Q3 2022 Blockchain Security Overview Um total de 37 grandes explorações foram monitorizadas, com uma perda total de aproximadamente $405 milhões
1 Q3 2022 Blockchain Security Overview
Um total de 37 grandes explorações foram monitorizadas, com uma perda total de aproximadamente $405 milhões
No terceiro trimestre de 2022, Beosin EagleEye monitorizou mais de 37 grandes ataques no espaço Web3, com perdas totais de cerca de $405 milhões, uma diminuição de cerca de 43,6% em relação aos $718,34 milhões no segundo trimestre de 2022 e uma diminuição de 59,6% em relação à perda de $1.002,58 milhões no terceiro trimestre de 2021.
De Janeiro a Setembro de 2022, os activos perdidos no espaço Web3 devido a ataques totalizaram $2.317,91 milhões.
Q over/on Q growths
Em termos de cada mês, Julho assistiu a uma diminuição significativa dos ataques, o que fez com que fosse a menor perda de ataques desde 2022. A actividade hacker aumentou significativamente em Agosto e Setembro.
Em termos de tipos de projecto, 92% da quantidade perdida veio de pontes de cadeia cruzada e dos protocolos DeFi. 22 dos 37 ataques ocorreram no espaço DeFi.
Em termos de TVL, após uma queda acentuada na TVL de Maio a Junho, a tendência da TVL de cada cadeia tendeu a ser estável neste trimestre. O final de Julho até ao início de Agosto mostrou uma ligeira tendência ascendente na TVL, que foi também o período com o maior número de ataques e quantidade de perdas neste trimestre.
Em termos de cadeias, o montante de perdas no Ethereum atingiu 374,28 milhões de dólares neste trimestre, representando 92% das perdas totais. A cadeia mais frequentemente atacada foi a BNB Chain, que atingiu 16 vezes.
Em termos de tipos de ataque, 92% do montante das perdas foi causado por explorações de vulnerabilidade contratual e compromissos de chave privada.
Em termos de fluxos de fundos, cerca de $204,2 milhões dos fundos roubados fluiram para o Tornado Cash, representando cerca de 50,4% dos fundos roubados no trimestre. Apenas cerca de 4% dos fundos furtados foram recuperados durante o trimestre.
Em termos de auditorias, apenas 40% dos projectos de rekt foram auditados.
2 Visão geral das explorações
Os ataques globais caíram em Q3 em comparação com Q2
No Q3 2022, 37 grandes ataques foram monitorizados no espaço Web3, com uma perda total de aproximadamente $405 milhões. Houve dois ataques com perdas de $100 milhões ou mais, três ataques com perdas de $10 milhões ou mais, e 14 ataques com perdas de $1 milhão ou mais. Os incidentes de segurança com perdas superiores a 100 milhões de dólares foram Nomad Bridge (190 milhões de dólares) e Wintermute (160 milhões de dólares).
Q3 quantidade de perdas por projecto
Agosto de 2022 foi o mês mais activo para hackers no trimestre, com perdas de cerca de $210,62 milhões de dólares. As perdas totais dos ataques de Julho foram de 30,05 milhões de dólares, tornando-o o montante mais baixo de perdas num mês desde 2022.
Q3 quantidade de perda mensal & contagem
3 Tipos de projectos de rekt
Pontes de cadeia cruzada e projectos DeFi representam 92% da quantia de perdas
Q3 quantidade de perdas & contagem por categoria
No terceiro trimestre de 2022, três ataques de pontes de cadeia cruzada resultaram numa perda total de aproximadamente $190,25 milhões; 22 ataques no espaço DeFi resultaram numa perda total de $186,79 milhões. Aproximadamente 92% do montante da perda de ataques veio da ponte de cadeia cruzada e dos protocolos DeFi.
A partir de Setembro de 2022, registaram-se 10 grandes incidentes de segurança em 2022, com mais de $1,4 mil milhões de dólares em perdas. As pontes de cadeia cruzada foram a área mais afectada por ataques em 2022.
Além das pontes em cadeia e dos protocolos DeFi, outros tipos de projectos atacados neste trimestre incluíram NFTs, trocas, DAOs, carteiras, e bots MEV, tornando os seus tipos globais mais diversificados do que no trimestre anterior.
4 Quantidade de perdas por cadeia
Perdas em Ethereum ascendem a $374,3 milhões
Q3 quantidade de perda & contagem por corrente
12 grandes ataques ocorreram ao Ethereum neste trimestre, com uma perda total de $374,28 milhões, ocupando o primeiro lugar entre todas as cadeias. Solana perdeu $18,37 milhões de dólares de 3 explorações.
Cadeias com grandes ataques em dois trimestres consecutivos incluem Ethereum, BNB Chain, Fantom, e Avalanche.
BNB Chain foi a cadeia com mais ataques, com 16 exploits, e os seus projectos correspondentes não são todos auditados. O montante de dinheiro envolvido nestas 16 explorações é relativamente pequeno, com 14 incidentes envolvendo uma única perda de menos de 500.000 dólares.
Depois de experimentar uma queda acentuada na TVL de Maio a Junho, a tendência da TVL através das cadeias estabilizou neste trimestre. A TVL mostrou uma ligeira tendência ascendente no período de finais de Julho a princípios de Agosto, que foi também o período com o maior número de ataques e perdas neste trimestre. O mercado de criptogramas em geral registou uma ligeira tendência descendente em Setembro. Após a fusão do Ethereum a 15 de Setembro, o Ethereum TVL registou um declínio ligeiro contínuo.
Chain TVL
5 Análise de Tipos de Ataque
92% do montante perdido foi causado por explorações de vulnerabilidade contratual e compromisso de chave privada
Q3 quantidade de perda & contagem por tipo de ataque
No terceiro trimestre, as explorações contratuais continuaram a ser o tipo de ataque mais comum. Cerca de 15 ataques são explorações de vulnerabilidade contratual, representando 40,5 por cento do número total. As perdas totais de vulnerabilidades contratuais ascenderam a $201,6 milhões, ou 50,9 por cento das perdas totais.
Os quatro compromissos de chave privada neste trimestre resultaram em aproximadamente $167,24 milhões em perdas, o segundo maior montante de perdas após as explorações de vulnerabilidade contratual.
Em comparação com o trimestre anterior, os tipos de ataques neste trimestre foram mais diversificados. Os novos tipos de ataques que surgiram neste trimestre incluem sequestro BGP, má configuração, e ataques à cadeia de abastecimento.
Q3 market share of loss amount by attack type
Q3 market share of count by attack type
Por vulnerabilidades contratuais, as principais vulnerabilidades exploradas neste trimestre incluem: problemas de validação, reentrância, problemas de permissão, lógica ou funções empresariais mal concebidas, e vulnerabilidades de transbordo. Estas vulnerabilidades são todas detectáveis e reparáveis durante a fase de auditoria.
Q3 quantidade de perda & contar por vulnerabilidades contratuais
6 Recapitulação típica de incidentes de segurança
6.1 Ponte Nomad $190 Million Incident
Em 2 de Agosto, Nomad Bridge, uma plataforma de cadeia cruzada que suporta transferências de activos através de Ethereum, Moonbeam, Avalanche, Evmos e Milkomeda, sofreu um enorme hack que custou ao projecto $190 milhões.
6.2 Incidente de Carteira de Encosta em Solana
No dia 3 de Agosto, ocorreu na Solana um incidente de roubo de carteira em grande escala, com perdas estimadas em cerca de $6 milhões.
6.3 Incidente de Compromisso de Chave Privada Wintermute
A 20 de Setembro, o criptógrafo Wintermute foi atacado com um prejuízo de 160 milhões de dólares devido a um compromisso de chave privada.
7 Análise do fluxo de fundos
Aproximadamente $204,2 milhões de dólares em fundos roubados fluiram para o Tornado Cash
No dia 8 de Agosto, o Departamento do Tesouro dos EUA para o Controlo de Activos Estrangeiros (OFAC) sancionou o Tornado Cash, proibindo indivíduos ou organizações dos EUA de interagirem com ele. No terceiro trimestre de 2022, aproximadamente $204,2 milhões de dólares em fundos roubados ainda fluíram para o Tornado Cash, representando 50,4% dos fundos roubados nesse trimestre, o que é inferior ao do segundo trimestre.
Aproximadamente 182,3 milhões de dólares dos fundos roubados permaneceram no endereço do hacker como o saldo. Alguns fundos roubados foram transferidos para endereços de outras cadeias, e esta parte ainda é contada como o saldo do endereço do hacker.
Cerca de 16,6 milhões de dólares de activos foram recuperados através de negociações na cadeia e devoluções não solicitadas de hackers de chapéu branco. No terceiro trimestre de 2022, apenas cerca de 4% dos fundos roubados foram recuperados, uma percentagem muito inferior à do segundo trimestre.
Cerca de 1,92 milhões de dólares de activos roubados foram transferidos para bolsas, tais como Binance e FixedFloat. Tais incidentes envolveram geralmente um pequeno número de activos (geralmente cerca de $10K a $100K), e os hackers transferiram os fundos roubados para as bolsas imediatamente após o ataque, resultando em projectos que não conseguiram contactar as bolsas a tempo de congelar os fundos.
Q3 fund flows
8 Análise de Auditoria de Projecto
Apenas 40% dos projectos foram auditados
Em 2022, a percentagem de projectos de rekt que foram auditados foi: 70% no primeiro trimestre, 52% no segundo trimestre, e 40% no terceiro trimestre. A percentagem de projectos de repetição não auditados mostra uma tendência crescente trimestre a trimestre.
Se auditado – contar
Se auditado – montante
De todos os projectos rekt, os projectos auditados perderam um total de 375,48 milhões de dólares, e os projectos não auditados perderam cerca de 29,56 milhões de dólares em ataques. À primeira vista, pode parecer que as auditorias não serviram para proteger o funcionamento seguro dos projectos. No entanto, uma análise mais profunda mostra que a maioria destes projectos auditados foram atacados por questões não contratuais, tais como compromisso de chave privada, ataques à cadeia de fornecimento, ataques DNS, desvio de BGP, e má configuração. Entre os projectos não auditados, 85% foram causados por vulnerabilidades contratuais ou ataques de flashloan.
Pode-se verificar que as auditorias profissionais ainda são eficazes para garantir o projecto a nível contratual até certo ponto. Contudo, a operação segura de um protocolo também requer um bom trabalho de controlo de risco offline, guarda da chave privada, estar alerta aos ataques tradicionais de segurança da rede, e utilizar cuidadosamente componentes de terceiros. Claro que, neste trimestre, existem também algumas vulnerabilidades que deveriam ter sido descobertas na fase de auditoria mas que não foram apresentadas no relatório de auditoria, pelo que se recomenda que o projecto procure uma empresa de segurança profissional para realizar a auditoria.
