ブロックチェーン セキュリティ アライアンス 2022 年第 3 四半期ブロックチェーン セキュリティ レポート

1 2022 年第 3 四半期のブロックチェーンセキュリティの概要

合計で 37 件の主要なエクスプロイトが監視され、合計で約 4 億 500 万ドルの損失が発生しました

2022 年の第 3 四半期、Beosin EagleEye は Web3 スペースで 37 件を超える大規模な攻撃を監視し、損失総額は約 4 億 500 万ドルで、2022 年第 2 四半期の 7 億 1,834 万ドルから約 43.6% 減少し、1 兆 258 万ドルの損失からは 59.6% 減少しました。 2021 年第 3 四半期。

2022 年 1 月から 9 月までに、攻撃によって Web3 空間で失われた資産は、合計で 23 億 1,791 万ドルに達しました。

Qオーバー/Q成長

月ごとに言えば、 7 月は攻撃が大幅に減少し、2022 年以来、攻撃による損失額が最小になりました。ハッカーの活動は 8 月と 9 月に大幅に増加しました。

プロジェクトの種類について 、失われた金額の92％は、クロスチェーンブリッジとDeFiプロトコルからのものでした. 37 件の攻撃のうち 22 件が DeFi 空間で発生しました。

TVLに関しては 、5月から6月にかけてTVLが大幅に低下した後、この四半期の各チェーンのTVLの傾向は安定する傾向がありました。 TVL は 7 月下旬から 8 月上旬にかけてやや上昇傾向にあり、当四半期で最も攻撃数と損失額が多かった時期でもあります。

チェーンに関しては、 イーサリアムの損失額は、この四半期で 3 億 7,428 万ドルに達し、総損失の 92% を占めています。最も頻繁に攻撃されたチェーンは BNB チェーンで、16 回に達しました。

攻撃の種類に関しては、 損失額の 92% は、契約の脆弱性の悪用と秘密鍵の侵害が原因でした。

資金の流れについては、 盗まれた資金のうち約 2 億 420 万ドルが Tornado Cash に流れ込み、この四半期に盗まれた資金の約 50.4% を占めています。四半期中に回収されたのは、盗まれた資金の約 4% のみでした。

監査に関しては、 rekt プロジェクトの 40% のみが監査されました。

2 エクスプロイトの概要

全体的な攻撃は、第 2 四半期と比較して第 3 四半期に減少しました

2022 年第 3 四半期には、Web3 空間で 37 件の大規模な攻撃が監視され、合計で約 4 億 500 万ドルの損失が発生しました。 1 億ドル以上の損失が発生した攻撃が 2 件、1,000 万ドル以上の損失が発生した攻撃が 3 件、100 万ドル以上の損失が発生した攻撃が 14 件ありました。 1 億ドル以上の損失を伴うセキュリティ インシデントは、遊牧民橋 (1 億 9000 万ドル) とウィンターミュート （1億6000万ドル）。

プロジェクト別Q3損失額

2022 年 8 月は、この四半期でハッカーが最も活発に活動した月であり、約 2 億 1,062 万ドルの損失がありました。 7 月の攻撃による損失総額は 3,005 万ドルで、2022 年以来 1 か月で最低の損失額になりました。

Q3月間損失額＆カウント

3 rekt プロジェクトのタイプ

クロスチェーンブリッジとDeFiプロジェクトが損失額の92%を占める

Q3損失額＆カテゴリ別にカウント

2022 年の第 3 四半期には、3 つのクロスチェーン ブリッジ攻撃により、合計で約 1 億 9,025 万ドルの損失が発生しました。 DeFi スペースでの 22 件の攻撃により、合計で 1 億 8,679 万ドルの損失が発生しました。攻撃損失額の約 92% は、クロスチェーン ブリッジと DeFi プロトコルによるものでした。

2022 年 9 月の時点で、2022 年には 10 件の主要なクロスチェーン ブリッジ セキュリティ インシデントが発生し、14 億ドル以上の損失が発生しました。クロスチェーン橋は、2022 年に攻撃によって最も影響を受けた地域でした。

クロスチェーン ブリッジと DeFi プロトコルに加えて、この四半期に攻撃された他のタイプのプロジェクトには、NFT、取引所、DAO、ウォレット、MEV ボットが含まれており、前四半期よりも全体的なタイプが多様化しています。

4 チェーンごとの損失額

イーサリアムの損失は 3 億 7,430 万ドルにのぼります

Q3損失額＆チェーンで数える

今四半期、イーサリアムで 12 件の大規模な攻撃が発生し、合計で 3 億 7,428 万ドルの損失が発生し、すべてのチェーンの中で 1 位にランクされました。 Solana は 3 つのエクスプロイトで 1,837 万ドルを失いました。

2 四半期連続で大きな攻撃を受けたチェーンには、イーサリアム、BNB チェーン、ファントム、アバランチが含まれます。

BNB チェーンは、16 のエクスプロイトで最も多くの攻撃を確認しており、対応するプロジェクトはすべて未監査です。これら 16 件のエクスプロイトに関与した金額は比較的少額であり、14 件のインシデントで 1 回の損失が 50 万ドル未満でした。

5 月から 6 月にかけて TVL が急激に低下した後、チェーン全体の TVL の傾向はこの四半期で安定しました。 TVL は 7 月下旬から 8 月上旬にかけてわずかに上昇傾向にあり、この四半期で最も攻撃と損失額が多かった時期でもあります。 9 月の仮想通貨市場は全体的にわずかに下落しました。 9 月 15 日のイーサリアム統合後、イーサリアム TVL は継続的にわずかに下落しました。

チェイン TVL

5 攻撃タイプの分析

契約の脆弱性の悪用と秘密鍵の侵害による損失額の 92%

Q3損失額＆攻撃タイプ別にカウント

第 3 四半期も、コントラクト エクスプロイトが引き続き最も一般的な攻撃タイプでした。約 15 件の攻撃がコントラクトの脆弱性エクスプロイトであり、全体の 40.5% を占めています。契約の脆弱性による損失総額は 2 億 160 万ドルに達し、損失総額の 50.9% に達しました。

今四半期の 4 件の秘密鍵侵害により、約 1 億 6,724 万ドルの損失が発生しました。これは、契約の脆弱性の悪用に次いで 2 番目に大きな損失です。

前四半期と比較すると、今四半期の攻撃の種類はより多様化しています。この四半期に出現した新しい攻撃の種類には、BGP ハイジャック、構成ミス、サプライ チェーン攻撃などがあります。

Q3攻撃種別の損失額シェア

攻撃タイプ別カウントの第 3 四半期の市場シェア

契約上の脆弱性によると、この四半期に悪用された主な脆弱性には、検証の問題、再入可能性、許可の問題、不適切に設計されたビジネス ロジックまたは機能、およびオーバーフローの脆弱性が含まれます。これらの脆弱性はすべて、監査段階で発見および修正できます。

Q3損失額＆契約の脆弱性によってカウント

6 典型的なセキュリティ インシデントの要約

6.1 ノマドブリッジ1億9000万ドルの事件

8 月 2 日、Ethereum、Moonbeam、Avalanche、Evmos、Milkomeda にわたる資産転送をサポートするクロスチェーン プラットフォームである Nomad Bridge が大規模なハッキングに見舞われ、プロジェクトに 1 億 9000 万ドルの費用がかかりました。

6.2 スロープSolana のウォレット インシデント

8 月 3 日、Solana で大規模な Slope ウォレットの盗難事件が発生し、約 600 万ドルの損失が推定されました。

6.3ウィンターミュート秘密鍵侵害インシデント

9 月 20 日、仮想通貨のマーケット メーカーである Wintermute は、秘密鍵の侵害により 1 億 6000 万ドルの損失を被る攻撃を受けました。

7 資金の流れの分析

約 2 億 420 万ドルの盗まれた資金が Tornado Cash に流入

8 月 8 日、米国財務省の外国資産管理局 (OFAC) は Tornado Cash を認可し、米国の個人または組織がそれとやり取りすることを禁止しました。 2022 年の第 3 四半期には、約 2 億 420 万ドルの盗まれた資金がまだトルネード キャッシュに流れ込んでいました。

盗まれた資金のうち約 1 億 8,230 万ドルが、ハッカーのアドレスに残りました。盗まれた資金の一部は他のチェーンのアドレスにブリッジされており、この部分は依然としてハッカーのアドレス残高としてカウントされています.

約 1,660 万ドルの資産が、オンチェーンの交渉とホワイトハット ハッカーからの未承諾の返品を通じて回収されました。 2022 年の第 3 四半期には、盗まれた資金の約 4% しか回収されませんでした。これは、第 2 四半期よりもはるかに低い割合です。

盗まれた約 192 万ドルの資産が、Binance や FixedFloat などの取引所に流出しました。このようなインシデントには通常、少額の資産 (通常は約 1 万ドルから 10 万ドル) が関与しており、ハッカーは攻撃の直後に盗まれた資金を取引所に送金したため、プロジェクトは資金を凍結するのに間に合うように取引所に連絡できませんでした。

第3四半期の資金の流れ

8 プロジェクト監査分析

プロジェクトの 40% のみが監査されました

2022 年に監査された rekt プロジェクトの割合は、第 1 四半期で 70%、第 2 四半期で 52%、第 3 四半期で 40% でした。未監査の rekt プロジェクトの割合は、四半期ごとに増加傾向を示しています。

監査の有無 - カウント

監査の有無 – 金額

すべての rekt プロジェクトのうち、監査されたプロジェクトは合計で 3 億 7548 万ドルを失い、監査されていないプロジェクトは約 2956 万ドルを攻撃で失いました。一見すると、監査はプロジェクトの安全な運営を守るために役立っていないように見えるかもしれません。ただし、より詳細な分析により、これらの監査対象プロジェクトのほとんどが、秘密鍵の侵害、サプライ チェーン攻撃、DNS 攻撃、BGP ハイジャック、構成ミスなど、非契約レベルの問題によって攻撃されたことが示されています。未監査のプロジェクトの 85% は、契約の脆弱性またはフラッシュローン攻撃が原因でした。

プロの監査は、契約レベルでプロジェクトを保護する上で依然としてある程度効果的であることがわかりますが、プロトコルの安全な運用には、オフラインのリスク管理、秘密鍵の保管、従来のネットワークへの警戒も必要です。サードパーティのコンポーネントを慎重に使用してください。もちろん、この四半期には、監査フェーズで発見されるべきであるが、監査レポートには記載されていない脆弱性もいくつかあるため、プロジェクトは専門のセキュリティ会社に監査を依頼することをお勧めします。

Blockchain Security Allianceについて

ブロックチェーン セキュリティ アライアンスは、大学機関、ブロックチェーン セキュリティ企業、業界団体、フィンテック サービス プロバイダーなど、さまざまな業界のバックグラウンドを持ついくつかのユニットによって立ち上げられました。アライアンス カウンシルの最初のバッチには、Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay が含まれます。 、Onchain Custodian、Semisand、Coinhako、ParityBit、および Huawei Cloud。現在のメンバーには、Huobi University、Moledao、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、および Digital Treasures Center が含まれます。セキュリティ アライアンスのメンバーは、独自の技術力でグローバルなブロックチェーン エコシステムを継続的に保護するために協力し合います。また、アライアンス カウンシルは、ブロックチェーン関連分野のより多くの人々が参加し、ブロックチェーン エコシステムのセキュリティを共同で守ることを歓迎します。

同盟登録

https://forms.gle/pb3NaUgS3a2Sswnc8

コンタクト

電報：@kristenbeosin、@Web3Donny

電子メール: [email protected]

同盟メンバー - ベオシン

Beosin は、シンガポールを拠点とするグローバルなブロックチェーン セキュリティ企業であり、正式な検証とブロックチェーン セキュリティの専門家を 100 人以上擁しています。 Beosin は、「Web3.0 エコシステムを保護する」という使命のもと、コード セキュリティ監査、リスク監視、アラート、セキュリティなど、統合されたブロックチェーン セキュリティ製品とサービスを提供しています。プロジェクトのブロック、セキュリティ コンプライアンス KYT &; KYC、盗まれた資産の回収。 Beosin は現在、世界中の 2,000 以上のブロックチェーン企業にセキュリティ サービスを提供し、2,500 以上のスマート コントラクトを監査し、クライアントのために 5,000 億ドル以上の資産を保護してきました。

アライアンス メンバー - フットプリント分析

フットプリント分析は、NFT や GameFi データなど、ブロックチェーン全体のデータを明らかにして視覚化するツールです。現在、18 のチェーンからデータを収集、解析、およびクレンジングし、ドラッグ アンド ドロップ インターフェイスや SQL または Python を使用して、コードなしでグラフやダッシュボードを作成できます。

データソース: https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

完全なレポートをダウンロード:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf