2024 年 Web3 区块链安全态势年报
2024年Web3区块链安全分析,涵盖了BitForex黑客事件、Rug Pull事件、资金洗钱趋势以及项目审计情况。分析了日益严峻的安全挑战,包括跨链洗钱的影响,并提供了如何在快速发展的生态系统中保护数字资产的见解。
前言
本研究报告由区块链安全联盟发起,由联盟成员Beosin、Footprint Analytics共同创作,旨在全面探讨2024年全球区块链安全态势发展。通过对全球区块链安全现状的分析和评估,报告将揭示当前面临的安全挑战和威胁,并提供解决方案和最佳实践。
通过这份报告,读者将能够更全面地了解Web3区块链安全态势的动态演变。这将有助于读者评估和应对区块链领域所面临的安全挑战。此外,读者还可以从报告中获得有关安全措施和行业发展方向的有益建议,以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是Web3时代发展的关键问题。通过深入研究和探讨,我们可以更好地理解和应对这些挑战,推动区块链技术的安全性和可持续发展。
1、2024年 Web3区块链安全态势综述
据安全审计公司 Beosin 旗下 Alert 平台监测,2024 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 25.13 亿美元。其中主要攻击事件 131 起,总损失金额约 17.92 亿美元;项目方 Rug Pull 事件 68 起,总损失约 1.48 亿美元;钓鱼诈骗总损失金额约 5.74 亿美元。
2024年,黑客攻击、钓鱼诈骗金额较 2023 年均有明显上升,其中钓鱼诈骗相比2023年激增140.66%。项目方 Rug Pull 事件的损失金额显著下降,下降了约 61.94%。
2024 年被攻击的项目类型包括 DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种类型。DeFi 为被攻击频次最高的项目类型,75 次针对 DeFi 的攻击共造成损失约 3.90 亿美元。CEX为总损失金额最高的项目类型,10 次针对 CEX 的攻击共造成损失约 7.24 亿美元。
2024 年发生攻击事件的公链类型更多,出现多起在多条链上被盗的安全事件。Ethereum 依旧是损失金额最高的公链,66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失,占到了全年总损失的 33.57 %。
从攻击手法来看,35 次私钥泄露事件共造成约 13.06 亿美元的损失,占总损失的 51.96 %,是造成损失最多的攻击方式。
合约漏洞利用是出现频次最高的攻击方式,131 起攻击事件里,有 76 次来自于合约漏洞利用,占比达到了 58.02 %。
全年约 5.31 亿美元的被盗资金被追回,占比约 21.13 %。全年约有 1.09 亿美元的被盗资金转入了混币器,约占总被盗资金的 4.34 %,相比2023年下降约 66.97 %。
2、2024 Web3生态十大安全事件
2024 年共发生损失过亿的攻击事件 5 起:DMM Bitcoin(3.04 亿美元)、PlayDapp(2.90 亿美元)、WazirX(2.35 亿美元)、Gala Games(2.16亿美元) 和 Chris Larsen被盗(1.12 亿美元)。前 10 大安全事件总损失金额约为 14.17 亿美元,约占年度攻击事件总金额的 79.07 %。
No.1 DMM Bitcoin
损失金额:3.04 亿美元
攻击方式:私钥泄露
2024年5月31日,日本加密货币交易所DMM Bitcoin遭到攻击,价值超3亿美元的比特币被盗。黑客把盗取的资金分散到10多个地址试图清洗。
No.2 PlayDapp
损失金额:2.90 亿美元
攻击方式:私钥泄露
2024年2月9日,区块链游戏平台PlayDapp遭到攻击,黑客铸造了20亿个PLA代币,价值3650万美元。在与PlayDapp的谈判失败后,2月12日,黑客又铸造了159亿枚PLA代币,价值2.539亿美元,并向Gate交易所发送了部分资金。PlayDapp项目团队随后暂停了PLA合约,并将PLA代币迁移至PDA代币。
No.3 WazirX
损失金额:2.35 亿美元
攻击方式:网络攻击与钓鱼
2024年7月18日,印度加密货币交易所 WazirX 的一个多签钱包被盗超过2.3亿美元。该多签钱包为 Safe wallet 智能合约钱包。攻击者诱导多签签名者签署了合约升级交易,攻击者通过升级后的合约直接转移了钱包中的资产, 最终将约超过 2.3 亿美元的资产全部转出。
No.4 Gala Games
损失金额:2.16 亿美元
攻击方式:访问控制漏洞
2024年5月20日,Gala Games某一特权地址被控制,攻击者通过该地址调用代币的mint函数直接铸造了50亿枚GALA代币,价值约2.16亿美元,并且分批次将增发的代币兑换为ETH。随后,Gala Games团队使用黑名单功能阻止黑客,并追回了损失。
No.5 Chris Larsen (Ripple’s co-founder)
损失金额:1.12 亿美元
攻击方式:私钥泄露
2024年1月31日,Ripple的联合创始人克里斯·拉森(Chris Larsen)表示,他的四个钱包遭到入侵,导致总计损失约1.12亿美元。币安团队成功冻结了价值420万美元的被盗XRP代币。
No.6 Munchables
损失金额:6250 万美元
攻击方式:社会工程学攻击
2024年3月26日,基于Blast的Web3游戏平台Munchables遭遇攻击,损失约6250万美元。该项目之所以遭到攻击,是因为聘用了朝鲜黑客作为开发人员。所有被盗资金最终都被黑客归还。
No.7 BTCTurk
损失金额:5500 万美元
攻击方式:私钥泄露
2024年6月22日,土耳其加密货币交易所BTCTurk遭到攻击,损失约5500万美元。币安协助冻结了超过530万美元的被盗资金。
No.8 Radiant Capital
损失金额:5300 万美元
攻击方式:私钥泄露
2024年10月17日,多链借贷协议Radiant Capital被攻击,攻击者非法获取了 Radiant Capital 多签钱包中 3 个所有者的权限。由于该多签钱包采用 3/11 的签名验证模式,攻击者利用这 3 个私钥进行链下签名,随后发起链上交易,将Radiant Capital合约的所有权转移至攻击者控制的恶意合约,造成超过5300万美元的损失。
No.9 Hedgey Finance
损失金额:4470 万美元
攻击方式:合约漏洞
2024年4月19日,Hedgey Finance 被攻击者发起了多次攻击。攻击者利用代币批准漏洞,盗取了ClaimCampaigns 合约中的大量代币,其中Ethereum链盗取的代币价值超过 210 万美元,Arbitrum链盗取的代币价值约 4260 万美元。
No.10 BingX
损失金额:4470 万美元
攻击方式:私钥泄露
2024年9月19日,BingX交易所热钱包遭到黑客攻击。虽然BingX启动应急预案,包括紧急转移资产和暂停提现,但据Beosin统计,此次热钱包异常流出资产的总损失高达4470 万美元,被盗资产涉及Ethereum、BNB Chain、Tron、Polygon、Avalanche、Base等多条区块链。
3、被攻击项目类型
2024 年被攻击的项目类型除了DeFi、CEX、DEX、公链、跨链桥、钱包等常见类型外,还出现在支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种项目类型上。
2024 年 DeFi 项目攻击事件 75 次,是被攻击次数最多(约50.70%)的项目类型。DeFi 攻击总损失金额约 3.90 亿美元,约占所有损失金额的 15.50 %,是损失金额第 4 多的项目类型。
损失金额排在第 1 位的是 CEX(中心化交易所),10 次攻击共造成约 7.24 亿美元的损失,是损失金额最多的项目类型。综合看来,交易所类型在 2024 年安全事件频发,交易所安全依然是Web3生态最大的挑战。
损失金额第 2 多的为个人钱包,总损失约4.45亿美元。12次针对加密巨鲸的攻击以及大量针对普通用户的钓鱼攻击和社会工程学攻击,让个人钱包的总损失金额相比2023年激增464.72%,成为继交易所安全之后的第二大挑战。
4、各链损失金额情况
和 2023 年相比,2024 年发生攻击事件的公链类型也更加广泛。按损失金额排名前五的分别是 Ethereum、Bitcoin、Arbitrum、Ripple、Blast:
按攻击事件次数排名前六的分别是
Ethereum、BNB Chain、Arbitrum、Others、Base、Solana:
和 2023 年相同的是,Ethereum 依旧是损失金额最高的公链。66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失,占到了全年总损失的 33.59%。
注:该总损失数据未包括链上钓鱼损失与部分CEX热钱包损失Bitcoin 网络损失排在第 2 位,单次安全事件损失达到了 2.38 亿美元。第三位的是 Arbitrum,总损失约为 1.14 亿美元。
5、攻击手法分析
2024 年的攻击方式非常多样化,除常见的合约漏洞攻击外,还有多种攻击方式,包括:供应链攻击、第三方服务商攻击、中间人攻击、DNS 攻击、前端攻击等。
2024年,35 次私钥泄露事件共造成 13.06 亿美元的损失,占总损失的 51.96 %,是造成损失最多的攻击方式。造成较大损失的私钥泄露事件有:DMM Bitcoin(3.04 亿美元)、PlayDapp(2.90 亿美元)、Ripple联合创始人克里斯·拉森(1.12 亿美元)、BTCTurk(5500万美元)、Radiant Capital(5300 万美元)、BingX(4470 万美元)、DEXX(2100万美元)。
合约漏洞利用是出现频次最高的攻击方式,131 起攻击事件里,有 76 次来自于合约漏洞利用,占比达到了 58.02 %。合约漏洞造成的总损失约为 3.21 亿美元,排在损失金额的第 3 位。
按照漏洞细分,出现频次最高、造成损失最多的为业务逻辑漏洞,合约漏洞事件里约有 53.95% 的损失金额来自业务逻辑漏洞,共造成损失约 1.58 亿美元。
6、反洗钱典型事件分析
6.1 Polter Finance 安全事件
事件概要
2024年11月17日,据Beosin Alert监控预警发现FTM链上借贷协议Polter Finance遭受攻击,攻击者通过闪电贷操纵项目合约中代币价格进行获利。
漏洞与资金分析
本次事件被攻击的LendingPool合约(0xd47ae558623638f676c1e38dad71b53054f54273)使用0x6808b5ce79d44e89883c5393b487c4296abb69fe作为预言机,该预言机使用的是近期部署的喂价合约(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)。这个喂价合约使用可被攻击者用于闪电贷的uniswapV2_pair(0xEc71)合约中的代币储备来计算价格,因此该合约存在价格操纵攻击漏洞。
攻击者利用闪电贷虚假推高$BOO代币价值,借出其它加密资产。随后,被盗资金被攻击者转换成FTM代币,然后跨链到ETH链,将所有资金都存放在ETH链上。以下是ARB链和ETH链上的资金流动过程示意图:
11月20日,攻击者持续向Tornado Cash 转移了超过2625枚ETH,如下图所示:
6.2 BitForex 安全事件
事件概要
2024年2月23日,知名链上侦探ZachXBT通过其分析工具披露,BitForex的热钱包出现了约5650万美元的资金流出,并且在这一过程中,平台暂停了提款服务。
资金分析
Beosin安全团队通过Trace对BitForex事件进行了深入追踪分析:
Ethereum
Bitforex 交易所在2024年2月24日6:11 (UTC+8) 开始陆续将40,771 USDT、258,700 USDC、148.01 ETH和 471,405 TRB转入Ethereum跑路地址(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)。
随后在北京时间8月9日跑路地址将除了TRB以外的代币(包括147.9 ETH、40,771 USDT和258,700 USDC)全部转回 Bitforex 交易所账户(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)。
接着在北京时间11月9日至11月10日跑路地址通过7笔交易将 355,000 TRB转入四个不同的OKX交易所用户地址:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
随后跑路地址地址将剩余全部116,414.93 TRB转入一个中转地址(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)后由该地址分两笔将全部TRB转入了两个不同的币安交易所用户:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
2月24日Bitforex交易所提币166 ETH、46,905 USDT和 57,810 USDC至BNB Chain地址(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)至今沉淀。
Polygon
北京时间2月24日Bitforex交易所提币 99,000 MATIC、20,300 USDT和 1,700 USDC至POL链地址:0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。
其中 99000 MATIC于8月9日转入地址0xcce7300829f49b8f2e4aee6123b12da64662a8b8至今沉淀,其余 USDT 和 USDC 代币至今沉淀。
TRON
2月24日Bitforex交易所提币 44,000 TRX和 657,698 USDT至TRON链地址TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o。8月9日将上述代币全部转移回Bitforex交易所用户地址:TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo。
Bitcoin
2月24日开始陆续有16个Bitforex地址将共计5.7BTC转入BTC链地址3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。该地址于8月9日将5.7BTC全部转回Bitforex交易所地址:11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。
综上,Bitforex交易所在2月24日将 40,771 USDT、258,700 USDC、148.01 ETH和 471,405 TRB转入ETH链;将 44,000 TRX和 657,698 USDT转入TRON链;将 5.7 BTC转入BTC链;将166 ETH、46,905 USDT和 57,810 USDC转入BNB Chain;将 99,000 MATIC、20,300 USDT和 1,700 USDC转入Polygon链。并于8月9日将BTC链全部代币、TRON链全部代币、ETH链除TRB代币转移回Bitforex交易所,于11月9日、10日将全部 471,405 TRB转入4个OKX账户和2个Binance账户。至此ETH链、TRON链和BTC链所有代币已全部转移,BSC上有 166 ETH、46,905 USDT和 57,810 USDC沉淀,POL上有 99,000 MATIC、20,300 USDT和1,700 USDC沉淀。
附充值TRB交易所地址:
7、被盗资产的资金流向分析
2024 年全年被盗的资金中,约有 13.12 亿美元还保留在黑客地址(包括通过跨链转出和分散到多个地址的情况),占总被盗资金的 52.20 %。与去年相比,今年黑客更倾向于用多次跨链进行洗钱,并将被盗资金分散到很多地址上,而非直接使用混币器。地址增加、洗钱路径变复杂,这无疑为项目方和监管机构增加了调查难度。
约 5.31 亿美元的被盗资金被追回,占比约 21.13 %。而在 2023 年,追回的资金约为 2.95 亿美元。
全年约有 1.09 亿美元的被盗资金转入了混币器,约占总被盗资金的 4.34 %。自 2022 年 8 月美国 OFAC 制裁 Tornado Cash 以来,被盗资金转入 Tornado Cash 的金额大幅降低。
8、项目审计情况分析
131 起攻击事件里,有 42 起事件的项目方没有经过审计,78 起事件的项目方经过了审计,11起事件的项目方审计情况无法确认。
42 个没有经过审计的项目中,合约漏洞事件占了 30 起(约 71.43 %)。这表明,没有经过审计的项目更容易存在潜在的安全风险。相比之下,78 个经过审计的项目中,合约漏洞事件占了 49 起(约 62.82 %)。这显示出审计在一定程度上能够提高项目的安全性。
然而,由于Web3市场缺乏完善的规范标准,导致审计质量参差不齐,最终呈现的结果远未达到预期。为了有效保障资产安全,建议项目在上线之前务必寻找专业的安全公司进行审计。
9、Rug Pull 分析
2024年,Beosin Alert 平台共监测到 Web3 生态主要 Rug Pull 事件 68 起,总涉及金额约为 1.48 亿美元,较 2023 年的 3.88 亿美元有大幅下降。
从金额上看,68 起 Rug Pull 事件中,涉及金额在百万美元以上的共 9 个项目,分别为Essence Finance(2000万美元),Shido Global(240万美元),ETHTrustFund(220万美元),Nexera(180万美元),Grand Base(170万美元),SAGA Token(160万美元),OrdiZK(140万美元),MangoFarmSOL(129万美元)和RiskOnBlast(125万美元),损失金额共3364万美元,占所有Rug Pull事件损失金额的22.73%。
Ethereum 和 BNB Chain 上的 Rug Pull 项目占到了总数量的 82.35 %,分别为 24 起和 32 起,Scroll上发生了 1 起超过2000万美元的Rug Pull。其它公链发生过小数量的 Rug Pull 事件,包括:Polygon、BASE、Solana 等。
10、2024 Web3区块链安全态势总结
2024 年,链上黑客攻击活动、项目方 Rug Pull 事件次数均较 2023 年有了明显下降,但损失金额仍在增加,并且钓鱼攻击更加猖獗。损失最高的攻击手法依然为私钥泄露。造成这一转变的主要原因包括:
在去年猖獗的黑客活动之后,今年整个Web3生态更加注重安全性,从项目方到安全公司都在各个方面做出了努力,如实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验,导致黑客通过合约漏洞盗取资金比去年变得困难。然而,项目方还需在私钥保管与项目运营安全方面加强安全意识。
随着加密市场与传统市场的融合,黑客不再局限于攻击DeFi、跨链桥、交易所等类型,而是转向攻击支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种目标。
2024-2025年,加密市场进入牛市,链上资金活跃,在一定程度上将吸引更多的黑客攻击。此外,各地区针对加密资产的监管政策在逐渐完善,以打击各类使用加密资产进行的犯罪活动。在这样的趋势下,预计 2025 年黑客攻击活动将持续处于高位,全球执法机构和监管部门依然面临严峻的挑战。
声明:
- 本文转载自【Footprint区块链分析】,著作权归属原作者【Beosin、Footprint Analytics】,如对转载有异议,请联系 Gate Learn 团队,团队会根据相关流程尽速处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- 文章其他语言版本由 Gate Learn 团队翻译, 除非另有说明,否则不得复制、传播或抄袭经翻译文章。
相关文章
Gate 研究院:BTC 突破 10 万美元大关,11 月加密货币交易量首次突破 10 万亿美元
2024 年 Web3 区块链安全态势年报
1、2024年 Web3区块链安全态势综述
2、2024 Web3生态十大安全事件
3、被攻击项目类型
4、各链损失金额情况
5、攻击手法分析
6、反洗钱典型事件分析
7、被盗资产的资金流向分析
8、项目审计情况分析
9、Rug Pull 分析
10、2024 Web3区块链安全态势总结
前言
本研究报告由区块链安全联盟发起,由联盟成员Beosin、Footprint Analytics共同创作,旨在全面探讨2024年全球区块链安全态势发展。通过对全球区块链安全现状的分析和评估,报告将揭示当前面临的安全挑战和威胁,并提供解决方案和最佳实践。
通过这份报告,读者将能够更全面地了解Web3区块链安全态势的动态演变。这将有助于读者评估和应对区块链领域所面临的安全挑战。此外,读者还可以从报告中获得有关安全措施和行业发展方向的有益建议,以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是Web3时代发展的关键问题。通过深入研究和探讨,我们可以更好地理解和应对这些挑战,推动区块链技术的安全性和可持续发展。
1、2024年 Web3区块链安全态势综述
据安全审计公司 Beosin 旗下 Alert 平台监测,2024 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 25.13 亿美元。其中主要攻击事件 131 起,总损失金额约 17.92 亿美元;项目方 Rug Pull 事件 68 起,总损失约 1.48 亿美元;钓鱼诈骗总损失金额约 5.74 亿美元。
2024年,黑客攻击、钓鱼诈骗金额较 2023 年均有明显上升,其中钓鱼诈骗相比2023年激增140.66%。项目方 Rug Pull 事件的损失金额显著下降,下降了约 61.94%。
2024 年被攻击的项目类型包括 DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种类型。DeFi 为被攻击频次最高的项目类型,75 次针对 DeFi 的攻击共造成损失约 3.90 亿美元。CEX为总损失金额最高的项目类型,10 次针对 CEX 的攻击共造成损失约 7.24 亿美元。
2024 年发生攻击事件的公链类型更多,出现多起在多条链上被盗的安全事件。Ethereum 依旧是损失金额最高的公链,66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失,占到了全年总损失的 33.57 %。
从攻击手法来看,35 次私钥泄露事件共造成约 13.06 亿美元的损失,占总损失的 51.96 %,是造成损失最多的攻击方式。
合约漏洞利用是出现频次最高的攻击方式,131 起攻击事件里,有 76 次来自于合约漏洞利用,占比达到了 58.02 %。
全年约 5.31 亿美元的被盗资金被追回,占比约 21.13 %。全年约有 1.09 亿美元的被盗资金转入了混币器,约占总被盗资金的 4.34 %,相比2023年下降约 66.97 %。
2、2024 Web3生态十大安全事件
2024 年共发生损失过亿的攻击事件 5 起:DMM Bitcoin(3.04 亿美元)、PlayDapp(2.90 亿美元)、WazirX(2.35 亿美元)、Gala Games(2.16亿美元) 和 Chris Larsen被盗(1.12 亿美元)。前 10 大安全事件总损失金额约为 14.17 亿美元,约占年度攻击事件总金额的 79.07 %。
No.1 DMM Bitcoin
损失金额:3.04 亿美元
攻击方式:私钥泄露
2024年5月31日,日本加密货币交易所DMM Bitcoin遭到攻击,价值超3亿美元的比特币被盗。黑客把盗取的资金分散到10多个地址试图清洗。
No.2 PlayDapp
损失金额:2.90 亿美元
攻击方式:私钥泄露
2024年2月9日,区块链游戏平台PlayDapp遭到攻击,黑客铸造了20亿个PLA代币,价值3650万美元。在与PlayDapp的谈判失败后,2月12日,黑客又铸造了159亿枚PLA代币,价值2.539亿美元,并向Gate交易所发送了部分资金。PlayDapp项目团队随后暂停了PLA合约,并将PLA代币迁移至PDA代币。
No.3 WazirX
损失金额:2.35 亿美元
攻击方式:网络攻击与钓鱼
2024年7月18日,印度加密货币交易所 WazirX 的一个多签钱包被盗超过2.3亿美元。该多签钱包为 Safe wallet 智能合约钱包。攻击者诱导多签签名者签署了合约升级交易,攻击者通过升级后的合约直接转移了钱包中的资产, 最终将约超过 2.3 亿美元的资产全部转出。
No.4 Gala Games
损失金额:2.16 亿美元
攻击方式:访问控制漏洞
2024年5月20日,Gala Games某一特权地址被控制,攻击者通过该地址调用代币的mint函数直接铸造了50亿枚GALA代币,价值约2.16亿美元,并且分批次将增发的代币兑换为ETH。随后,Gala Games团队使用黑名单功能阻止黑客,并追回了损失。
No.5 Chris Larsen (Ripple’s co-founder)
损失金额:1.12 亿美元
攻击方式:私钥泄露
2024年1月31日,Ripple的联合创始人克里斯·拉森(Chris Larsen)表示,他的四个钱包遭到入侵,导致总计损失约1.12亿美元。币安团队成功冻结了价值420万美元的被盗XRP代币。
No.6 Munchables
损失金额:6250 万美元
攻击方式:社会工程学攻击
2024年3月26日,基于Blast的Web3游戏平台Munchables遭遇攻击,损失约6250万美元。该项目之所以遭到攻击,是因为聘用了朝鲜黑客作为开发人员。所有被盗资金最终都被黑客归还。
No.7 BTCTurk
损失金额:5500 万美元
攻击方式:私钥泄露
2024年6月22日,土耳其加密货币交易所BTCTurk遭到攻击,损失约5500万美元。币安协助冻结了超过530万美元的被盗资金。
No.8 Radiant Capital
损失金额:5300 万美元
攻击方式:私钥泄露
2024年10月17日,多链借贷协议Radiant Capital被攻击,攻击者非法获取了 Radiant Capital 多签钱包中 3 个所有者的权限。由于该多签钱包采用 3/11 的签名验证模式,攻击者利用这 3 个私钥进行链下签名,随后发起链上交易,将Radiant Capital合约的所有权转移至攻击者控制的恶意合约,造成超过5300万美元的损失。
No.9 Hedgey Finance
损失金额:4470 万美元
攻击方式:合约漏洞
2024年4月19日,Hedgey Finance 被攻击者发起了多次攻击。攻击者利用代币批准漏洞,盗取了ClaimCampaigns 合约中的大量代币,其中Ethereum链盗取的代币价值超过 210 万美元,Arbitrum链盗取的代币价值约 4260 万美元。
No.10 BingX
损失金额:4470 万美元
攻击方式:私钥泄露
2024年9月19日,BingX交易所热钱包遭到黑客攻击。虽然BingX启动应急预案,包括紧急转移资产和暂停提现,但据Beosin统计,此次热钱包异常流出资产的总损失高达4470 万美元,被盗资产涉及Ethereum、BNB Chain、Tron、Polygon、Avalanche、Base等多条区块链。
3、被攻击项目类型
2024 年被攻击的项目类型除了DeFi、CEX、DEX、公链、跨链桥、钱包等常见类型外,还出现在支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种项目类型上。
2024 年 DeFi 项目攻击事件 75 次,是被攻击次数最多(约50.70%)的项目类型。DeFi 攻击总损失金额约 3.90 亿美元,约占所有损失金额的 15.50 %,是损失金额第 4 多的项目类型。
损失金额排在第 1 位的是 CEX(中心化交易所),10 次攻击共造成约 7.24 亿美元的损失,是损失金额最多的项目类型。综合看来,交易所类型在 2024 年安全事件频发,交易所安全依然是Web3生态最大的挑战。
损失金额第 2 多的为个人钱包,总损失约4.45亿美元。12次针对加密巨鲸的攻击以及大量针对普通用户的钓鱼攻击和社会工程学攻击,让个人钱包的总损失金额相比2023年激增464.72%,成为继交易所安全之后的第二大挑战。
4、各链损失金额情况
和 2023 年相比,2024 年发生攻击事件的公链类型也更加广泛。按损失金额排名前五的分别是 Ethereum、Bitcoin、Arbitrum、Ripple、Blast:
按攻击事件次数排名前六的分别是
Ethereum、BNB Chain、Arbitrum、Others、Base、Solana:
和 2023 年相同的是,Ethereum 依旧是损失金额最高的公链。66 次 Ethereum 上的攻击事件造成了约 8.44 亿美元的损失,占到了全年总损失的 33.59%。
注:该总损失数据未包括链上钓鱼损失与部分CEX热钱包损失Bitcoin 网络损失排在第 2 位,单次安全事件损失达到了 2.38 亿美元。第三位的是 Arbitrum,总损失约为 1.14 亿美元。
5、攻击手法分析
2024 年的攻击方式非常多样化,除常见的合约漏洞攻击外,还有多种攻击方式,包括:供应链攻击、第三方服务商攻击、中间人攻击、DNS 攻击、前端攻击等。
2024年,35 次私钥泄露事件共造成 13.06 亿美元的损失,占总损失的 51.96 %,是造成损失最多的攻击方式。造成较大损失的私钥泄露事件有:DMM Bitcoin(3.04 亿美元)、PlayDapp(2.90 亿美元)、Ripple联合创始人克里斯·拉森(1.12 亿美元)、BTCTurk(5500万美元)、Radiant Capital(5300 万美元)、BingX(4470 万美元)、DEXX(2100万美元)。
合约漏洞利用是出现频次最高的攻击方式,131 起攻击事件里,有 76 次来自于合约漏洞利用,占比达到了 58.02 %。合约漏洞造成的总损失约为 3.21 亿美元,排在损失金额的第 3 位。
按照漏洞细分,出现频次最高、造成损失最多的为业务逻辑漏洞,合约漏洞事件里约有 53.95% 的损失金额来自业务逻辑漏洞,共造成损失约 1.58 亿美元。
6、反洗钱典型事件分析
6.1 Polter Finance 安全事件
事件概要
2024年11月17日,据Beosin Alert监控预警发现FTM链上借贷协议Polter Finance遭受攻击,攻击者通过闪电贷操纵项目合约中代币价格进行获利。
漏洞与资金分析
本次事件被攻击的LendingPool合约(0xd47ae558623638f676c1e38dad71b53054f54273)使用0x6808b5ce79d44e89883c5393b487c4296abb69fe作为预言机,该预言机使用的是近期部署的喂价合约(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)。这个喂价合约使用可被攻击者用于闪电贷的uniswapV2_pair(0xEc71)合约中的代币储备来计算价格,因此该合约存在价格操纵攻击漏洞。
攻击者利用闪电贷虚假推高$BOO代币价值,借出其它加密资产。随后,被盗资金被攻击者转换成FTM代币,然后跨链到ETH链,将所有资金都存放在ETH链上。以下是ARB链和ETH链上的资金流动过程示意图:
11月20日,攻击者持续向Tornado Cash 转移了超过2625枚ETH,如下图所示:
6.2 BitForex 安全事件
事件概要
2024年2月23日,知名链上侦探ZachXBT通过其分析工具披露,BitForex的热钱包出现了约5650万美元的资金流出,并且在这一过程中,平台暂停了提款服务。
资金分析
Beosin安全团队通过Trace对BitForex事件进行了深入追踪分析:
Ethereum
Bitforex 交易所在2024年2月24日6:11 (UTC+8) 开始陆续将40,771 USDT、258,700 USDC、148.01 ETH和 471,405 TRB转入Ethereum跑路地址(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)。
随后在北京时间8月9日跑路地址将除了TRB以外的代币(包括147.9 ETH、40,771 USDT和258,700 USDC)全部转回 Bitforex 交易所账户(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)。
接着在北京时间11月9日至11月10日跑路地址通过7笔交易将 355,000 TRB转入四个不同的OKX交易所用户地址:
0x274c481bf400c2abfd2b5e648a0056ef34970b0a
0x45798ca76a589647acc21040c50562dcc33cf6bf
0x712d2fd67fe65510c5fad49d5a9181514d94183d
0xe8ec263ad9ee6947bf773837a2c86dff3a737bba
随后跑路地址地址将剩余全部116,414.93 TRB转入一个中转地址(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)后由该地址分两笔将全部TRB转入了两个不同的币安交易所用户:
0x431c916ef45e660dae7cd7184e3226a72fa50c0c
0xe7b1fb77baaa3bba9326af2af3cd5857256519df
BNB Chain
2月24日Bitforex交易所提币166 ETH、46,905 USDT和 57,810 USDC至BNB Chain地址(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)至今沉淀。
Polygon
北京时间2月24日Bitforex交易所提币 99,000 MATIC、20,300 USDT和 1,700 USDC至POL链地址:0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。
其中 99000 MATIC于8月9日转入地址0xcce7300829f49b8f2e4aee6123b12da64662a8b8至今沉淀,其余 USDT 和 USDC 代币至今沉淀。
TRON
2月24日Bitforex交易所提币 44,000 TRX和 657,698 USDT至TRON链地址TQcnqaU4NDTR86eA4FZneeKfJMiQi7i76o。8月9日将上述代币全部转移回Bitforex交易所用户地址:TGiTEXjqx1C2Y2ywp7gTR8aYGv8rztn9uo。
Bitcoin
2月24日开始陆续有16个Bitforex地址将共计5.7BTC转入BTC链地址3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。该地址于8月9日将5.7BTC全部转回Bitforex交易所地址:11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。
综上,Bitforex交易所在2月24日将 40,771 USDT、258,700 USDC、148.01 ETH和 471,405 TRB转入ETH链;将 44,000 TRX和 657,698 USDT转入TRON链;将 5.7 BTC转入BTC链;将166 ETH、46,905 USDT和 57,810 USDC转入BNB Chain;将 99,000 MATIC、20,300 USDT和 1,700 USDC转入Polygon链。并于8月9日将BTC链全部代币、TRON链全部代币、ETH链除TRB代币转移回Bitforex交易所,于11月9日、10日将全部 471,405 TRB转入4个OKX账户和2个Binance账户。至此ETH链、TRON链和BTC链所有代币已全部转移,BSC上有 166 ETH、46,905 USDT和 57,810 USDC沉淀,POL上有 99,000 MATIC、20,300 USDT和1,700 USDC沉淀。
附充值TRB交易所地址:
7、被盗资产的资金流向分析
2024 年全年被盗的资金中,约有 13.12 亿美元还保留在黑客地址(包括通过跨链转出和分散到多个地址的情况),占总被盗资金的 52.20 %。与去年相比,今年黑客更倾向于用多次跨链进行洗钱,并将被盗资金分散到很多地址上,而非直接使用混币器。地址增加、洗钱路径变复杂,这无疑为项目方和监管机构增加了调查难度。
约 5.31 亿美元的被盗资金被追回,占比约 21.13 %。而在 2023 年,追回的资金约为 2.95 亿美元。
全年约有 1.09 亿美元的被盗资金转入了混币器,约占总被盗资金的 4.34 %。自 2022 年 8 月美国 OFAC 制裁 Tornado Cash 以来,被盗资金转入 Tornado Cash 的金额大幅降低。
8、项目审计情况分析
131 起攻击事件里,有 42 起事件的项目方没有经过审计,78 起事件的项目方经过了审计,11起事件的项目方审计情况无法确认。
42 个没有经过审计的项目中,合约漏洞事件占了 30 起(约 71.43 %)。这表明,没有经过审计的项目更容易存在潜在的安全风险。相比之下,78 个经过审计的项目中,合约漏洞事件占了 49 起(约 62.82 %)。这显示出审计在一定程度上能够提高项目的安全性。
然而,由于Web3市场缺乏完善的规范标准,导致审计质量参差不齐,最终呈现的结果远未达到预期。为了有效保障资产安全,建议项目在上线之前务必寻找专业的安全公司进行审计。
9、Rug Pull 分析
2024年,Beosin Alert 平台共监测到 Web3 生态主要 Rug Pull 事件 68 起,总涉及金额约为 1.48 亿美元,较 2023 年的 3.88 亿美元有大幅下降。
从金额上看,68 起 Rug Pull 事件中,涉及金额在百万美元以上的共 9 个项目,分别为Essence Finance(2000万美元),Shido Global(240万美元),ETHTrustFund(220万美元),Nexera(180万美元),Grand Base(170万美元),SAGA Token(160万美元),OrdiZK(140万美元),MangoFarmSOL(129万美元)和RiskOnBlast(125万美元),损失金额共3364万美元,占所有Rug Pull事件损失金额的22.73%。
Ethereum 和 BNB Chain 上的 Rug Pull 项目占到了总数量的 82.35 %,分别为 24 起和 32 起,Scroll上发生了 1 起超过2000万美元的Rug Pull。其它公链发生过小数量的 Rug Pull 事件,包括:Polygon、BASE、Solana 等。
10、2024 Web3区块链安全态势总结
2024 年,链上黑客攻击活动、项目方 Rug Pull 事件次数均较 2023 年有了明显下降,但损失金额仍在增加,并且钓鱼攻击更加猖獗。损失最高的攻击手法依然为私钥泄露。造成这一转变的主要原因包括:
在去年猖獗的黑客活动之后,今年整个Web3生态更加注重安全性,从项目方到安全公司都在各个方面做出了努力,如实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验,导致黑客通过合约漏洞盗取资金比去年变得困难。然而,项目方还需在私钥保管与项目运营安全方面加强安全意识。
随着加密市场与传统市场的融合,黑客不再局限于攻击DeFi、跨链桥、交易所等类型,而是转向攻击支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种目标。
2024-2025年,加密市场进入牛市,链上资金活跃,在一定程度上将吸引更多的黑客攻击。此外,各地区针对加密资产的监管政策在逐渐完善,以打击各类使用加密资产进行的犯罪活动。在这样的趋势下,预计 2025 年黑客攻击活动将持续处于高位,全球执法机构和监管部门依然面临严峻的挑战。
声明:
- 本文转载自【Footprint区块链分析】,著作权归属原作者【Beosin、Footprint Analytics】,如对转载有异议,请联系 Gate Learn 团队,团队会根据相关流程尽速处理。
- 免责声明:本文所表达的观点和意见仅代表作者个人观点,不构成任何投资建议。
- 文章其他语言版本由 Gate Learn 团队翻译, 除非另有说明,否则不得复制、传播或抄袭经翻译文章。
相关文章
Gate 研究院:BTC 突破 10 万美元大关,11 月加密货币交易量首次突破 10 万亿美元