Liên minh bảo mật chuỗi khối Báo cáo bảo mật chuỗi khối quý 3 năm 2022

Chuỗi khối quý 1 năm 2022Tổng quan về bảo mật

Tổng cộng có 37 vụ khai thác lớn đã được theo dõi, với tổng thiệt hại khoảng 405 triệu đô la

Trong quý 3 năm 2022, Beosin EagleEye đã theo dõi hơn 37 cuộc tấn công lớn trong không gian Web3, với tổng thiệt hại khoảng 405 triệu đô la, giảm khoảng 43,6% so với 718,34 triệu đô la trong quý 2 năm 2022 và giảm 59,6% so với mức thiệt hại 1.002,58 triệu đô la vào quý 3 năm 2021.

Từ tháng 1 đến tháng 9 năm 2022, tổng giá trị tài sản bị mất trong không gian Web3 do các cuộc tấn công là 2.317,91 triệu USD.

Q trên/trên Q tăng trưởng

Xét theo từng tháng, Tháng 7 chứng kiến sự sụt giảm đáng kể trong các cuộc tấn công, khiến đây là tháng có ít tổn thất nhất từ các cuộc tấn công kể từ năm 2022. Hoạt động của tin tặc đã tăng đáng kể vào tháng 8 và tháng 9.

Về loại hình dự án , 92% số tiền bị mất đến từ cầu nối chuỗi chéo và giao thức DeFi. 22 trong số 37 cuộc tấn công xảy ra trong không gian DeFi.

Xét về TVL , sau khi TVL giảm mạnh từ tháng 5 đến tháng 6, xu hướng TVL của từng chuỗi có xu hướng ổn định trong quý này. Cuối tháng 7 đến đầu tháng 8, TVL có xu hướng tăng nhẹ, đây cũng là khoảng thời gian có số vụ tấn công và số lượng thiệt hại cao nhất trong quý này.

Về mặt dây chuyền, số tiền thua lỗ trên Ethereum đạt 374,28 triệu đô la trong quý này, chiếm 92% tổng số tiền thua lỗ. Chuỗi bị tấn công thường xuyên nhất là Chuỗi BNB, đạt 16 lần.

Về kiểu tấn công, 92% số tiền bị mất là do khai thác lỗ hổng hợp đồng và thỏa hiệp khóa riêng.

Xét về dòng vốn, khoảng 204,2 triệu đô la trong số tiền bị đánh cắp đã chảy vào Tornado Cash, chiếm khoảng 50,4% số tiền bị đánh cắp trong quý. Chỉ có khoảng 4% số tiền bị đánh cắp được thu hồi trong quý.

Về kiểm toán, chỉ có 40% các dự án rekt được kiểm toán.

2  Tổng quan về khai thác

Các cuộc tấn công tổng thể đã giảm trong quý 3 so với quý 2

Trong quý 3 năm 2022, 37 cuộc tấn công lớn đã được theo dõi trong không gian Web3, với tổng thiệt hại khoảng 405 triệu USD. Có hai cuộc tấn công gây thiệt hại từ 100 triệu USD trở lên, ba cuộc tấn công gây thiệt hại từ 10 triệu USD trở lên và 14 cuộc tấn công gây thiệt hại từ 1 triệu USD trở lên. Các sự cố an ninh với thiệt hại hơn 100 triệu đô la đã đượccầu du mục ($190 triệu) vàmùa đông ($160 triệu).

Số lỗ quý 3 theo dự án

Tháng 8 năm 2022 là tháng hoạt động mạnh nhất của tin tặc trong quý, với thiệt hại khoảng 210,62 triệu USD. Tổng thiệt hại từ các cuộc tấn công trong tháng 7 là 30,05 triệu USD, đây là mức thiệt hại thấp nhất trong một tháng kể từ năm 2022.

Số tiền & đếm

3  Các loại dự án rekt

Cầu nối chuỗi chéo và các dự án DeFi chiếm 92% số tiền thua lỗ

Số lỗ quý 3 & đếm theo danh mục

Trong quý 3 năm 2022, ba cuộc tấn công cầu xuyên chuỗi dẫn đến thiệt hại tổng cộng khoảng 190,25 triệu đô la; 22 cuộc tấn công trong không gian DeFi đã dẫn đến thiệt hại tổng cộng 186,79 triệu đô la. Khoảng 92% tổn thất do tấn công đến từ cầu nối chuỗi chéo và các giao thức DeFi.

Tính đến tháng 9 năm 2022, đã có 10 sự cố an ninh cầu liên chuỗi lớn trong năm 2022, với thiệt hại hơn 1,4 tỷ USD. Cầu xuyên chuỗi là khu vực bị ảnh hưởng nhiều nhất bởi các cuộc tấn công vào năm 2022.

Ngoài cầu nối chuỗi chéo và giao thức DeFi, các loại dự án khác bị tấn công trong quý này bao gồm NFT, sàn giao dịch, DAO, ví và bot MEV, làm cho loại hình tổng thể của chúng trở nên đa dạng hơn so với quý trước.

4  Số tiền thua lỗ theo chuỗi

Khoản lỗ trên Ethereum lên tới 374,3 triệu đô la

Số lỗ quý 3 & đếm theo chuỗi

12 cuộc tấn công lớn đã xảy ra trên Ethereum trong quý này, với tổng thiệt hại là 374,28 triệu đô la, đứng đầu trong số tất cả các chuỗi. Solana mất 18,37 triệu đô la từ 3 lần khai thác.

Các chuỗi bị tấn công lớn trong hai quý liên tiếp bao gồm Ethereum, BNB Chain, Fantom và Avalanche.

BNB Chain chứng kiến nhiều cuộc tấn công nhất, với 16 lần khai thác và các dự án tương ứng của chúng đều chưa được kiểm tra. Số tiền liên quan đến 16 lần khai thác này là tương đối nhỏ, với 14 sự cố liên quan đến một khoản lỗ dưới 500.000 đô la.

Sau khi TVL giảm mạnh từ tháng 5 đến tháng 6, xu hướng TVL trên các chuỗi đã ổn định trong quý này. TVL có xu hướng tăng nhẹ trong khoảng thời gian từ cuối tháng 7 đến đầu tháng 8, đây cũng là khoảng thời gian xảy ra nhiều vụ tấn công và tổn thất nhất trong quý này. Thị trường tiền điện tử nhìn chung đã giảm nhẹ trong tháng 9. Sau khi hợp nhất Ethereum vào ngày 15 tháng 9, Ethereum TVL đã liên tục giảm nhẹ.

Chuỗi TVL

5  Phân tích các loại tấn công

92% số tiền bị mất do khai thác lỗ hổng hợp đồng và thỏa hiệp khóa riêng

Số lỗ quý 3 & đếm theo kiểu tấn công

Trong quý thứ ba, khai thác hợp đồng tiếp tục là loại tấn công phổ biến nhất. Khoảng 15 cuộc tấn công là khai thác lỗ hổng hợp đồng, chiếm 40,5% tổng số. Tổng thiệt hại do lỗ hổng hợp đồng lên tới 201,6 triệu USD, tương đương 50,9% tổng thiệt hại.

Bốn vụ xâm phạm khóa riêng tư trong quý này đã dẫn đến thiệt hại khoảng 167,24 triệu USD, khoản thiệt hại lớn thứ hai sau các vụ khai thác lỗ hổng hợp đồng.

So với quý trước, các hình thức tấn công trong quý này đa dạng hơn. Các kiểu tấn công mới xuất hiện trong quý này bao gồm chiếm quyền điều khiển BGP, cấu hình sai và tấn công chuỗi cung ứng.

Thị phần quý 3 về số lượng tổn thất theo loại tấn công

Thị phần quý 3 tính theo loại tấn công

Theo các lỗ hổng hợp đồng, các lỗ hổng chính bị khai thác trong quý này bao gồm: các vấn đề về xác thực, đăng nhập lại, các vấn đề về quyền, chức năng hoặc logic nghiệp vụ được thiết kế không phù hợp và các lỗ hổng tràn. Tất cả các lỗ hổng này đều có thể phát hiện và sửa chữa được trong giai đoạn kiểm tra.

Số lỗ quý 3 & tính theo lỗ hổng hợp đồng

6  Bản tóm tắt sự cố bảo mật điển hình

6.1  Cầu du mụcSự cố $190 triệu

Vào ngày 2 tháng 8, Nomad Bridge, một nền tảng liên chuỗi hỗ trợ chuyển tài sản qua Ethereum, Moonbeam, Avalanche, Evmos và Milkomeda, đã bị một vụ hack lớn gây thiệt hại cho dự án là 190 triệu USD.

6.2  Độ dốcSự cố ví trên Solana

Vào ngày 3 tháng 8, một vụ trộm ví Slope quy mô lớn đã xảy ra trên Solana, với thiệt hại ước tính khoảng 6 triệu USD.

6.3mùa đôngSự cố thỏa hiệp khóa riêng

Vào ngày 20 tháng 9, nhà sản xuất thị trường tiền điện tử Wintermute đã bị tấn công với khoản lỗ 160 triệu đô la do xâm phạm khóa riêng.

7  Phân tích dòng tiền

Khoảng 204,2 triệu đô la tiền bị đánh cắp đã chảy vào Tornado Cash

Vào ngày 8 tháng 8, Văn phòng Kiểm soát Tài sản Nước ngoài (OFAC) của Bộ Tài chính Hoa Kỳ đã xử phạt Tornado Cash, cấm các cá nhân hoặc tổ chức Hoa Kỳ tương tác với nó. Trong quý 3 năm 2022, khoảng 204,2 triệu đô la tiền bị đánh cắp vẫn chảy vào Tornado Cash, chiếm 50,4% số tiền bị đánh cắp trong quý đó, thấp hơn so với quý thứ hai.

Khoảng 182,3 triệu đô la trong số tiền bị đánh cắp vẫn nằm trong địa chỉ của tin tặc dưới dạng số dư. Một số quỹ bị đánh cắp đã được kết nối với các địa chỉ trên các chuỗi khác và phần này vẫn được tính là số dư địa chỉ của tin tặc.

Khoảng 16,6 triệu đô la tài sản đã được thu hồi thông qua các cuộc đàm phán trực tuyến và lợi nhuận không mong muốn từ các tin tặc mũ trắng. Trong quý 3 năm 2022, chỉ có khoảng 4% số tiền bị đánh cắp được thu hồi, tỷ lệ này thấp hơn nhiều so với quý 2.

Khoảng 1,92 triệu đô la tài sản bị đánh cắp đã chảy vào các sàn giao dịch như Binance và FixedFloat. Những sự cố như vậy thường liên quan đến một lượng nhỏ tài sản (thường khoảng $10K đến $100K) và tin tặc đã chuyển số tiền bị đánh cắp tới các sàn giao dịch ngay sau cuộc tấn công, dẫn đến việc các dự án không liên hệ kịp thời với các sàn giao dịch để đóng băng tiền.

Dòng tiền quý 3

8  Phân tích kiểm toán dự án

Chỉ 40% dự án được kiểm toán

Vào năm 2022, tỷ lệ dự án rekt đã được kiểm toán là: 70% trong quý 1, 52% trong quý 2 và 40% trong quý 3. Tỷ lệ dự án rekt chưa được kiểm tra cho thấy xu hướng tăng theo quý.

Cho dù kiểm toán - đếm

Cho dù được kiểm toán – số lượng

Trong tất cả các dự án rekt, các dự án đã được kiểm toán bị mất tổng cộng 375,48 triệu đô la và các dự án chưa được kiểm toán bị mất khoảng 29,56 triệu đô la trong các cuộc tấn công. Thoạt nhìn, có vẻ như hoạt động kiểm toán không nhằm mục đích bảo vệ sự vận hành an toàn của các dự án. Tuy nhiên, một phân tích sâu hơn cho thấy rằng hầu hết các dự án được kiểm toán này đều bị tấn công bởi các vấn đề cấp độ ngoài hợp đồng như thỏa hiệp khóa riêng, tấn công chuỗi cung ứng, tấn công DNS, chiếm quyền điều khiển BGP và cấu hình sai. Trong số các dự án chưa được kiểm tra, 85% là do lỗ hổng hợp đồng hoặc các cuộc tấn công flashloan.

Có thể thấy rằng kiểm toán chuyên nghiệp vẫn có hiệu quả trong việc bảo mật dự án ở cấp độ hợp đồng ở một mức độ nào đó, tuy nhiên, hoạt động an toàn của một giao thức cũng đòi hỏi phải làm tốt công tác kiểm soát rủi ro ngoại tuyến, bảo vệ khóa riêng, cảnh giác với mạng truyền thống các cuộc tấn công bảo mật và sử dụng các thành phần của bên thứ ba một cách cẩn thận. Tất nhiên, trong quý này cũng có một số lỗ hổng lẽ ra phải được phát hiện trong giai đoạn kiểm toán nhưng không được trình bày trong báo cáo kiểm toán, vì vậy dự án nên tìm kiếm công ty bảo vệ chuyên nghiệp để thực hiện kiểm toán.

Giới thiệu về Liên minh bảo mật chuỗi khối

Liên minh bảo mật chuỗi khối được thành lập bởi một số đơn vị có nền tảng ngành đa dạng, bao gồm các tổ chức đại học, công ty bảo mật chuỗi khối, hiệp hội ngành, nhà cung cấp dịch vụ fintech, v.v. Nhóm liên minh đầu tiên bao gồm Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay , Onchain Custodian, Semisand, Coinhako, ParityBit và Huawei Cloud. Các thành viên hiện tại bao gồm: Đại học Huobi, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive và Digital Treasures Center. Các thành viên của Liên minh bảo mật sẽ làm việc và hợp tác cùng nhau để liên tục bảo mật hệ sinh thái chuỗi khối toàn cầu bằng các thế mạnh kỹ thuật của riêng họ. Hội đồng Liên minh cũng chào đón nhiều người hơn trong các lĩnh vực liên quan đến chuỗi khối tham gia và cùng nhau bảo vệ tính bảo mật của hệ sinh thái chuỗi khối.

Đăng ký liên minh

https://forms.gle/pb3NaUgS3a2Sswnc8

Liên hệ

Telegram：@kristenbeosin, @Web3Donny

Email: [email protected]

Thành viên liên minh - Beosin

Beosin là công ty bảo mật chuỗi khối toàn cầu hàng đầu có trụ sở tại Singapore với hơn 100 chuyên gia bảo mật về xác minh chính thức và bảo mật chuỗi khối. Với sứ mệnh "Bảo mật hệ sinh thái Web3.0", Beosin cung cấp các sản phẩm và dịch vụ bảo mật chuỗi khối tích hợp bao gồm kiểm tra bảo mật mã, giám sát rủi ro, cảnh báo & chặn cho các dự án, tuân thủ bảo mật KYT & KYC và phục hồi tài sản bị đánh cắp. Beosin hiện đã cung cấp dịch vụ bảo mật cho hơn 2.000 doanh nghiệp blockchain trên toàn thế giới, kiểm toán hơn 2.500 hợp đồng thông minh và bảo vệ hơn 500 tỷ đô la tài sản cho khách hàng.

Thành viên liên minh - Footprint Analytics

Footprint Analytics là một công cụ để khám phá và trực quan hóa dữ liệu trên chuỗi khối, bao gồm dữ liệu NFT và GameFi. Nó hiện đang thu thập, phân tích cú pháp và làm sạch dữ liệu từ 18 chuỗi và cho phép người dùng tạo biểu đồ và bảng điều khiển mà không cần mã bằng giao diện kéo và thả cũng như bằng SQL hoặc Python.

Nguồn dữ liệu: https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

Tải báo cáo đầy đủ:

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf