2022年第三季度区块链安全概述 共监测到37个主要漏洞,总损失约为4.05亿美元
1 2022年第三季度区块链安全概况
共监测到37个主要漏洞,总损失约为4.05亿美元
2022年第三季度,北信源鹰眼监测到Web3领域的主要攻击超过37次,总损失约为4.05亿美元,比2022年第二季度的7.1834亿美元下降约43.6%,比2021年第三季度的损失10.0258亿美元下降59.6%。
从2022年1月到9月,Web3领域因攻击而损失的资产共计23.1791亿美元。
Q over/on Q growths
从每个月的情况来看,7月的攻击次数明显减少,成为2022年以来攻击损失金额最少的月份。黑客活动在8月和9月明显增加。
从项目类型来看,92%的损失金额来自跨链桥和DeFi协议。37次攻击中有22次发生在DeFi领域。
就TVL而言,在5月至6月TVL急剧下降后,本季度各链的TVL趋势趋于稳定。7月底至8月初,TVL呈现小幅上升趋势,这也是本季度攻击次数和损失金额最高的时期。
从链上看,本季度以太坊的损失金额达到3.7428亿美元,占总损失的92%。最经常被攻击的链是BNB链,达到16次。
从攻击类型来看,92%的损失金额是由合约漏洞利用和私钥泄露造成的。
从资金流向来看,约2.042亿美元的被盗资金流入龙卷风现金,占本季度被盗资金的约50.4%。本季度只有约4%的被盗资金被追回。
在审计方面,只有40%的被盗项目得到了审计。
2 漏洞概述
与第二季度相比,第三季度的总体攻击量有所下降
。
2022年第三季度,在Web3领域监测到37起重大攻击,总损失约为4.05亿美元。损失在1亿美元以上的攻击有2起,损失在1000万美元以上的攻击有3起,损失在100万美元以上的攻击有14起。损失超过1亿美元的安全事件是Nomad Bridge(1.9亿美元)和Wintermute(1.6亿美元)。
第三季度各项目损失金额
2022年8月是本季度黑客最活跃的月份,损失约为2.1062亿美元。7月份的攻击总损失为3005万美元,是2022年以来损失金额最低的一个月。
第三季度月度损失金额& count
3 rekt项目的类型
跨链桥和DeFi项目占损失数额的92%
第三季度损失金额&按类别统计
在2022年第三季度,3次跨链桥攻击导致的总损失约为1.9025亿美元;DeFi领域的22次攻击导致的总损失为1.8679亿美元。大约92%的攻击损失金额来自跨链桥和DeFi协议。
截至2022年9月,2022年共发生10起重大跨链桥安全事件,损失超过14亿美元。跨链桥是2022年受攻击影响最大的领域。
除了跨链桥和DeFi协议,本季度被攻击的其他类型项目包括NFT、交易所、DAO、钱包和MEV机器人,其总体类型比上一季度更加多样化。
本季度以太坊发生了12次重大攻击,总损失为3.7428亿美元,在所有链上排名第一。Solana因3个漏洞损失了1837万美元。
连续两个季度发生重大攻击的链包括以太坊、BNB链、Fantom和Avalanche。
BNB Chain受到的攻击最多,有16个漏洞,其对应的项目都是未经审计的。这16个漏洞涉及的金额相对较小,有14个事件涉及的单次损失低于50万美元。
在经历了5月至6月TVL的大幅下降后,本季度各产业链TVL的趋势趋于稳定。7月底至8月初,TVL呈现小幅上升趋势,这也是本季度攻击和损失金额最多的时期。9月,加密货币市场普遍小幅下行。在9月15日以太坊合并后,以太坊TVL出现了连续的小幅下跌。
链式TVL
5 分析攻击类型
92%的损失金额是由合同漏洞利用和私钥泄露造成的
第三季度损失金额& 按攻击类型统计
在第三季度,合同漏洞利用仍然是最常见的攻击类型。大约有15次攻击是合同漏洞利用,占总数的40.5%。合同漏洞的总损失为2.016亿美元,占总损失的50.9%。
本季度四起私钥泄露事件造成的损失约为1.6724亿美元,是仅次于合同漏洞利用的第二大损失金额。
与上一季度相比,本季度的攻击类型更加多样化。本季度出现的新攻击类型包括BGP劫持、错误配置和供应链攻击。
第三季度按攻击类型划分的损失金额市场份额
第三季度按攻击类型划分的计数市场份额
按合同漏洞划分,本季度被利用的主要漏洞包括:验证问题、重入问题、权限问题、业务逻辑或函数设计不当,以及溢出漏洞。这些漏洞在审计阶段都是可以发现和修复的。
第三季度损失金额&按合同漏洞计数
6典型安全事件回顾
6.1 Nomad Bridge 1.9亿美元的事件
。
8月2日,支持以太坊、Moonbeam、Avalanche、Evmos和Milkomeda之间资产转移的跨链平台Nomad Bridge遭遇大规模黑客攻击,项目损失达1.9亿美元。
6.2索拉纳的斜坡钱包事件
8月3日,索拉纳岛发生大规模斜坡钱包盗窃事件,损失估计在600万美元左右。
6.3 Wintermute私钥泄露事件
9月20日,加密货币市场制造商Wintermute受到攻击,由于私钥被泄露,损失达1.6亿美元。
7 资金流分析
约有2.042亿美元的被盗资金流入龙卷风现金
8月8日,美国财政部外国资产控制办公室(OFAC)制裁了龙卷风现金,禁止美国个人或组织与之互动。在2022年第三季度,约2.042亿美元的被盗资金仍然流入龙卷风现金,占该季度被盗资金的50.4%,低于第二季度的水平。
被盗资金中约有1.823亿美元作为余额留在黑客的地址中。一些被盗资金被桥接到其他链上的地址,这部分仍被计入黑客的地址余额。
约有1660万美元的资产通过链上谈判和白帽黑客的主动归还而被追回。在2022年第三季度,只有约4%的被盗资金被追回,这个比例比第二季度低很多。
大约有192万美元的被盗资产流入Binance和FixedFloat等交易所。此类事件一般涉及少量资产(通常在1万至10万美元左右),黑客在攻击后立即将被盗资金转移到交易所,导致项目未能及时与交易所联系以冻结资金。
第三季度资金流向
8 项目审计分析
仅有40%的项目被审计
。
2022年,被审计的rekt项目的比例为。第一季度为70%,第二季度为52%,第三季度为40%。未经审计的rekt项目的百分比呈现逐季增加的趋势。
是否经过审计-计数
是否审计–金额
在所有rekt项目中,经过审计的项目总共损失了3.7548亿美元,而未经审计的项目在攻击中损失了约2956万美元。乍一看,似乎审计并没有起到保护项目安全运行的作用。然而,更深入的分析表明,这些被审计的项目中,大部分都是被非合同层面的问题攻击的,如私钥泄露、供应链攻击、DNS攻击、BGP劫持和错误配置。在未经审计的项目中,85%是由合同漏洞或闪电式攻击造成的。
可以看出,专业审计在一定程度上仍能有效保障项目在合同层面的安全。但是,协议的安全运行还需要做好线下风险控制,妥善保管私钥,警惕传统网络安全攻击,谨慎使用第三方组件。当然,在本季度,也有一些漏洞应该在审计阶段发现,但在审计报告中没有呈现,所以建议项目找专业的安全公司进行审计。
