تقرير أمان Blockchain Security Alliance Q3 2022

1 Q3 2022 Blockchainنظرة عامة على الأمان

تم رصد ما مجموعه 37 من برمجيات إكسبلويت الرئيسية ، مع خسارة إجمالية تقارب 405 مليون دوالر

في الربع الثالث من عام 2022 ، رصدت Beosin EagleEye أكثر من 37 هجومًا رئيسيًا في مساحة Web3 ، بإجمالي خسائر بلغت حوالي 405 مليون دولار ، بانخفاض حوالي 43.6٪ من 718.34 مليون دولار في الربع الثاني من عام 2022 ، وبانخفاض قدره 59.6٪ عن خسارة 1،002.58 مليون دولار. في الربع الثالث 2021.

من يناير إلى سبتمبر 2022 ، بلغ إجمالي الأصول المفقودة في مساحة Web3 بسبب الهجمات 2317.91 مليون دولار.

س على / على نمو Q

من حيث كل شهر ، شهد شهر يوليو انخفاضًا كبيرًا في الهجمات ، مما جعلها أقل مبلغ خسارة من الهجمات منذ عام 2022. زاد نشاط القرصنة بشكل كبير في أغسطس وسبتمبر.

من حيث أنواع المشاريع ، 92٪ من المبلغ المفقود جاء من الجسور عبر السلاسل وبروتوكولات DeFi. وقعت 22 من أصل 37 هجومًا في منطقة DeFi.

من حيث TVL ، بعد انخفاض حاد في TVL من مايو إلى يونيو ، اتجه اتجاه TVL لكل سلسلة إلى الاستقرار خلال هذا الربع. أظهر أواخر يوليو إلى أوائل أغسطس اتجاهًا تصاعديًا طفيفًا في TVL ، والتي كانت أيضًا الفترة التي شهدت أكبر عدد من الهجمات ومقدار الخسائر في هذا الربع.

من حيث السلاسل ، بلغ حجم الخسائر على Ethereum 374.28 مليون دولار هذا الربع ، وهو ما يمثل 92 ٪ من إجمالي الخسائر. كانت السلسلة الأكثر تعرضًا للهجوم هي BNB Chain ، والتي وصلت إلى 16 مرة.

من حيث أنواع الهجمات ، 92٪ من مبلغ الخسارة ناتج عن عمليات استغلال الثغرات الأمنية في العقد واختراق المفتاح الخاص.

من حيث تدفقات الأموال ، حوالي 204.2 مليون دولار من الأموال المسروقة تدفقت إلى تورنادو كاش ، وهو ما يمثل حوالي 50.4 ٪ من الأموال المسروقة في هذا الربع. تم استرداد حوالي 4٪ فقط من الأموال المسروقة خلال هذا الربع.

من حيث عمليات التدقيق ، تم تدقيق 40٪ فقط من مشاريع rekt.

2 نظرة عامة على عمليات استغلال الثغرات

انخفض إجمالي الهجمات في الربع الثالث مقارنة بالربع الثاني

في الربع الثالث من عام 2022 ، تمت مراقبة 37 هجومًا رئيسيًا في مساحة Web3 ، وبلغ إجمالي الخسائر حوالي 405 مليون دولار. ووقع هجومان بخسائر بلغت 100 مليون دولار أو أكثر ، وثلاث هجمات بخسائر 10 ملايين دولار أو أكثر ، و 14 هجوماً بخسائر مليون دولار أو أكثر. الحوادث الأمنية مع خسائر فاقت 100 مليون دولار كانتجسر البدوي (190 مليون دولار) وفصل الشتاء (160 مليون دولار).

مبلغ الخسارة Q3 حسب المشروع

كان أغسطس 2022 هو الشهر الأكثر نشاطًا للقراصنة في هذا الربع ، حيث بلغت الخسائر حوالي 210.62 مليون دولار. بلغ إجمالي الخسائر من هجمات يوليو 30.05 مليون دولار ، مما يجعلها أقل قدر من الخسائر في شهر منذ 2022.

Q3 مبلغ الخسارة الشهرية & amp؛ عدد

3 أنواع من مشاريع rekt

تمثل الجسور المتقاطعة ومشاريع DeFi 92٪ من مبلغ الخسارة

مبلغ الخسارة Q3 & amp؛ العد حسب الفئة

في الربع الثالث من عام 2022 ، أسفرت ثلاث هجمات على الجسور عبر السلاسل عن خسارة إجمالية بلغت حوالي 190.25 مليون دولار ؛ أسفرت 22 هجومًا في مساحة DeFi عن خسارة إجمالية قدرها 186.79 مليون دولار. جاء ما يقرب من 92٪ من مقدار خسارة الهجوم من الجسر عبر السلاسل وبروتوكولات DeFi.

اعتبارًا من سبتمبر 2022 ، كانت هناك 10 حوادث أمنية رئيسية عبر السلاسل في عام 2022 ، مع خسائر تزيد عن 1.4 مليار دولار. كانت الجسور عبر السلاسل هي المنطقة الأكثر تضررًا من الهجمات في عام 2022.

بالإضافة إلى الجسور عبر السلاسل وبروتوكولات DeFi ، تضمنت الأنواع الأخرى من المشاريع التي تمت مهاجمتها هذا الربع ، NFTs ، والتبادلات ، و DAOs ، والمحافظ ، وروبوتات MEV ، مما يجعل أنواعها الإجمالية أكثر تنوعًا مما كانت عليه في الربع السابق.

4 مقدار الخسارة حسب السلسلة

تبلغ الخسائر على Ethereum 374.3 مليون دولار

مبلغ الخسارة Q3 & amp؛ عد حسب السلسلة

وقعت 12 هجومًا كبيرًا على Ethereum هذا الربع ، مع خسارة إجمالية قدرها 374.28 مليون دولار ، لتحتل المرتبة الأولى بين جميع السلاسل. خسر سولانا 18.37 مليون دولار من 3 مآثر.

سلاسل الهجمات الرئيسية في ربعين متتاليين تشمل Ethereum و BNB Chain و Fantom و Avalanche.

شهدت سلسلة BNB أكبر عدد من الهجمات ، مع 16 عملية استغلال ، وجميع مشاريعها المقابلة لم تخضع للتدقيق. حجم الأموال المتضمنة في هذه الاستغلال الـ 16 صغير نسبيًا ، مع 14 حادثة تنطوي على خسارة واحدة أقل من 500000 دولار.

بعد التعرض لانخفاض حاد في TVL من مايو إلى يونيو ، استقر اتجاه TVL عبر السلاسل هذا الربع. أظهر TVL اتجاهًا تصاعديًا طفيفًا في الفترة من أواخر يوليو إلى أوائل أغسطس ، والتي كانت أيضًا الفترة التي شهدت أكبر عدد من الهجمات والخسائر خلال هذا الربع. تحرك سوق العملات المشفرة بشكل عام إلى أسفل قليلاً في سبتمبر. بعد دمج Ethereum في 15 سبتمبر ، شهد Ethereum TVL انخفاضًا طفيفًا مستمرًا.

سلسلة TVL

5 تحليل أنواع الهجوم

92٪ من المبلغ المفقود ناتج عن عمليات استغلال الثغرات الأمنية في العقد واختراق المفتاح الخاص

مبلغ الخسارة Q3 & amp؛ العد حسب نوع الهجوم

في الربع الثالث ، استمرت ثغرات العقد في كونها النوع الأكثر شيوعًا للهجوم. حوالي 15 هجوماً عبارة عن برمجيات استغلال ثغرات تعاقدية ، وهي تمثل 40.5 بالمائة من العدد الإجمالي. بلغ إجمالي الخسائر من نقاط الضعف في العقود 201.6 مليون دولار ، أو 50.9 في المائة من إجمالي الخسائر.

نتج عن حلول المفاتيح الخاصة الأربعة خلال هذا الربع خسائر تقدر بحوالي 167.24 مليون دولار ، وهي ثاني أكبر قدر من الخسائر بعد عمليات استغلال الثغرات الأمنية في العقود.

مقارنة بالربع السابق ، كانت أنواع الهجمات في هذا الربع أكثر تنوعًا. تتضمن أنواع الهجمات الجديدة التي ظهرت في هذا الربع من العام ، اختطاف BGP والتهيئة الخاطئة وهجمات سلسلة التوريد.

Q3 حصة السوق من مبلغ الخسارة حسب نوع الهجوم

Q3 حصة السوق من العد حسب نوع الهجوم

من خلال الثغرات الأمنية في العقد ، تشمل نقاط الضعف الرئيسية التي تم استغلالها في هذا الربع: مشكلات التحقق من الصحة ، والعودة ، ومشكلات الأذونات ، ومنطق أو وظائف العمل المصممة بشكل غير صحيح ، ونقاط الضعف في التدفق الزائد. هذه الثغرات الأمنية قابلة للاكتشاف والإصلاح خلال مرحلة التدقيق.

مبلغ الخسارة Q3 & amp؛ العد حسب نقاط الضعف في العقد

6 ملخص حادثة أمنية نموذجية

6.1 جسر البدويحادثة بقيمة 190 مليون دولار

في 2 أغسطس ، عانت Nomad Bridge ، وهي منصة متعددة السلاسل تدعم عمليات نقل الأصول عبر Ethereum و Moonbeam و Avalanche و Evmos و Milkomeda ، من اختراق هائل كلف المشروع 190 مليون دولار.

6.2 المنحدرحادثة المحفظة على Solana

في 3 أغسطس ، وقعت حادثة سرقة محفظة على نطاق واسع في سولانا ، مع خسائر تقدر بحوالي 6 ملايين دولار.

6.3فصل الشتاءحادث اختراق المفتاح الخاص

في 20 سبتمبر ، تعرض صانع سوق العملات المشفرة Wintermute للهجوم بخسارة قدرها 160 مليون دولار بسبب تسوية المفتاح الخاص.

7 تحليل تدفق الأموال

ما يقرب من 204.2 مليون دولار من الأموال المسروقة تدفقت إلى تورنادو كاش

في 8 أغسطس ، فرض مكتب مراقبة الأصول الأجنبية التابع لوزارة الخزانة الأمريكية (OFAC) عقوبات على تورنادو كاش ، وحظر على الأفراد أو المنظمات الأمريكية التفاعل معها. في الربع الثالث من عام 2022 ، لا يزال ما يقرب من 204.2 مليون دولار من الأموال المسروقة يتدفق إلى تورنادو كاش ، وهو ما يمثل 50.4 في المائة من الأموال المسروقة في ذلك الربع ، وهو أقل مما كان عليه في الربع الثاني.

بقي ما يقرب من 182.3 مليون دولار من الأموال المسروقة في عنوان المتسلل كرصيد. تم تحويل بعض الأموال المسروقة إلى عناوين في سلاسل أخرى ، ولا يزال هذا الجزء يُحتسب كرصيد عنوان المخترق.

تم استرداد حوالي 16.6 مليون دولار من الأصول من خلال مفاوضات عبر السلسلة وعوائد غير مرغوب فيها من قراصنة قبعة بيضاء. في الربع الثالث من عام 2022 ، تم استرداد حوالي 4٪ فقط من الأموال المسروقة ، وهي نسبة أقل بكثير مما كانت عليه في الربع الثاني.

تدفق حوالي 1.92 مليون دولار من الأصول المسروقة إلى بورصات مثل Binance و FixedFloat. تضمنت مثل هذه الحوادث عمومًا مبلغًا صغيرًا من الأصول (عادةً ما بين 10 آلاف دولار إلى 100 ألف دولار) وقام المتسللون بتحويل الأموال المسروقة إلى البورصات فور وقوع الهجوم ، مما أدى إلى فشل المشاريع في الاتصال بالبورصات في الوقت المناسب لتجميد الأموال.

تدفقات الأموال Q3

8 تحليل تدقيق المشروع

تم تدقيق 40٪ فقط من المشاريع

في عام 2022 ، كانت النسبة المئوية لمشاريع rekt التي تم تدقيقها: 70٪ في الربع الأول ، و 52٪ في الربع الثاني ، و 40٪ في الربع الثالث. تظهر النسبة المئوية لمشاريع rekt غير المدققة اتجاهًا متزايدًا ربعًا تلو الآخر.

سواء تم تدقيقها - العد

سواء تم تدقيقها - المبلغ

من بين جميع مشاريع rekt ، خسرت المشاريع التي تم تدقيقها ما مجموعه 375.48 مليون دولار وخسرت المشاريع غير المدققة حوالي 29.56 مليون دولار في الهجمات. للوهلة الأولى ، قد يبدو أن عمليات التدقيق لم تعمل على حماية التشغيل الآمن للمشاريع. ومع ذلك ، يُظهر تحليل أعمق أن معظم هذه المشاريع التي تم تدقيقها قد تعرضت للهجوم من خلال مشكلات على المستوى غير التعاقدي مثل اختراق المفتاح الخاص وهجمات سلسلة التوريد وهجمات DNS واختطاف BGP والتهيئة الخاطئة. من بين المشاريع غير المدققة ، كان 85٪ ناتجًا عن نقاط ضعف في العقود أو هجمات إقلاع.

يمكن ملاحظة أن عمليات التدقيق المهنية لا تزال فعالة في تأمين المشروع على مستوى العقد إلى حد ما ، ومع ذلك ، فإن التشغيل الآمن للبروتوكول يتطلب أيضًا عملًا جيدًا للتحكم في المخاطر غير المتصلة بالإنترنت ، وحفظ المفتاح الخاص ، وكن متيقظًا للشبكة التقليدية الهجمات الأمنية واستخدام مكونات الجهات الخارجية بعناية. بالطبع ، في هذا الربع ، هناك أيضًا بعض الثغرات التي كان يجب اكتشافها في مرحلة التدقيق ولكن لم يتم عرضها في تقرير التدقيق ، لذلك يوصى بأن يسعى المشروع إلى شركة أمنية محترفة لإجراء التدقيق.

حول Blockchain Security Alliance

تم إطلاق Blockchain Security Alliance من قبل العديد من الوحدات ذات الخلفيات الصناعية المتنوعة ، بما في ذلك المؤسسات الجامعية وشركات أمان blockchain والجمعيات الصناعية ومقدمي خدمات fintech وما إلى ذلك. تشمل الدفعة الأولى من مجلس التحالف Beosin و SUSS NiFT و NUS AIDF و BAS و FOMO Pay و Onchain Custodian و Semisand و Coinhako و ParityBit و Huawei Cloud. يشمل الأعضاء الحاليون: جامعة Huobi و Moledao و Least Authority و PlanckX و Coding Girls و Coinlive و Footprint Analytics و Web3Drive و Digital Treasures Center. سيعمل أعضاء تحالف الأمان ويتعاونون معًا لتأمين النظام البيئي العالمي لـ blockchain بشكل مستمر من خلال نقاط القوة التقنية الخاصة بهم. يرحب مجلس التحالف أيضًا بمزيد من الأشخاص في المجالات المتعلقة بـ blockchain للانضمام والدفاع المشترك عن أمن نظام blockchain البيئي.

التسجيل في التحالف

https://forms.gle/pb3NaUgS3a2Sswnc8

اتصال

برقية ： kristenbeosin @ Web3Donny

البريد الإلكتروني: [email protected]

عضو التحالف - Beosin

Beosin هي شركة عالمية رائدة في مجال أمن blockchain ومقرها سنغافورة ولديها أكثر من 100 خبير أمن في التحقق الرسمي وأمن blockchain. من خلال مهمة & quot؛ Securing Web3.0 Ecosystem ”، توفر Beosin منتجات وخدمات أمان متكاملة من blockchain بما في ذلك تدقيق أمان الكود ومراقبة المخاطر والتنبيه & amp؛ الحجب للمشاريع والامتثال الأمني KYT & amp؛ اعرف عميلك ، واسترداد الأصول المسروقة. قدمت Beosin حاليًا خدمات أمنية لأكثر من 2000 مؤسسة blockchain في جميع أنحاء العالم ، وراجعت أكثر من 2500 عقد ذكي ، وحمت أكثر من 500 مليار دولار من الأصول للعملاء.

عضو التحالف - تحليلات البصمة

Footprint Analytics هي أداة للكشف عن البيانات وتصورها عبر blockchain ، بما في ذلك بيانات NFT و GameFi. يقوم حاليًا بجمع وتحليل وتنظيف البيانات من 18 سلسلة ويتيح للمستخدمين إنشاء مخططات ولوحات معلومات بدون تعليمات برمجية باستخدام واجهة السحب والإفلات وكذلك باستخدام SQL أو Python.

مصدر البيانات: https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

قم بتنزيل التقرير الكامل:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf