Обзор безопасности блокчейна за 3 квартал 2022 года Всего было отслежено 37 крупных эксплойтов, общий ущерб от которых составил около 405 миллионов долларов
1 Обзор безопасности блокчейна за 3 квартал 2022 года
Всего было отслежено 37 крупных эксплойтов, общий ущерб от которых составил около 405 миллионов долларов
В третьем квартале 2022 года компания Beosin EagleEye отслеживала более 37 крупных атак в пространстве Web3, общий ущерб от которых составил около $405 млн, что примерно на 43,6% меньше, чем $718,34 млн во втором квартале 2022 года, и на 59,6% меньше, чем ущерб в размере $1 002,58 млн в третьем квартале 2021 года.
С января по сентябрь 2022 года активы, потерянные в пространстве Web3 в результате атак, составили $2 317,91 млн.
Q over/on Q growths
В разрезе каждого месяца в июле наблюдалось значительное снижение количества атак, что стало наименьшей суммой потерь от атак с 2022 года. В августе и сентябре активность хакеров значительно возросла.
Что касается типов проектов, 92% потерянной суммы пришлось на межцепочечные мосты и протоколы DeFi. 22 из 37 атак произошли в пространстве DeFi.
Что касается TVL, то после резкого падения TVL с мая по июнь, тенденция TVL каждой цепочки в этом квартале была стабильной. В конце июля — начале августа наметилась небольшая тенденция к росту TVL, в этот период также наблюдалось наибольшее количество атак и сумма потерь в этом квартале.
С точки зрения цепочек, сумма потерь на Ethereum в этом квартале достигла $374,28 млн, составив 92% от общего объема потерь. Наиболее часто атакуемой цепочкой была цепочка BNB, которая подвергалась атакам 16 раз.
Что касается типов атак, 92% от суммы потерь были вызваны эксплуатацией уязвимостей контрактов и компрометацией закрытых ключей.
Что касается потоков средств, то около $204,2 млн из похищенных средств поступило в Tornado Cash, что составляет около 50,4% средств, похищенных в этом квартале. Только около 4% похищенных средств были возвращены в течение квартала.
Что касается аудита, то было проверено только 40% проектов rekt.
2 Обзор эксплойтов
Общее количество атак снизилось в 3 квартале по сравнению со 2 кварталом
В третьем квартале 2022 года в пространстве Web3 отслеживалось 37 крупных атак, общий ущерб от которых составил около 405 миллионов долларов. Было две атаки с ущербом в $100 млн и более, три атаки с ущербом в $10 млн и более и 14 атак с ущербом в $1 млн и более. Инцидентами безопасности с потерями более 100 миллионов долларов были Nomad Bridge (190 миллионов долларов) и Wintermute (160 миллионов долларов).
Сумма убытков за 3 квартал по проектам
Август 2022 года был самым активным месяцем для хакеров в этом квартале, потери составили около $210,62 млн. Общие потери от атак в июле составили 30,05 млн долларов, что стало самым низким показателем потерь за месяц с 2022 года.
Q3 monthly loss amount & count
3Типы проектов ректов
На мосты кросс-чейн и проекты DeFi приходится 92% от суммы убытков
Q3 Q3 loss amount & count by category
В третьем квартале 2022 года три атаки на межцепочечный мост привели к общему убытку примерно в 190,25 млн долларов; 22 атаки в пространстве DeFi привели к общему убытку в 186,79 млн долларов. Примерно 92% от суммы убытков от атак пришлось на протоколы cross-chain bridge и DeFi.
По состоянию на сентябрь 2022 года, в 2022 году произошло 10 крупных инцидентов, связанных с безопасностью межцепочечных мостов, с ущербом более $1,4 млрд. Межцепочечные мосты были наиболее пострадавшей областью от атак в 2022 году.
Помимо межцепочечных мостов и протоколов DeFi, другие типы проектов, подвергшихся атакам в этом квартале, включали NFT, биржи, DAO, кошельки и боты MEV, что делает их общие типы более разнообразными, чем в предыдущем квартале.
4 Размер потерь по цепочке
Потери на Ethereum составляют $374,3 млн
Q3 loss amount & count by chain
В этом квартале на Ethereum было совершено 12 крупных атак, общая сумма потерь составила $374,28 млн, заняв первое место среди всех цепочек. Solana потеряла $18,37 млн от 3 эксплойтов.
Среди цепочек, подвергшихся крупным атакам в двух кварталах подряд, — Ethereum, BNB Chain, Fantom и Avalanche.
Больше всего атак было совершено на цепочку BNB Chain — 16 эксплойтов, и все соответствующие проекты не прошли аудит. Сумма денег, задействованных в этих 16 эксплойтах, относительно невелика: в 14 инцидентах единовременный ущерб составил менее 500 000 долларов.
После резкого падения TVL с мая по июнь, в этом квартале тенденция TVL по цепочкам стабилизировалась. В период с конца июля по начало августа наблюдалась небольшая тенденция к росту TVL, на этот период пришлось наибольшее количество атак и потерь в этом квартале. В сентябре криптовалютный рынок в целом немного снизился. После слияния Ethereum 15 сентября, Ethereum TVL наблюдал непрерывное небольшое снижение.
Цепочка TVL
5Анализ типов атак
92% потерянной суммы было вызвано эксплуатацией уязвимостей контрактов и компрометацией закрытых ключей
Q3 loss amount & count by attack type
В третьем квартале наиболее распространенным типом атак по-прежнему были контрактные эксплойты. Около 15 атак — это эксплойты контрактных уязвимостей, что составляет 40,5 процента от общего числа. Общие потери от контрактных уязвимостей составили $201,6 млн, или 50,9 процента от общего числа потерь.
Четыре взлома закрытых ключей в этом квартале привели к потерям в размере около 167,24 миллиона долларов, что является второй по величине суммой потерь после использования уязвимостей контрактов.
По сравнению с предыдущим кварталом, типы атак в этом квартале были более разнообразными. Новые типы атак, появившиеся в этом квартале, включают перехват BGP, неправильную конфигурацию и атаки на цепочки поставок.
Доля рынка в размере убытков в третьем квартале по типам атак
Доля рынка в 3 квартале по количеству подсчетов по типам атак
По уязвимостям контрактов, основные уязвимости, эксплуатируемые в этом квартале, включают: проблемы валидации, реентерабельность, проблемы с разрешениями, неправильно разработанная бизнес-логика или функции, а также уязвимости переполнения. Все эти уязвимости можно обнаружить и устранить на этапе аудита.
Q3 сумма убытков & подсчет по уязвимостям контракта
6Типичный инцидент в сфере безопасности
6.1Инцидент Nomad Bridge стоимостью $190 млн
Второго августа Nomad Bridge, кросс-цепная платформа, поддерживающая перевод активов через Ethereum, Moonbeam, Avalanche, Evmos и Milkomeda, подверглась масштабному взлому, который обошелся проекту в 190 миллионов долларов.
6.2Инцидент с кошельком Slope на Solana
3 августа на Солане произошел масштабный инцидент с кражей кошелька со склона, ущерб от которого оценивается примерно в 6 миллионов долларов.
6.3 Инцидент с компрометацией закрытого ключа в Винтермуте
20 сентября криптовалютный маркет-мейкер Wintermute подвергся атаке с ущербом в 160 миллионов долларов из-за взлома закрытого ключа.
7 Анализ движения средств
Приблизительно $204,2 млн. украденных средств поступило в Tornado Cash
8 августа Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на Tornado Cash, запретив американским физическим лицам и организациям взаимодействовать с ней. В третьем квартале 2022 года в Tornado Cash по-прежнему поступало около $204,2 млн похищенных средств, что составляет 50,4 процента от похищенных в этом квартале средств, что ниже, чем во втором квартале.
Примерно 182,3 миллиона долларов из украденных средств остались на адресе хакера в качестве остатка. Некоторые украденные средства были переведены на адреса других цепочек, и эта часть все еще учитывается как баланс адреса хакера.
Около $16,6 млн. активов было возвращено в результате переговоров на цепочке и невостребованных возвратов от хакеров-белых шляп. В третьем квартале 2022 года было возвращено только около 4% украденных средств, что значительно меньше, чем во втором квартале.
Около $1,92 млн. украденных средств поступило на такие биржи, как Binance и FixedFloat. Как правило, в таких инцидентах речь шла о небольшом количестве активов (обычно от $10K до $100K), и хакеры переводили украденные средства на биржи сразу после атаки, в результате чего проекты не успевали вовремя связаться с биржами, чтобы заморозить средства.
Потоки средств за 3 квартал
8Анализ аудита проекта
Аудит прошли только 40% проектов
В 2022 году процент проектов, прошедших аудит, составил: 70% в первом квартале, 52% во втором квартале и 40% в третьем квартале. Процент неаудированных проектов ректов показывает тенденцию к увеличению квартал за кварталом.
Проверено ли — подсчет
Проверено ли — сумма
Из всех проектов rekt проверенные проекты потеряли в общей сложности 375,48 миллионов долларов, а непроверенные проекты потеряли около 29,56 миллионов долларов в результате атак. На первый взгляд может показаться, что аудиты не послужили защите безопасной работы проектов. Однако более глубокий анализ показывает, что большинство из этих проверенных проектов подверглись атакам на неконтрактном уровне, таким как компрометация закрытых ключей, атаки на цепочки поставок, DNS-атаки, перехват BGP и неправильная конфигурация. Среди неаудированных проектов 85% были вызваны уязвимостями контракта или атаками на флэш-кредиты.
Видно, что профессиональные аудиты все еще эффективны в обеспечении безопасности проекта на уровне контракта в определенной степени. Однако для безопасной работы протокола также необходимо хорошо контролировать риски в автономном режиме, хранить закрытый ключ, быть внимательным к традиционным атакам сетевой безопасности и осторожно использовать сторонние компоненты. Конечно, в этом квартале также есть некоторые уязвимости, которые должны были быть обнаружены на этапе аудита, но не были представлены в отчете об аудите, поэтому проекту рекомендуется обратиться к профессиональной компании по безопасности для проведения аудита.
