freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

SharkTeam:2023年第二季度Web3安全报告
2023-06-21 14:58:45
所属地 江苏省

根据SharkTeam链上安全分析平台ChainAegis数据,2023年第二季度Web3领域共发生了超过228起安全事件,损失金额累计超过3.07亿美元。在新的季度中,Web3安全事件依旧呈现高发态势,较上一季度(211起)上涨约8.05%,但损失资金较上一季度(3.83亿美元)下降了19.79%。

1687330632_64929f48248d7adc80215.png!small?1687330633561

在本季度中,合约漏洞类安全事件明显上涨,同比上涨64%,环比上涨105%。SharkTeam在此提醒项目方要重视对合约的审计,以免造成不必要的损失。

Rug Pull事件和其他类安全事件与上一季度数量上变化不大。安全事件类型呈现多样性,黑客攻击手段依旧花哨,攻击方法层出不穷,望广大用户在面对投资项目时万不能掉以轻心。

1687330636_64929f4cbbff604500573.png!small?1687330637692

在第二季度中,合约漏洞事件发生比例较上一季度明显上涨。

1687330640_64929f5057a7194795b44.png!small?1687330641638

一、 合约漏洞

2023年第二季度因合约漏洞造成的安全事件共41起,累计造成超过7,419.69万美元的资金损失。

6月11日,Floating Point Group (FPG)遭到攻击,损失超过2000万美元,是本季度因合约漏洞损失最严重的一起安全事件。

4月13日,Yearn Finance遭黑客攻击,损失金额约为1160万美元,为本季度由合约漏洞引起的损失排名第二的事件。此次攻击的原因在于攻击者利用yUSDT合约被错误设置了fulcrum地址,从而操控yUSDT合约中的稳定币储备余额,通过在yUSDT中存入USDT,以获得大量的非预期的yUSDT代币进行获利。本季度其他因合约漏洞造成的安全事件损失具体如下:

1687330647_64929f576d9c77beb9ca7.png!small?1687330649459

2023年第二季度合约安全漏洞包括:权限漏洞、逻辑漏洞、重入攻击、价格操控及其他。由逻辑漏洞造成的安全事件占比依旧最高,达54%,较上一季度涨幅达175%。2023年5月6日,DEUS的稳定币DEI合约存在burn逻辑漏洞,攻击者已获利约630万美元。逻辑漏洞在合约安全审计阶段是可以被发现的,项目方应该选择更专业的第三方专业审计机构进行审计,减少因合约漏洞造成的损失。

权限漏洞指合约在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,窃取更高的操作权限。2023年第二季度因权限漏洞造成损失的安全事件占比7%。6月15日,Hashflow遭遇与授权有关的攻击,损失金额约为41万美元。

闪电贷攻击事件仍旧时有发生,造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等。在本季度中价格操控类与重入攻击类合约漏洞事件占比均为10%。6月12日,DeFi借贷协议Sturdy遭黑客攻击,损失约$770,000,黑客使用了闪电贷+价格操纵的攻击手段。5月20日,Tornado.Cash遭受闪电贷+治理攻击,攻击者获利约68万美元。

1687330655_64929f5f57fe4b15b1348.png!small?1687330656500

二、 Rug pull

2023年第二季度Rug pull事件共有31起,累计造成超过1,518.83万美元的资金损失。建构在Arbitrum生态上的项目XIRTAM,是一个无需KYC的声誉建立平台,主张透过XIRTAM系统以匿名和去中心化方式一步步建立数字声誉,同时用户参与XIRTAM上的活动可获得奖励。该项目方在5月3号Rug Pull,部署者窃取了约1,909ETH的用户资金,是本季度损失最严重的一起Rug pull事件。此外,本季度Swaprum、Merlin及$KOKO损失金额均超过150万美元。

1687330660_64929f645ba1a41008025.png!small?1687330661229

项目方诈骗主要集中于ETH链,部分发生在BSC链上,少数事件发生在Arbitrum和其他平台上。

1687330664_64929f685349574e8c731.png!small?1687330665227

三、 其他风险

2023年第二季度其他类型的安全事件共发生了156起,其中服务器遭攻击发生78起,占比最大达50%,较上一季度增长了12%。其次为钓鱼攻击,累积发生50起,占比32%,较上一季度减少了16%。其他事件较上月略有增长,如热钱包被盗、NFT被盗、版税漏洞、交易应用程序被破坏等等。黑客诈骗手段不断更新,涉及领域愈发广泛,在进行项目投资时,仍要小心提防,避免因小失大。

1687330670_64929f6e222838c2a8982.png!small?1687330672329

1687330674_64929f72093a71cf64c48.png!small?1687330675262

4月14日,数字资产交易平台Bitrue发推称在一个热钱包中发现漏洞,攻击者已盗取价值约2300万美元的ETH、MATIC等。

4月20日,@aidogenft是伪造官方ArbDoge AI的虚假账户,正在发布钓鱼链接hxxps://aidoge.me/。

5月20日,美国司法部公告称,一名内华达州男子因涉嫌参与CoinDeal而受到指控,CoinDeal是一项投资欺诈计划,骗取了10,000多名受害者超过4500万美元。

5月31日,LSD协议unshETH合约的其中一个部署私钥被泄露。出于谨慎起见,官方紧急暂停了unshETHETH的提款。

6月14日,Atomic Wallet用户在黑客攻击中已遭受超过1亿美元的损失。这是自一年前Horizon Bridge遭受1亿美元攻击以来的首次重大加密货币盗窃事件。

6月12日,瑞士政府表示,联邦行政机构遭受DDOS攻击。一些网站和应用程序不可用。

6月16日,@ShellProtocol Discord服务器遭攻击。

不断变化和丰富的攻击手段反映出黑客、诈骗分子的欺诈和入侵手段正在不断演进。因此,用户对风险更要时刻保持敬畏,杜绝贪婪和侥幸心理,时刻保持警惕,避免资产损失。

# 区块链 # 区块链安全 # 区块链技术 # 区块链技术应用 # 区块链交易所
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录