2022 年全球 Web3 安全和反洗钱报告

image.png

2022 年,监测到 Web3 领域超过 167 次重大攻击,各类攻击总损失约 36 亿美元,较 2021 年增长 47.4%。其中,10 起安全事件单次损失超过 1 亿美元21 起安全事件的攻击和损失从 1000 万美元到 1 亿美元不等。

image.png

image.png 从项目类型来看,12起跨链桥事件共造成约18.9亿美元的损失,位居所有项目类型之首。DeFi类协议被攻击次数达113次,约占总攻击次数的67.6%,是被攻击次数最多的项目类型。

2022年共有20条公链发生重大安全事件,损失金额前三的分别是Ethereum、BNB Chain、Solana;攻击次数前三的分别是BNB Chain、Ethereum和Solana。

全年漏洞利用次数和损失均排名第一,87 次漏洞利用损失 14.58 亿美元。

在 2022 年监测到的 167 起重大攻击中,经过审计和未经审计的协议都约占 50%,分别为 51.5% 和 48.5%。

2022 年,大约 13.96 亿美元的被盗资金存入了 Tornado Cash,占所有攻击损失资金的 38.7%。只有 8% 的被盗资金被追回,约 2.89 亿美元。

image.png

2022 年全球加密货币犯罪总额为 137.6 亿美元(不包括金融犯罪),其中洗钱占 73.3 亿美元,攻击/利用 36 亿美元,传销 10 亿美元,诈骗 8.3 亿美元。

在 2022 年的骗局中,243 次 Rug pulls 涉及总额为 4.25 亿美元(不包括 4.4 亿美元的 FTX 事件)。大约 86.4% 的项目资金在 1000 美元到 100 万美元之间。

image.png

2022 年全球 TVL 大幅收缩,年底 TVL 较年初峰值下降约 80%。市场受到以三箭资本、Terra Luna、FTX为代表的一系列黑天鹅事件的严重冲击。

image.png

image.png

尽管全球加密货币市值大幅缩水,但 2022 年区块链的整体犯罪数字仍达到 137 亿美元,攻击次数较 2021 年大幅增加。过去的 2022 年总体上对全球区块链安全来说是艰难的一年,并将位居更高2023年对安全行业提出了更迫切的需求。打击猖獗的黑客攻击,加快建立全球监管体系,实现技术突破以解决行业存在的短板——这些将是2023年需要考虑和有待解决的重点问题。

一、 2022年十大安全事件

image.png

No 1. Ronin Network

损失:6.24 亿美元

攻击类型:社会工程学

2022 年 3 月 29 日,Axie Infinity 侧链 Ronin 遭到攻击,约 6.24 亿美元的加密货币被盗。黑客利用盗取的私钥伪造提款凭证,至少需要5个验证人,最终攻击者控制了5个验证人,盗取了资金。

经查,黑客通过社会工程学的方式向Sky Mavis的工程师发送了一封虚假的offer letter,该文件允许黑客攻破Ronin的系统。攻击发生后,被盗资产被发送到多个地址,并通过Tornado Cash分批洗钱。5 月 20 日,Ronin 攻击者将最后一批资金转移到 Tornado Cash,所有资产都被清洗。6 月 28 日,Ronin 在 Twitter 上宣布重新开放。

安全团队针对此类跨链桥接项目给出了以下建议:

  • 注意validator的安全
  • 相关业务下线签名服务时,应及时更新策略关闭相应的服务模块,并丢弃相应的签名地址
  • 多重签名验证时,多重签名服务之间应在逻辑上相互隔离,签名内容独立验证
  • 项目业主应实时监控资金异常情况

No 2. BSC Token Hub (BNB Chain)

损失:5.6 亿美元

攻击类型:区块链漏洞

2022 年 10 月 7 日,BNB Chain 的跨链桥 Token Hub 被黑。黑客首先通过调用区块高度21955968的合约支付100个BNB注册为Relayer,然后从BNB Chain的TokenHub合约中获取了共计200万个BNB。黑客随后在 BNB Chain 的借贷协议 Venus 上质押了 900,000 个 BNB,并借出了 6250 万个 BUSD、5000 万个 USDT 和 3500 万个 USDC。

安全团队发现,由于BSC Token Hub在进行跨链交易验证时,使用了一种特殊的预编译合约来验证IAVL树。该实现很容易受到攻击,允许攻击者伪造任意消息。

10 月 24 日,币安创始人赵长鹏表示,在执法部门的帮助下,攻击者的身份范围已经缩小。此外,CZ 表示,币安能够冻结约 80% 至 90% 的被盗资金,实际损失在 1 亿美元左右。

No 3. FTX: Hack还是rug pull?

损失:4.4 亿美元

攻击类型:疑似rug pull

2022 年 11 月 15 日,在 FTX 宣布破产后不久,FTX 被宣布遭到黑客攻击。大约 4.4 亿美元被盗。管理员向官方电报群发消息称,破产平台已被黑,所有应用均为恶意软件。管理员建议用户删除该应用程序,不要访问该网站或打开他们的应用程序,因为这可能包含特洛伊木马程序。还有很多未知数,很多人认为这很可能是一次内幕操作。

No 4. Wormhole

损失:3.26亿美元

攻击类型:合约漏洞——验证问题

2022 年 2 月 3 日,Wormhole 遭到黑客攻击,造成约 3.26 亿美元的损失。安全团队的分析发现,黑客利用了 Wormhole 合约中的签名验证漏洞,该漏洞允许黑客伪造 sysvar 帐户以铸造 wETH。该漏洞已在 Solana 1.9.4 中被修补,并且在最终上线之前仍处于审查过程中,黑客利用这一漏洞攻击仍在使用 Solana 1.8 合约的合约。

攻击发生后,Wormhole 宣布已恢复其跨链桥接资金并重新上线。加密投资基金 Jump Crypto 于 2 月 4 日宣布,已投资 120,000 Ether 弥补该事件的损失,以支持 Wormhole 的持续发展。

No 5. Nomad bridge

损失:1.9 亿美元

攻击类型:合约漏洞——验证问题

2022 年 8 月 2 日,跨链桥接协议 Nomad 遭到大规模黑客攻击,涉及 500 多个黑客地址,造成 1.9 亿美元的损失。安全团队分析了这笔交易,发现项目所有者错误地将 0x000…000 添加为可接受的根,导致判断成立,从而允许攻击者提取合约中的资金。

因此,任何攻击者都可以简单地复制第一笔被黑交易并将其替换为未使用的攻击地址,然后点击通过 Etherscan 发送以窃取资金。此外,由于是 Replica 合约易受攻击,其对应的所有 BridgeRouter 相关 DApp 都受到影响,因此被盗资金表现出多代币性质。

8 月 3 日,Nomad 发布公告,呼吁白帽黑客归还被盗资金。截至8月15日,该项目已收回3700万美元。

No 6. Beanstalk

损失:1.82 亿美元

攻击类型:闪贷

2022 年 4 月 17 日,算法稳定币项目 Beanstalk Farms 遭受闪贷攻击,协议损失 1.82 亿美元,攻击者获利 8000 万美元。攻击发生后不久,攻击者将全部 8000 万美元转移给了 Tornado Cash。

攻击者在攻击前一天发起了一项提案,将从 Beanstalk 协议合约中提取资金。黑客通过闪电贷获得大量储备资金,然后反复兑换。对该提案的最终表决使其获得通过。针对此次事件,安全团队建议:

  • 用于投票的资金应在合约中锁定一定时间,避免使用账户当前资金余额来统计投票数
  • 项目方和社区应关注所有提案,如果出现恶意提案,建议丢弃该提案
  • 考虑禁止合约地址进行投票。

No 7. Wintermute

损失:1.6 亿美元

攻击类型:私钥泄露

2022 年 9 月 20 日,Wintermute 在 DeFi 黑客攻击中损失了 1.6 亿美元。安全团队分析发现,攻击者频繁利用0x0000000fe6a…地址调用0x00000000ae34…合约的0x178979ae函数向攻击者的合约转账。通过反编译合约发现调用0x178979ae函数需要进行权限检查,通过查询该函数确认0x0000000fe6a地址具有setCommonAdmin权限,且该地址在攻击前与合约交互正常,因此可以确认 0x0000000fe6a 的私钥已被泄露。

9 月 21 日,Wintermute 证实其在 6 月使用 Profanity 和内部工具创建了钱包地址,并且 Profanity 工具存在私钥爆破的风险。

No 8. Mango markets

损失:1.16 亿美元

攻击类型:价格操纵

2022 年 10 月 12 日,Solana 上的 Mango 协议遭到黑客攻击,损失约 1.16 亿美元。黑客以两个账户共计1000万美元的USDT作为启动资金,撬动了100+万的资产。此次攻击的主要原因是杠杆合约没有限制Mango可以开仓的位置,使得攻击者可以通过抬高Mango代币的价格来获利。

No 9. Elrond

损失:1.13 亿美元

攻击类型:虚拟机问题

2022 年 6 月 5 日,区块链网络 Elrond 遭到黑客攻击,黑客“获取”了近 165 万枚 EGLD,并通过去中心化交易所 Maiar 进行抛售,导致 $EGLD 暴跌 92%。

Elrond 发布了一份事后分析报告,称攻击者没有利用任何智能合约代码漏洞,问题出在虚拟机上。以前的错误已经解决,几乎所有被盗资金都已被追回。Elrond 基金会将全额支付已知漏洞造成的任何遗失资金。

No 10. Harmony

损失:1亿美元

攻击类型:私钥泄露

2022年6月24日,Harmony跨链桥被攻击,损失约1亿美元。Harmony 的创始人表示,Horizon 的攻击不是由于智能合约漏洞,而是私钥泄露。尽管 Harmony 存储了加密的私钥,但攻击者还是解密了其中的一些私钥并签署了一些未经授权的交易。

攻击发生后,Harmony 立即停止了 Horizon Bridge 以阻止进一步的交易。它随后联系了联邦调查局和多个合作伙伴进行调查。尽管如此,黑客还是通过 Tornado Cash 清洗了被盗资金。7 月 27 日,Harmony 发布了补偿方案。

二、被攻击项目类型

image.png

2022 年发生 12 起跨链桥安全事件,共造成约 18.9 亿美元的损失,是所有项目类型中损失最高的。五个跨链桥项目在一次事件中损失超过 1 亿美元:Ronin(6.24 亿美元)、BSC Token Hub(5.6 亿美元)、Wormhole(3.26 亿美元)、Nomad(1.9 亿美元)和 Harmony(1 亿美元)。攻击类型主要包括社会工程学、私钥泄露、区块链/合约漏洞等。

image.png

全年167起重大攻击事件中,DeFi类项目被攻击113次,约占67.6%,是被攻击频率最高的类型。DeFi 在跨链桥之后的损失排名第二,总损失额约为 9.5 亿美元。

全年共发生21起交易所和钱包安全事件,造成总损失约6亿美元。这些事件涉及金额大、用户范围广,攻击手法主要为私钥泄露、合约漏洞和供应链攻击。

三、链的损失

image.png

2022年共有20条公链发生重大安全事件,损失金额前三名分别为Ethereum、BNB Chain、Solana;攻击次数前三的分别是BNB Chain、Ethereum和Solana。

对以太坊的 59 次攻击造成了 20.1 亿美元的损失,占全年总损失的 55.8%。

image.png BNB Chain 共发生 72 次攻击,70% 的损失在千到百万之间。值得注意的是,BNB Chain 上受到攻击的项目中约有 64% 未经审计,而 80% 未经审计的项目受到合约漏洞利用攻击。

Solana 的 7 次攻击共造成 5.1276 亿美元的损失,是所有链中每次事件平均损失最高的。 Solana 链上的重大安全事件包括 2 月份的 Wormhole 事件(3.26 亿美元)、3 月份的 Cashio 事件(4800 万美元 ) 和 10 月的Mango Market事件(1.16 亿美元)。

四、攻击类型

image.png

全年漏洞利用频率和损失金额最高。2022 年,87 次攻击中的漏洞利用造成了 14.58 亿美元的损失。

image.png

第二高的损失是社会工程造成的,也就是三月份的Ronin 事件,造成了 6.24 亿美元的损失。

第三的损失来自私钥泄露,共有 19 次泄露导致总损失约 4.3 亿美元,其中 8 起事件单次损失超过 1000 万美元。根据部分事件的调查结果,团队成员/前成员私钥被盗事件频发,需要项目方格外注意运营安全,加强团队管理。也有一些因使用第三方工具导致私钥泄露的案例,建议项目方在使用第三方工具前进行仔细的安全评估。

image.png

按漏洞类型细分显示,损失的前三位原因是验证问题、区块链漏洞(BNB Chain 事件)和不当的业务逻辑/功能设计和重入。

18 个验证问题造成了 6.19 亿美元的损失,重大事件包括 Wormhole 事件中的签名验证漏洞和 Nomad 桥事件中的消息验证绕过问题。

image.png

最常见的问题是业务逻辑/功能设计不当,出现了 30 次。在日常审计中,这类漏洞也是出现频率最高,最容易被开发者忽视的漏洞。

五、审计分析

image.png

在 2022 年监测到的 167 起重大攻击事件中,经过审计和未经审计的项目几乎占总数的一半,分别为 51.5% 和 48.5%。

在 86 个被审计的项目中,39 次攻击(45%)仍然源自漏洞利用。整体审计市场质量不容乐观。对这些事件的审查发现,绝大多数漏洞在审计阶段都是可检测和可修复的。

建议项目上线前必须经过专业安全公司的审计,才能有效保护资产。

六、被盗资金流向

image.png

image.png

2022 年,大约 13.96 亿美元的被盗资金被转移到 Tornado Cash,占攻击损失的所有资金的 38.7%。自8月Tornado Cash被美国OFAC制裁以来,转入Tornado Cash的资金较上半年大幅下降。第四季度只有 4485 万美元的被盗资金被转移到 Tornado Cash。

2022 年,追回了约 2.89 亿美元的被盗资金,仅占所有损失的 8%。其中绝大多数来自白帽黑客的主动退还。

大约 1820 万美元的被盗资金流向了各个交易所。涉及较小金额被盗资金的黑客通常会在攻击后立即将资产转移到交易所。对于交易所而言,能够及时识别黑客地址以阻止交易尤为重要。

大约 4.43 亿美元的被盗资金被交易所冻结,其中大部分源于 10 月份的 BNB Chain 事件,当时币安立即冻结了 80% 到 90% 的黑客资金,导致实际损失约 1 亿美元。

七. 2022 年Rug Pulls

整个 2022 年共有 243 起Rug Pulls,涉及总额为 4.25 亿美元(不包括 FTX 事件)。

image.png

在 243 个募集资金中,共有 8 个项目的融资金额在 1000 万美元或以上,而 210 个项目(约占 86.4%)的融资金额在 1000 美元至 100 万美元之间。

image.png

2022 年,Rug pull 活动具有以下特点。

  • 全年崎岖工程数量多。平均 1.5 天完成一个项目。
  • Rug pull 周期短。大多数项目在上线后的 3 个月内都遇到困难,这就是为什么大多数融资金额都在 1000 美元到 100 万美元之间的原因。
  • 大多数项目未经审计。一些项目在代码中隐藏了后门功能,使得普通投资者难以评估项目的安全性。
  • 缺乏社交媒体信息。至少有一半的 rug pull 项目没有完善的网站、Twitter 帐户或 Telegraph/Discord 群组。
  • 项目不规范。有的项目有官网和白皮书,仔细一看拼写和语法错误很多,有的甚至大段抄袭。
  • 热点事件上线代币数量增加。今年各类代币火爆,如Moonbird、LUNAv2、Elizabeth、TRUMP等,通常上线速度快,拿钱快。
原文链接:,转发请注明来源!