1 Resumen de seguridad de blockchain del tercer trimestre de 2022
Se monitorearon un total de 37 exploits importantes, con una pérdida total de aproximadamente $ 405 millones
En el tercer trimestre de 2022, Beosin EagleEye supervisó más de 37 ataques importantes en el espacio Web3, con pérdidas totales de aproximadamente 405 millones de dólares, aproximadamente un 43,6 % menos que los 718,34 millones de dólares del segundo trimestre de 2022 y una disminución del 59,6 % con respecto a la pérdida de 1.002,58 millones de dólares en el segundo trimestre de 2022. Q3 2021.
De enero a septiembre de 2022, los activos perdidos en el espacio Web3 debido a ataques totalizaron $2,317.91 millones.
En términos de cada mes, Julio vio una disminución significativa en los ataques, lo que lo convierte en la menor cantidad de pérdidas por ataques desde 2022. La actividad de los piratas informáticos aumentó significativamente en agosto y septiembre.
En cuanto a los tipos de proyectosEl 92% de la cantidad perdida provino de puentes de cadena cruzada y protocolos DeFi. 22 de los 37 ataques ocurrieron en el espacio DeFi.
En términos de TVLluego de una fuerte caída en TVL de mayo a junio, la tendencia de TVL de cada cadena tendió a ser estable este trimestre. Finales de julio a principios de agosto mostró una ligera tendencia al alza en TVL, que también fue el período con la mayor cantidad de ataques y pérdida en este trimestre.
En cuanto a las cadenas, la cantidad de pérdidas en Ethereum alcanzó los $374,28 millones este trimestre, lo que representa el 92% de las pérdidas totales. La cadena más atacada fue Cadena BNB, que llegó a 16 veces.
En cuanto a los tipos de ataque, El 92% del monto de la pérdida fue causado por explotaciones de vulnerabilidades de contratos y compromisos de claves privadas.
En términos de flujos de fondos, alrededor de $204,2 millones de los fondos robados fluyeron hacia Tornado Cash, lo que representa alrededor del 50,4 % de los fondos robados en el trimestre. Solo se recuperó alrededor del 4% de los fondos robados durante el trimestre.
En cuanto a las auditorías, solo se auditó el 40 % de los proyectos rekt.
2 Resumen de exploits
Los ataques generales cayeron en el tercer trimestre en comparación con el segundo trimestre
En el tercer trimestre de 2022, se monitorearon 37 ataques importantes en el espacio Web3, con una pérdida total de aproximadamente $405 millones. Hubo dos ataques con pérdidas de $100 millones o más, tres ataques con pérdidas de $10 millones o más y 14 ataques con pérdidas de $1 millón o más. Los incidentes de seguridad con más de $100 millones en pérdidas fueron Puente nómada ($190 millones) y Invierno mudo ($ 160 millones).
Agosto de 2022 fue el mes más activo para los piratas informáticos en el trimestre, con pérdidas de alrededor de 210,62 millones de dólares. Las pérdidas totales por los ataques en julio fueron de 30,05 millones de dólares, lo que la convierte en la cantidad más baja de pérdidas en un mes desde 2022.
3 Tipos de proyectos rekt
Los puentes de cadena cruzada y los proyectos DeFi representan el 92% del monto de la pérdida
En el tercer trimestre de 2022, tres ataques de puentes entre cadenas dieron como resultado una pérdida total de aproximadamente $190,25 millones; 22 ataques en el espacio DeFi resultaron en una pérdida total de $186.79 millones. Aproximadamente el 92% de la cantidad de pérdidas por ataques provino del puente de cadena cruzada y los protocolos DeFi.
A partir de septiembre de 2022, hubo 10 incidentes importantes de seguridad de puentes entre cadenas en 2022, con más de $ 1.4 mil millones en pérdidas. Los puentes de cadena cruzada fueron el área más afectada por los ataques en 2022.
Además de los puentes de cadena cruzada y los protocolos DeFi, otros tipos de proyectos atacados este trimestre incluyeron NFT, intercambios, DAO, billeteras y bots MEV, lo que hace que sus tipos generales sean más diversos que en el trimestre anterior.
4 Cantidad de pérdida por cadena
Las pérdidas en Ethereum ascienden a 374,3 millones de dólares
Se produjeron 12 ataques importantes en Ethereum este trimestre, con una pérdida total de $ 374,28 millones, ocupando el primer lugar entre todas las cadenas. Solana perdió $ 18,37 millones de 3 exploits.
Las cadenas con ataques importantes en dos trimestres consecutivos incluyen Ethereum, BNB Chain, Fantom y Avalanche.
BNB Chain vio la mayoría de los ataques, con 16 exploits, y sus proyectos correspondientes no están auditados. La cantidad de dinero involucrada en estos 16 exploits es relativamente pequeña, con 14 incidentes que implican una sola pérdida de menos de $500,000.
Después de experimentar una fuerte caída en TVL de mayo a junio, la tendencia de TVL en todas las cadenas se estabilizó este trimestre. TVL mostró una ligera tendencia al alza en el período comprendido entre finales de julio y principios de agosto, que también fue el período con la mayor cantidad de ataques y pérdidas en este trimestre. En general, el criptomercado se movió ligeramente a la baja en septiembre. Después de la fusión de Ethereum el 15 de septiembre, Ethereum TVL experimentó un ligero descenso continuo.
5 Análisis de tipos de ataques
El 92 % de la cantidad perdida se debió a explotaciones de vulnerabilidades de contrato y compromiso de clave privada
En el tercer trimestre, las explotaciones de contrato continuaron siendo el tipo de ataque más común. Alrededor de 15 ataques son explotaciones de vulnerabilidades de contratos, lo que representa el 40,5 por ciento del número total. Las pérdidas totales por vulnerabilidades de contratos ascendieron a $201,6 millones, o el 50,9 por ciento de las pérdidas totales.
Los cuatro compromisos de claves privadas de este trimestre resultaron en pérdidas de aproximadamente $167,24 millones, la segunda mayor cantidad de pérdidas después de las explotaciones de vulnerabilidades de contratos.
En comparación con el trimestre anterior, los tipos de ataques en este trimestre fueron más diversos. Los nuevos tipos de ataques que surgieron este trimestre incluyen el secuestro de BGP, la configuración incorrecta y los ataques a la cadena de suministro.
Por vulnerabilidades de contrato, las principales vulnerabilidades explotadas este trimestre incluyen: problemas de validación, reingreso, problemas de permisos, lógica o funciones comerciales mal diseñadas y vulnerabilidades de desbordamiento. Todas estas vulnerabilidades son detectables y reparables durante la fase de auditoría.
6 Resumen de incidentes de seguridad típicos
6.1 Incidente de 190 millones de dólares en Nomad Bridge
El 2 de agosto, Nomad Bridge, una plataforma de cadena cruzada que admite transferencias de activos a través de Ethereum, Moonbeam, Avalanche, Evmos y Milkomeda, sufrió un hackeo masivo que le costó al proyecto $190 millones.
6.2 Incidente de Slope Wallet en Solana
El 3 de agosto, ocurrió un incidente de robo de billetera Slope a gran escala en Solana, con pérdidas estimadas en alrededor de $ 6 millones.
6.3 Incidente de compromiso de clave privada de Wintermute
El 20 de septiembre, el creador de criptomercados Wintermute fue atacado con una pérdida de $ 160 millones debido a un compromiso de clave privada.
7 Análisis de flujo de fondos
Aproximadamente $204.2 millones en fondos robados fluyeron hacia Tornado Cash
El 8 de agosto, la Oficina de Control de Activos Extranjeros (OFAC) del Departamento del Tesoro de EE. UU. sancionó a Tornado Cash, prohibiendo a las personas u organizaciones estadounidenses interactuar con él. En el tercer trimestre de 2022, aproximadamente $204,2 millones en fondos robados aún ingresaron a Tornado Cash, lo que representa el 50,4 por ciento de los fondos robados en ese trimestre, que es menor que en el segundo trimestre.
Aproximadamente $182,3 millones de los fondos robados permanecieron en la dirección del hacker como saldo. Algunos fondos robados se conectaron a direcciones en otras cadenas, y esta parte aún se cuenta como el saldo de la dirección del pirata informático.
Se recuperaron alrededor de $ 16,6 millones en activos a través de negociaciones en cadena y devoluciones no solicitadas de piratas informáticos de sombrero blanco. En el tercer trimestre de 2022, solo se recuperó alrededor del 4% de los fondos robados, un porcentaje mucho más bajo que en el segundo trimestre.
Alrededor de $ 1,92 millones de activos robados fluyeron hacia intercambios como Binance y FixedFloat. Dichos incidentes generalmente involucraron una pequeña cantidad de activos (generalmente alrededor de $ 10K a $ 100K), y los piratas informáticos transfirieron los fondos robados a los intercambios inmediatamente después del ataque, lo que provocó que los proyectos no se comunicaran con los intercambios a tiempo para congelar los fondos.
8 Análisis de auditoría de proyectos
Solo el 40% de los proyectos fueron auditados
En 2022, el porcentaje de proyectos de rekt que fueron auditados fue: 70% en el primer trimestre, 52% en el segundo trimestre y 40% en el tercer trimestre. El porcentaje de proyectos de rekt no auditados muestra una tendencia creciente trimestre a trimestre.
De todos los proyectos rekt, los proyectos auditados perdieron un total de $ 375,48 millones y los proyectos no auditados perdieron alrededor de $ 29,56 millones en ataques. A primera vista, podría parecer que las auditorías no sirvieron para proteger la operación segura de los proyectos. Sin embargo, un análisis más profundo muestra que la mayoría de estos proyectos auditados fueron atacados por problemas de nivel no contractual, como compromiso de clave privada, ataques a la cadena de suministro, ataques de DNS, secuestro de BGP y configuración incorrecta. Entre los proyectos no auditados, el 85 % fueron causados por vulnerabilidades de contrato o ataques flashloan.
Se puede ver que las auditorías profesionales todavía son efectivas para asegurar el proyecto a nivel de contrato hasta cierto punto. Sin embargo, la operación segura de un protocolo también requiere un buen trabajo de control de riesgos fuera de línea, custodia de la clave privada, estar alerta a los ataques tradicionales de seguridad de la red y usar componentes de terceros con cuidado. Por supuesto, en este trimestre también hay algunas vulnerabilidades que deberían haberse descubierto en la fase de auditoría pero que no se presentaron en el informe de auditoría, por lo que se recomienda que el proyecto busque una empresa de seguridad profesional para realizar la auditoría.
Fuente de datos
Descarga el informe completo:
Acerca de la Alianza de Seguridad Blockchain
La Blockchain Security Alliance fue lanzada por varias unidades con diversos antecedentes en la industria, incluidas instituciones universitarias, empresas de seguridad de blockchain, asociaciones industriales, proveedores de servicios fintech, etc. El primer lote del consejo de la alianza incluye a Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit y Huawei Cloud. Los miembros actuales incluyen: Universidad de Huobi, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive y Digital Treasures Center. Los miembros de Security Alliance trabajarán y cooperarán juntos para asegurar continuamente el ecosistema global de blockchain con sus propias fortalezas técnicas. El Consejo de la Alianza también da la bienvenida a más personas en campos relacionados con la cadena de bloques para que se unan y defiendan conjuntamente la seguridad del ecosistema de la cadena de bloques.
Registro de Alianza
https://forms.gle/pb3NaUgS3a2Sswnc8
Contacto
Telegrama:@kristenbeosin, @Web3Donny
Correo electrónico: [email protected]
Miembro de la Alianza – Beosin
Beosin es una empresa líder mundial en seguridad de cadenas de bloques con sede en Singapur que cuenta con más de 100 expertos en seguridad en verificación formal y seguridad de cadenas de bloques. Con la misión de «Asegurar el ecosistema Web3.0», Beosin proporciona productos y servicios de seguridad de cadena de bloques integrados, que incluyen auditoría de seguridad de código, monitoreo de riesgos, alertas y bloqueo para proyectos, cumplimiento de seguridad KYT y KYC y recuperación de activos robados. Actualmente, Beosin ha brindado servicios de seguridad a más de 2000 empresas de blockchain en todo el mundo, ha auditado más de 2500 contratos inteligentes y ha protegido más de $ 500 mil millones en activos para clientes.
Miembro de la Alianza – Análisis de Huella
Footprint Analytics es una herramienta para descubrir y visualizar datos en la cadena de bloques, incluidos los datos de NFT y GameFi. Actualmente recopila, analiza y limpia datos de 18 cadenas y permite a los usuarios crear gráficos y paneles sin código mediante una interfaz de arrastrar y soltar, así como con SQL o Python.