jakiro
本章作者:Beosin 研究團隊Mario、田大俠Donny
據 Beosin Alert 監控及預警顯示, 2024 年第一季度 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 7.78 億美元。 其中主要攻擊事件 39 起,總損失金額約 6.17 億美元;項目方 Rug Pull 事件 43 起,總損失約 7550 萬美元;釣魚詐騙總損失金額約 8624 萬美元。
2024 年第一季度總損失約 7.78 億美元,同比增長約 126%,環比增長約 72%。其中黑客攻擊事件損失金額高於 2023 年的任何一個季度。
2 月的總損失金額達到了 4.22 億美元,為 2024 年第一季度損失金額最高的月份。
從被攻擊項目類型來看 ,遊戲平臺首次成為損失金額最高的項目類型。6 次針對 Web3 遊戲平臺的攻擊共造成了 3.65 億美元的損失,佔所有攻擊損失金額的 59%。
從各鏈損失金額來看 ,Ethereum依舊為損失金額最高、攻擊事件最多的鏈。18 次 Ethereum 上的攻擊事件造成了 3.42 億美元的損失,佔到了總損失的 55.4%。
從攻擊手法來看 ,本季度共發生 13 次私鑰洩露事件,造成損失達到了 4.58 億美元,佔到了總攻擊損失金額的 74.3%,是佔比最高的攻擊類型。
從資金流向來看 ,本季度大部分被盜資產被凍結和追回。約有 3.03 億美元(49.2%)被盜資金被凍結,7945 萬美元(12.9%)被盜資金被追回。
從審計情況來看,被攻擊的項目中,經過審計的項目方比例有所增加。
39 起主要攻擊事件共造成損失 6 億 1670 萬美元
2024 年第一季度,Beosin Alert 共監測到 Web3 領域主要攻擊事件 39 起,總損失金額達 6 億 1670 萬美元。其中損失金額超過 1 億美元的安全事件共 2 起,損失在 1000 萬美元 – 1 億美元區間的事件共 5 起,100 萬美元 – 1000 萬美元區間的事件 21 起。
損失金額超過千萬美元的攻擊事件(按金額排序):
● PlayDapp – 2.9 億美元
攻擊方式:私鑰洩露 鏈平臺:Ethereum
2 月 9 日,區塊鏈遊戲平臺 PlayDapp 遭到攻擊,黑客地址鑄造了 2 億枚 pla 代幣,價值 3650 萬美元。而後 PlayDapp 與黑客談判失敗,黑客於 2 月 12 日又鑄造了 15.9 億枚 PLA 代幣,價值 2.539 億美元,並將部分資金髮送到 Gate.io 交易所。事後項目方將 PLA 合約暫停,並將 PLA 代幣遷移到了 PDA 代幣。
● Chris Larsen (Ripple聯合創始人) – 1.12 億美元
攻擊方式:私鑰洩露 鏈平臺:XRP
1 月 31 日,Ripple 聯合創始人Chris Larsen 表示,自己的四個錢包遭到黑客攻擊,共計被盜約 1.12 億美元。幣安團隊已成功凍結了攻擊者竊取的價值 420 萬美元的 XRP。
● Munchables – 6230 萬美元
攻擊方式:社會工程學 鏈平臺:Blast
3 月 26 日,基於 Blast 的 Web3 遊戲平臺 Munchables 遭遇攻擊,損失約 6250 萬美元。疑似項目方因僱傭朝鮮黑客為開發者而遭受攻擊。事後所有被盜資金已由黑客歸還。
● FixedFloat – 2610 萬美元
攻擊方式:安全結構漏洞 鏈平臺:Ethereum
2月17日,加密交易所 FixedFloat 遭遇攻擊,損失約 2610 萬美元,黑客已將大部分被盜資金轉移到了 eXch 交易所。2月20日,FixedFloat表示,此事攻擊」不是我們的員工所為,而是一次由我們安全結構漏洞引起的外部攻擊「。
● Curio Ecosystem – 1600 萬美元
攻擊方式:合約漏洞 – 訪問控制漏洞 鏈平臺:Ethereum
3 月 23 日,RWA 基礎設施 Curio Ecosystem 遭受攻擊,損失約 1600 萬美元。
● Somesing – 1158 萬美元
攻擊方式:私鑰洩露 鏈平臺:Klaytn
1 月 27 日,韓國 Web3 社交音樂服務遭受攻擊,損失了 7.3 億枚原生代幣SSX,價值 1158 萬美元。
● Jihoz.ron (Ronin聯合創始人) – 1000 萬美元
攻擊方式:私鑰洩露 鏈平臺:Ronin
2 月 23日,Ronin 聯合創始人 jihoz.ron 的兩個地址因私鑰洩露損失約 1000 萬美元。
遊戲平臺首次成為損失金額最高的項目類型
本季度損失最高的項目類型為遊戲平臺,6 次針對 Web3 遊戲平臺的攻擊共造成了 3.65 億美元的損失,佔所有攻擊損失金額的 59%。遊戲平臺首次成為損失金額最高的被攻擊項目類型。
排在第二位的受害者類型為個人錢包。兩次個人錢包被盜事件造成了 1.225 億美元的損失。這兩起個人錢包被盜事件均為知名項目方聯合創始人被盜(Ripple 聯創和 Ronin 聯創)。
39 次黑客攻擊事件中,共有 17 起事件發生在 DeFi 領域,佔比約 43.6%。這 17 次 DeFi 攻擊事件共導致了 3996 萬美元的損失,排在所有項目類型的第三位。
其他被攻擊的項目類型還包括: DEX、基礎設施、支付平臺、Web3音樂平臺等。
Ethereum為損失金額最高、攻擊事件最多的鏈
和 2023 年相同的是,Ethereum 依舊是損失金額最高的公鏈。18 次 Ethereum 上的攻擊事件造成了 3.42 億美元的損失,佔到了總損失的 55.4%。
損失金額排名第二的公鏈為 XRP,來自一次 Ripple 聯合創始人Chris Larsen 錢包被盜事件。
損失金額排名第三的公鏈為 Blast 。3 次 Blast 鏈上的攻擊事件共造成 6750 萬美元的損失。 Blast 鏈在各大新興公鏈中損失金額排名第一位。
本季度 BNB Chain 僅發生了 4 次主要安全事件,損失約 801 萬美元,損失金額和事件數量排名都較 2023 年大大下降。
74.3%的損失金額來自私鑰洩露事件
本季度共發生 13 次私鑰洩露事件,造成損失達到了 4.58 億美元,佔到了總攻擊損失金額的 74.3%。和 2023 年相同,私鑰洩露事件造成的損失依舊是所有攻擊類型的第一位。造成較大損失的私鑰洩露事件有:PlayDapp(2.9 億美元)、Ripple 聯合創始人 Chris Larsen(1.12 億美元)、Somesing(1158 萬美元)、Ronin 聯合創始人 Jihoz.ron(1000 萬美元)。
39 起攻擊事件中,有 21 起來自合約漏洞利用,總損失達 6556 萬美元,排名第二。
損失金額排名第三的攻擊手法為社會工程學攻擊,3 次社會工程學攻擊造成損失約 6500 萬美元。
按照漏洞細分,造成損失前三名的漏洞分別為:算法缺陷(2278萬美元)、訪問控制漏洞(1632萬美元)、業務邏輯漏洞(1128萬美元)。出現次數最高的漏洞分別為業務邏輯漏洞,21 起合約漏洞攻擊中有 7 次是業務邏輯漏洞。
Atom Asset (AAX) 逃避反洗錢(AML)分析
近期,一家已倒閉的香港交易所 Atom Asset (AAX) 開始將資金從其錢包轉移到各種去中心化交易所和中心化平臺,據稱是為了逃避反洗錢(AML)控制。在被發現之前,最後一次已知的涉及 AAX 交易所錢包的交易發生在 2023 年 10 月和 2022 年 11 月。在倒閉之前,AAX 是香港最大的加密貨幣交易所之一,擁有超過 200 萬用戶。
根據Beosin團隊的分析,發現自2024年1月29日起,AAX交易所開始將25100枚ETH從其交易所錢包向外轉移,其中轉移資金共分了三筆,分別是一筆500ETH、一筆600ETH、一筆24000ETH。轉移資金根據當前價格換算超7400萬美元。
AAX交易所事件來龍去脈
2022 年 11 月 13 日,就在加密貨幣交易所 FTX 申請破產後兩天,AAX 也因交易對手風險暴露而停止提款並清除了所有社交渠道。最初,AAX 將凍結歸因於針對涉嫌惡意攻擊的安全措施。
2022年11月15日,AAX交易所發布聲明表示其平臺需要進行維護,除暫停提現外,將對衍生品進行自動清算。此後,AAX停止了平臺運行和社交媒體的更新。
而蹊蹺的事就在於:沉寂426天後,AAX交易所錢包開始活動,開始有大額資金開始轉出至其它地址,嘗試躲避AML工具的識別和監控!
link: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c
AAX交易所事件鏈上資金分析
Beosin KYT反洗錢分析平臺對AAX交易所錢包近期的鏈上活動進行了深入研究,發現了一系列風險活動。首先,所有的25100枚ETH已被轉移,操作人員採取了各種手段將部分ETH兌換為USDT,然後通過跨鏈橋將資金轉移到不同的區塊鏈上,以進行資金的清洗。
Beosin KYT反洗錢平臺
其中,大部分資金被轉移到了Tron區塊鏈上,並通過一些地址進行中轉,然後沉澱在某些地址中,未曾轉移。這種行為表明了明顯的逃避AML的企圖,試圖掩蓋資金的真實來源和去向。
Beosin KYT反洗錢平臺
香港警方針對詐騙活動迅速採取行動,逮捕了兩名與AAX相關的人員,目前正在努力繪製轉移資金的路徑並找回受影響用戶的資產。
AAX交易所利用去中心化交易所、加密貨幣兌換和跨鏈橋等技術手段,試圖模糊資金流動的路徑和來源。這為監管機構和AML分析平臺帶來了巨大的挑戰。
大部分被盜資產被凍結和追回
據 Beosin KYT 反洗錢平臺分析顯示,2024 年第一季度被盜的資金中,約有 3.03 億美元(49.2%)被盜資金被凍結,7945 萬美元(12.9%)被盜資金被追回。該比例大大高於 2023 年。
約有 1.055 億美元的被盜資金轉入了各交易所,佔比約 17.1%。和 2023 年相比,今年黑客向交易所轉入被盜資金的比例大幅增加。這為交易所反洗錢和合規提出了更高的要求。
共有 3012 萬美元(4.9%)轉入了混幣器:2990 萬美元轉入了 Tornado Cash;21.6 萬美元轉入了其他混幣器。和去年相比,2024年第一季度通過混幣清洗的被盜資金大幅減少。
經過審計的項目方比例有所增加
39 起攻擊事件裡,有 12 起事件的項目方沒有經過審計,24 起事件的項目方經過了審計。經過審計的項目方比例略高於 2023 年,這表明整個 Web3 行業項目方對安全的重視程度提高了。
12 個沒有經過審計的項目中,合約漏洞事件佔了8起(66.7%)。相比之下,24 個經過審計的項目中,合約漏洞事件佔了 13 起(54.2%)。這顯示出審計在一定程度上能夠提高項目的安全性。
43 起 Rug Pull 事件共損失 7550 萬美元
2024 年第一季度,共監測到項目方 Rug Pull 事件 43 起,涉及金額達 7550 萬美元。
損失金額排名前5的Rug pull事件為:Bitforex(5650萬美元)、Hector Network(270萬美元)、MangoFarm(200萬美元)、OrdiZK(140萬美元)、RiskOnBlast(130萬美元)。這 5 起 Rug Pull 事件分布在 Ethereum、Fantom、Solana 和 Blast 四條鏈。
Ethereum 鏈上總共 Rug Pull 涉及金額達到了5968萬美元,佔總損失的79%。BNB Chain 鏈上發生了最多的 Rug Pull 事件,共 29 次,佔總事件數量的 67.4%。
和上個季度相比,2024 年第一季度因黑客攻擊、釣魚詐騙、項目方 Rug Pull 造成的總損失大幅上升,達到了 7.78 億美元。本季度幣價上漲因素對總金額的增加有一定的影響,但總體而言,Web3 安全領域形勢依舊不容樂觀。
本季度造成危害最大的攻擊類型為私鑰洩露, 約 74.3% 的損失金額來自私鑰洩露事件,這一趨勢和 2023 年數據一致。 從項目類型來看,私鑰洩露事件遍布於Web3各個領域:遊戲平臺、DeFi、個人錢包、基礎設施、NFT、支付平臺、博彩平臺、數據存儲平臺等。 各個Web3項目方/個人用戶都需要提高警惕,離線存儲私鑰、使用多重籤名、謹慎使用第三方服務、對特權員工進行定期安全培訓。
本季度大部分資產被凍結和追回, 這標誌著全球監管體系的完善和反洗錢力度的加強。本季度黑客向交易所轉入被盜資金的比例也大幅增加,這需要交易所及時識別黑客行為,積極配合執法機構和項目方凍結資金和進行調證。 目前交易所和執法機構、項目方、安全團隊的合作已經有了較為明顯的成果,相信未來會有更多被盜資金能夠追回。
本季度 39 起攻擊事件中, 依然有 21 起來自合約漏洞利用,建議項目方在上線前尋求專業的安全公司進行審計。
