflowkwetsbaarheden. Deze kwetsbaarheden zijn allemaal tijdens de auditfase te ontdekken en te verhelpen.
Q3 loss amount & count by contract vulnerabilities
6 Typical Security Incident Recap
6.1 Nomad Bridge $190 Miljoen Incident
Op 2 augustus werd Nomad Bridge, een cross-chain platform dat asset transfers tussen Ethereum, Moonbeam, Avalanche, Evmos en Milkomeda ondersteunt, getroffen door een enorme hack die het project $190 miljoen kostte.
6.2 Slope Wallet Incident op Solana
Op 3 augustus vond op Solana een grootschalig Slope wallet-diefstalincident plaats, waarbij de schade werd geschat op ongeveer $6 miljoen.
6.3 Wintermute Private Key Compromise Incident
Op 20 september werd cryptomarktmaker Wintermute aangevallen met een verlies van $160 miljoen als gevolg van een compromittering van de privésleutel.
7 Fund Flow Analysis
Ongeveer $204,2 miljoen aan gestolen geld stroomde naar Tornado Cash
Op 8 augustus heeft het Office of Foreign Assets Control (OFAC) van het Amerikaanse ministerie van Financiën een sanctie opgelegd aan Tornado Cash, waardoor het Amerikaanse personen of organisaties verboden is ermee in contact te treden. In het derde kwartaal van 2022 stroomde nog ongeveer 204,2 miljoen dollar aan gestolen middelen naar Tornado Cash, wat neerkomt op 50,4 procent van de in dat kwartaal gestolen middelen.
Ongeveer 182,3 miljoen dollar van de gestolen fondsen bleef als saldo achter op het adres van de hacker. Sommige gestolen fondsen werden overbrugd naar adressen op andere ketens, en dit deel wordt nog steeds meegeteld als het saldo van het adres van de hacker.
Ongeveer 16,6 miljoen dollar aan activa werd teruggevonden door onderhandelingen op de keten en ongevraagde terugkeer van white hat hackers. In het derde kwartaal van 2022 werd slechts ongeveer 4% van de gestolen tegoeden teruggevonden, een veel lager percentage dan in het tweede kwartaal.
Ongeveer 1,92 miljoen dollar aan gestolen activa stroomde naar beurzen als Binance en FixedFloat. Bij dergelijke incidenten ging het meestal om een klein aantal activa (meestal rond $10K tot $100K), en de hackers maakten de gestolen fondsen onmiddellijk na de aanval over naar de beurzen, waardoor de projecten niet op tijd contact opnamen met de beurzen om de fondsen te bevriezen.
Q3 fund flows
8 Project Audit Analysis
Alleen 40% van de projecten is gecontroleerd
In 2022 was het percentage rekt-projecten dat werd gecontroleerd: 70% in het eerste kwartaal, 52% in het tweede kwartaal en 40% in het derde kwartaal. Het percentage niet-gecontroleerde rekt-projecten vertoont elk kwartaal een stijgende lijn.
Of gecontroleerd – telling
Of gecontroleerd – bedrag
Van alle rekt-projecten verloren de gecontroleerde projecten in totaal 375,48 miljoen dollar en de niet-gecontroleerde projecten ongeveer 29,56 miljoen dollar aan aanslagen. Op het eerste gezicht lijkt het erop dat de audits niet dienden om de veilige werking van de projecten te beschermen. Uit een diepere analyse blijkt echter dat de meeste van deze gecontroleerde projecten werden aangevallen door niet-contractuele problemen, zoals compromittering van particuliere sleutels, aanvallen op de toeleveringsketen, DNS-aanvallen, BGP-kaping en verkeerde configuratie. Bij de niet-geauditeerde projecten werd 85% veroorzaakt door contractuele kwetsbaarheden of flashloan-aanvallen.
Er kan worden vastgesteld dat professionele audits nog steeds tot op zekere hoogte doeltreffend zijn om het project op contractniveau te beveiligen. De veilige werking van een protocol vereist echter ook een goede offline risicobeheersing, het veilig bewaren van de private sleutel, alert zijn op traditionele netwerkbeveiligingsaanvallen en het zorgvuldig gebruik van componenten van derden. Natuurlijk zijn er in dit kwartaal ook enkele kwetsbaarheden die in de auditfase ontdekt hadden moeten worden, maar die niet in het auditverslag naar voren kwamen, dus wordt aanbevolen dat het project een professioneel beveiligingsbedrijf inschakelt om de audit uit te voeren.
