Báo cáo Bảo mật Blockchain Quý 3 năm 2022 của Liên minh Bảo mật Blockchain

1 Q3 2022 Tổng quan về bảo mật Blockchain

Tổng cộng 37 vụ khai thác lớn đã được theo dõi, với tổng thiệt hại khoảng 405 triệu đô la

Trong quý 3 năm 2022, Beosin EagleEye đã theo dõi hơn 37 cuộc tấn công lớn trong không gian Web3, với tổng thiệt hại khoảng 405 triệu đô la, giảm khoảng 43,6% so với 718,34 triệu đô la trong quý 2 năm 2022 và giảm 59,6% so với thiệt hại 1.002,58 triệu đô la trong Quý 3 năm 2021.

Từ tháng 1 đến tháng 9 năm 2022, tổng số tài sản bị mất trong không gian Web3 do các cuộc tấn công là 2.317,91 triệu đô la.

Xét theo từng tháng, Tháng 7 chứng kiến ​​sự giảm đáng kể trong các cuộc tấn công, khiến nó trở thành số tiền ít bị tổn thất nhất từ ​​các cuộc tấn công kể từ năm 2022. Hoạt động của tin tặc đã tăng đáng kể trong tháng 8 và tháng 9.

Xét về các loại dự án, 92% số tiền bị mất đến từ các cầu nối chuỗi chéo và các giao thức DeFi. 22 trong số 37 cuộc tấn công xảy ra trong không gian DeFi.

Về TVL, sau khi TVL giảm mạnh từ tháng 5 đến tháng 6, xu hướng TVL của từng chuỗi có xu hướng ổn định trong quý này. Cuối tháng 7 đến đầu tháng 8 cho thấy TVL có xu hướng tăng nhẹ, đây cũng là giai đoạn có số vụ tấn công và số tiền tổn thất cao nhất trong quý này.

Về dây chuyền, số lỗ trên Ethereum đạt 374,28 triệu đô la trong quý này, chiếm 92% tổng số lỗ. Chuỗi bị tấn công thường xuyên nhất là BNB Chainđạt 16 lần.

Về các loại tấn công, 92% số tiền tổn thất là do khai thác lỗ hổng bảo mật trong hợp đồng và xâm phạm khóa cá nhân.

Về dòng tiền, khoảng 204,2 triệu đô la trong số tiền bị đánh cắp đã chảy vào Tornado Cash, chiếm khoảng 50,4% số tiền bị đánh cắp trong quý. Chỉ khoảng 4% số tiền bị đánh cắp được phục hồi trong quý.

Về mặt kiểm toán, chỉ 40% các dự án rekt được kiểm toán.

2 Tổng quan về khai thác

Các cuộc tấn công tổng thể đã giảm trong Quý 3 so với Quý 2

Trong quý 3 năm 2022, 37 cuộc tấn công lớn đã được theo dõi trong không gian Web3, với tổng thiệt hại khoảng 405 triệu đô la. Có 2 vụ tấn công thiệt hại từ 100 triệu USD trở lên, 3 vụ tấn công thiệt hại từ 10 triệu USD trở lên và 14 vụ tấn công thiệt hại từ 1 triệu USD trở lên. Sự cố an ninh với thiệt hại hơn 100 triệu đô la là Cầu du mục (190 triệu đô la) và Wintermute (160 triệu đô la).

Tháng 8 năm 2022 là tháng hoạt động tích cực nhất của tin tặc trong quý, với thiệt hại khoảng 210,62 triệu đô la. Tổng thiệt hại từ các cuộc tấn công vào tháng 7 là 30,05 triệu USD, đây là mức thiệt hại thấp nhất trong một tháng kể từ năm 2022.

3 loại dự án rekt

Các cầu nối xuyên chuỗi và các dự án DeFi chiếm 92% số tiền tổn thất

Trong quý 3 năm 2022, ba cuộc tấn công xuyên cầu dẫn đến tổng thiệt hại khoảng 190,25 triệu đô la; 22 cuộc tấn công trong không gian DeFi gây thiệt hại tổng cộng 186,79 triệu đô la. Khoảng 92% số tiền tổn thất do tấn công đến từ các giao thức cầu nối chuỗi chéo và DeFi.

Tính đến tháng 9 năm 2022, đã có 10 sự cố an ninh cầu xuyên chuỗi lớn vào năm 2022, với thiệt hại hơn 1,4 tỷ đô la. Các cây cầu xuyên chuỗi là khu vực bị ảnh hưởng nặng nề nhất bởi các cuộc tấn công vào năm 2022.

Ngoài các cầu nối chuỗi chéo và giao thức DeFi, các loại dự án khác bị tấn công trong quý này bao gồm NFT, sàn giao dịch, DAO, ví và bot MEV, làm cho các loại tổng thể của chúng đa dạng hơn so với quý trước.

4 Lượng tổn thất theo chuỗi

Khoản lỗ trên Ethereum lên tới 374,3 triệu đô la

12 cuộc tấn công lớn đã xảy ra vào Ethereum trong quý này, với tổng thiệt hại là 374,28 triệu đô la, đứng đầu trong số tất cả các chuỗi. Solana lỗ 18,37 triệu USD từ 3 lần khai thác.

Các chuỗi bị tấn công lớn trong hai quý liên tiếp bao gồm Ethereum, BNB ChainFantom, và Avalanche.

BNB Chain chứng kiến ​​nhiều cuộc tấn công nhất, với 16 lần khai thác và các dự án tương ứng của chúng đều chưa được kiểm toán. Số tiền liên quan đến 16 vụ khai thác này là tương đối nhỏ, với 14 vụ liên quan đến một khoản thiệt hại dưới 500.000 đô la.

Sau khi TVL giảm mạnh từ tháng 5 đến tháng 6, xu hướng TVL trên các chuỗi đã ổn định trở lại trong quý này. TVL có xu hướng tăng nhẹ trong khoảng thời gian từ cuối tháng 7 đến đầu tháng 8, đây cũng là giai đoạn bị tấn công và thua lỗ nhiều nhất trong quý này. Thị trường tiền điện tử thường giảm nhẹ trong tháng 9. Sau khi hợp nhất Ethereum vào ngày 15 tháng 9, Ethereum TVL đã chứng kiến ​​sự sụt giảm nhẹ liên tục.

5 Phân tích các kiểu tấn công

92% số tiền bị mất là do khai thác lỗ hổng hợp đồng và xâm phạm khóa cá nhân

Trong quý 3, khai thác theo hợp đồng tiếp tục là kiểu tấn công phổ biến nhất. Khoảng 15 cuộc tấn công là khai thác lỗ hổng bảo mật theo hợp đồng, chiếm 40,5% tổng số. Tổng thiệt hại do các lỗ hổng trong hợp đồng lên tới 201,6 triệu đô la, tương đương 50,9% tổng thiệt hại.

Bốn vụ xâm nhập khóa cá nhân trong quý này đã dẫn đến thiệt hại khoảng 167,24 triệu đô la, số tiền thiệt hại lớn thứ hai sau các vụ khai thác lỗ hổng bảo mật trong hợp đồng.

So với quý trước, các hình thức tấn công trong quý này đa dạng hơn. Các kiểu tấn công mới xuất hiện trong quý này bao gồm tấn công BGP, cấu hình sai và tấn công chuỗi cung ứng.

Theo lỗ hổng hợp đồng, các lỗ hổng chính được khai thác trong quý này bao gồm: vấn đề xác thực, lần truy cập lại, vấn đề cấp phép, logic hoặc chức năng nghiệp vụ được thiết kế không phù hợp và lỗ hổng tràn. Các lỗ hổng này đều có thể phát hiện và sửa được trong giai đoạn kiểm tra.

6 Bản tóm tắt sự cố an ninh điển hình

6.1 Cầu Nomad Sự cố 190 triệu đô la

Vào ngày 2 tháng 8, Nomad Bridge, một nền tảng chuỗi chéo hỗ trợ chuyển tài sản qua Ethereum, Moonbeam, AvalancheEvmos và Milkomeda, bị một vụ hack lớn khiến dự án thiệt hại 190 triệu đô la.

6.2 Sự cố về ví dốc trên Solana

Vào ngày 3 tháng 8, một vụ trộm ví Slope quy mô lớn đã xảy ra trên Solana, với thiệt hại ước tính khoảng 6 triệu USD.

6.3 Sự cố thỏa hiệp khóa cá nhân Wintermute

Vào ngày 20 tháng 9, nhà sản xuất thị trường tiền điện tử Wintermute đã bị tấn công với thiệt hại 160 triệu đô la do xâm phạm khóa cá nhân.

7 Phân tích dòng vốn

Khoảng 204,2 triệu đô la tiền bị đánh cắp đã chảy vào Tornado Cash

Vào ngày 8 tháng 8, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xử phạt Tornado Cash, cấm các cá nhân hoặc tổ chức Hoa Kỳ tương tác với nó. Trong quý 3 năm 2022, khoảng 204,2 triệu đô la tiền bị đánh cắp vẫn chảy vào Tornado Cash, chiếm 50,4% số tiền bị đánh cắp trong quý đó, thấp hơn so với quý thứ hai.

Khoảng 182,3 triệu đô la trong số tiền bị đánh cắp vẫn nằm trong địa chỉ của tin tặc làm số dư. Một số tiền bị đánh cắp đã được bắc cầu tới các địa chỉ trên các chuỗi khác và phần này vẫn được tính là số dư địa chỉ của tin tặc.

Khoảng 16,6 triệu đô la tài sản đã được thu hồi thông qua các cuộc đàm phán trực tuyến và lợi nhuận không mong muốn từ các hacker mũ trắng. Trong quý 3 năm 2022, chỉ có khoảng 4% số tiền bị đánh cắp được phục hồi, một tỷ lệ thấp hơn nhiều so với quý 2.

Khoảng 1,92 triệu đô la tài sản bị đánh cắp đã chảy vào các sàn giao dịch như Binance và FixedFloat. Những sự cố như vậy thường liên quan đến một số lượng nhỏ tài sản (thường khoảng $ 10K đến $ 100K) và tin tặc đã chuyển số tiền bị đánh cắp đến các sàn giao dịch ngay sau cuộc tấn công, dẫn đến việc các dự án không thể liên hệ với các sàn giao dịch kịp thời để đóng băng tiền.

8 Phân tích kiểm toán dự án

Chỉ 40% dự án được kiểm toán

Vào năm 2022, tỷ lệ các dự án rekt đã được kiểm toán là: 70% trong quý đầu tiên, 52% trong quý thứ hai và 40% trong quý thứ ba. Tỷ lệ các dự án rekt chưa được kiểm toán cho thấy xu hướng ngày càng tăng theo từng quý.

Trong số tất cả các dự án rekt, các dự án được kiểm toán đã mất tổng cộng 375,48 triệu đô la và các dự án không được kiểm tra đã mất khoảng 29,56 triệu đô la trong các cuộc tấn công. Thoạt nhìn, có vẻ như các cuộc kiểm toán không phục vụ cho việc bảo vệ hoạt động an toàn của các dự án. Tuy nhiên, một phân tích sâu hơn cho thấy rằng hầu hết các dự án được kiểm toán này đều bị tấn công bởi các vấn đề ngoài hợp đồng như xâm phạm khóa cá nhân, tấn công chuỗi cung ứng, tấn công DNS, chiếm quyền điều khiển BGP và định cấu hình sai. Trong số các dự án chưa được kiểm tra, 85% là do các lỗ hổng hợp đồng hoặc các cuộc tấn công flashloan gây ra.

Có thể thấy rằng kiểm toán chuyên nghiệp vẫn có hiệu quả trong việc đảm bảo an toàn cho dự án ở cấp độ hợp đồng ở một mức độ nào đó. Tuy nhiên, hoạt động an toàn của một giao thức cũng đòi hỏi phải kiểm soát tốt rủi ro ngoại tuyến, giữ an toàn khóa cá nhân, cảnh giác với các cuộc tấn công an ninh mạng truyền thống và sử dụng các thành phần của bên thứ ba một cách cẩn thận. Tất nhiên, trong quý này, cũng có một số lỗ hổng đáng lẽ phải được phát hiện trong giai đoạn kiểm toán nhưng không được trình bày trong báo cáo kiểm toán, vì vậy dự án nên tìm kiếm một công ty bảo vệ chuyên nghiệp để thực hiện kiểm toán.

Nguồn dữ liệu

Tải xuống toàn bộ báo cáo:

Giới thiệu về Liên minh Bảo mật Blockchain

Liên minh bảo mật chuỗi khối được thành lập bởi một số đơn vị có nền tảng ngành đa dạng, bao gồm các tổ chức đại học, công ty bảo mật chuỗi khối, hiệp hội ngành, nhà cung cấp dịch vụ fintech, v.v. Đợt đầu tiên của hội đồng liên minh bao gồm Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit và Huawei Cloud. Các thành viên hiện tại bao gồm: Đại học Huobi, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive và Trung tâm Kho báu Kỹ thuật số. Các thành viên của Liên minh Bảo mật sẽ làm việc và hợp tác cùng nhau để liên tục đảm bảo an toàn cho hệ sinh thái blockchain toàn cầu bằng thế mạnh kỹ thuật của riêng họ. Hội đồng Liên minh cũng hoan nghênh nhiều người hơn trong các lĩnh vực liên quan đến blockchain tham gia và cùng bảo vệ an ninh của hệ sinh thái blockchain.

Đăng ký Liên minh

https://forms.gle/pb3NaUgS3a2Sswnc8

Tiếp xúc

Telegram： @Kristenbeosin, @ Web3Donny

E-mail: [email protected]

Thành viên Liên minh – Beosin

Beosin là công ty bảo mật chuỗi khối toàn cầu hàng đầu có trụ sở tại Singapore với hơn 100 chuyên gia bảo mật về xác minh chính thức và bảo mật chuỗi khối. Với sứ mệnh “Bảo mật Hệ sinh thái Web3.0”, Beosin cung cấp các sản phẩm và dịch vụ bảo mật blockchain tích hợp, bao gồm kiểm tra bảo mật mã, giám sát rủi ro, cảnh báo và chặn cho các dự án, tuân thủ bảo mật KYT & KYC và khôi phục tài sản bị đánh cắp. Beosin hiện đã cung cấp dịch vụ bảo mật cho hơn 2.000 doanh nghiệp blockchain trên toàn thế giới, kiểm toán hơn 2.500 hợp đồng thông minh và bảo vệ hơn 500 tỷ đô la tài sản cho khách hàng.

Thành viên Liên minh – Phân tích Dấu chân

Footprint Analytics là một công cụ để khám phá và trực quan hóa dữ liệu trên toàn bộ chuỗi khối, bao gồm cả dữ liệu NFT và GameFi. Nó hiện thu thập, phân tích cú pháp và làm sạch dữ liệu từ 18 chuỗi và cho phép người dùng xây dựng biểu đồ và trang tổng quan mà không cần mã bằng giao diện kéo và thả cũng như với SQL hoặc Python.