Đánh giá tình hình bảo mật chuỗi khối Web3 quý 3 năm 2024 và phân tích chống rửa tiền

Tác giả của chương này: Nhóm nghiên cứu Beosin Eaton

1. Tổng quan về tình hình bảo mật chuỗi khối Web3 trong nửa đầu năm 2024

Theo giám sát và cảnh báo sớm của Beosin Alert,< mạnh>2024 Trong Quý 3, tổng thiệt hại do hacker tấn công, lừa đảo lừa đảo và dự án Rug Pull trong lĩnh vực Web3 gây ra lên tới 730 triệu đô la Mỹ. Trong số đó, có 23 vụ tấn công lớn với tổng thiệt hại khoảng 430 triệu USD; 3 vụ Rug Pull xảy ra ở phía dự án với tổng thiệt hại khoảng 4,24 triệu USD và các vụ lừa đảo với tổng thiệt hại khoảng 295 USD; triệu.

Tổn thất do lừa đảo gây ra sẽ tăng mạnh vào Quý 3 năm 2024 và các cuộc tấn công sẽ tiếp tục giảm so với Rug Pull trong nửa đầu năm.

Từ góc độ các loại dự án bị tấn công, loại dự án có tổn thất cao nhất là CEX. Ba cuộc tấn công nhằm vào CEX đã gây ra tổng thiệt hại khoảng 297 triệu USD, chiếm khoảng 40,6% tổng thiệt hại do cuộc tấn công.

Xét về số lượng tổn thất của mỗi chuỗi, Ethereum vẫn là chuỗi có số lượng tổn thất cao nhất và bị tấn công nhiều nhất. 21 vụ tấn công và lừa đảo trên Ethereum đã gây thiệt hại 348 triệu USD, chiếm khoảng 47,6% tổng thiệt hại.

Từ góc độ phương thức tấn công, tổng cộng 5 vụ rò rỉ khóa riêng đã xảy ra trong Quý 3, gây thiệt hại 305 triệu USD, chiếm khoảng 41,7% tổng thiệt hại do tấn công và là tỷ lệ bị tấn công cao nhất các loại.

Nhìn vào dòng tiền, chỉ có khoảng 16,9 triệu USD tiền bị đánh cắp đã bị phong tỏa hoặc thu hồi. Phần lớn (khoảng 78,9%) số tiền bị đánh cắp vẫn được lưu trữ trong địa chỉ trên chuỗi của kẻ tấn công.

Đánh giá từ tình hình kiểm toán, trong số các dự án bị tấn công, tỷ lệ các bên tham gia dự án được kiểm toán đã tăng lên.

2. Loại dự án bị tấn công

CEX là loại dự án bị thiệt hại nhiều nhất

Trong quý 3 năm 2024, dự án có tổn thất cao nhất Loại là CEX. Ba cuộc tấn công nhằm vào CEX đã gây ra tổng thiệt hại khoảng 297 triệu USD, chiếm 40,6% tổng thiệt hại do các cuộc tấn công. Mặc dù số lượng sự cố bảo mật CEX ít nhưng số tiền bị đánh cắp mỗi lần lại rất lớn, điều này nhấn mạnh rằng tình hình an ninh hiện tại của hệ sinh thái sàn giao dịch không hề lạc quan.

Loại nạn nhân bị tổn thất lớn thứ hai là ví của người dùng. Tám cuộc tấn công lừa đảo và kỹ thuật xã hội nhắm vào ví của người dùng đã gây ra thiệt hại khoảng 295 triệu USD cho người dùng thông thường, chiếm khoảng 40,3%. So với nửa đầu năm 2024, các cuộc tấn công trong quý 3 nhằm vào người dùng thông thường và thiệt hại gây ra đã tăng lên đáng kể.

Trong số 23 cuộc tấn công của hacker, có tổng cộng 12 sự cố xảy ra trong lĩnh vực DeFi, chiếm khoảng 52,1%. Đây là loại dự án xảy ra nhiều cuộc tấn công nhất. 12 cuộc tấn công DeFi này dẫn đến tổng cộng nhiều hơn. thiệt hại hơn 45,6 triệu USD, đứng thứ tư trong số các loại dự án.

Các loại dự án khác bị tấn công bao gồm: cơ sở hạ tầng, mã thông báo, v.v. Trong số đó, các cuộc tấn công vào chuỗi công cộng và cầu nối chuỗi đã gây thiệt hại 85 triệu USD, đứng thứ ba trong số tất cả các loại dự án.

‍3. Số tiền thua lỗ trong mỗi chuỗi

Ethereum là chuỗi có số tiền thua lỗ cao nhất và hầu hết các cuộc tấn côngTương tự như nửa đầu năm 2024, trong quý 3, Ethereum vẫn là chuỗi công khai có tổn thất cao nhất. 21 vụ tấn công và lừa đảo trên Ethereum đã gây thiệt hại 348 triệu USD, chiếm 47,6% tổng thiệt hại.

Chuỗi công khai bị lỗ lớn thứ hai là BTC, với tổng thiệt hại là 238 triệu USD, chiếm khoảng 32,5% tổng thiệt hại. Số BTC bị mất đến từ một cuộc tấn công kỹ thuật xã hội vào địa chỉ cá voi.

Chuỗi công khai bị tổn thất lớn thứ ba là Luna (65 triệu USD). Kẻ tấn công đã khai thác lỗ hổng reentrancy trong lệnh gọi lại hết thời gian chờ ibc-hooks để tấn công Luna.

Xếp hạng theo số lượng sự cố bảo mật, hai vị trí dẫn đầu là Ethereum (21 lần) và BNB Chain (4 lần). Số lượng sự cố bảo mật trong mỗi hệ sinh thái chuỗi đã giảm so với nửa đầu năm. ‍‍‍‍

4. Phân tích các kỹ thuật tấn công

Khoảng 41,7% tổn thất đến từ sự cố rò rỉ khóa riêng

Quý 3 năm 2024, tổng cộng 5 vụ rò rỉ khóa riêng đã xảy ra, gây thiệt hại 305 triệu USD, chiếm khoảng 41,7% tổng thiệt hại do tấn công. Như nửa đầu năm, tổn thất do sự cố rò rỉ khóa riêng vẫn đứng đầu trong số tất cả các kiểu tấn công. Các vụ rò rỉ khóa riêng gây thiệt hại lớn bao gồm: WazirX (230 triệu USD), BingX (45 triệu USD) và Indodax (22 triệu USD).

Phương thức tấn công gây thiệt hại lớn thứ hai là tấn công kỹ thuật xã hội, 1 lần Social các cuộc tấn công kỹ thuật tiêu tốn 238 triệu USD.

Trong số 23 cuộc tấn công, 18 cuộc tấn công đến từ việc khai thác lỗ hổng theo hợp đồng, chiếm khoảng 78%. Khai thác hợp đồng xếp thứ ba với tổng thiệt hại là 128 triệu USD.

Được phân chia theo các lỗ hổng, ba lỗ hổng hàng đầu gây tổn thất là: Lỗ hổng chính Entry (93,46 triệu USD), lỗ hổng logic kinh doanh (khoảng 2,09 triệu USD) và lỗ hổng xác minh (10,01 triệu USD). Lỗ hổng có tần suất xuất hiện cao nhất là lỗ hổng logic nghiệp vụ và 7 trong số 18 cuộc tấn công vào lỗ hổng hợp đồng là lỗ hổng logic nghiệp vụ.

5. Phân tích và xem xét các sự cố chống rửa tiền điển hình

5.1 Beosin Trace theo dõi và phân tích sự cố LI.FI

Ngày 16 tháng 7 Cùng ngày, theo giám sát và cảnh báo của Beosin Alert, người ta phát hiện ra giao thức chuỗi chéo LI.FI đã bị tấn công. Kẻ tấn công đã khai thác lỗ hổng chèn lệnh gọi trong hợp đồng dự án để đánh cắp tài sản của người dùng được ủy quyền trong hợp đồng. .

Có một hàm DepositToGasZipERC20 trong hợp đồng dự án LI.FI, có thể chuyển đổi mã thông báo được chỉ định thành tiền tệ nền tảng và gửi nó vào hợp đồng GasZip. Tuy nhiên, mã trong logic trao đổi không giới hạn. dữ liệu được gọi bởi cuộc gọi, dẫn đến các cuộc tấn công. Người dùng có thể sử dụng chức năng này để tiến hành các cuộc tấn công chèn cuộc gọi và trích xuất tài sản được gửi đến người dùng được ủy quyền theo hợp đồng.

Ngoài lỗ hổng hợp đồng chèn cuộc gọi, còn có một điểm khác đáng chú ý. , tức là vấn đề cấu hình của Facet Contract ở chế độ Diamond. Phân tích sâu hơn cho thấy hợp đồng GasZipFacet đã được triển khai 5 ngày trước cuộc tấn công và được quản trị viên đa chữ ký của dự án đăng ký trong hợp đồng chính LI.FI hơn 10 giờ trước cuộc tấn công.

Như vậy, qua sự việc này, chúng ta có thể thấy rằng đối với những mẫu máy có khả năng nâng cấp như Diamond, tính bảo mật của các hợp đồng chức năng mới cũng cần được đề cao.

Beosin Trace đã theo dõi số tiền bị đánh cắp và phát hiện ra rằng khoản lỗ bao gồm 6,3359 triệu USDT, 3,1919 triệu USDC, 169,5 triệu DAI, khoảng 10 triệu đô la Mỹ.

Beosin Trace: Dòng tiền bị đánh cắp

5.2 Phân tích 235 triệu USD bị đánh cắp từ sàn giao dịch WazirX của Ấn Độ

Ngày 18 tháng 7 Theo Beosin Alert Theo dõi và cảnh báo, người ta phát hiện sàn giao dịch WazirX của Ấn Độ đã bị tấn công. Kẻ tấn công đã lấy được dữ liệu chữ ký của quản trị viên ví đa chữ ký của sàn giao dịch, sửa đổi hợp đồng logic của ví và khiến ví thực thi sai logic để đánh cắp tài sản, liên quan đến số tiền quá lớn là 230 triệu USD.

Beosin Trace theo dõi số tiền bị đánh cắp và sơ đồ hợp lý của số tiền bị đánh cắp. Hiện tại, hacker đã chuyển một số tiền vào các sàn giao dịch Changenow và Binance, trong đó 0xf92949ab576ac2f8dc9e4650e73db083f1f9cd9f là tiền gửi của hacker trong Binance Coin. Địa chỉ.

Beosin Trace: Sơ đồ dòng tiền bị đánh cắp

Mặt khác, hacker đã chuyển 801 tỷ SHIB đến địa chỉ 0x35fe...745CA, với giá trị là lên tới 14,02 triệu USD, bán theo lô.

6. Phân tích dòng tiền của tài sản bị đánh cắp

Theo phân tích của nền tảng chống rửa tiền Beosin KYT, trong số số tiền bị đánh cắp trong quý 3 năm 2024, chỉ có 16,9 triệu đô la Mỹ bị đánh cắp. bị đánh cắp. Đóng băng hoặc phục hồi. Tỷ lệ này giảm đáng kể so với nửa đầu năm.

Khoảng 577 triệu USD (khoảng 78,9%) số tiền bị đánh cắp vẫn còn ở địa chỉ của hacker. Khi các cơ quan quản lý toàn cầu tăng cường nỗ lực chống rửa tiền, tin tặc sẽ gặp khó khăn hơn trong việc rửa tiền bị đánh cắp, do đó, một số lượng đáng kể tin tặc chọn cách tạm thời giữ số tiền bị đánh cắp trong các địa chỉ trên chuỗi.

Khoảng 102 triệu USD số tiền bị đánh cắp đã được chuyển sang nhiều sàn giao dịch khác nhau, chiếm khoảng 13,9%, cao hơn so với nửa đầu năm 2024.

Tổng cộng 34,713 triệu USD (5,4%) đã được chuyển sang máy trộn. So với nửa đầu năm, số tiền bị đánh cắp được thanh toán thông qua máy trộn tiền xu trong quý 3 năm 2024 đã lại giảm đáng kể.

7. Phân tích tình hình kiểm toán

Tỷ lệ các bên tham gia dự án được kiểm toán đã tăng lên

Quý 3 năm 2024, 23 trường hợp Trong số Trong các sự cố tấn công, có 4 trường hợp các bên tham gia dự án không được kiểm toán và 16 trường hợp các bên dự án được kiểm toán. Tỷ lệ các bên dự án được kiểm toán cao hơn so với nửa đầu năm, điều này cho thấy các bên dự án trong toàn bộ ngành Web3 đã tăng cường chú trọng đến bảo mật.

Trong số 4 dự án chưa được kiểm toán, sự cố lỗ hổng hợp đồng chiếm tới 3 trường hợp (75%). Trong số 16 dự án được kiểm toán, sự cố lỗ hổng hợp đồng chiếm 11 trường hợp (68,75%). Tỷ lệ tổng thể của cả hai gần như giống nhau. So với nửa đầu năm, chất lượng kiểm tra an toàn tổng thể năm 2024 đã giảm sút.

8. Tóm tắt tình hình bảo mật blockchain Web3 trong nửa đầu năm 2024

So với cùng kỳ năm 2023, quý 3 năm 2024 là do các cuộc tấn công của hacker, lừa đảo lừa đảo và bên dự án Rug Pull Tổng thiệt hại giảm nhẹ xuống còn 730 triệu USD (con số này là 889 triệu USD trong quý 3 năm 2023). Các yếu tố như giá tiền tệ giảm trong quý 3 năm 2024 sẽ có tác động nhất định đến việc giảm tổng số tiền, nhưng nhìn chung, tình hình trong lĩnh vực bảo mật Web3 vẫn không mấy khả quan.

Tương tự như nửa đầu năm, kiểu tấn công nguy hại nhất trong quý 3 năm 2024 vẫn là rò rỉ khóa riêng. Khoảng 41,7% số tiền bị mất đến từ sự cố rò rỉ khóa riêng. Từ góc độ các loại dự án, rò rỉ khóa riêng xảy ra ở nhiều lĩnh vực khác nhau của Web3: nền tảng trò chơi, hợp đồng mã thông báo, ví cá nhân, cơ sở hạ tầng, sàn giao dịch, v.v. Tất cả các bên/người dùng cá nhân trong dự án Web3 cần phải cảnh giác hơn, lưu trữ khóa riêng ngoại tuyến, sử dụng nhiều chữ ký, thận trọng khi sử dụng dịch vụ của bên thứ ba và tiến hành đào tạo bảo mật thường xuyên cho nhân viên có đặc quyền.

Chỉ 5,4% tài sản bị đánh cắp trong Quý 3 được chuyển sang các máy trộn tiền tệ khác nhau và 78,9% tài sản vẫn được giữ tại các địa chỉ của hacker. , điều này càng minh họa thêm độ khó ngày càng tăng của tin tặc trong việc rửa tiền bị đánh cắp.

Trong quý 3, 13,9% số tiền bị đánh cắp vẫn được chuyển sang nhiều sàn giao dịch khác nhau. Điều này đòi hỏi các sàn giao dịch phải nhanh chóng xác định các hành vi hack và tích cực hợp tác với các cơ quan thực thi pháp luật và các bên dự án để đóng băng tiền và tiến hành xác minh. . Hiện tại, sự hợp tác giữa sàn giao dịch và các cơ quan thực thi pháp luật, các bên dự án và đội bảo mật đã đạt được những kết quả đáng kể. Người ta tin rằng sẽ có nhiều tiền bị đánh cắp hơn trong tương lai.

Trong số 23 cuộc tấn công trong Quý 3, 18 cuộc vẫn đến từ việc khai thác lỗ hổng theo hợp đồng. Nhóm dự án nên tìm một công ty bảo mật chuyên nghiệp để tiến hành kiểm tra trước khi thực hiện. trực tuyến.