Aliansi Keamanan Blockchain Q3 2022 Laporan Keamanan Blockchain

1 Q3 2022 BlockchainIkhtisar Keamanan

Sebanyak 37 eksploitasi besar dipantau, dengan total kerugian sekitar $405 juta

Pada kuartal ketiga tahun 2022, Beosin EagleEye memantau lebih dari 37 serangan besar di ruang Web3, dengan total kerugian sekitar $405 juta, turun sekitar 43,6% dari $718,34 juta pada Q2 2022, dan penurunan sebesar 59,6% dari kerugian sebesar $1.002,58 juta pada Q3 2021.

Dari Januari hingga September 2022, aset yang hilang di ruang Web3 akibat serangan berjumlah $2.317,91 juta.

Q over/on Q pertumbuhan

Dalam hal setiap bulan, Juli mengalami penurunan serangan yang signifikan, menjadikannya jumlah kerugian paling sedikit dari serangan sejak 2022. Aktivitas peretas meningkat secara signifikan pada Agustus dan September.

Dalam hal jenis proyek , 92% dari jumlah yang hilang berasal dari jembatan lintas rantai dan protokol DeFi. 22 dari 37 serangan terjadi di ruang DeFi.

Dalam hal TVL , setelah TVL turun tajam dari Mei hingga Juni, tren TVL setiap rantai cenderung stabil pada kuartal ini. Akhir Juli hingga awal Agustus menunjukkan sedikit tren kenaikan di TVL, yang juga merupakan periode dengan jumlah serangan dan jumlah kerugian tertinggi di kuartal ini.

Dalam hal rantai, jumlah kerugian pada Ethereum mencapai $374,28 juta pada kuartal ini, terhitung 92% dari total kerugian. Chain yang paling sering diserang adalah BNB Chain yang mencapai 16 kali.

Dalam hal jenis serangan, 92% dari jumlah kerugian disebabkan oleh eksploitasi kerentanan kontrak dan kompromi kunci pribadi.

Dalam hal aliran dana, sekitar $204,2 juta dari dana yang dicuri mengalir ke Tornado Cash, terhitung sekitar 50,4% dari dana yang dicuri pada kuartal tersebut. Hanya sekitar 4% dari dana yang dicuri yang dapat dipulihkan selama kuartal tersebut.

Dalam hal audit, hanya 40% proyek rekt yang diaudit.

2  Ringkasan eksploitasi

Serangan keseluruhan turun di Q3 dibandingkan dengan Q2

Pada Q3 2022, 37 serangan besar dipantau di ruang Web3, dengan total kerugian sekitar $405 juta. Ada dua serangan dengan kerugian $100 juta atau lebih, tiga serangan dengan kerugian $10 juta atau lebih, dan 14 serangan dengan kerugian $1 juta atau lebih. Insiden keamanan dengan kerugian lebih dari $100 juta adalahJembatan Nomad ($190 juta) danBisu musim dingin ($160 juta).

Jumlah kerugian Q3 berdasarkan proyek

Agustus 2022 adalah bulan paling aktif bagi peretas pada kuartal tersebut, dengan kerugian sekitar $210,62 juta. Total kerugian akibat serangan pada Juli mencapai $30,05 juta, menjadikannya jumlah kerugian terendah dalam sebulan sejak 2022.

Q3 jumlah kerugian bulanan & menghitung

3  Jenis proyek rekt

Jembatan lintas rantai dan proyek DeFi menyumbang 92% dari jumlah kerugian

Jumlah & kerugian Q3 menghitung berdasarkan kategori

Pada kuartal ketiga tahun 2022, tiga serangan jembatan lintas rantai mengakibatkan kerugian total sekitar $190,25 juta; 22 serangan di ruang DeFi mengakibatkan kerugian total sebesar $186,79 juta. Sekitar 92% dari jumlah kerugian serangan berasal dari jembatan lintas rantai dan protokol DeFi.

Pada September 2022, ada 10 insiden keamanan jembatan lintas rantai utama pada tahun 2022, dengan kerugian lebih dari $1,4 miliar. Jembatan lintas rantai adalah area yang paling terpengaruh oleh serangan pada tahun 2022.

Selain jembatan lintas rantai dan protokol DeFi, jenis proyek lain yang diserang pada kuartal ini termasuk NFT, bursa, DAO, dompet, dan bot MEV, menjadikan jenis keseluruhannya lebih beragam daripada kuartal sebelumnya.

4  Jumlah kerugian berdasarkan rantai

Kerugian pada Ethereum berjumlah $374,3 juta

Jumlah & kerugian Q3 menghitung dengan rantai

12 serangan besar terjadi pada Ethereum pada kuartal ini, dengan total kerugian sebesar $374,28 juta, peringkat pertama di antara semua rantai. Solana kehilangan $18,37 juta dari 3 eksploitasi.

Rantai dengan serangan besar dalam dua kuartal berturut-turut termasuk Ethereum, BNB Chain, Fantom, dan Avalanche.

BNB Chain melihat serangan terbanyak, dengan 16 eksploitasi, dan proyek terkait semuanya tidak diaudit. Jumlah uang yang terlibat dalam 16 eksploitasi ini relatif kecil, dengan 14 insiden yang melibatkan satu kerugian kurang dari $500.000.

Setelah mengalami penurunan tajam pada TVL dari Mei hingga Juni, tren TVL di seluruh rantai menjadi stabil pada kuartal ini. TVL menunjukkan sedikit tren kenaikan pada periode akhir Juli hingga awal Agustus, yang juga merupakan periode dengan jumlah serangan dan kerugian terbanyak pada kuartal ini. Pasar crypto umumnya bergerak sedikit ke bawah pada bulan September. Setelah penggabungan Ethereum pada 15 September, Ethereum TVL mengalami sedikit penurunan terus menerus.

Rantai TVL

5  Analisis Jenis Serangan

92% dari jumlah yang hilang disebabkan oleh eksploitasi kerentanan kontrak dan kompromi kunci pribadi

Jumlah & kerugian Q3 dihitung berdasarkan jenis serangan

Di kuartal ketiga, eksploitasi kontrak terus menjadi jenis serangan yang paling umum. Sekitar 15 serangan adalah eksploitasi kerentanan kontrak, terhitung 40,5 persen dari jumlah total. Total kerugian dari kerentanan kontrak mencapai $201,6 juta, atau 50,9 persen dari total kerugian.

Empat kompromi kunci privat pada kuartal ini menghasilkan kerugian sekitar $167,24 juta, jumlah kerugian terbesar kedua setelah eksploitasi kerentanan kontrak.

Dibandingkan dengan kuartal sebelumnya, jenis serangan pada kuartal ini lebih beragam. Jenis serangan baru yang muncul pada kuartal ini termasuk pembajakan BGP, kesalahan konfigurasi, dan serangan rantai pasokan.

Pangsa pasar Q3 dari jumlah kerugian berdasarkan jenis serangan

Jumlah pangsa pasar Q3 berdasarkan jenis serangan

Berdasarkan kerentanan kontrak, kerentanan utama yang dieksploitasi pada kuartal ini meliputi: masalah validasi, reentrancy, masalah izin, logika atau fungsi bisnis yang tidak dirancang dengan benar, dan kerentanan luapan. Semua kerentanan ini dapat ditemukan dan diperbaiki selama fase audit.

Jumlah & kerugian Q3 dihitung berdasarkan kerentanan kontrak

6  Rekapitulasi Insiden Keamanan Umum

6.1  Jembatan PengembaraInsiden $190 Juta

Pada tanggal 2 Agustus, Nomad Bridge, platform lintas rantai yang mendukung transfer aset melintasi Ethereum, Moonbeam, Longsor, Evmos, dan Milkomeda, mengalami peretasan besar-besaran yang menelan biaya proyek $190 juta.

6.2  KemiringanInsiden Dompet di Solana

Pada tanggal 3 Agustus, insiden pencurian dompet Slope berskala besar terjadi di Solana, dengan kerugian diperkirakan sekitar $6 juta.

6.3Bisu musim dinginInsiden Kompromi Kunci Pribadi

Pada tanggal 20 September, pembuat pasar crypto Wintermute diserang dengan kerugian $160 juta karena kompromi kunci pribadi.

7  Analisis Aliran Dana

Sekitar $204,2 juta dana curian mengalir ke Tornado Cash

Pada 8 Agustus, Departemen Pengawasan Aset Asing (OFAC) Departemen Keuangan AS memberikan sanksi Tornado Cash, melarang individu atau organisasi AS untuk berinteraksi dengannya. Pada kuartal ketiga tahun 2022, sekitar $204,2 juta dana curian masih mengalir ke Tornado Cash, mewakili 50,4 persen dari dana yang dicuri pada kuartal tersebut, lebih rendah dari kuartal kedua.

Sekitar $182,3 juta dari dana yang dicuri tetap berada di alamat peretas sebagai saldo. Beberapa dana yang dicuri dijembatani ke alamat di rantai lain, dan bagian ini masih dihitung sebagai saldo alamat peretas.

Sekitar $16,6 juta aset dipulihkan melalui negosiasi on-chain dan pengembalian yang tidak diminta dari peretas whitehat. Pada kuartal ketiga tahun 2022, hanya sekitar 4% dari dana yang dicuri yang dapat dipulihkan, persentase yang jauh lebih rendah daripada kuartal kedua.

Sekitar $1,92 juta aset curian mengalir ke bursa seperti Binance dan FixedFloat. Insiden seperti itu umumnya melibatkan sejumlah kecil aset (biasanya sekitar $10K hingga $100K) dan peretas mentransfer dana yang dicuri ke bursa segera setelah serangan, mengakibatkan proyek gagal menghubungi bursa tepat waktu untuk membekukan dana.

aliran dana Q3

8  Analisis Audit Proyek

Hanya 40% proyek yang diaudit

Pada tahun 2022, persentase proyek rekt yang diaudit adalah: 70% pada triwulan I, 52% pada triwulan II, dan 40% pada triwulan III. Persentase proyek rekt unaudited menunjukkan tren peningkatan triwulan demi triwulan.

Apakah diaudit - hitung

Apakah diaudit – jumlah

Dari semua proyek rekt, proyek yang diaudit kehilangan total $375,48 juta dan proyek yang tidak diaudit kehilangan sekitar $29,56 juta dalam serangan. Sekilas, tampaknya audit tidak berfungsi untuk melindungi pengoperasian proyek yang aman. Namun, analisis yang lebih dalam menunjukkan bahwa sebagian besar proyek yang diaudit ini diserang oleh masalah tingkat non-kontrak seperti kompromi kunci pribadi, serangan rantai pasokan, serangan DNS, pembajakan BGP, dan kesalahan konfigurasi. Di antara proyek yang tidak diaudit, 85% disebabkan oleh kerentanan kontrak atau serangan flashloan.

Dapat dilihat bahwa audit profesional masih efektif dalam mengamankan proyek di tingkat kontrak sampai batas tertentu, namun, pengoperasian protokol yang aman juga memerlukan pekerjaan yang baik dalam pengendalian risiko offline, mengamankan kunci pribadi, waspada terhadap jaringan tradisional serangan keamanan, dan gunakan komponen pihak ketiga dengan hati-hati. Tentu saja, pada kuartal ini juga terdapat beberapa kerentanan yang seharusnya ditemukan pada tahap audit tetapi tidak disajikan dalam laporan audit, sehingga disarankan agar proyek mencari perusahaan keamanan profesional untuk melakukan audit.

Tentang Aliansi Keamanan Blockchain

Aliansi Keamanan Blockchain diluncurkan oleh beberapa unit dengan latar belakang industri yang beragam, termasuk institusi universitas, perusahaan keamanan blockchain, asosiasi industri, penyedia layanan fintech, dll. Batch pertama dewan aliansi termasuk Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay , Kustodian Onchain, Semisand, Coinhako, ParityBit, dan Huawei Cloud. Anggota saat ini meliputi: Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive, dan Digital Treasures Center. Anggota Aliansi Keamanan akan bekerja dan bekerja sama bersama untuk terus mengamankan ekosistem blockchain global dengan kekuatan teknis mereka sendiri. Dewan Aliansi juga menyambut lebih banyak orang di bidang terkait blockchain untuk bergabung dan bersama-sama mempertahankan keamanan ekosistem blockchain.

Pendaftaran Aliansi

https://forms.gle/pb3NaUgS3a2Sswnc8

Kontak

Telegram：@kristenbeosin, @Web3Donny

Email: [email protected]

Anggota Aliansi - Beosin

Beosin adalah perusahaan keamanan blockchain global terkemuka yang berbasis di Singapura dengan 100+ pakar keamanan dalam verifikasi formal dan keamanan blockchain. Dengan misi "Mengamankan Ekosistem Web3.0", Beosin menyediakan produk dan layanan keamanan blockchain terintegrasi termasuk audit keamanan kode, pemantauan risiko, peringatan & pemblokiran untuk proyek, kepatuhan keamanan KYT & KYC, dan pengembalian aset curian. Beosin saat ini telah menyediakan layanan keamanan untuk lebih dari 2.000 perusahaan blockchain di seluruh dunia, mengaudit lebih dari 2.500 kontrak cerdas, dan melindungi lebih dari $500 miliar aset untuk klien.

Anggota Aliansi - Footprint Analytics

Footprint Analytics adalah alat untuk mengungkap dan memvisualisasikan data di seluruh blockchain, termasuk data NFT dan GameFi. Saat ini mengumpulkan, mem-parsing, dan membersihkan data dari 18 rantai dan memungkinkan pengguna membuat bagan dan dasbor tanpa kode menggunakan antarmuka seret dan lepas serta dengan SQL atau Python.

Sumber data: https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

Unduh laporan lengkap:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf