Отчет о безопасности блокчейна за третий квартал 2022 года

Отчет о безопасности блокчейна за третий квартал 2022 года

31 октября 2022 г.

Источник данных:

https://www.footprint.network/@Beosin/Footprint- Beosin-Q3-Отчет-Beosin

Загрузить полный отчет:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf

1. Обзор безопасности блокчейна за третий квартал 2022 г.

В общей сложности было отслежено 37 крупных эксплойтов, общий ущерб составил около 405 млн долларов

В третьем квартале 2022 года Beosin EagleEye отследила более 37 крупных атак в пространстве Web3 с общими потерями примерно в 405 млн долларов США, что примерно на 43,6 % меньше, чем 718,34 млн долларов во втором квартале 2022 года, и на 59,6 % меньше, чем убытки. в размере 1 002,58 млн долларов США в третьем квартале 2021 г.

С января по сентябрь 2022 г. активы, потерянные в пространстве Web3 из-за атак, составили 2 317,91 млн долларов США.

В месячном исчислении в июле количество атак значительно сократилось, что сделало его наименьшим размером потерь от атак с 2022 года. Активность хакеров значительно возросла в августе и сентябре.

Что касается типов проектов, 92 % потерянной суммы пришлось на межсетевые мосты и протоколы DeFi. 22 из 37 атак произошли в пространстве DeFi.

Что касается TVL, после резкого падения TVL с мая по июнь тенденция TVL каждой сети в этом квартале оставалась стабильной. С конца июля по начало августа наблюдалась небольшая тенденция к росту TVL, что также было периодом с наибольшим количеством атак и суммой потерь в этом квартале.

Что касается цепочек, количество убытков на Ethereum в этом квартале достигло 374,28 млн долларов, что составляет 92% от общих убытков. Наиболее часто атакованной сетью была сеть BNB, которая достигла 16 атак.

Что касается типов атак, 92 % суммы убытков были вызваны использованием уязвимостей контракта и компрометацией закрытого ключа.

Что касается денежных потоков, около 204,2 млн долларов США из украденных средств перетекло в Tornado Cash, что составляет около 50,4 % средств, украденных за квартал. В течение квартала было возвращено лишь около 4 % украденных средств.

Что касается аудита, аудиту подверглись только 40 % проектов rekt.

2. Обзор эксплойтов

В третьем квартале общее число атак сократилось по сравнению со вторым кварталом

В третьем квартале 2022 года в пространстве Web3 было отслежено 37 крупных атак, общий ущерб от которых составил примерно 405 млн долларов США. Было две атаки с потерями в размере 100 миллионов долларов и более, три атаки с потерями в размере 10 миллионов долларов и более и 14 атак с потерями в 1 миллион долларов и более. Инциденты безопасности с потерями более 100 млн долларов – это Nomad Bridge (190 млн долларов США) и Wintermut (160 млн долларов США).

Август 2022 г. стал самым активным месяцем для хакеров за квартал: убытки составили около 210,62 млн долларов. Общие убытки от атак в июле составили 30,05 млн долларов США, что делает их самыми низкими месячными потерями с 2022 года.

3. Типы рект-проектов

На кроссчейн-мосты и проекты DeFi приходится 92 % суммы убытков

В третьем квартале 2022 года в результате трех атак на кроссчейн-мосты общий ущерб составил около 190,25 млн долларов США. 22 атаки в пространстве DeFi привели к общим потерям в размере 186,79 миллиона долларов. Приблизительно 92 % потерь от атак приходится на межсетевой мост и протоколы DeFi.

По состоянию на сентябрь 2022 года в 2022 году произошло 10 крупных инцидентов с безопасностью межцепных мостов, в результате которых был нанесен ущерб на сумму более 1,4 миллиарда долларов. В 2022 году в результате нападений больше всего пострадали перекрестные мосты.

Помимо межсетевых мостов и протоколов DeFi, в этом квартале были атакованы и другие типы проектов, включая NFT, биржи, DAO, кошельки и боты MEV, что сделало их общие типы более разнообразными, чем в предыдущем квартале.

4. Сумма убытка по цепочке

Убытки Ethereum составляют 374,3 миллиона долларов

В этом квартале произошло 12 крупных атак на Ethereum с общим ущербом в размере 374,28 млн долларов США, что является первым показателем среди всех сетей. Солана потеряла 18,37 млн долларов из-за трех эксплойтов.

Сети, подвергшиеся крупным атакам в течение двух кварталов подряд, включают Ethereum, BNB Chain, Fantom и Avalanche.

Сеть BNB подверглась наибольшему количеству атак, с 16 эксплойтами, и все соответствующие проекты не прошли аудит. Сумма денег, связанная с этими 16 эксплойтами, относительно невелика: 14 инцидентов привели к единовременному убытку менее 500 000 долларов США.

После резкого падения TVL с мая по июнь в этом квартале тенденция TVL в сетях стабилизировалась. TVL продемонстрировал небольшую тенденцию к росту в период с конца июля по начало августа, который также был периодом с наибольшим количеством атак и потерь в этом квартале. Криптовалютный рынок в целом немного снизился в сентябре. После слияния Ethereum 15 сентября TVL Ethereum постоянно немного снижался.

5. Анализ типов атак

92 % потерянной суммы были вызваны использованием уязвимостей в контрактах и ​​компрометацией закрытого ключа

В третьем квартале эксплойты контрактов по-прежнему оставались наиболее распространенным типом атак. Около 15 атак являются эксплойтами уязвимостей по контракту, что составляет 40,5% от общего числа. Общие убытки от уязвимостей контрактов составили 201,6 млн долларов США, или 50,9 % от общих убытков.

Четыре компрометации закрытых ключей в этом квартале привели к убыткам примерно в размере 167,24 млн долларов США, что является вторым по величине размером убытков после эксплойтов контрактных уязвимостей.

По сравнению с предыдущим кварталом типы атак в этом квартале были более разнообразными. Новые типы атак, появившиеся в этом квартале, включают перехват BGP, неправильную конфигурацию и атаки на цепочку поставок.

Рыночная доля убытков в третьем квартале по типам атак

Доля рынка в третьем квартале по типам атак

Что касается уязвимостей контрактов, то основные уязвимости, использованные в этом квартале, включают: проблемы с проверкой, повторный вход, проблемы с разрешениями, неправильно спроектированную бизнес-логику или функции и уязвимости переполнения. Все эти уязвимости можно обнаружить и исправить на этапе аудита.

Сумма убытков за 3 кв. считать по контрактным уязвимостям

6. Краткий обзор типичного инцидента безопасности

6.1 Инцидент на Nomad Bridge стоимостью 190 миллионов долларов

2 августа Nomad Bridge, межсетевая платформа, которая поддерживает передачу активов через Ethereum, Moonbeam, Avalanche, Evmos и Milkomeda, подверглась масштабному взлому, который стоил проекту 190 млн долларов.

6.2 Инцидент с кошельком Slope на Солане

3 августа на Солане произошел крупный инцидент с кражей кошелька Slope, ущерб от которого оценивается примерно в 6 млн долларов США.

6.3 Инцидент с компрометацией закрытого ключа Wintermute

20 сентября компания Wintermute, занимающаяся рынком криптовалют, подверглась атаке и понесла убытки в размере 160 млн долларов из-за компрометации закрытого ключа.

7. Анализ движения средств

Приблизительно 204,2 млн долларов украденных средств перетекло в Tornado Cash

8 августа Управление по контролю за иностранными активами Министерства финансов США (OFAC) наложило санкции на Tornado Cash, запретив физическим или юридическим лицам США взаимодействовать с ним. В третьем квартале 2022 года в Tornado Cash по-прежнему поступало около 204,2 млн долларов украденных средств, что составляет 50,4 % от украденных в этом квартале средств, что меньше, чем во втором квартале.

Приблизительно 182,3 миллиона долларов украденных средств остались на адресе хакера в качестве остатка. Некоторые украденные средства были переведены на адреса в других цепочках, и эта часть по-прежнему считается балансом адреса хакера.

Активы на сумму около 16,6 миллионов долларов были возвращены в результате переговоров в сети и незапрошенных возвратов от белых хакеров. В третьем квартале 2022 г. было возвращено лишь около 4 % украденных средств, что намного ниже, чем во втором квартале.

Около 1,92 миллиона долларов украденных активов перетекло на такие биржи, как Binance и FixedFloat. В таких инцидентах обычно участвовало небольшое количество активов (обычно от 10 до 100 тысяч долларов), и хакеры переводили украденные средства на биржи сразу после атаки, в результате чего проекты не могли вовремя связаться с биржами, чтобы заморозить средства.< /p>

Потоки средств в третьем квартале

8. Аудит проекта

Только 40 % проектов прошли аудит

В 2022 г. процент проверенных проектов составил: 70 % в первом квартале, 52 % во втором квартале и 40 % в третьем квартале. Доля неаудированных rekt-проектов увеличивается ежеквартально.

Независимо от того, прошли ли аудит — учитывайте

Проверено ли — сумма

Из всех rekt-проектов проверенные проекты потеряли в общей сложности 375,48 млн долларов США, а неаудированные проекты потеряли около 29,56 млн долларов США в результате атак. На первый взгляд может показаться, что аудиты не служат для защиты безопасной работы проектов. Однако более глубокий анализ показывает, что большинство из этих проверенных проектов подвергались атакам внедоговорного уровня, таким как компрометация закрытого ключа, атаки на цепочку поставок, DNS-атаки, перехват BGP и неправильная конфигурация. Среди неаудированных проектов 85 % были вызваны уязвимостями контрактов или атаками с быстрым кредитом.

Можно видеть, что профессиональные аудиты по-прежнему в некоторой степени эффективны для обеспечения безопасности проекта на уровне контракта, однако безопасная работа протокола также требует хорошей работы по контролю рисков в автономном режиме, сохранности закрытого ключа, предупреждению о традиционной сети. атак безопасности и осторожно используйте сторонние компоненты. Конечно, в этом квартале некоторые уязвимости должны были быть обнаружены на этапе аудита, но не были представлены в аудиторском отчете, поэтому рекомендуется, чтобы проект обратился к профессиональной охранной компании для проведения аудита.

Об Альянсе безопасности блокчейна

Альянс по безопасности блокчейна был запущен несколькими подразделениями с различным отраслевым опытом, включая университетские учреждения, компании по обеспечению безопасности блокчейна, отраслевые ассоциации, поставщиков финтех-услуг и т. д. В первую группу совета альянса входят Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit и Huawei Cloud. В настоящее время членами являются Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive и Digital Treasures Center. Члены Security Alliance будут работать и сотрудничать, чтобы постоянно обеспечивать безопасность глобальной блокчейн-экосистемы с помощью своих технических возможностей. Совет Альянса также приглашает людей, работающих в областях, связанных с блокчейном, присоединиться к ним и совместно защищать безопасность экосистемы блокчейна.

Регистрация Альянса

https://forms.gle/pb3NaUgS3a2Sswnc8

Контакт

Телеграмма:@kristenbeosin, @Web3Donny

Электронная почта: market@beosin.com

Член Альянса — Беосин

Beosin – ведущая международная компания по обеспечению безопасности блокчейнов со штаб-квартирой в Сингапуре, в которой работают более 100 экспертов по формальной проверке и обеспечению безопасности блокчейнов. С миссией «Защита экосистемы Web3.0» Beosin предоставляет интегрированные продукты и услуги для обеспечения безопасности блокчейна, включая аудит безопасности кода, мониторинг рисков, оповещение и т.д. блокировка для проектов, соответствие требованиям безопасности KYT & KYC и возвращение украденных активов. В настоящее время Beosin предоставляет услуги по обеспечению безопасности более чем 2000 блокчейн-компаний по всему миру, провела аудит более 2500 смарт-контрактов и защитила активы клиентов на сумму более 500 млрд долларов.

Член Альянса — Аналитика следа

Footprint Analytics – это инструмент для обнаружения и визуализации данных в блокчейне, включая данные NFT и GameFi. В настоящее время он собирает, анализирует и очищает данные из 18 цепочек и позволяет пользователям создавать диаграммы и информационные панели без кода, используя интерфейс перетаскивания, а также с помощью SQL или Python.

Также опубликовано здесь< /p>


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE