Blockchain Security Alliance 2022년 3분기 블록체인 보안 보고서

2022년 3분기 1차 블록체인보안 개요

총 37건의 주요 익스플로잇이 모니터링되었으며 총 손실액은 약 4억 500만 달러였습니다.

2022년 3분기 Beosin EagleEye는 Web3 공간에서 발생한 37건의 주요 공격을 모니터링했으며 총 손실액은 약 4억 500만 달러로 2022년 2분기 7억 1834만 달러에서 약 43.6% 감소했으며 10억 258만 달러 손실에서 59.6% 감소했습니다. 2021년 3분기.

2022년 1월부터 9월까지 공격으로 인해 Web3 공간에서 손실된 자산은 총 23억 1,791만 달러였습니다.

Q 오버/온 Q 성장

매월 기준으로, 7월에는 공격이 크게 감소하여 2022년 이후 공격으로 인한 손실이 가장 적었습니다. 해커 활동은 8월과 9월에 크게 증가했습니다.

프로젝트 유형 측면에서 , 손실 금액의 92%는 교차 체인 브리지 및 DeFi 프로토콜에서 발생했습니다. 37건의 공격 중 22건이 DeFi 공간에서 발생했습니다.

TVL의 관점에서 , 5월부터 6월까지 TVL이 급격하게 하락한 후, 각 체인의 TVL 추세는 이번 분기에 안정되는 경향을 보였습니다. 7월 말~8월 초에는 TVL이 소폭 상승하는 추세를 보였으며, 이번 분기 공격 및 손실액이 가장 많은 기간이기도 합니다.

사슬의 경우, 이번 분기 이더리움의 손실액은 3억 7,428만 달러로 전체 손실의 92%를 차지했습니다. 가장 많이 공격받은 체인은 BNB 체인으로 16회에 이르렀다.

공격 유형의 경우, 손실 금액의 92%는 계약 취약점 악용 및 개인 키 손상으로 인해 발생했습니다.

자금 흐름 측면에서 보면 도난 자금 중 약 2억 420만 달러가 토네이도 현금으로 유입되어 해당 분기에 도난 자금의 약 50.4%를 차지했습니다. 도난당한 자금의 약 4%만이 분기 동안 회수되었습니다.

감사 측면에서, rekt 프로젝트의 40%만이 감사를 받았습니다.

2 악용 개요

Q2에 비해 Q3의 전반적인 공격 감소

2022년 3분기에 Web3 공간에서 37건의 주요 공격이 모니터링되었으며 총 손실액은 약 4억 500만 달러였습니다. 손실이 1억 달러 이상인 공격이 2건, 손실이 1천만 달러 이상인 공격이 3건, 손실이 100만 달러 이상인 공격이 14건 있습니다. 1억 달러 이상의 손실을 입은 보안 사고는노매드 브리지 (1억 9천만 달러) 및윈터뮤트 (1억 6천만 달러).

프로젝트별 3분기 손실액

2022년 8월은 약 2억 1,062만 달러의 손실을 기록하며 분기 중 해커에게 가장 활동적인 달이었습니다. 7월 공격으로 인한 총 손실액은 3,005만 달러로 2022년 이후 한 달 만에 가장 적었습니다.

3분기 월별 손실 금액 & 세다

3 rekt 프로젝트 유형

크로스 체인 브리지 및 DeFi 프로젝트가 손실 금액의 92% 차지

Q3 손실 금액 & 범주별로 계산

2022년 3분기에 3건의 교차 체인 브리지 공격으로 인해 총 손실액은 약 1억 9,025만 달러였습니다. DeFi 공간에서 발생한 22건의 공격으로 총 1억 8,679만 달러의 손실이 발생했습니다. 공격 손실량의 약 92%는 크로스 체인 브리지 및 DeFi 프로토콜에서 발생했습니다.

2022년 9월 기준으로 2022년에는 10건의 주요 크로스체인 브리지 보안 사고가 발생했으며 손실액은 14억 달러가 넘습니다. 교차 사슬 교량은 2022년 공격의 가장 큰 영향을 받은 영역이었습니다.

교차 체인 브리지 및 DeFi 프로토콜 외에도 이번 분기에 공격을 받은 다른 유형의 프로젝트에는 NFT, 교환, DAO, 지갑 및 MEV 봇이 포함되어 전체 유형이 이전 분기보다 다양해졌습니다.

4 체인별 손실 금액

이더리움 손실은 3억 7,430만 달러에 이릅니다.

Q3 손실 금액 & 사슬로 세다

이번 분기에 이더리움에서 12건의 주요 공격이 발생하여 총 3억 7,428만 달러의 손실이 발생하여 모든 체인 중 1위를 차지했습니다. Solana는 3건의 익스플로잇으로 인해 1,837만 달러의 손실을 입었습니다.

2분기 연속 주요 공격을 받은 체인에는 Ethereum, BNB Chain, Fantom 및 Avalanche가 포함됩니다.

BNB Chain은 16개의 익스플로잇으로 가장 많은 공격을 받았으며 해당 프로젝트는 모두 감사되지 않았습니다. 이 16건의 익스플로잇에 관련된 금액은 상대적으로 적으며 14건의 사건은 $500,000 미만의 단일 손실을 포함합니다.

5월부터 6월까지 TVL의 급격한 하락을 경험한 후 이번 분기에 체인 전체의 TVL 추세가 안정화되었습니다. TVL은 7월 말부터 8월 초까지 소폭 상승세를 보였으며 이번 분기 공격 및 손실액이 가장 많은 기간이기도 하다. 암호화폐 시장은 일반적으로 9월에 약간 하락했습니다. 9월 15일 이더리움 합병 이후 이더리움 TVL은 지속적으로 약간 하락했습니다.

체인 TVL

5 공격 유형 분석

계약 취약성 악용 및 개인 키 손상으로 인한 손실 금액의 92%

Q3 손실 금액 & 공격 유형별 계산

3분기에도 계약 악용은 계속해서 가장 일반적인 공격 유형이었습니다. 약 15건의 공격이 계약 취약점 악용으로 전체 건의 40.5%를 차지합니다. 계약 취약성으로 인한 총 손실은 2억 160만 달러로 전체 손실의 50.9%에 달했습니다.

이번 분기에 발생한 4건의 개인 키 손상으로 인해 약 1억 6,724만 달러의 손실이 발생했으며, 이는 계약 취약성 악용에 이어 두 번째로 큰 손실입니다.

전 분기와 비교하여 이번 분기의 공격 유형은 더욱 다양해졌습니다. 이번 분기에 등장한 새로운 공격 유형에는 BGP 하이재킹, 잘못된 구성 및 공급망 공격이 포함됩니다.

3분기 공격 유형별 손실액 시장점유율

공격 유형별 3분기 시장점유율

계약 취약점별로 이번 분기에 악용된 주요 취약점에는 유효성 검사 문제, 재진입, 권한 문제, 부적절하게 설계된 비즈니스 논리 또는 기능, 오버플로 취약점이 포함됩니다. 이러한 취약점은 모두 감사 단계에서 발견 및 수정할 수 있습니다.

Q3 손실 금액 & 계약 취약성으로 계산

6 일반적인 보안 사고 요약

6.1 노매드 브리지1억 9천만 달러 규모의 사건

8월 2일, Ethereum, Moonbeam, Avalanche, Evmos 및 Milkomeda를 통한 자산 전송을 지원하는 교차 체인 플랫폼인 Nomad Bridge는 프로젝트 비용이 1억 9천만 달러에 달하는 대규모 해킹을 겪었습니다.

6.2 기울기Solana의 지갑 사건

8월 3일, Solana에서 대규모 슬로프 지갑 절도 사건이 발생하여 약 600만 달러의 손실이 발생했습니다.

6.3윈터뮤트개인키 도용 사고

9월 20일, 암호화폐 마켓 메이커인 Wintermute는 개인 키 손상으로 인해 1억 6천만 달러의 손실을 입은 공격을 받았습니다.

7 자금 흐름 분석

약 2억 420만 달러의 도난 자금이 Tornado Cash로 유입되었습니다.

8월 8일 미국 재무부 해외자산통제국(OFAC)은 토네이도 캐시를 제재하여 미국 개인이나 조직이 토네이도 캐시와 상호 작용하는 것을 금지했습니다. 2022년 3분기에도 약 2억 420만 달러의 도난 자금이 여전히 Tornado Cash로 유입되었으며 이는 해당 분기에 도난당한 자금의 50.4%에 해당하며 이는 2분기보다 낮은 수치입니다.

도난당한 자금 중 약 1억 8,230만 달러가 잔액으로 해커의 주소에 남아 있었습니다. 일부 도난 자금은 다른 체인의 주소로 연결되었으며 이 부분은 여전히 해커의 주소 잔액으로 계산됩니다.

약 1,660만 달러의 자산이 온체인 협상과 화이트햇 해커의 원치 않는 반환을 통해 회수되었습니다. 2022년 3분기에는 도난 자금의 약 4%만 회수되었으며, 이는 2분기보다 훨씬 낮은 비율입니다.

약 192만 달러의 도난 자산이 Binance 및 FixedFloat와 같은 거래소로 유입되었습니다. 이러한 사건은 일반적으로 소량의 자산(보통 $10,000 ~ $100,000)과 관련이 있으며 해커는 공격 직후 훔친 자금을 거래소로 전송하여 프로젝트가 제때에 거래소에 연락하여 자금을 동결하지 못했습니다.

3분기 자금 흐름

8 프로젝트 감사 분석

프로젝트의 40%만이 감사를 받았습니다.

2022년에 감사를 받은 rekt 프로젝트의 비율은 1분기 70%, 2분기 52%, 3분기 40%였습니다. 감사되지 않은 rekt 프로젝트의 비율은 분기별로 증가 추세를 보여줍니다.

감사 여부 - 개수

감사 여부 – 금액

모든 rekt 프로젝트 중에서 감사된 프로젝트는 총 3억 7,548만 달러의 손실을 입었고 감사되지 않은 프로젝트는 공격으로 약 2,956만 달러의 손실을 입었습니다. 언뜻 보기에 감사는 프로젝트의 안전한 운영을 보호하는 역할을 하지 않는 것처럼 보일 수 있습니다. 그러나 심층 분석에 따르면 이러한 감사 대상 프로젝트의 대부분은 개인 키 손상, 공급망 공격, DNS 공격, BGP 하이재킹 및 잘못된 구성과 같은 비계약 수준 문제로 공격을 받았습니다. 감사되지 않은 프로젝트 중 85%는 계약 취약성 또는 플래시론 공격으로 인해 발생했습니다.

전문적인 감사는 여전히 계약 수준에서 프로젝트를 보호하는 데 어느 정도 효과적이라는 것을 알 수 있지만 프로토콜의 안전한 작동에는 오프라인 위험 제어, 개인 키 보호, 기존 네트워크에 대한 경계가 필요합니다. 보안 공격을 방지하고 타사 구성 요소를 신중하게 사용하십시오. 물론 이번 분기에는 감사 단계에서 발견했어야 하지만 감사 보고서에 제시되지 않은 취약점도 있으므로 프로젝트는 감사를 수행할 전문 보안 회사를 찾는 것이 좋습니다.

블록체인 보안 연합에 대하여

Blockchain Security Alliance는 대학 기관, 블록체인 보안 회사, 산업 협회, 핀테크 서비스 제공업체 등 다양한 산업 배경을 가진 여러 단위에 의해 출범했습니다. 첫 번째 제휴 협의회에는 Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay가 포함됩니다. , Onchain Custodian, Semisand, Coinhako, ParityBit 및 Huawei Cloud. 현재 회원은 Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive 및 Digital Treasures Center입니다. Security Alliance의 구성원들은 각자의 기술력으로 글로벌 블록체인 생태계를 지속적으로 확보하기 위해 함께 노력하고 협력할 것입니다. Alliance Council은 또한 블록체인 생태계의 보안을 공동으로 방어하기 위해 블록체인 관련 분야의 더 많은 사람들을 환영합니다.

제휴 등록

https://forms.gle/pb3NaUgS3a2Sswnc8

연락하다

텔레그램：@kristenbeosin, @Web3Donny

이메일: [email protected]

얼라이언스 멤버 - 버신

Beosin은 100명 이상의 형식 검증 및 블록체인 보안 전문가를 보유한 싱가포르 기반의 글로벌 블록체인 보안 회사입니다. Beosin은 "Securing Web3.0 Ecosystem"이라는 사명으로 코드 보안 감사, 위험 모니터링, 경고 및 모니터링을 포함한 통합 블록체인 보안 제품 및 서비스를 제공합니다. 프로젝트 차단, 보안 준수 KYT & KYC 및 도난 자산 복구. Beosin은 현재 전 세계 2,000개 이상의 블록체인 기업에 보안 서비스를 제공하고, 2,500개 이상의 스마트 계약을 감사하고, 고객을 위해 5,000억 달러 이상의 자산을 보호했습니다.

얼라이언스 회원 - 발자국 분석

Footprint Analytics는 NFT 및 GameFi 데이터를 포함하여 블록체인 전체에서 데이터를 발견하고 시각화하는 도구입니다. 현재 18개 체인에서 데이터를 수집, 구문 분석 및 정리하고 사용자가 끌어서 놓기 인터페이스와 SQL 또는 Python을 사용하여 코드 없이 차트와 대시보드를 작성할 수 있습니다.

데이터 출처: https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

전체 보고서 다운로드:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf