jakiro
مؤلف هذا الفصل: فريق أبحاث بيوسين ماريو ، تيان بطل دوني
>
وفقًا لمراقبة تنبيه بيوسين والتحذير المبكر ،في الربع الأول من عام 2024 ، بلغ إجمالي الخسارة الناجمة عن حقل Web3 بسبب القرصنة والاحتيال في صيد الأسماك وسجاد حفلات المشروع 778 مليون دولار.من بينها ، كان هناك 39 هجومًا رئيسيًا ، حيث بلغت خسارة إجمالية حوالي 617 مليون دولار. دولارات الولايات المتحدة.
>
>
في الربع الأول من عام 2024 ، بلغ إجمالي الخسارة حوالي 778 مليون دولار أمريكي ، بزيادة قدرها حوالي 126 ٪ على أساس سنوي ، وزيادة شهرية تبلغ حوالي 72 ٪.من بينها ، كان مقدار خسائر المتسللين أعلى من أي ربع عام 2023.
بلغ إجمالي الخسارة في فبراير 422 مليون دولار أمريكي ، وهو الشهر بأعلى خسارة في الربع الأول من عام 2024.
>
من منظور نوع عناصر الهجوملأول مرة ، أصبحت منصة اللعبة نوع المشروع مع أعلى مبلغ الخسارة.ما مجموعه 365 مليون دولار من الخسائر في منصة لعبة Web3 ، وهو ما يمثل 59 ٪ من جميع خسائر الهجوم.
انطلاقا من مقدار فقدان كل سلسلةلا تزال Ethereum هي السلسلة ذات أعلى مبلغ الخسارة والحادث الأكثر مهاجمة.تسبب الهجوم على Ethereum 18 مرة في خسارة 342 مليون دولار أمريكي ، وهو ما يمثل 55.4 ٪ من إجمالي الخسارة.
انطلاقا من طريقة الهجومفي هذا الربع ، حدث ما مجموعه 13 تسربًا رئيسيًا خاصًا ، مما أدى إلى خسارة قدرها 458 مليون دولار أمريكي ، وهو ما يمثل 74.3 ٪ من إجمالي مبلغ خسارة الهجوم ، والذي يمثل أعلى نسبة نسبة.
من منظور تدفق رأس المالتم تجميد معظم الأصول المسروقة في هذا الربع واستعادتها.تم تجميد حوالي 303 مليون دولار (49.2 ٪) ، وتم استرداد 79.45 مليون دولار أمريكي (12.9 ٪).
من منظور شروط التدقيق ، زادت نسبة حزب المشروع المدقق.
>
39 تسببت الهجمات الرئيسية في ما مجموعه 616.7 مليون دولار في الخسائر
في الربع الأول من عام 2024 ، راقب Beosin Alert 39 أحداث هجوم رئيسية في حقل Web3 ، مع خسارة إجمالية قدرها 616.7 مليون دولار أمريكي.من بينهم ، كان هناك حادثان أمنيان مع خسارة تزيد عن 100 مليون دولار أمريكي ، مع ما مجموعه 5 حوادث خسرت أكثر من 10 ملايين دولار أمريكي إلى 100 مليون دولار ، و 21 حادثًا من مليون دولار إلى 10 مليون دولار أمريكي دولارات.
فقدان الهجمات بخسارة تزيد عن 10 ملايين دولار أمريكي (مرتبة حسب المبلغ):
● PlayDapp-290 مليون دولار
طريقة الهجوم: منصة سلسلة تسرب المفتاح الخاصة: Ethereum
في 9 فبراير ، تعرضت منصة لعبة blockchain للهجوم ، وتصوير عنوان Hacker 200 مليون PLA ، بقيمة 36.5 مليون دولار.ثم فشل Playdapp في التفاوض مع المتسللين.بعد ذلك ، قام طرف المشروع بتعليق عقد PLA وتراجع رمز PLA إلى رمز PDA.
● كريس لارسن (المؤسس المشارك لـ Ripple) -112 مليون دولار أمريكي
طريقة الهجوم: منصة سلسلة تسرب المفتاح الخاصة: XRP
في 31 يناير ، قال كريس لارسن ، مؤسس Ripple ، إنه تم اختراق محافظه الأربعة ، وتم سرقة ما مجموعه 112 مليون دولار.نجح فريق Binance نجح في تجميد XRP بقيمة 4.2 مليون دولار سرقت من قبل المهاجم.
● Munchables-62.3 مليون دولار
طريقة الهجوم: منصة سلسلة الهندسة الاجتماعية: انفجار
في 26 مارس ، تعرضت Munchables ، وهي منصة لعبة Web3 Blast ، لهجوم بخسارة قدرها حوالي 62.5 مليون دولار.تعرض حزب المشروع المشتبه فيه للهجوم لتوظيف المتسللين في كوريا الشمالية للمطورين.تم إرجاع جميع الأموال المسروقة من قبل المتسللين بعد ذلك.
● ثابتة فلاتو 26.1 مليون دولار أمريكي
طريقة الهجوم: منصة سلسلة الضعف في هيكل الأمان: Ethereum
في 17 فبراير ، عانى Exchange Fixedfloat المشفر مع خسارة قدرها حوالي 26.1 مليون دولار.في 20 فبراير ، قال الثابت فلات إن الهجوم “ليس ما فعله موظفونا ، ولكن هجومًا خارجيًا ناتج عن تعرضنا للهيكل الأمني”.
● Curio Ecosystem- 16 مليون دولار
طريقة الهجوم: منصة سلسلة التعرض للضغوط في التعاقد مع العقد: Ethereum
في 23 مارس ، تعرض نظام RWA للبنية التحتية للبنية الإيكولوجية للهجوم وخسر حوالي 16 مليون دولار.
● Somesing-11.58 مليون دولار
طريقة الهجوم: منصة سلسلة تسرب المفتاح الخاصة: Klaytn
في 27 يناير ، تعرضت خدمة الموسيقى الاجتماعية في كوريا الجنوبية للهجوم وفقدت 730 مليون عملات أصلية SSX مقابل 11.58 مليون دولار.
● Jihoz.ron (المؤسس المشارك لـ Ronin) -10 مليون دولار أمريكي
طريقة الهجوم: منصة سلسلة تسرب المفتاح الخاصة: رونين
في 23 فبراير ، خسر عنوانان مؤسس Ronin Jihoz.ron حوالي 10 ملايين دولار أمريكي بسبب تسرب المفتاح الخاص.
>
لأول مرة ، أصبحت منصة اللعبة من نوع المشروع مع أعلى مبلغ الخسارة
كان نوع المشروع الأكثر خسارة في هذا الربع هو منصة اللعبة.لأول مرة ، أصبحت منصة اللعبة نوعًا من عناصر الهجوم مع أعلى خسارة.
>
نوع الضحايا في المركز الثاني هو المحفظة الشخصية.سُرقت محافظان شخصيان ، مما تسبب في خسائر 122.5 مليون دولار.سُرقت المحافظان الشخصيان من قبل مؤسس حزب المشروع المعروف والسرقة (Ripple Lianchuang و Roninlin).
من بين 39 هجمات المتسللين ، حدث ما مجموعه 17 حادثًا في حقل Defi ، وهو ما يمثل حوالي 43.6 ٪.تسببت هجمات Defi الـ 17 في ما مجموعه 39.96 مليون دولار ، حيث احتلت المرتبة الثالثة في جميع أنواع المشاريع.
تشمل أنواع العناصر الهجومية الأخرى أيضًا:DEX ، البنية التحتية ، منصة الدفع ، Web3 Music Platform ، إلخ.
>
Ethereum هي السلسلة التي لديها أعلى مبلغ الخسارة والحادث الأكثر مهاجمة
>
مثل 2023 ، لا تزال Ethereum هي السلسلة العامة الأكثر خاسرة.تسبب الهجوم على Ethereum 18 مرة في خسارة 342 مليون دولار أمريكي ، وهو ما يمثل 55.4 ٪ من إجمالي الخسارة.
>
السلسلة العامة الثانية مع الخسائر الثانية هي XRP ، من الحادث المسروق لمؤسس شركة Ripple ، كريس لارسن.
السلسلة العامة الثالثة مع الخسائر هي الانفجار.تسبب الهجوم على سلسلة الانفجار 3 ما مجموعه 67.5 مليون دولار.تحتل سلسلة الانفجار المرتبة الأولى في الخسائر في السلاسل العامة الناشئة الكبرى.
في هذا الربع ، لم يكن لدى سلسلة BNB سوى أربعة حوادث أمنية رئيسية ، مع خسارة تبلغ حوالي 8.01 مليون دولار أمريكي ، وتم تخفيض عدد الخسائر وعدد الحوادث بشكل كبير مقارنة بعام 2023.
>
74.3 ٪ من مبلغ الخسارة يأتي من حادثة تسرب المفتاح الخاص
حدث ما مجموعه 13 تسربًا رئيسيًا خاصًا في هذا الربع ، مما أدى إلى خسارة قدرها 458 مليون دولار أمريكي ، وهو ما يمثل 74.3 ٪ من إجمالي مبلغ الخسارة للهجوم.مثل عام 2023 ، لا تزال الخسارة الناجمة عن حادثة تسرب المفتاح الخاصة هي الأولى على الإطلاق.تشمل الحوادث الخاصة التي تم تسريبها من الخسائر الكبيرة: Playdapp (290 مليون دولار) ، ومؤسس شارك في Ripple ، و Chris Larsen (112 مليون دولار) ، و Somersing (11.58 مليون دولار) ، ومؤسس Ronin Jihoz.ron (10 مليون دولار (10 مليون دولار ).
>
في 39 هجمات ، تم استخدام الثغرات من العقد في 21 ، مع خسارة إجمالية قدرها 65.56 مليون دولار أمريكي ، المرتبة الثانية.
>
طريقة الهجوم الثالث للخسائر هي الهجوم على الهندسة الاجتماعية.
وفقًا للتقسيم الفرعي للضعف ، فإن ثغرات الثلاثة الأوائل من الخسائر هي: عيوب الخوارزمية (22.78 مليون دولار أمريكي) ، وزيارة ثغرات التحكم (16.32 مليون دولار أمريكي) ، ونقاط الضعف المنطقية التجارية (11.28 مليون دولار).أكثر نقاط الضعف ضعفًا في نقاط الضعف في المنطق التجاري.
>
>
Atom Asset (AAX) Escape Anti -Money Greading (AML) تحليل
في الآونة الأخيرة ، بدأت إغلاق أصول هونج كونج للتبادل (AAX) في نقل الأموال من محفظتها إلى مختلف البورصات اللامركزية والمنصات المركزية ، والتي يقال إنها لتجنب التحكم في غسل الأموال (AML).قبل اكتشافها ، حدثت آخر المعاملات المعروفة في محافظ تبادل AAX في أكتوبر 2023 ونوفمبر 2022.قبل الإغلاق ، كانت AAX واحدة من أكبر عمليات تبادل العملة المشفرة في هونغ كونغ ولديها أكثر من مليوني مستخدم.
وفقًا لتحليل فريق Beosin ، وجد أنه منذ 29 يناير 2024 ، بدأ تبادل AAX في نقل 25100 ETH من تبادلها.حولت صناديق التحويل أكثر من 74 مليون دولار أمريكي وفقًا للسعر الحالي.
حادثة تبادل AAX
في 13 نوفمبر ، 2022 ، بعد يومين من تبادل العملة المشفرة ، تقدمت FTX بطلب للحصول على الإفلاس ، توقفت AAX أيضًا عن سحب السحب بسبب تعرض خطر المعاملة وتطهير جميع القنوات الاجتماعية.في البداية ، سيتم تجميد AAX بسبب التدابير الأمنية ضد الهجمات الخبيثة.
>
في 15 نوفمبر 2022 ، أصدرت AAX Exchange بيانًا يقول إن منصتها يجب الحفاظ عليها.منذ ذلك الحين ، أوقف AAX تشغيل النظام الأساسي وتحديثات الوسائط الاجتماعية.
>
الشيء الغريب هو أنه بعد 426 يومًا من الصمت ، بدأت محفظة AAX Exchange في التحرك ، وبدأت كمية كبيرة من الأموال في الانتقال إلى عناوين أخرى.
>
الرابط: https://etherscan.io/address/0x56c1319b316a327bd889d58633b204536c
تحليل الأموال على سلسلة الأحداث AAX Exchange
تم إجراء منصة تحليل غسل الأموال في Beosin Kyt في البحث المتعمق حول أنشطة السلسلة الأخيرة لمحفظة AAX Exchange ، واكتشفت سلسلة من أنشطة المخاطر.بادئ ذي بدء ، تم نقل جميع ETH البالغ عددها 2500 ETH.
>
منصة Beosin Kyt anti -Money Goney
من بينها ، تم نقل معظم الأموال إلى Tron Blockchain ، وتم نقل بعض العناوين ، ثم تم إيداعها في عناوين معينة دون نقلها.يوضح هذا السلوك محاولة واضحة للهروب من AML ، في محاولة للتستر على المصدر الحقيقي ومكان وجود الأموال.
>
منصة Beosin Kyt anti -Money Goney
وسرعان ما اتخذت شرطة هونغ كونغ إجراءً ضد الاحتيال واعتقلت شخصين فيما يتعلق بـ AAX.
يستخدم AAX Exchange الوسائل الفنية مثل التبادلات اللامركزية ، وتبادل العملة المشفرة وجسور المتقاطع لمحاولة طمس مسار ومصدر تدفق الأموال.وقد جلب هذا تحديات ضخمة للوكالات التنظيمية ومنصات تحليل AML.
>
يتم تجميد معظم الأصول المسروقة واستردادها
وفقًا لتحليل منصة Beosin Kyt لمكافحة غسل الأموال ، تم تجميد حوالي 303 مليون دولار (49.2 ٪) من الأموال المسروقة في الربع الأول من عام 2024 ، وتم استرداد 79.45 مليون دولار أمريكي (12.9 ٪).هذه النسبة أعلى بكثير من 2023.
>
تم تحويل حوالي 105.5 مليار دولار إلى كل بورصة ، وهو ما يمثل حوالي 17.1 ٪.مقارنة مع 2023 ، زادت نسبة المتسللين إلى الأموال المسروقة هذا العام بشكل كبير.هذا يضع متطلبات أعلى لغسل الأموال والامتثال.
تم تحويل ما مجموعه 30.12 مليون دولار أمريكي (4.9 ٪) إلى العملة المختلطة: تم تحويل 29.9 مليون دولار أمريكي إلى Tornado Cash ؛بالمقارنة مع العام الماضي ، انخفضت الأموال المسروقة التي تم تنظيفها من خلال العملات المعدنية المختلطة في الربع الأول من عام 2024 بشكل كبير.
>
زادت نسبة أطراف المشاريع المدققة
في 39 هجومًا ، لم يتم تدقيق 12 حفلة للمشروع ، وتمت مراجعة حزب المشروع المكون من 24 حادثًا.نسبة أطراف المشاريع المدققة أعلى بقليل من 2023 ، مما يدل على أن حزب مشروع Web3 بأكمله زاد من أهميته للأمان.
>
من بين 12 مشروعًا لم يتم تدقيقه ، تمثل نقاط الضعف في العقد 8 (66.7 ٪).على النقيض من ذلك ، من بين 24 مشاريع مراجعة ، تمثل نقاط الضعف في العقد 13 (54.2 ٪).هذا يدل على أن التدقيق يمكن أن يحسن أمان المشروع إلى حد ما.
>
43 حوادث سحب البساط فقدت 75.5 مليون دولار أمريكي
في الربع الأول من عام 2024 ، تمت مراقبة ما مجموعه 43 حادثًا لسجاد حزب المشروع ، بما في ذلك مبلغ 75.5 مليون دولار.
حادثة سحب البساط مع أفضل 5 خسائر هي: Bitforex (56.5 مليون دولار) ، شبكة هيكتور (2.7 مليون دولار) ، مانغوفارم (2 مليون دولار) ، Ordizk (1.4 مليون دولار) ، Riskonblast (1.3 مليون دولار).يتم توزيع أحداث سحب البساط الخمس هذه في أربع سلاسل: Ethereum و Fantom و Solana و Blast.
>
تضمن إجمالي السجادة على سلسلة Ethereum ما مجموعه 59.68 مليون دولار ، وهو ما يمثل 79 ٪ من إجمالي الخسارة.وقع حادث سحب السجادة على سلسلة سلسلة BNB ، 29 مرة ، وهو ما يمثل 67.4 ٪ من إجمالي عدد الأحداث.
>
بالمقارنة مع الربع السابق ، زاد إجمالي الخسارة الناجمة عن المتسللين في الربع الأول من عام 2024 بسبب القرصنة ، وزيادة الاحتيال في صيد الأسماك ، وسجاد حفلة المشروع بشكل كبير ، حيث وصل إلى 778 مليون دولار.في هذا الربع ، فإن الزيادة في أسعار العملات لها تأثير معين على الزيادة في إجمالي المبلغ ، ولكن بشكل عام ، لا يزال الوضع في مجال أمان Web3 غير متفائل.
أكثر أنواع الهجوم ضارًا في هذا الربع هو تسرب المفاتيح الخاصة ،حوالي 74.3 ٪ من مبلغ الخسائر جاءت من حادثة التسرب الرئيسية الخاصة ، والتي كانت متسقة مع البيانات في عام 2023.من منظور أنواع المشروع ، تقع تسربات المفاتيح الخاصة في مختلف مجالات الويب 3: منصات الألعاب ، Defi ، المحافظ الشخصية ، البنية التحتية ، NFT ، منصات الدفع ، منصات الألعاب ، منصات تخزين البيانات ، إلخ ، إلخ.يجب أن يكون كل حزب Project/مستخدمون فرديون في Web3 متيقظين ، ومفاتيح خاصة في وضع عدم الاتصال ، واستخدام تواقيع متعددة ، واستخدام خدمات الحموضة الثالثة ، وإجراء تدريب أمني منتظم للحصول على الامتيازات.
تم تجميد معظم أصول هذا الربع واستردادها ،هذا يمثل تحسين النظام التنظيمي العالمي وتعزيز غسل الأموال.كما زادت نسبة المتسللين إلى الأموال المسروقة هذا الربع بشكل كبير.في الوقت الحالي ، حقق التعاون بين البورصات ووكالات إنفاذ القانون ، وأطراف المشروع ، وفرق الأمن نتائج واضحة نسبيًا.
من بين 39 هجمات هذا الربع ،لا يزال هناك 21 نقاط الضعف في العقد الذاتي.
