التقرير السنوي لحالة أمان Web3 Blockchain لعام 2024

الأطعمة الخفيفة رقم 6

كمية الخسارة: 62.5 مليون دولار

أسلوب الهجوم: هجوم الهندسة الاجتماعية

في 26 مارس 2024، تعرضت منصة ألعاب Web3 المبنية على Blast Munchables لهجوم، مما تسبب في خسارة ما يقرب من 62.5 مليون دولار أمريكي. تعرض المشروع للهجوم لأنه تم تعيين قراصنة من كوريا الشمالية كمطورين. تم إرجاع جميع الأموال المسروقة في النهاية من قبل المتسللين.

رقم 7 BTCTurk

كمية الخسارة: 55 مليون دولار أمريكي

طريقة الهجوم: تسرب المفتاح الخاص

في 22 يونيو 2024، تعرضت بورصة العملات المشفرة التركية BTCTurk للهجوم، مما أدى إلى خسارة ما يقرب من 55 مليون دولار أمريكي. ساعدت Binance في تجميد أكثر من 5.3 مليون دولار من الأموال المسروقة.

رقم 8 رأس المال المشع

الخسارة المبلغ: 53 مليون دولار أمريكي

طريقة الهجوم: تسرب المفتاح الخاص

17 أكتوبر 2024، بروتوكول الإقراض متعدد السلاسل Radiant تمت مهاجمة Capital، وحصل المهاجم بشكل غير قانوني على أذونات ثلاثة مالكين في محفظة Radiant Capital متعددة التوقيع. نظرًا لأن المحفظة متعددة التوقيع تتبنى وضع التحقق من التوقيع 3/11، يستخدم المهاجم هذه المفاتيح الخاصة الثلاثة لتنفيذ التوقيعات خارج السلسلة، ثم يبدأ معاملة على السلسلة لنقل ملكية عقد Radiant Capital إلى عقد ضار سيطر عليها المهاجم، مما تسبب في خسائر تزيد عن 53 مليون دولار.

رقم 9 تمويل التحوط

الخسارة المبلغ: 44.7 مليون دولار

أسلوب الهجوم: ثغرة العقد

19 أبريل 2024، شركة Hedgey Finance شن المهاجم هجمات متعددة. استغل المهاجم ثغرة الموافقة على الرمز المميز لسرقة عدد كبير من الرموز المميزة في عقد ClaimCampaigns، وتبلغ قيمة الرموز المميزة المسروقة من سلسلة Ethereum أكثر من 2.1 مليون دولار، وتبلغ قيمة الرموز المميزة المسروقة من سلسلة Arbitrum حوالي 42.6 مليون دولار.

رقم 10 BingX

كمية الخسارة: 44.7 مليون دولار

طريقة الهجوم: تسرب المفتاح الخاص

في 19 سبتمبر 2024، تم اختراق المحفظة الساخنة لتبادل BingX. على الرغم من أن BingX أطلقت خطة طوارئ، بما في ذلك التحويل الطارئ للأصول وتعليق عمليات السحب، وفقًا لإحصائيات Beosin، فقد بلغ إجمالي خسارة الأصول من التدفق غير الطبيعي للمحافظ الساخنة ما يصل إلى 44.7 مليون دولار أمريكي، وكانت الأصول المسروقة متورطة في Ethereum، BNB Chain، Tron، Polygon، Avalanche، Base انتظر العديد من سلاسل الكتل.

3 نوع المشروع

2024 بالإضافة إلى الأنواع الشائعة مثل DeFi وCEX وDEX والسلاسل العامة والجسور عبر السلاسل والمحافظ، ظهرت أيضًا أنواع المشاريع التي تمت مهاجمتها في عام 2018 في منصات الدفع ومنصات المقامرة ووسطاء العملات المشفرة والبنية التحتية ومديري كلمات المرور وأدوات التطوير ، MEV على أنواع المشاريع المختلفة مثل الروبوتات وروبوتات TG.

تعرضت مشاريع DeFi للهجوم 75 مرة في عام 2024، مما يجعلها نوع المشروع الأكثر تعرضًا للهجمات (حوالي 50.70%). يبلغ إجمالي الخسارة الناجمة عن هجمات DeFi حوالي 390 مليون دولار أمريكي، وهو ما يمثل حوالي 15.50% من جميع الخسائر، وهو نوع المشروع صاحب رابع أكبر خسارة.

إن مبلغ الخسارة رقم 1 هو CEX (البورصة المركزية). تسببت 10 هجمات في خسارة إجمالية تبلغ حوالي 724 مليون دولار أمريكي، مما يجعله نوع المشروع الذي يعاني من أكبر خسارة. مجتمعة، ستواجه أنواع التبادل حوادث أمنية متكررة في عام 2024، ويظل أمان التبادل هو التحدي الأكبر لنظام Web3 البيئي.

وكانت الخسارة الثانية الأكبر من المحافظ الشخصية، حيث بلغ إجمالي الخسارة حوالي 445 مليون دولار أمريكي. تسببت 12 هجمة ضد حيتان العملات المشفرة وعدد كبير من هجمات التصيد الاحتيالي وهجمات الهندسة الاجتماعية ضد المستخدمين العاديين في ارتفاع إجمالي الخسارة في المحافظ الشخصية بنسبة 464.72% مقارنة بعام 2023، مما يجعلها ثاني أكبر تحدٍ بعد أمن البورصة.

4 حجم الخسارة

مقارنة بعام 2023، أنواع السلاسل العامة التي وقعت فيها الهجمات في 2024 أيضًا أكثر انتشارًا. الخمسة الأوائل من حيث مقدار الخسارة هم Ethereum وBitcoin وArbitrum وRipple وBlast:

الستة الأوائل وفقًا لعدد حوادث الهجوم هي

إيثريوم، سلسلة BNB، Arbitrum، أخرى، Base، Solana:

كما هو الحال في عام 2023، لا تزال Ethereum هي السلسلة العامة ذات أعلى خسارة. تسببت 66 هجمة على إيثريوم في خسائر تقدر بحوالي 844 مليون دولار، وهو ما يمثل 33.59% من إجمالي الخسائر لهذا العام.

ملاحظة: إجمالي بيانات الخسارة لا يشمل خسائر التصيد الاحتيالي على السلسلة وبعض خسائر محفظة CEX الساخنة

احتلت خسائر شبكة البيتكوين المرتبة الثانية، حدث أمان واحد وصلت الخسارة 238 مليون دولار. وفي المركز الثالث جاءت شركة Arbitrum بخسائر إجمالية بلغت حوالي 114 مليون دولار.

5 التحليل

تتنوع أساليب الهجوم في عام 2024 بشكل كبير، بالإضافة إلى هجمات الثغرات الأمنية الشائعة، هناك الكثير أساليب الهجوم، بما في ذلك:هجوم سلسلة التوريد، والهجوم على مقدمي خدمات الطرف الثالث، وهجوم الوسيط، ونظام أسماء النطاقات (DNS) الهجمات، والهجمات الأمامية، وما إلى ذلك.

في عام 2024، تسببت 35 حادثة تسرب للمفتاح الخاص في خسارة إجمالية قدرها 1.306 مليار دولار أمريكي، وهو ما يمثل 51.96% من إجمالي الخسارة. %، هي طريقة الهجوم التي تسبب أكبر قدر من الخسائر. تشمل تسريبات المفاتيح الخاصة التي تسببت في خسائر كبيرة: DMM Bitcoin (304 مليون دولار)، PlayDapp (290 مليون دولار)، المؤسس المشارك لشركة Ripple كريس لارسون (112 مليون دولار)، BTCTurk (55 مليون دولار)، Radiant Capital (53 مليون دولار)، BingX (44.7 مليون دولار). ) ، DEXX (21 مليون دولار).

استغلال ثغرات العقود هو أسلوب الهجوم الأكثر شيوعًا ومن بين 131 هجمة، جاءت 76 منها من استغلال ثغرات العقود، وبلغت النسبة 58.02 %. وبلغ إجمالي الخسارة الناجمة عن ثغرات العقود ما يقرب من 321 مليون دولار، لتحتل المرتبة الثالثة من حيث حجم الخسارة.

وفقًا لتقسيم الثغرات الأمنية، النقاط التي تحدث بشكل متكرر وتتسبب في أكبر قدر من الخسائر هي الثغرات الأمنية في منطق الأعمال، حوالي 53.95% من حوادث الثغرات الأمنية في العقود جاء مبلغ الخسائر من الثغرات الأمنية في منطق الأعمال، مما تسبب في خسارة إجمالية تبلغ حوالي 158 مليون دولار أمريكي.

6. تحليل حوادث غسيل الأموال النموذجية

6.1 حادث الأمن المالي لبولتر

ملخص الحادث

تحليل نقاط الضعف والتمويل

عقد LendingPool (0xd47ae558623638f676c1e38dad71b53054f54273) الذي تمت مهاجمته في هذا الحادث يستخدم 0x6808b5ce79d44e89 883c5393b487c4296abb69fe بمثابة أوراكل، الذي يستخدم عقد تغذية الأسعار الذي تم نشره مؤخرًا (0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe). يستخدم عقد تغذية الأسعار هذا احتياطيات الرمز المميز في عقد uniswapV2_pair (0xEc71) الذي يمكن للمهاجمين استخدامه للحصول على قروض سريعة لحساب السعر، لذا يكون العقد عرضة لهجمات التلاعب بالأسعار.

استخدم المهاجم القروض السريعة لرفع قيمة رموز $BOO المميزة بشكل خاطئ وإقراض أصول تشفير أخرى. بعد ذلك، قام المهاجم بتحويل الأموال المسروقة إلى رموز FTM، ثم ربطها بسلسلة ETH، وتخزين جميع الأموال على سلسلة ETH. فيما يلي رسم تخطيطي لعملية تدفق رأس المال على سلسلة ARB وسلسلة ETH:

في 20 نوفمبر، واصل المهاجم تحويل أكثر من 2,625 ETH إلى Tornado Cash، كما هو موضح في الشكل أدناه:

6.2 الحادث الأمني ​​لشركة BitForex

ملخص الحادث

في 23 فبراير 2024، كشف المحقق الشهير ZachXBT من خلال أدوات التحليل الخاصة به أن المحفظة الساخنة لـ BitForex شهدت تدفقًا خارجيًا بقيمة 56.5 مليون دولار أمريكي تقريبًا، وفي هذه العملية، علقت المنصة خدمات السحب.

تحليل الصندوق

يستخدم فريق أمان Beosin التتبع للتحليل تم تتبع الحدث من BitForex وتحليله بعمق:

Ethereum

Bitforex Exchange في 24 فبراير 2024 الساعة 6:11 (UTC+8) بدأت في تحويل 40,771 USDT و258,700 USDC و148.01 ETH و471,405 TRB إلى عنوان الهروب Ethereum (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f).

في وقت لاحق في 9 أغسطس، بتوقيت بكين، قام العنوان قيد التشغيل بنقل جميع الرموز المميزة باستثناء TRB (بما في ذلك 147.9 ETH و40,771 USDT و258,700 USDC) مرة أخرى إلى حساب Bitforex Exchange ( 0xcce7300829f49b8f2e4aee6123b12da64662a8b8).

ثم في الفترة من 9 نوفمبر إلى 10 نوفمبر بتوقيت بكين، قام العنوان قيد التشغيل بنقل 355000 TRB إلى أربعة مستخدمين مختلفين لتبادل OKX من خلال 7 معاملات:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

ثم قام العنوان قيد التشغيل بنقل كل TRB المتبقي البالغ 116,414.93 إلى عنوان نقل (0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)، ثم قام العنوان بنقل كل TRB إلى اثنين من مستخدمي تبادل Binance المختلفين في معاملتين:

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

سلسلة BNB

في 24 فبراير، سحبت بورصة Bitforex 166 ETH و46,905 USDT و57,810 USDC إلى BNB. تمت تسوية عنوان السلسلة (0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f) حتى الآن.

Polygon

في 24 فبراير بتوقيت بكين، سحبت بورصة Bitforex 99,000 MATIC، و20,300 USDT و 1,700 USDC إلى عنوان سلسلة POL: 0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f.

من بينها، تم نقل 99000 MATIC إلى العنوان 0xcce7300829f49b8f2e4aee6123b12da64662a8b8 في 9 أغسطس وتم تعجيلها حتى الآن، وتم تعجيل عملات USDT وUSDC المتبقية حتى الآن .

TRON

سحب 44,000 TRX و657,698 قطعة نقدية من بورصة Bitforex في 24 فبراير عنوان سلسلة USDT إلى TRON TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o. في 9 أغسطس، سيتم نقل جميع الرموز المذكورة أعلاه مرة أخرى إلى عنوان مستخدم تبادل Bitforex: TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo.

البيتكوين

بدءًا من 24 فبراير، قام 16 عنوانًا من Bitforex بتحويل إجمالي 5.7 BTC إلى عنوان سلسلة BTC 3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2. قام هذا العنوان بنقل كل 5.7 BTC مرة أخرى إلى عنوان تبادل Bitforex في 9 أغسطس: 11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz.

للتلخيص، قامت بورصة Bitforex بتبادل 40,771 USDT و258,700 USDC و148.01 ETH و471,405 في 24 فبراير. تم نقل TRB إلى سلسلة ETH؛ وتم نقل 44,000 TRX و657,698 USDT إلى سلسلة TRON؛ وتم نقل 5.7 BTC إلى سلسلة BTC؛ وتم نقل 166 ETH و46,905 USDT و57,810 USDT إلى سلسلة BNB؛ تم نقل 1700 دولار أمريكي إلى سلسلة Polygon. في 9 أغسطس، تم نقل جميع الرموز المميزة لسلسلة BTC، وجميع الرموز المميزة لسلسلة TRON، وسلسلة ETH باستثناء رموز TRB مرة أخرى إلى بورصة Bitforex. في 9 و10 نوفمبر، تم نقل جميع الرموز البالغ عددها 471,405 TRB إلى 4 حسابات OKX و2 Binance. الحسابات. حتى الآن، تم نقل جميع الرموز المميزة لسلسلة ETH وسلسلة TRON وسلسلة BTC. هناك 166 ETH و46,905 USDT و57,810 USDC مودعة على BSC، كما تم إيداع 99,000 MATIC و20,300 USDT و1,700 USDC. على بول.

عنوان تبادل الوديعة المرفقة:

7.تحليل تدفق الأموال للأصول المسروقة

الأموال المسروقة طوال عام 2024 من الأموال، لا يزال هناك ما يقرب من 1.312 مليار دولار أمريكي في عنوان المتسلل (بما في ذلك التحويلات عبر السلاسل المتقاطعة والتشتت إلى عناوين متعددة)، وهو ما يمثل 52.20% من إجمالي الأموال المسروقة. مقارنة بالعام الماضي، من المرجح أن يستخدم المتسللون هذا العام سلاسل متعددة لغسل الأموال وتوزيع الأموال المسروقة على العديد من العناوين، بدلاً من استخدام خلاطات العملات مباشرة. مما لا شك فيه أن الزيادة في العناوين وتعقيد مسارات غسيل الأموال تجعل التحقيقات أكثر صعوبة بالنسبة لأطراف المشروع والهيئات التنظيمية.

تم استرداد ما يقرب من 531 مليون دولار أمريكي من الأموال المسروقة، وهو ما يمثل حوالي 21.13%. وفي عام 2023، سيتم استرداد ما يقرب من 295 مليون دولار.

تم تحويل حوالي 109 ملايين دولار من الأموال المسروقة إلى خلاطات العملات على مدار العام، وهو ما يمثل حوالي 4.34% من إجمالي الأموال المسروقة. منذ أن فرض مكتب مراقبة الأصول الأجنبية الأمريكي عقوبات على Tornado Cash في أغسطس 2022، انخفض مبلغ الأموال المسروقة المحولة إلى Tornado Cash بشكل كبير.

8 تحليل الوضع

من بين 131 حادثة هجوم، لم يتم تدقيق أطراف المشروع في 42 حادثة، و78 حادثة تم تدقيق أطراف المشروع المشاركة في الحوادث، ولا يمكن التأكد من حالة التدقيق لأطراف المشروع المشاركة في 11 حادثة.

من بين 42 مشروعًا لم يتم تدقيقها، شكلت حوادث ضعف العقود 30 حالة (حوالي 71.43%). ويشير هذا إلى أن المشاريع التي لا تخضع لعمليات تدقيق تكون أكثر عرضة للمخاطر الأمنية المحتملة. بالمقارنة، شكلت حوادث ضعف العقود 49 (حوالي 62.82٪) من 78 مشروعًا تمت مراجعته. وهذا يوضح أن التدقيق يمكن أن يحسن أمان المشروع إلى حد ما.

ومع ذلك، نظرًا لعدم وجود معايير تنظيمية كاملة في سوق Web3، فإن جودة التدقيق غير متساوية، والنتائج النهائية بعيدة كل البعد عن المتوقع. من أجل حماية أمن الأصول بشكل فعال، يوصى بتدقيق شركة أمنية محترفة قبل بدء تشغيل المشروع على الإنترنت.

9. تحليل السحب

في عام 2024، اكتشفت منصة Beosin Alert ما مجموعه 68 حدثًا رئيسيًا لسحب السجادة في النظام البيئي Web3. بدءًا من عام 2023، بلغ إجمالي المبلغ المعني حوالي 148 مليون دولار أمريكي، وهو انخفاض كبير من 388 مليون دولار أمريكي في عام 2023.

من حيث المبلغ، من بين 68 حادثة لسحب السجادة، كان إجمالي 9 مشاريع تنطوي على مبالغ تزيد عن مليون دولار أمريكي هي Essence Finance (20 مليون دولار أمريكي)، وShido Global (2.4 مليون دولار أمريكي)، ETHTTrustFund (2.2 مليون دولار أمريكي)، Nexera (1.8 مليون دولار أمريكي)، Grand Base (1.7 مليون دولار أمريكي)، SAGA Token (1.6 مليون دولار أمريكي)، OrdiZK (1.4 مليون دولار أمريكي)، MangoFarmSOL (1.29 مليون دولار أمريكي) وRiskOnBlast (1.25 مليون دولار)، بخسارة إجمالية قدرها 33.64 مليون دولار، وهو ما يمثل جميع منتجات Rug. 22.73% من المبلغ المفقود في حدث السحب.

مثلت مشاريع Rug Pull على Ethereum وBNB Chain 82.35% من العدد الإجمالي، و24 و32 على التوالي، وكان Scroll There سجادة واحدة تبلغ قيمتها أكثر من 20 مليون دولار أمريكي. لقد وقع عدد صغير من أحداث Rug Pull في سلاسل عامة أخرى، بما في ذلك: Polygon، وBASE، وSolana، وما إلى ذلك.

10، 2024 Web3 ملخص الوضع الأمني ​​لسلسلة الكتل

في عام 2024،أنشطة هجمات القراصنة على السلسلة وحفلات المشروعRug The عدد أحداث السحب أعلى من عام 2023 لقد حدث انخفاض كبير في العام الماضي، لكن حجم الخسائر ما زال في تزايد، وهجمات التصيد الاحتيالي أكثر انتشارًا. لا تزال طريقة الهجوم الأكثر تكلفة هي تسريب المفاتيح الخاصة. تشمل الأسباب الرئيسية لهذا التغيير ما يلي:

بعد أنشطة القرصنة المتفشية في العام الماضي، أولى نظام Web3 البيئي بأكمله مزيدًا من الاهتمام للأمان هذا العام، بدءًا من أطراف المشروع وحتى الأمان وقد تم بذل جهود من قبل الشركات في جوانب مختلفة، مثل المراقبة في الوقت الفعلي على السلسلة، وإيلاء المزيد من الاهتمام لعمليات التدقيق الأمني، والتعلم النشط من حوادث استغلال ثغرات العقود السابقة، مما يزيد من صعوبة سرقة الأموال من خلال ثغرات العقود على المتسللين. العام الماضي. ومع ذلك، تحتاج أطراف المشروع أيضًا إلى تعزيز الوعي الأمني فيما يتعلق بتخزين المفتاح الخاص وأمن تشغيل المشروع.

مع تكامل سوق التشفير والسوق التقليدي، لم يعد المتسللون يقتصرون على مهاجمة DeFi والجسور عبر السلاسل والبورصات وما إلى ذلك، بل أصبحوا التحول إلى مهاجمة منصات الدفع ومنصات المقامرة ووسطاء التشفير والبنية التحتية ومديري كلمات المرور وأدوات التطوير وروبوتات MEV وروبوتات TG والعديد من الأهداف الأخرى.

2024-2025، سوف يدخل سوق التشفير في سوق صاعدة، وستكون الأموال الموجودة في السلسلة نشطة، مما سيجذب المزيد من هجمات القراصنة إلى إلى حد معين . بالإضافة إلى ذلك، تتحسن السياسات التنظيمية للأصول المشفرة في مختلف المناطق تدريجيًا لمكافحة الأنشطة الإجرامية المختلفة التي تستخدم الأصول المشفرة. وفي ظل هذا الاتجاه، من المتوقع أن تظل أنشطة هجمات القراصنة عند مستوى عالٍ في عام 2025، ولا تزال وكالات إنفاذ القانون العالمية والسلطات التنظيمية تواجه تحديات شديدة.