jakiro
مؤلف هذا الفصل: فريق أبحاث بيوسين إيتون
1. ملخص لاتجاه الأمان لـ Web3 blockchain في النصف الأول من عام 2024
وفقًا لمراقبة تنبيه بيوسين والتحذير المبكر ،Q3 2024 تم التوصل إلى إجمالي الخسائر الناجمة عن المتسللين ، والاحتيال الخادق وسجاد حزب المشروع730 مليون دولار.من بينها ، كان هناك 23 هجومًا رئيسيًا ، حيث كانت هناك خسارة إجمالية تبلغ حوالي 430 مليون دولار.
زادت الخسائر الناجمة عن التصيد في الربع الثالث من عام 2024 بشكل كبير ، واستمر الهجوم في الانخفاض في النصف الأول من العام مقارنة بسحب البساط.
انطلاقًا من أنواع المشاريع التي تم الهجوم ، تسبب نوع المشروع مع أعلى الخسائر في CEX.
انطلاقًا من مبلغ خسارة كل سلسلة ، لا تزال Ethereum هي السلسلة ذات أعلى مبلغ الخسارة ومعظم الهجمات.تسببت الهجمات الـ 21 وحوادث التصيد على Ethereum في خسائر بقيمة 348 مليون دولار ، حيث تمثل حوالي 47.6 ٪ من إجمالي الخسائر.
انطلاقًا من أساليب الهجوم ، كان هناك 5 حوادث تسرب رئيسية خاصة في الربع الثالث ، مما تسبب في خسائر قدرها 305 مليون دولار أمريكي ، وهو ما يمثل حوالي 41.7 ٪ من إجمالي خسارة الهجوم ، وهو أعلى نسبة من نوع الهجوم.
انطلاقًا من تدفق الأموال ، تم تجميد أو استرداد حوالي 16.9 مليون دولار فقط من الأموال المسروقة.لا تزال الغالبية العظمى (حوالي 78.9 ٪) من الأموال المسروقة مخزنة في الهجوم
عنوان على السلسلة للشخص.
انطلاقًا من وضع التدقيق ، من بين المشاريع التي تعرضت للهجوم ، زادت نسبة المشاريع المدققة.
2. أنواع العناصر التي يتم الهجوم
CEX هو نوع العنصر مع أعلى خسارة
في الربع الثالث من عام 2024 ، كان نوع المشروع مع أعلى الخسائر هو CEX ، وتسبب ثلاث هجمات ضد CEX ما مجموعه حوالي 297 مليون دولار من الخسائر ، وهو ما يمثل 40.6 ٪ من جميع خسائر الهجوم.على الرغم من أن عدد حوادث أمان CEX ليست كثيرة ، إلا أن مبلغ المال يتم سرقةه في كل مرة يكون ضخمًا ، فإن تسليط الضوء على الوضع الأمني الحالي للنظام الإيكولوجي للتبادل ليس متفائلاً.
نوع الضحية الذي يتبع المركز الثاني في الخسارة هو محفظة المستخدم.تسببت ثمانية هجمات للتصيد والهندسة الاجتماعية على محافظ المستخدمين حوالي 295 مليون دولار أمريكي من الخسائر للمستخدمين العاديين ، وهو ما يمثل حوالي 40.3 ٪.بالمقارنة مع النصف الأول من عام 2024 ، زادت الهجمات والخسائر الناجمة عن Q3 ضد المستخدمين العاديين بشكل كبير.
من بين 23 حوادث اختراق ، حدث ما مجموعه 12 حادثًا في حقل Defi ، وهو ما يمثل حوالي 52.1 ٪ ، مما يجعله نوع المشروع مع معظم الهجمات. الترتيب بين جميع المشاريع.
تشمل أنواع أخرى من المشاريع التي يتم الهجوم: البنية التحتية ، الرموز ، إلخ.من بينها ، بلغت مبلغ الخسائر الناجمة عن الهجمات على السلاسل العامة والجسور عبر السلسلة 85 مليون دولار أمريكي ، حيث احتلت المرتبة الثالثة من بين جميع أنواع المشاريع.
3. مبلغ فقدان كل سلسلة
Ethereum هي السلسلة التي لديها أعلى خسارة ومعظم الهجماتعلى غرار النصف الأول من عام 2024 ، في الربع الثالث ، لا تزال Ethereum هي السلسلة العامة التي لديها أعلى خسارة.تسببت 21 هجمات وحوادث التصيد على Ethereum في الخسائر 348 مليون دولار ، وهو ما يمثل 47.6 ٪ من إجمالي الخسائر.
السلسلة العامة التي لديها ثاني أكبر مبلغ خسارة هي BTC ، مع خسارة إجمالية قدرها 238 مليون دولار أمريكي ، وهو ما يمثل حوالي 32.5 ٪ من إجمالي الخسارة.يأتي كمية BTC المفقودة من هجوم هندسي اجتماعي على عنوان حوت عملاق.
السلسلة العامة الثالثة من أجل الخسارة هي لونا (65 مليون دولار) ، واستغل المهاجم ثغرة أمنية في رد اتصال مهلة IBC-Hooks لمهاجمة لونا.
وفقًا لعدد الحوادث الأمنية ، فإن أفضل اثنين هما Ethereum (21 مرة) وسلسلة BNB (4 مرات).انخفض عدد الحوادث الأمنية في كل نظام بيئي في السلسلة مقارنة بالنصف الأول من العام.
4. تحليل أساليب الهجوم
حوالي 41.7 ٪ من الخسارة تأتي من حوادث تسرب المفتاح الخاص
في الربع الثالث من عام 2024 ، كان هناك 5 حوادث تسرب رئيسية خاصة ، مما تسبب في خسائر قدرها 305 مليون دولار أمريكي ، وهو ما يمثل حوالي 41.7 ٪ من إجمالي خسائر الهجوم.كما هو الحال في النصف الأول من العام ، لا تزال الخسائر الناجمة عن حادثة التسرب الرئيسية الخاصة هي الأولى من بين جميع أنواع الهجمات.تشمل حوادث التسرب الرئيسية الخاصة التي تسببت في خسائر كبيرة: Wazirx (230 مليون دولار أمريكي) ، و Bingx (45 مليون دولار أمريكي) ، و Indodax (22 مليون دولار أمريكي).
طريقة الهجوم في المرتبة الثانية هي هجوم هندسي اجتماعي ، حيث تسبب هجوم واحد في الهندسة الاجتماعية خسارة قدره 238 مليون دولار أمريكي.
من بين 23 هجمات ، تم استغلال 18 منهم من نقاط الضعف العقود ، وهو ما يمثل حوالي 78 ٪.بلغ إجمالي الخسارة في استغلال العقد 128 مليون دولار أمريكي ، حيث احتل المرتبة الثالثة.
وفقًا لتجزئة الضعف ، فإن أهم ثلاثة نقاط ضعف تسببت في خسائر هي: نقاط الضعف (93.46 مليون دولار أمريكي) ، ونقاط الضعف المنطقية للأعمال (حوالي 2.09 مليون دولار أمريكي) ، ومواطن الضعف (10.01 مليون دولار أمريكي).الضعف الأكثر شيوعًا هو ضعف منطق الأعمال ، و 7 من هجمات الضعف البالغة من العمر 18 عامًا كانت نقاط الضعف المنطقية التجارية.
5. مراجعة أحداث غسل الأموال النموذجية
5.1 مسارات تتبع Beosin وتحليل أحداث li.fi
في 16 يوليو ، وفقًا لمراقبة Beosin Alert ، تم اكتشاف أن بروتوكول السلسلة المتقاطعة قد تعرض للهجوم.
هناك دالة DeposittogasiperC20 في عقد مشروع LI.FI ، والتي يمكنها تحويل الرمز المميز المحدد إلى العملات المعدنية وإيداعها في عقد GASZIP. هذه الوظيفة للاتصال.
بالإضافة إلى تعرض العقد في المكالمة ، فإن هذا الحادث له نقطة أخرى جديرة بالملاحظة ، وهي مشكلة تكوين عقد الوجه في وضع الماس.وجد مزيد من التحليل أن عقد Gaszipfacet قد تم نشره قبل 5 أيام من الهجوم وسجله المسؤول متعدد الحالات في المشروع على العقد الرئيسي LI.FI قبل أكثر من عشر ساعات قبل الهجوم.
لذلك ، من خلال هذا الحادث ، يمكننا أن نجد أن أمان العقود الوظيفية الجديدة يجب إيلاء اهتمام وثيق للأوضاع القابلة للترقية مثل الماس.
تتبع Beosin Trace الصناديق المسروقة ووجدت أن الخسائر شملت 6.3359 مليون دولار أمريكي ، 3.1919 مليون دولار أمريكي ، 169،500 دولار أمريكي ، حوالي 10 ملايين دولار أمريكي.
تتبع Beosin: تدفق الأموال المسروقة
5.2 تحليل الحدث الذي تم سرقة 235 مليون دولار أمريكي على Exchange Wazirx
في 18 يوليو ، وفقًا لتحذير مراقبة Beosin Alert ، تم اكتشاف أن Exchange Wazirx قد تعرض للهجوم. لسرقة الأصول.
تتبع Beosin الأموال المسروقة ، والمخطط المبسطة للأموال المسروقة.
تتبع Beosin: مخطط تدفق الأموال المسروقة
من ناحية أخرى ، قام المتسلل بنقل 801 مليار شيب إلى العنوان 0x35fe … 745CA ، بقيمة 14.02 مليون دولار أمريكي ، وباعها على دفعات.
6. تحليل تدفق أموال الأصول المسروقة
وفقًا للتحليل الذي أجراه منصة Beosin Kyt Anti-Money Goneyring ، تم تجميد أو استرداد 16.9 مليون دولار أمريكي فقط من الأموال المسروقة في الربع الثالث من عام 2024.انخفضت هذه النسبة بشكل كبير مقارنة بالنصف الأول من العام.
يبقى حوالي 577 مليون دولار (حوالي 78.9 ٪) من الصناديق المسروقة على عنوان القراصنة.نظرًا لأن المنظمين العالميين يزيدون من جهود مكافحة غسل الأموال ، يصبح من الصعب على المتسللين تنظيف الأموال المسروقة ، وبالتالي يختار عدد كبير من المتسللين الاحتفاظ بالأموال المسروقة مؤقتًا على عنوان السلسلة.
تم تحويل حوالي 102 مليون دولار من الأموال المسروقة إلى مختلف البورصات ، حيث تمثل حوالي 13.9 ٪ ، وهو أعلى من النصف الأول من عام 2024.
تم نقل ما مجموعه 34.713 مليون دولار أمريكي (5.4 ٪) إلى خلاط العملة.بالمقارنة مع النصف الأول من العام ، تم تخفيض الأموال المسروقة التي تم تنظيفها من خلال خلاط العملة في Q3 2024 بشكل كبير مرة أخرى.
7. تحليل حالة تدقيق المشروع
زادت نسبة أطراف المشاريع المدققة
في الربع الثالث من عام 2024 ، من بين الهجمات الـ 23 ، لم يتم مراجعة حفلات المشروع في 4 حوادث ، وتمت مراجعة حفلات المشروع في 16 حادثًا.نسبة أطراف المشاريع المدققة أعلى مما كانت عليه في النصف الأول من العام ، مما يدل على أن أطراف مشاريع صناعة Web3 الإجمالية زادت من أهميتها للأمان.
من بين المشاريع الأربعة غير المدققة ، تمثل نقاط الضعف في العقود 3 (75 ٪).من بين 16 مشروعًا مدققًا ، تمثل نقاط الضعف في العقود 11 (68.75 ٪).النسبة العامة من الاثنين هي نفسها تقريبا.بالمقارنة مع النصف الأول من العام ، انخفضت جودة تدقيق السلامة الإجمالية في عام 2024.
8. ملخص اتجاه الأمان لـ Web3 blockchain في النصف الأول من عام 2024
بالمقارنة مع نفس الفترة في عام 2023 ، انخفض إجمالي الخسائر الناجمة عن هجمات القراصنة ، وعمليات الاحتيال في التصيد ، وسحب حزب المشروع قليلاً في الربع الثالث من عام 2024 ، حيث بلغ 730 مليون دولار أمريكي (كان الرقم 889 مليون دولار أمريكي في الربع الثالث من عام 2023).عوامل مثل انخفاض سعر العملة في الربع الثالث في عام 2024 لها تأثير معين على تقليل المبلغ الإجمالي ، ولكن بشكل عام ، لا يزال الوضع في مجال أمان Web3 غير متفائل.
مثل النصف الأول من العام ، لا يزال نوع الهجوم الذي تسبب في أكبر قدر من الضرر في الربع الثالث من عام 2024 هو تسرب المفتاح الخاص.حوالي 41.7 ٪ من الخسارة تأتي من حوادث تسرب المفتاح الخاص.من منظور أنواع المشروع ، تنتشر حوادث التسرب الرئيسية الخاصة في جميع مجالات الويب 3: منصات الألعاب ، والعقود الرمزية ، والمحافظ الشخصية ، والبنية التحتية ، والتبادلات ، إلخ.يجب أن تكون جميع أطراف مشروع Web3/المستخدمين الفرديين متيقظين ، وتخزين مفاتيح خاصة في وضع عدم الاتصال ، واستخدام تواقيع متعددة ، واستخدام خدمات الطرف الثالث بعناية ، وتوفير تدريب أمني منتظم للموظفين المتميزين.
في الربع الثالث ، تم نقل 5.4 ٪ فقط من الأصول المسروقة إلى خلاطات مختلفة من العملات ، ولم يتم الاحتفاظ بنسبة 78.9 ٪ أخرى من الأصول على عنوان المتسلل ، مما يوضح صعوبة متزايدة للمتسللين في تنظيف الأموال المسروقة.
في الربع الثالث ، كان لا يزال يتم نقل 13.9 ٪ من الأموال المسروقة إلى مختلف البورصات ، مما تطلب من التبادل تحديد سلوك القرصنة في الوقت المناسب والتعاون بنشاط مع وكالات إنفاذ القانون وأطراف المشروع لتجميد الأموال وإجراء تعديلات الشهادات.في الوقت الحالي ، حقق التعاون بين وكالات التبادل وإنفاذ القانون ، وأطراف المشروع ، وفرق الأمن نتائج واضحة نسبيًا.
من بين الـ 23 هجمات في الربع الثالث ، كان لا يزال يتم استغلال 18 من نقاط الضعف.
<-style-type>
