Q3 2022 Blockchain Security Overview Monitorowano łącznie 37 głównych exploitów, których łączne straty wyniosły około 405 milionów dolarów
1 Q3 2022 Blockchain Security Overview
W sumie monitorowano 37 głównych exploitów, których łączne straty wyniosły około 405 milionów dolarów
W trzecim kwartale 2022 roku Beosin EagleEye monitorował ponad 37 dużych ataków w przestrzeni Web3, których łączne straty wyniosły około 405 milionów dolarów, co oznacza spadek o około 43,6% z 718,34 milionów dolarów w drugim kwartale 2022 roku i spadek o 59,6% w stosunku do strat w wysokości 1 002,58 milionów dolarów w trzecim kwartale 2021 roku.
Od stycznia do września 2022 roku aktywa utracone w przestrzeni Web3 w wyniku ataków wyniosły łącznie 2 317,91 mln USD.
Q over/on Q growths
W ujęciu poszczególnych miesięcy, lipiec odnotował znaczny spadek ataków, dzięki czemu był najmniejszą kwotą strat z ataków od 2022 roku. Aktywność hakerów znacznie wzrosła w sierpniu i wrześniu.
Jeśli chodzi o typy projektów, 92% utraconej kwoty pochodziło z mostów krzyżowych i protokołów DeFi. 22 z 37 ataków miało miejsce w przestrzeni DeFi.
Jeśli chodzi o TVL, po gwałtownym spadku TVL od maja do czerwca, trend TVL każdego łańcucha miał tendencję do bycia stabilnym w tym kwartale. Koniec lipca i początek sierpnia wykazały lekką tendencję wzrostową TVL, co było również okresem o największej liczbie ataków i wielkości strat w tym kwartale.
Jeśli chodzi o łańcuchy, kwota strat na Ethereum osiągnęła w tym kwartale 374,28 mln USD, stanowiąc 92% wszystkich strat. Najczęściej atakowanym łańcuchem był BNB Chain, który osiągnął 16 razy.
Pod względem typów ataków, 92% kwoty strat zostało spowodowane przez exploity podatności kontraktów i kompromitacje kluczy prywatnych.
Pod względem przepływów środków, około 204,2 mln USD skradzionych środków wpłynęło do Tornado Cash, co stanowiło około 50,4% środków skradzionych w kwartale. W ciągu kwartału odzyskano jedynie około 4% skradzionych środków.
Jeśli chodzi o audyty, tylko 40% projektów rekt zostało skontrolowanych.
2 Przegląd exploitów
Ogółem ataki spadły w III kwartale w porównaniu z II kwartałem
W III kwartale 2022 roku monitorowano 37 dużych ataków w przestrzeni Web3, których łączne straty wyniosły około 405 milionów dolarów. Wystąpiły dwa ataki ze stratami w wysokości 100 mln USD lub więcej, trzy ataki ze stratami w wysokości 10 mln USD lub więcej oraz 14 ataków ze stratami w wysokości 1 mln USD lub więcej. Incydentami bezpieczeństwa o stratach powyżej 100 milionów dolarów były Nomad Bridge (190 milionów dolarów) i Wintermute (160 milionów dolarów).
Q3 loss amount by project
Sierpień 2022 roku był najbardziej aktywnym miesiącem dla hakerów w tym kwartale, a straty wyniosły około 210,62 mln dolarów. Łączne straty z ataków w lipcu wyniosły 30,05 miliona dolarów, co sprawia, że była to najniższa kwota strat w miesiącu od 2022 roku.
Q3 monthly loss amount & count
3Rodzaje projektów rekt
Mosty poprzeczne i projekty DeFi stanowią 92% kwoty strat
Q3 loss amount & count by category
W trzecim kwartale 2022 roku trzy ataki na mosty krzyżowe spowodowały łączne straty w wysokości około 190,25 mln USD; 22 ataki w przestrzeni DeFi spowodowały łączne straty w wysokości 186,79 mln USD. Około 92% kwoty strat związanych z atakami pochodziło z protokołów cross-chain bridge i DeFi.
Według stanu na wrzesień 2022 r., w 2022 r. miało miejsce 10 poważnych incydentów bezpieczeństwa mostów krzyżowych, które przyniosły ponad 1,4 mld USD strat. Mosty poprzeczne były obszarem najbardziej dotkniętym przez ataki w 2022 roku.
Oprócz mostów cross-chain i protokołów DeFi, inne typy projektów zaatakowanych w tym kwartale obejmowały NFT, giełdy, DAO, portfele i boty MEV, dzięki czemu ich ogólne typy były bardziej zróżnicowane niż w poprzednim kwartale.
4Wielkość strat według łańcucha
Straty na Ethereum wynoszą 374,3 mln dolarów
Q3 loss amount & count by chain
12 dużych ataków miało miejsce na Ethereum w tym kwartale, a łączne straty wyniosły 374,28 mln dolarów, zajmując pierwsze miejsce wśród wszystkich łańcuchów. Solana straciła 18,37 mln dolarów z 3 exploitów.
Łańcuchy z dużymi atakami w dwóch kolejnych kwartałach to Ethereum, BNB Chain, Fantom i Avalanche.
BNB Chain był świadkiem największej liczby ataków, z 16 exploitami, a odpowiadające im projekty są wszystkie niezaudytowane. Kwota pieniędzy zaangażowana w te 16 exploitów jest stosunkowo niewielka – 14 incydentów wiązało się z pojedynczą stratą mniejszą niż 500 000 USD.
Po gwałtownym spadku TVL w okresie od maja do czerwca, trend TVL w poszczególnych łańcuchach ustabilizował się w tym kwartale. TVL wykazał lekki trend wzrostowy w okresie od końca lipca do początku sierpnia, który był również okresem z największą liczbą ataków i kwotą strat w tym kwartale. We wrześniu rynek kryptowalut ogólnie poruszał się lekko w dół. Po połączeniu Ethereum 15 września, Ethereum TVL odnotowało ciągły lekki spadek.
Chain TVL
5Analiza typów ataków
92% utraconej kwoty zostało spowodowane przez exploity na podatności w kontraktach oraz kompromis klucza prywatnego
Q3 loss amount & count by attack type
W trzecim kwartale exploity kontraktowe nadal były najczęstszym typem ataku. Około 15 ataków to exploity na luki kontraktowe, stanowiące 40,5 procent ogólnej liczby. Łączne straty z tytułu luk kontraktowych wyniosły 201,6 mln USD, czyli 50,9 procent wszystkich strat.
Cztery przypadki naruszenia klucza prywatnego w tym kwartale spowodowały straty w wysokości około 167,24 mln USD, co stanowi drugą co do wielkości kwotę strat po atakach z wykorzystaniem luk w zabezpieczeniach.
W porównaniu z poprzednim kwartałem, rodzaje ataków w tym kwartale były bardziej zróżnicowane. Nowe typy ataków, które pojawiły się w tym kwartale, to między innymi BGP hijacking, misconfiguration oraz ataki na łańcuch dostaw.
Q3 market share of loss amount by attack type
Q3 market share of count by attack type
W podziale na podatności kontraktowe, główne podatności wykorzystywane w tym kwartale to: problemy z walidacją, reentrancja, problemy z uprawnieniami, niewłaściwie zaprojektowana logika biznesowa lub funkcje oraz podatności typu overflow. Wszystkie te luki są możliwe do wykrycia i naprawienia podczas fazy audytu.
Q3 loss amount & count by contract vulnerabilities
6 Typowy incydent bezpieczeństwa Recap
6.1 Nomad Bridge $190 Million Incident
2 sierpnia Nomad Bridge, platforma cross-chain, która obsługuje transfery aktywów pomiędzy Ethereum, Moonbeam, Avalanche, Evmos i Milkomeda, doznała masywnego włamania, które kosztowało projekt 190 milionów dolarów.
6.2Slope Wallet Incident on Solana
3 sierpnia na Solanie doszło do zakrojonego na szeroką skalę incydentu kradzieży portfela Slope, a straty oszacowano na około 6 milionów dolarów.
6.3 Wintermute Private Key Compromise Incident
20 września producent rynku kryptowalut Wintermute został zaatakowany ze stratą 160 milionów dolarów z powodu kompromitacji klucza prywatnego.
7 Analiza przepływu funduszy
Około 204,2 mln dolarów skradzionych funduszy wpłynęło do Tornado Cash
W dniu 8 sierpnia Biuro Kontroli Aktywów Zagranicznych (OFAC) Departamentu Skarbu USA objęło sankcjami Tornado Cash, zabraniając amerykańskim osobom lub organizacjom współdziałania z nim. W trzecim kwartale 2022 r. około 204,2 mln USD skradzionych środków nadal wpływało do Tornado Cash, co stanowi 50,4 procent środków skradzionych w tym kwartale, czyli mniej niż w drugim kwartale.
Około 182,3 mln USD skradzionych środków pozostało w adresie hakera jako saldo. Niektóre skradzione środki zostały zmostkowane na adresy w innych łańcuchach, a ta część jest nadal liczona jako saldo adresu hakera.
Około 16,6 mln USD aktywów zostało odzyskanych w wyniku negocjacji on-chain i niezamówionych zwrotów od hakerów typu white hat. W trzecim kwartale 2022 roku odzyskano jedynie około 4% skradzionych środków, co stanowi znacznie niższy odsetek niż w drugim kwartale.
Około 1,92 miliona dolarów skradzionych aktywów popłynęło na giełdy takie jak Binance i FixedFloat. Tego typu incydenty dotyczyły zazwyczaj niewielkiej liczby aktywów (zwykle około $10K do $100K), a hakerzy przekazywali skradzione środki na giełdy natychmiast po ataku, w wyniku czego projekty nie zdążyły skontaktować się z giełdami na czas, aby zamrozić środki.
Q3 fund flows
8 Analiza audytu projektu
Tylko 40% projektów zostało skontrolowanych
W 2022 r. odsetek rekt projektów, które zostały skontrolowane wynosił: 70% w pierwszym kwartale, 52% w drugim kwartale i 40% w trzecim kwartale. Odsetek nieaudytowanych projektów rekt wykazuje tendencję rosnącą kwartał po kwartale.
Czy audytowane – count
Czy skontrolowane – kwota
Wśród wszystkich projektów rektowych, projekty audytowane straciły łącznie 375,48 mln dolarów, a projekty nie audytowane straciły na atakach około 29,56 mln dolarów. Na pierwszy rzut oka mogłoby się wydawać, że audyty nie służyły ochronie bezpiecznego działania projektów. Jednak głębsza analiza pokazuje, że większość z tych audytowanych projektów została zaatakowana przez problemy na poziomie nieumownym, takie jak kompromitacja klucza prywatnego, ataki na łańcuch dostaw, ataki DNS, BGP hijacking i błędna konfiguracja. Wśród nieaudytowanych projektów, 85% było spowodowanych przez luki w umowach lub ataki typu flashloan.
Widać, że profesjonalne audyty nadal są w pewnym stopniu skuteczne w zabezpieczaniu projektu na poziomie kontraktu. Jednak bezpieczne działanie protokołu wymaga również dobrej pracy w zakresie kontroli ryzyka offline, bezpiecznego przechowywania klucza prywatnego, bycia czujnym na tradycyjne ataki bezpieczeństwa sieciowego oraz ostrożnego korzystania z komponentów stron trzecich. Oczywiście w tym kwartale istnieją również pewne podatności, które powinny zostać odkryte w fazie audytu, ale nie zostały przedstawione w raporcie z audytu, dlatego zaleca się, aby projekt poszukał profesjonalnej firmy ochroniarskiej do przeprowadzenia audytu.
