ในช่วงครึ่งแรกของปี 2565 ตรวจพบเหตุการณ์ด้านความปลอดภัยที่สำคัญทั้งหมดในช่อง Web 3ประมาณ 79 คดีการสูญเสียที่เกิดจากการโจมตีต่างๆคำอธิบายภาพ。

เราสามารถดูสถานการณ์โดยรวมของฟิลด์ความปลอดภัย Web3 ในช่วงครึ่งปีแรกได้จากชุดข้อมูลต่อไปนี้:

เราสามารถดูสถานการณ์โดยรวมของฟิลด์ความปลอดภัย Web3 ในช่วงครึ่งปีแรกได้จากชุดข้อมูลต่อไปนี้:

• ในช่วงครึ่งปีแรก มีการโจมตีสะพานข้ามโซ่ 7 ครั้ง สูญเสียรวม 1.13599 พันล้านดอลลาร์สหรัฐ
• 53% ของการโจมตีเป็นการใช้ประโยชน์จากสัญญา
• วิธีการโจมตีประมาณ 26.6% เป็นการยืมแฟลช
• ครึ่งปีแรกเกิดเหตุความมั่นคง 5 เหตุการณ์ สูญกว่า 100 ล้าน;
• TVL ของตลาด DeFi ทั้งหมดลดลงจาก 276 พันล้านเหรียญสหรัฐในช่วงต้นเดือนมกราคมเป็น 80 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 71%;
• แฮ็กเกอร์ฟอกเงินจำนวน 1,140.7 ล้านดอลลาร์ผ่าน Tornado Cash;
• ประมาณ 71% ของการโจมตีเกิดขึ้นในสนาม DeFi

ในรายงานความปลอดภัยของไตรมาสที่หนึ่งและสอง เราได้แสดงและวิเคราะห์สถานการณ์โดยรวมในฟิลด์ความปลอดภัยบล็อคเชนจากมิติต่างๆอ่านเพิ่มเติม:

อ่านเพิ่มเติม:

1. จากรายงานนิเวศวิทยาความปลอดภัยบล็อกเชนระดับโลกไตรมาสที่ 1 ปี 2022 ความสูญเสียที่เกิดจากเหตุการณ์ความปลอดภัยการโจมตีสูงถึง 1.2 พันล้านดอลลาร์สหรัฐ

2. จากรายงานนิเวศวิทยาความปลอดภัย Web3 ทั่วโลกของไตรมาสที่ 2 ปี 2022 การสูญเสียทั้งหมดจากเหตุการณ์การโจมตีอยู่ที่ประมาณ 718.34 ล้านดอลลาร์สหรัฐ

ในช่วงครึ่งแรกของปี 2565 มีการโจมตีสะพานข้ามโซ่ทั้งหมด 7 ครั้ง

ข้อมูลหนึ่ง

ในช่วงครึ่งแรกของปี 2565 มีการโจมตีสะพานข้ามโซ่ทั้งหมด 7 ครั้ง

คำอธิบายภาพ

คำอธิบายภาพ

ในบรรดาช่องโหว่ที่ถูกโจมตีทั้งหมด

ข้อมูลสอง

53% ของการโจมตีเป็นการใช้ประโยชน์จากสัญญา

ในช่วงครึ่งแรกของปี 2565 ตรวจพบกรณีการโจมตีหลักทั้งหมด 42 กรณีที่เกิดจากช่องโหว่ของสัญญา และประมาณ 53% ของการโจมตีใช้ประโยชน์จากช่องโหว่ของสัญญา

โดยสถิติในช่วงครึ่งแรกของปี 2565 ตรวจพบกรณีการโจมตีหลักทั้งหมด 42 กรณีที่เกิดจากช่องโหว่ของสัญญา โดยมีมูลค่าความเสียหายรวม 644.04 ล้านดอลลาร์สหรัฐ

ในบรรดาช่องโหว่ที่ถูกโจมตีทั้งหมดคำอธิบายภาพ

ขาดทุนสะสมประมาณ 326 ล้านเหรียญสหรัฐ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่การตรวจสอบลายเซ็นในสัญญา Wormhole ซึ่งอนุญาตให้แฮ็กเกอร์ปลอมแปลงบัญชี sysvar เพื่อขุด wETH

จำนวนการสูญเสียเดียวที่ใหญ่ที่สุดคือช่องโหว่ในการตรวจสอบลายเซ็น เมื่อวันที่ 3 กุมภาพันธ์ พ.ศ. 2565 โครงการสะพานข้ามโซ่โซลานารูหนอนถูกโจมตีขาดทุนสะสมประมาณ 326 ล้านเหรียญสหรัฐ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่การตรวจสอบลายเซ็นในสัญญา Wormhole ซึ่งอนุญาตให้แฮ็กเกอร์ปลอมแปลงบัญชี sysvar เพื่อขุด wETH

เฉิงตู Lian'an Chain ต้องตรวจสอบสัญญาสมาร์ทแพลตฟอร์มการตรวจสอบอย่างเป็นทางการRari Fuse Poolได้รับความเดือดร้อนจาก flash loan บวกกับ reentry attack ทำให้ขาดทุนรวม 80.34 ล้านเหรียญสหรัฐ

เหตุการณ์ที่พบบ่อยที่สุดในกระบวนการตรวจสอบโดยทั่วไปแบ่งออกเป็น 4 ประเภท: 1. การโจมตีแบบกลับเข้ามาใหม่ ERC721/ERC1155 2. ช่องโหว่เชิงตรรกะ 3. ขาดการตรวจสอบความถูกต้อง 4. การควบคุมราคา

ตามChengdu Lianan Eagle Eye Blockchain แพลตฟอร์มการรับรู้สถานการณ์ด้านความปลอดภัยตามสถิติเหตุการณ์ด้านความปลอดภัยที่รับรู้ ช่องโหว่เกือบทั้งหมดที่ปรากฏในระหว่างกระบวนการตรวจสอบนั้นถูกแฮ็กเกอร์ใช้ในสถานการณ์จริง และการใช้ประโยชน์จากช่องโหว่ตรรกะของสัญญายังคงเป็นส่วนหลัก

ผ่านเฉิงตู Lian'an Chain ต้องตรวจสอบสัญญาสมาร์ทแพลตฟอร์มการตรวจสอบอย่างเป็นทางการผู้เชี่ยวชาญด้านการตรวจสอบและความปลอดภัยตรวจสอบและตรวจสอบด้วยตนเอง ช่องโหว่ข้างต้นสามารถพบได้ในขั้นตอนการตรวจสอบ และผู้เชี่ยวชาญด้านความปลอดภัยสามารถเสนอคำแนะนำการซ่อมแซมความปลอดภัยที่เกี่ยวข้องหลังจากทำการประเมินความปลอดภัยเพื่อให้ลูกค้าใช้เป็นข้อมูลอ้างอิงในการซ่อม

ในช่วงครึ่งแรกของปี 2565 จำนวนการโจมตีโดยใช้สินเชื่อแฟลชสูงถึง 21 ครั้ง

สแกนโดยเครื่องมือ ChainBitCheck มีช่องโหว่ในการกลับเข้าใช้ใหม่ในสัญญา

ข้อมูลที่สาม

ในช่วงครึ่งแรกของปี 2565 จำนวนการโจมตีโดยใช้สินเชื่อแฟลชสูงถึง 21 ครั้ง

คำอธิบายภาพ

คำอธิบายภาพ

หลังจากการโจมตี ผู้โจมตี Ronin ได้โอนเงินบางส่วนที่ถูกขโมยไปยัง Huobi, FTX, Binance, Crypto.com และการแลกเปลี่ยนอื่น ๆ แต่การแลกเปลี่ยนที่สำคัญทั้งหมดออกแถลงการณ์ว่าพวกเขาจะช่วยเหลืออย่างเต็มที่ในการกู้คืนเงินที่ถูกขโมย

1) เมื่อวันที่ 17 เมษายน 2022 Beanstalk Farms ซึ่งเป็นโครงการ Stablecoin แบบอัลกอริทึมถูกโจมตีโดยเงินกู้และการกำกับดูแลอย่างรวดเร็ว แฮ็กเกอร์ทำกำไรได้ 76 ล้านดอลลาร์สหรัฐ และสูญเสียโปรโตคอลถึง 182 ล้านดอลลาร์สหรัฐ

2) เมื่อวันที่ 28 เมษายน 2022 DEUS Finance แพลตฟอร์มอนุพันธ์แบบหลายห่วงโซ่พบการกู้ยืมแบบฉับพลันและการโจมตีด้วยการควบคุมราคา ทำให้สูญเสียเงินประมาณ 15.7 ล้านเหรียญสหรัฐ

3) เมื่อวันที่ 30 เมษายน 2022 Rari Fuse Pool อย่างเป็นทางการของ Fei Protocol ได้รับความเดือดร้อนจากเงินกู้ด่วนและการโจมตีซ้ำ และแฮ็กเกอร์ทำกำไรได้ 28,380 ETH มูลค่าประมาณ 80 ล้านดอลลาร์

การโจมตีของเงินกู้แฟลชเกิดขึ้นบ่อยครั้ง ดังนั้นฝ่ายโครงการควรป้องกันหรือชะลอการโจมตีของเงินกู้แฟลชอย่างไร ต่อไปนี้เป็นคำแนะนำที่เป็นไปได้บางประการ:

กำหนดให้การทำธุรกรรมที่สำคัญครอบคลุมสองช่วงตึก

หากธุรกรรมที่ใช้เงินทุนจำนวนมากจำเป็นต้องขยายอย่างน้อยสองช่วงตึก และผู้ใช้จำเป็นต้องกู้เงินออกมาอย่างน้อยสองช่วงตึก การโจมตีด้วยเงินกู้ด่วนจะล้มเหลว แต่เพื่อให้ได้ผล ค่าของผู้ใช้จะต้องถูกล็อคระหว่างสองช่วงตึก เพื่อป้องกันไม่ให้พวกเขาชำระคืนเงินกู้

ราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP)

ในกรณีของการเปลี่ยนแปลงราคา ขอเสนอให้ใช้ราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP) เพื่อคำนวณราคาในกลุ่มสภาพคล่องในหลายช่วงตึก เนื่องจากลำดับธุรกรรมการโจมตีทั้งหมดจำเป็นต้องได้รับการประมวลผลในบล็อกเดียวกัน แต่ TWAP ไม่สามารถจัดการได้หากไม่จัดการบล็อกเชนทั้งหมด ดังนั้นจึงเป็นการหลีกเลี่ยงความผิดปกติของราคาในทันทีที่เกิดจากสินเชื่อแฟลช

กลไกการอัพเดทราคาบ่อยขึ้น

นอกจากนี้ ในกรณีของการปรับราคา ความถี่ที่กลุ่มสภาพคล่องสอบถามออราเคิลและอัปเดตราคาสามารถเพิ่มขึ้นได้อย่างเหมาะสม เมื่อจำนวนการอัปเดตเพิ่มขึ้น ราคาของโทเค็นในกลุ่มจะได้รับการอัปเดตเร็วขึ้น ทำให้เกิดการปั่นราคา ไม่ได้ผล

ตรรกะการกำกับดูแลที่เข้มงวดยิ่งขึ้น

เมื่อพูดถึงการกำกับดูแลโครงการควรพิจารณาความเข้มงวดของตรรกะการกำกับดูแลในหลาย ๆ ด้านเพื่อหลีกเลี่ยงช่องโหว่เชิงตรรกะเช่น Beanstalk Farms เมื่อมีช่องโหว่เล็ก ๆ มันอาจขยายอย่างไม่มีที่สิ้นสุดผ่านสินเชื่อแฟลชและในที่สุดก็ก่อให้เกิดความสูญเสียครั้งใหญ่

มั่นใจในความปลอดภัยและความน่าเชื่อถือระหว่างการออกแบบและการใช้งานตรรกะทางธุรกิจ

เมื่อฝ่ายโครงการออกแบบตรรกะทางธุรกิจและนักพัฒนานำไปใช้ พวกเขาควรพิจารณาความสมบูรณ์และความปลอดภัยของตรรกะทางธุรกิจอย่างเต็มที่ และให้ความสนใจกับสถานการณ์ที่รุนแรง เมื่อจำเป็น ควรพบสถาบันการตรวจสอบมืออาชีพเพื่อทำการตรวจสอบและวิจัยเพื่อป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้น

ข้อมูลสี่

ครึ่งปีแรกเกิดเหตุความมั่นคง 5 ครั้ง สูญกว่า 100 ล้าน

ในช่วงครึ่งแรกของปี 2565 มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 5 เหตุการณ์ที่มีมูลค่าความเสียหายกว่า 100 ล้าน ได้แก่

• Ronin Network: 625 ล้านเหรียญ

• เวิร์มโฮล: 326 ล้านเหรียญ

• ฟาร์มถั่ว: 182 ล้านเหรียญ

• เอลรอนด์: 113 ล้านเหรียญ

• ความกลมกลืน: 100 ล้านเหรียญ

การสูญเสียทั้งหมดที่เกิดจากเหตุการณ์แฮ็กข้อมูลทั้ง 5 ครั้งนี้สูงถึง 1.346 พันล้านดอลลาร์สหรัฐ คิดเป็น 70% ของการสูญเสียทั้งหมดในช่วงครึ่งแรกของปี 2565

ในรายงานประจำไตรมาสของไตรมาสที่ 2 เราพบว่า TVL ของบางโครงการกลับมาเป็นศูนย์โดยตรงหลังจากถูกโจมตี และไม่มีการรีสตาร์ทในภายหลัง แล้วเกิดอะไรขึ้นกับโครงการเหล่านี้ที่สูญเสียเงินไปกว่า 100 ล้านหยวนหลังจากถูกโจมตี?

Ronin: ขาดทุน 625 ล้านดอลลาร์ ทรัพย์สินถูกโอนไปยัง Tornado Cash

เมื่อวันที่ 29 มีนาคม Ronin Network ของ Ethereum sidechain ของ Axie Infinity ถูกแฮ็ก ทำให้สูญเสียเงินไปประมาณ 625 ล้านดอลลาร์ Ronin sidechain ประกอบด้วยโหนดเครื่องมือตรวจสอบความถูกต้อง 9 โหนด และเพื่อยืนยันการฝากหรือถอน จำเป็นต้องมีลายเซ็นเครื่องมือตรวจสอบความถูกต้องห้ารายการ ผู้โจมตีสามารถควบคุมตัวตรวจสอบ Ronin ของ Sky Mavis สี่ตัวและตัวตรวจสอบบุคคลที่สามที่ดำเนินการโดย Axie DAO

หลังจากการโจมตี ผู้โจมตี Ronin ได้โอนเงินบางส่วนที่ถูกขโมยไปยัง Huobi, FTX, Binance, Crypto.com และการแลกเปลี่ยนอื่น ๆ แต่การแลกเปลี่ยนที่สำคัญทั้งหมดออกแถลงการณ์ว่าพวกเขาจะช่วยเหลืออย่างเต็มที่ในการกู้คืนเงินที่ถูกขโมย

ต่อจากนั้น ผู้โจมตีได้กระจายทรัพย์สินที่ถูกขโมยไปยังที่อยู่หลายแห่งและทำความสะอาดเป็นชุดผ่าน Tornado Cashใช้

ใช้Lianbizhui-แพลตฟอร์มการวิจัยและการตัดสินที่ชาญฉลาดสำหรับกรณีสกุลเงินเสมือนHarmony กล่าวว่าได้เริ่มการสอบสวนแฮ็กเกอร์ทั่วโลกกับหน่วยงานบังคับใช้กฎหมายและแพลตฟอร์มการซื้อขายทั้งหมด ในขณะเดียวกัน Harmony ยังได้เพิ่มจำนวนเหรียญที่ถูกขโมยของแฮ็กเกอร์จาก 1 ล้านดอลลาร์แรกเป็น 10 ล้านดอลลาร์ อย่างไรก็ตาม แฮ็กเกอร์ฟอกเงินที่ถูกขโมยผ่าน Tornado Cash

Harmony: โอน 42,000 ETH เป็น Tornado Cash

เมื่อวันที่ 24 มิถุนายน สะพาน Horizon Bridge ของ Harmony ถูกโจมตี ทำให้สูญเสียเงินกว่า 100 ล้านดอลลาร์

เมื่อวันที่ 26 มิถุนายน ผู้ก่อตั้ง Harmony ระบุว่าการโจมตี Horizon ไม่ได้เกิดจากช่องโหว่ของสัญญาอัจฉริยะ แต่เกิดจากการรั่วไหลของคีย์ส่วนตัว เงินถูกขโมยจากฝั่ง Ethereum ของสะพานข้ามโซ่ แม้ว่า Harmony จะจัดเก็บคีย์ส่วนตัวที่เข้ารหัสไว้ แต่ผู้โจมตีก็ถอดรหัสบางส่วนและลงนามในธุรกรรมที่ไม่ได้รับอนุญาต

Harmony กล่าวว่าได้เริ่มการสอบสวนแฮ็กเกอร์ทั่วโลกกับหน่วยงานบังคับใช้กฎหมายและแพลตฟอร์มการซื้อขายทั้งหมด ในขณะเดียวกัน Harmony ยังได้เพิ่มจำนวนเหรียญที่ถูกขโมยของแฮ็กเกอร์จาก 1 ล้านดอลลาร์แรกเป็น 10 ล้านดอลลาร์ อย่างไรก็ตาม แฮ็กเกอร์ฟอกเงินที่ถูกขโมยผ่าน Tornado Cash

ณ วันที่ 30 มิถุนายน เงินที่ถูกขโมยได้รับการวิเคราะห์ผ่าน Lianbizhui-Virtual Currency Case Intelligent Research and Judgment PlatformDeFi TVL ทั้งหมดลดลงจาก 279.8 พันล้านดอลลาร์ในช่วงต้นเดือนมกราคมเป็น 82.4 พันล้านดอลลาร์ ณ สิ้นเดือนมิถุนายน ลดลง 70.5%

ข้อมูลห้า

DeFi TVL ทั้งหมดลดลงจาก 279.8 พันล้านดอลลาร์ในช่วงต้นเดือนมกราคมเป็น 82.4 พันล้านดอลลาร์ ณ สิ้นเดือนมิถุนายน ลดลง 70.5%

DeFi TVL ทั้งหมดลดลงจาก 279.8 พันล้านเหรียญสหรัฐในช่วงต้นเดือนมกราคมเป็น 82.4 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 70.5% ในช่วงครึ่งปีในหมู่พวกเขา การลดลงสะสมของ TVL ในเดือนพฤษภาคมและมิถุนายนสูงถึง 63.2% และลดลง 44.5% ในไม่กี่วันตั้งแต่วันที่ 5 พฤษภาคมถึง 13 พฤษภาคมเพียงวันเดียว

จากมุมมองที่ครอบคลุมของจำนวนการสูญเสียในกิจกรรมการโจมตีและจำนวนการโจมตี เดือนมีนาคมและเมษายนเป็นเดือนที่มีกิจกรรมแฮ็กเกอร์ในระดับสูงสุด และ TVL ในเดือนมีนาคมและเมษายนก็อยู่ในจุดที่ค่อนข้างสูงในรอบครึ่งปีเช่นกัน . ในเดือนพฤษภาคม TVL ลดลงอย่างรวดเร็ว และความถี่ของการโจมตีด้วยการแฮ็กและจำนวนเงินที่ถูกขโมยก็ลดลงอย่างมากแม้ว่า TVL ในเดือนมกราคมจะอยู่ที่ระดับสูงสุดในรอบครึ่งปี แต่กิจกรรมของแฮ็กเกอร์ก็ค่อนข้างต่ำ จากการเปรียบเทียบข้อมูลในเดือนมกราคม 2021 เราพบว่าการสูญเสียเนื่องจากการแฮ็กข้อมูลในเดือนมกราคม 2021 อยู่ที่ประมาณ 250,000 ดอลลาร์สหรัฐ ซึ่งค่อนข้างต่ำสำหรับทั้งปี ดังนั้น เหตุผลที่กิจกรรมของแฮ็กเกอร์ต่ำในเดือนมกราคม 2022 อาจเป็นไปได้ว่าเดือนมกราคมเป็นช่วงนอกฤดูกาลสำหรับกิจกรรมการแฮ็ก

แม้ว่า TVL ในเดือนมกราคมจะอยู่ที่ระดับสูงสุดในรอบครึ่งปี แต่กิจกรรมของแฮ็กเกอร์ก็ค่อนข้างต่ำ จากการเปรียบเทียบข้อมูลในเดือนมกราคม 2021 เราพบว่าการสูญเสียเนื่องจากการแฮ็กข้อมูลในเดือนมกราคม 2021 อยู่ที่ประมาณ 250,000 ดอลลาร์สหรัฐ ซึ่งค่อนข้างต่ำสำหรับทั้งปี ดังนั้น เหตุผลที่กิจกรรมของแฮ็กเกอร์ต่ำในเดือนมกราคม 2022 อาจเป็นไปได้ว่าเดือนมกราคมเป็นช่วงนอกฤดูกาลสำหรับกิจกรรมการแฮ็ก

คำอธิบายภาพ

คำอธิบายภาพ

การโจมตี DeFi และแนวโน้ม TVL ในช่วงครึ่งปีแรก

คำอธิบายภาพ

คำอธิบายภาพ

แฮ็กเกอร์ฟอกเงิน 1.140.7 ล้านดอลลาร์ผ่าน Tornado Cash

ข้อมูลหก

แฮ็กเกอร์ฟอกเงิน 1.140.7 ล้านดอลลาร์ผ่าน Tornado Cash

คำอธิบายภาพ

แม้ว่าเทคโนโลยีการผสมสกุลเงินจะช่วยเพิ่มความเป็นนิรนามและความเป็นส่วนตัวของการทำธุรกรรมบนเครือข่าย นอกจากนี้ เทคโนโลยีดังกล่าวยังถูกนำไปใช้ในทางที่ผิด เช่น การฟอกเงิน เทคโนโลยีการผสมสกุลเงินจะเพิ่มความยากลำบากในการติดตามทรัพย์สินทางอาญาในเครือข่าย อย่างไรก็ตาม เมื่อแฮ็กเกอร์ใช้ Tornado Cash เพื่อฟอกเงิน ร่องรอยข้อมูลบางส่วนจะถูกเปิดเผยด้วย ผ่านการรวมจำนวนเงินของที่อยู่ทั้งหมดและจำนวนเงินที่โอนจากแฮ็กเกอร์ไปยัง Tornado และการรวมจำนวนเงินของที่อยู่ปลายทางทั้งหมดและจำนวนเงินที่โอนออกจาก Tornado Cash ต่อหน่วยเวลา จำนวนเงินที่เติมสกุลเงินผสมและจำนวนเงินที่ถอนสกุลเงินผสม มีการจับคู่เพื่อให้บรรลุการติดตามเงินที่ผิดกฎหมายโดยเชื่อมโยงที่อยู่ฝากทองคำของแฮ็กเกอร์กับที่อยู่ถอนทองคำ

สถิติแสดงให้เห็นว่าในช่วงครึ่งแรกของปี 2022 มีการฝาก Ethereum ทั้งหมด 95,000 Ethereum (ประมาณ 2.34 พันล้านเหรียญสหรัฐ) ใน Tornado Cash กล่าวอีกนัยหนึ่ง อย่างน้อย 48.7% ของเงินที่ฝากใน Tornado Cash มาจากแฮ็กเกอร์ สมมติว่าเจ้าของที่เหลือใช้ Tornado Cash เป็นเครื่องมือความเป็นส่วนตัวในการทำธุรกรรม ในความเป็นจริง ผู้คนจำนวนมากใช้ Tornado Cash เพื่อดำเนินธุรกรรมทางอาญาเกี่ยวกับสกุลเงินดิจิทัล ข้อมูลดังกล่าวไม่อยู่ในขอบเขตของรายงานนี้

แม้ว่าเทคโนโลยีการผสมสกุลเงินจะช่วยเพิ่มความเป็นนิรนามและความเป็นส่วนตัวของการทำธุรกรรมบนเครือข่าย นอกจากนี้ เทคโนโลยีดังกล่าวยังถูกนำไปใช้ในทางที่ผิด เช่น การฟอกเงิน เทคโนโลยีการผสมสกุลเงินจะเพิ่มความยากลำบากในการติดตามทรัพย์สินทางอาญาในเครือข่าย อย่างไรก็ตาม เมื่อแฮ็กเกอร์ใช้ Tornado Cash เพื่อฟอกเงิน ร่องรอยข้อมูลบางส่วนจะถูกเปิดเผยด้วย ผ่านการรวมจำนวนเงินของที่อยู่ทั้งหมดและจำนวนเงินที่โอนจากแฮ็กเกอร์ไปยัง Tornado และการรวมจำนวนเงินของที่อยู่ปลายทางทั้งหมดและจำนวนเงินที่โอนออกจาก Tornado Cash ต่อหน่วยเวลา จำนวนเงินที่เติมสกุลเงินผสมและจำนวนเงินที่ถอนสกุลเงินผสม มีการจับคู่เพื่อให้บรรลุการติดตามเงินที่ผิดกฎหมายโดยเชื่อมโยงที่อยู่ฝากทองคำของแฮ็กเกอร์กับที่อยู่ถอนทองคำ

เฉิงตู เหลียนหนาน พร้อมกันมุ่งมั่นที่จะต่อสู้กับระบบการสร้างขีดความสามารถของอาชญากรรมสกุลเงินเสมือนทั้งห่วงโซ่ ให้บริการและผลิตภัณฑ์ทั้งหมดเพื่อต่อสู้กับอาชญากรรมสกุลเงินเสมือนมีประสบการณ์ในการต่อต้านการฟอกเงินและการควบคุมสกุลเงินเสมือนประมาณ 71% ของการโจมตีเกิดขึ้นในสนาม DeFi

ข้อมูลที่เจ็ด

ประมาณ 71% ของการโจมตีเกิดขึ้นในสนาม DeFi

คำอธิบายภาพ

ประการแรก DeFi มีการใช้งานสูง ในฐานะสาขาบล็อกเชนที่ร้อนแรงที่สุด DeFi ได้รับความสนใจอย่างมากตั้งแต่เกิด ยิ่งกิจกรรมสูง โครงการและผู้ใช้ที่เข้าร่วมก็ยิ่งมากขึ้น และยิ่งเป็นเป้าหมายของแฮ็กเกอร์ได้ง่ายขึ้น

เหตุใด DeFi จึงกลายเป็นพื้นที่ที่แฮ็กเกอร์โจมตียากที่สุดในโลก web3.0

ประการแรก DeFi มีการใช้งานสูง ในฐานะสาขาบล็อกเชนที่ร้อนแรงที่สุด DeFi ได้รับความสนใจอย่างมากตั้งแต่เกิด ยิ่งกิจกรรมสูง โครงการและผู้ใช้ที่เข้าร่วมก็ยิ่งมากขึ้น และยิ่งเป็นเป้าหมายของแฮ็กเกอร์ได้ง่ายขึ้น

ประการที่สาม ตรรกะทางธุรกิจของ DeFi นั้นซับซ้อน ทุกวันนี้ ระบบนิเวศของ DeFi มีขนาดใหญ่ขึ้นเรื่อยๆ และความซับซ้อนทางธุรกิจก็เพิ่มขึ้นเรื่อยๆ และเนื่องจากความสามารถในการประกอบที่แข็งแกร่งของผลิตภัณฑ์ DeFi จึงนำไปสู่การแบ่งปันสภาพคล่องและสินทรัพย์ระหว่างผลิตภัณฑ์ DeFi ต่างๆ ดังนั้น ความซับซ้อนของตรรกะทางธุรกิจของ DeFi ควบคู่ไปกับการรวมกันและการโต้ตอบระหว่างผลิตภัณฑ์ จึงมีแนวโน้มที่จะนำไปสู่ปัญหาด้านความปลอดภัย ซึ่งจะถูกแฮ็กเกอร์ยึดไป

ระบบนิเวศ DeFi

ประการที่สาม ตรรกะทางธุรกิจของ DeFi นั้นซับซ้อน ทุกวันนี้ ระบบนิเวศของ DeFi มีขนาดใหญ่ขึ้นเรื่อยๆ และความซับซ้อนทางธุรกิจก็เพิ่มขึ้นเรื่อยๆ และเนื่องจากความสามารถในการประกอบที่แข็งแกร่งของผลิตภัณฑ์ DeFi จึงนำไปสู่การแบ่งปันสภาพคล่องและสินทรัพย์ระหว่างผลิตภัณฑ์ DeFi ต่างๆ ดังนั้น ความซับซ้อนของตรรกะทางธุรกิจของ DeFi ควบคู่ไปกับการรวมกันและการโต้ตอบระหว่างผลิตภัณฑ์ จึงมีแนวโน้มที่จะนำไปสู่ปัญหาด้านความปลอดภัย ซึ่งจะถูกแฮ็กเกอร์ยึดไป

คำอธิบายภาพ

มีเหตุการณ์ด้านความปลอดภัยที่สำคัญ 10 เหตุการณ์ในด้าน NFT โดยสูญเสียไปประมาณ 64.9 ล้านเหรียญสหรัฐ

การตรวจสอบความปลอดภัยภายนอกอย่างครอบคลุม โค้ดที่สอดคล้องกับข้อกำหนดด้านความปลอดภัย และการทดสอบการจำลองในสภาพแวดล้อมเครือข่ายทดสอบคือการใช้งานที่ดีที่สุดเพื่อรับประกันความปลอดภัยของโปรเจ็กต์ DeFi

สำหรับปัญหาข้อกำหนดทางเทคนิคระดับรหัสที่กล่าวถึงข้างต้น หากยอมรับการตรวจสอบความปลอดภัยของบุคคลที่สามก่อนที่โครงการจะออนไลน์ ปัญหาอาจหมดไปในทันที บางทีอาจจะเป็นเพราะการพิจารณานี้เองที่ทำให้โครงการ DeFi จำนวนมากค่อยๆ เริ่มตระหนักถึงความสำคัญของการตรวจสอบความปลอดภัย และเลือกบริษัทรักษาความปลอดภัยที่มีคุณสมบัติสูงเพื่อดำเนินการดังกล่าว

ข้อมูลที่แปด

มีเหตุการณ์ด้านความปลอดภัยที่สำคัญ 10 เหตุการณ์ในด้าน NFT โดยสูญเสียไปประมาณ 64.9 ล้านเหรียญสหรัฐ

คำอธิบายภาพ

ความขัดแย้งตกปลา

ความปลอดภัยของสัญญา NFT

ในช่วงครึ่งปีแรกมีเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับสัญญา NFT สาเหตุหลักคือไม่มีการตรวจสอบความปลอดภัยอย่างครอบคลุม ปัญหาทั่วไปอะไรจะเกิดขึ้นในกระบวนการตรวจสอบสัญญา NFT?

เมื่อตรวจสอบสัญญาชุด NFT ทีมตรวจสอบของ Chengdu Lianan พบว่าปัญหาหลักของสัญญา NFT รวมถึงประเภทต่อไปนี้:

(1) การปลอมแปลงลายเซ็นและการใช้ซ้ำ:

ข้อมูลลายเซ็นขาดการตรวจสอบการดำเนินการซ้ำ (เช่น: ขาดผู้ใช้ nonce) ส่งผลให้มีความเป็นไปได้ที่จะใช้ข้อมูลลายเซ็นซ้ำเพื่อสร้าง NFT;

การตรวจสอบลายเซ็นไม่มีเหตุผล (เช่น: ผู้ลงนามไม่ได้รับการตรวจสอบที่อยู่ศูนย์) เพื่อให้ผู้ใช้สามารถส่งการตรวจสอบไปยังโรงกษาปณ์;

(2) ช่องโหว่ทางตรรกะ:

ผู้ดูแลสัญญาสามารถสร้างเหรียญด้วยวิธีพิเศษ เช่น การวางตำแหน่งส่วนตัวโดยไม่ถูกจำกัดด้วยจำนวนเงินทั้งหมด ส่งผลให้จำนวน NFT จริงเกินความคาดหมาย

เมื่อทำการประมูล NFT ผู้ชนะสามารถพึ่งพาการโจมตีตามลำดับการรับธุรกรรมเพื่อแก้ไขราคาประมูล เพื่อให้ผู้ชนะการประมูลได้รับ NFT ในราคาต่ำ

(3) ERC721&ERC1155 การโจมตีกลับเข้ามาใหม่

เมื่อสัญญาใช้ฟังก์ชันการแจ้งเตือนการถ่ายโอน (ฟังก์ชัน onERC721Received) สัญญา NFT จะส่งการเรียกไปยังสัญญาเป้าหมายของการถ่ายโอน ซึ่งอาจนำไปสู่การโจมตีซ้ำ

(4) ขอบเขตการอนุญาตมีขนาดใหญ่เกินไป

ผู้ใช้จำเป็นต้องอนุญาตโทเค็นเดียวเมื่อทำการเดิมพันหรือประมูล แต่สัญญานั้นต้องมีการให้สิทธิ์ _operatorApprovals เมื่อผู้ใช้อนุญาตสำเร็จ มีความเสี่ยงที่ NFT จะถูกขโมย

(5) การจัดการราคา

ราคาของ NFT ขึ้นอยู่กับจำนวนของโทเค็นที่ถืออยู่ในสัญญาหนึ่ง ทำให้ผู้โจมตีใช้สินเชื่อแฟลชเพื่อเพิ่มราคาของโทเค็น ทำให้ NFT ที่จำนำถูกชำระบัญชีอย่างผิดปกติ

เมื่อพิจารณาจากเหตุการณ์ด้านความปลอดภัยของสัญญา NFT ที่เกิดขึ้นในช่วงครึ่งปีแรก ช่องโหว่ที่มักปรากฏในกระบวนการตรวจสอบจะถูกแฮ็กเกอร์นำไปใช้ในทางปฏิบัติเช่นกัน ดังนั้นจึงจำเป็นต้องหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อตรวจสอบสัญญา NFT

ความปลอดภัยของกระเป๋าเงิน

ความสำคัญของการรักษาความปลอดภัยกระเป๋าเงินใน blockchain นั้นชัดเจน สำหรับผู้ใช้แต่ละราย ทรัพย์สิน wallet ของผู้ใช้จำนวนมากถูกขโมยเนื่องจากเหตุการณ์ฟิชชิ่งบ่อยครั้งในปีนี้ สำหรับโปรเจ็กต์ มีหลายเหตุการณ์ที่เกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัว ในปีนี้ ส่งผลให้มีการขโมยทรัพย์สินของโครงการเป็นจำนวนมาก ต่อไปนี้จะแนะนำการโจมตีแบบฟิชชิงที่เป็นอันตรายต่อผู้ใช้แต่ละรายและเหตุการณ์การรั่วไหลของคีย์ส่วนตัวที่เป็นอันตรายต่อฝ่ายโครงการ

ตกปลา

วิธีการฟิชชิ่งในปัจจุบันมักจะหลอกลวงผู้ใช้ให้อนุญาตกระเป๋าเงินด้วยวิธีต่าง ๆ ซึ่งจะเป็นภัยต่อความปลอดภัยของกระเป๋าเงิน ต่อไปนี้เป็นวิธีการฟิชชิ่งทั่วไปบางวิธี:

แอร์ดรอปปลอม

เว็บไซต์ฟิชชิ่งประเภทนี้ส่วนใหญ่จะใช้วิธีเช่น airdrops ปลอมเพื่อหลอกผู้ใช้ให้เยี่ยมชมเว็บไซต์ฟิชชิ่ง หลังจากที่ผู้ใช้เชื่อมต่อกับกระเป๋าเงินแล้ว จะมีปุ่มต่างๆ เช่น "รับสิทธิ์ทันที" เพื่อดึงดูดให้ผู้ใช้คลิก หลังจากที่ผู้ใช้คลิก ที่อยู่สีดำของเว็บไซต์ฟิชชิ่งจะได้รับอนุญาต

หลอกให้ผู้ใช้กรอกวลีช่วยจำ

เว็บไซต์ฟิชชิ่งประเภทนี้ส่วนใหญ่หลอกให้ผู้ใช้คลิกที่หน้าเว็บที่เชื่อมต่อกับกระเป๋าเงินหรือที่อื่น จากนั้นแสดงหน้าเว็บปลอมขึ้นมา พร้อมแจ้งข้อมูลแก่ผู้ใช้ เช่น "เวอร์ชันปลั๊กอิน MetaMask ต้องได้รับการอัปเกรด" . หากผู้ใช้เชื่อและกรอกข้อมูลในความจำกระเป๋าเงินของเขา รหัสส่วนตัวของผู้ใช้จะถูกอัปโหลดไปยังเซิร์ฟเวอร์ของผู้โจมตี และกระเป๋าเงินของผู้ใช้จะถูกขโมย

APP กระเป๋าเงินปลอม

APP wallet ปลอมประเภทนี้มักจะหลอกให้ผู้ใช้ดาวน์โหลดด้วยสามวิธีต่อไปนี้ วิธีแรกคือ หลอกให้ผู้ใช้ไปที่เว็บไซต์ทางการปลอมของ wallet เพื่อดาวน์โหลดโดยการซื้อพื้นที่โฆษณาบนเครื่องมือค้นหา วิธีที่สองคือ ส่งอีเมลและโปสเตอร์ให้เหยื่อ เป็นต้น เพื่อหลอกล่อผู้ใช้ให้ดาวน์โหลดกระเป๋าเงินปลอม วิธีที่สาม คือการใช้นักสังคมสงเคราะห์เพื่อให้เหยื่อได้รับความไว้วางใจก่อน จากนั้น หลอกให้ดาวน์โหลดกระเป๋าเงิน APP ปลอม

ความขัดแย้งตกปลา

ปลั๊กอินป้องกันฟิชชิง

จะป้องกันการโจมตีแบบฟิชชิ่งอย่างมีประสิทธิภาพได้อย่างไร?

ปลั๊กอินป้องกันฟิชชิง

เนื่องจากความนิยมของโครงการ NFT เว็บไซต์ฟิชชิ่งต่าง ๆ จึงเกิดขึ้นอย่างไม่สิ้นสุดและเป็นการยากที่จะป้องกันโดยผู้ใช้เท่านั้น ดังนั้น ขอแนะนำให้ผู้ใช้ติดตั้งปลั๊กอินต่อต้านฟิชชิ่งบนเบราว์เซอร์ของตน ปลั๊กอินประเภทนี้สามารถระบุได้ว่าเว็บไซต์ web3 ที่ผู้ใช้เยี่ยมชมอยู่นั้นเป็นเว็บไซต์ที่เป็นอันตราย เช่น ฟิชชิ่งหรือการฉ้อโกงหรือไม่

บทส่งท้าย

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

บทส่งท้าย

เมื่อพิจารณาจากแนวโน้มตลาดของตลาด cryptocurrency ทั้งหมดในช่วงครึ่งแรกของปี แนวโน้มทั่วไปของการพัฒนาแทร็กหลักเช่น DeFi, NFT และ GameFi ยังคงลดลง ปริมาณรวมของ DeFi ที่ล็อคไว้ลดลงจาก 279.8 พันล้านเหรียญสหรัฐเมื่อต้นเดือนมกราคมเป็น 82.4 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 70.5% ในช่วงครึ่งปีการวิเคราะห์พบว่ามีความสัมพันธ์บางอย่างระหว่างความถี่ของการโจมตีของแฮ็กเกอร์และแนวโน้มของตลาดเนื่องจาก TVL หดตัวลงอย่างมากในเดือนพฤษภาคมและมิถุนายน เหตุการณ์การแฮ็กจึงลดลงเมื่อเทียบกับเดือนก่อนหน้า และเงินทุนที่มากขึ้นในเครือข่ายจะดึงดูดแฮ็กเกอร์ได้มากขึ้น

ในช่วงครึ่งปีแรกมีการโจมตีสะพานข้ามโซ่ 7 ครั้ง สูญเสียรวม 1.13599 พันล้านดอลลาร์สหรัฐ วิธีการโจมตีของ cross-chain bridge ส่วนใหญ่เป็นช่องโหว่ของสัญญา การรั่วไหลของคีย์ส่วนตัว และข้อบกพร่องของโปรแกรมออฟไลน์สำหรับฝั่งโครงการ การตรวจสอบความปลอดภัย การควบคุมความเสี่ยงแบบออฟไลน์ การตรวจสอบเซิร์ฟเวอร์ลายเซ็นเป็นประจำ การตรวจสอบผู้ลงนามอย่างเข้มงวด การประเมินความปลอดภัยใหม่เมื่อมีการอัปเดตเวอร์ชัน - โครงการสะพานลูกโซ่

จากเหตุการณ์การโจมตีในช่วงครึ่งปีแรก ประมาณ 53% ของวิธีการโจมตีใช้ประโยชน์จากช่องโหว่ของสัญญา เมื่อเปรียบเทียบช่องโหว่ทั่วไปในกระบวนการตรวจสอบกับช่องโหว่ที่ถูกโจมตีจริง จะพบว่าช่องโหว่ส่วนใหญ่สามารถตรวจพบได้ในขั้นตอนการตรวจสอบ เช่น ช่องโหว่เชิงตรรกะ ช่องโหว่การกลับเข้าระบบ เป็นต้นเฉิงตูLianan Chain Bitest-Smart แพลตฟอร์มการตรวจสอบอย่างเป็นทางการของสัญญาในขั้นตอนการพัฒนาสัญญาโครงการ โค้ดจะได้รับการยืนยันอย่างเป็นทางการโดยอัตโนมัติ รวมถึงการตรวจจับข้อกำหนดรหัส การตรวจจับข้อกำหนดมาตรฐาน การตรวจจับการเรียกใช้ฟังก์ชัน และการตรวจจับความปลอดภัยของตรรกะทางธุรกิจ

ในช่วงครึ่งปีแรกมีเหตุการณ์ด้านความปลอดภัยเกิดขึ้น 5 ครั้ง มูลค่าความเสียหายกว่า 100 ล้าน ข่าวดีก็คือโครงการที่ถูกโจมตีทั้ง 5 โครงการได้ออกมาตรการแก้ไขหลังจากช่วงระยะเวลาหนึ่งและกลับมาออนไลน์อีกครั้ง ในเหตุการณ์ที่ผ่านมา ตรงกันข้าม ฝ่ายโครงการขนาดเล็กและขนาดกลางบางกลุ่มที่มีเงินทุนจำนวนมากจะพบว่าเป็นการยากที่จะเริ่มต้นใหม่หลังจากการโจมตีครั้งใหญ่https://vaas.lianantech.com

นอกจากนี้ 26.6% ของการโจมตีเงินกู้แฟลชทำให้สูญเสียเงิน 332.91 ล้านดอลลาร์สหรัฐ นอกจากนี้ การใช้มาตรการบางอย่าง เช่น การตั้งราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP) กลไกการอัปเดตราคาที่มีความถี่สูงขึ้น และตรรกะการกำกับดูแลที่เข้มงวดขึ้น เป็นต้น ยังเป็นเครื่องมือในการตรวจสอบสินเชื่อแฟลชแบบเรียลไทม์

ในช่วงครึ่งปีแรกมีเหตุการณ์ด้านความปลอดภัยเกิดขึ้น 5 ครั้ง มูลค่าความเสียหายกว่า 100 ล้าน ข่าวดีก็คือโครงการที่ถูกโจมตีทั้ง 5 โครงการได้ออกมาตรการแก้ไขหลังจากช่วงระยะเวลาหนึ่งและกลับมาออนไลน์อีกครั้ง ในเหตุการณ์ที่ผ่านมา ตรงกันข้าม ฝ่ายโครงการขนาดเล็กและขนาดกลางบางกลุ่มที่มีเงินทุนจำนวนมากจะพบว่าเป็นการยากที่จะเริ่มต้นใหม่หลังจากการโจมตีครั้งใหญ่

ในช่วงครึ่งแรกของปี 2565 เงินที่ถูกขโมยไปประมาณ 1.1407 พันล้านดอลลาร์ถูกโอนไปยัง Tornado Cash โดยแฮ็กเกอร์ ซึ่งคิดเป็นประมาณ 60% ของการสูญเสียทั้งหมด แม้ว่าเทคโนโลยีการผสมสกุลเงินจะช่วยเพิ่มความเป็นนิรนามและความเป็นส่วนตัวของธุรกรรมบนเครือข่าย แต่แฮ็กเกอร์ก็นำไปใช้ในทางที่ผิดในข้อหาก่ออาชญากรรม เช่น การฟอกเงินในกรณีที่ผ่านมา เฉิงตู เหลียนหนานประสบความสำเร็จในการวิเคราะห์ร่องรอยข้อมูลของแฮ็กเกอร์และติดตาม Tornado Cash หลายครั้งในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนชั้นนำระดับโลกที่อุทิศตนเพื่อการสร้างระบบนิเวศความปลอดภัยบล็อกเชนและเป็นบริษัทแรกที่ใช้เทคโนโลยีการตรวจสอบอย่างเป็นทางการเพื่อรักษาความปลอดภัยบล็อกเชน เฉิงตู เหลียนหนานได้สร้างความร่วมมือกับบริษัทบล็อกเชนชั้นนำทั้งในและต่างประเทศ ให้บริการติดตั้งใช้งานการตรวจสอบและป้องกันความปลอดภัยสำหรับสัญญาอัจฉริยะมากกว่า 2,000 รายการ แพลตฟอร์มบล็อกเชนมากกว่า 100 แพลตฟอร์ม และระบบแอปพลิเคชันเชื่อมโยงไปถึงทั่วโลก แพลตฟอร์มบริการความปลอดภัยบล็อกเชนครบวงจร "Lianbian" ที่พัฒนาตนเองสามารถให้บริการตรวจสอบความปลอดภัย การป้องกันความปลอดภัย การควบคุมดูแลความปลอดภัย คำเตือนด้านความปลอดภัย การให้คำปรึกษาด้านความปลอดภัย และวงจรชีวิตเต็มรูปแบบอื่น ๆ สำหรับหน่วยงานกำกับดูแลที่บังคับใช้กฎหมาย สถาบันการเงิน โซลูชั่นTornado Cashรวมอยู่ในรายการลงโทษ

ในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนชั้นนำระดับโลกที่อุทิศตนเพื่อการสร้างระบบนิเวศความปลอดภัยบล็อกเชนและเป็นบริษัทแรกที่ใช้เทคโนโลยีการตรวจสอบอย่างเป็นทางการเพื่อรักษาความปลอดภัยบล็อกเชน เฉิงตู เหลียนหนานได้สร้างความร่วมมือกับบริษัทบล็อกเชนชั้นนำทั้งในและต่างประเทศ ให้บริการติดตั้งใช้งานการตรวจสอบและป้องกันความปลอดภัยสำหรับสัญญาอัจฉริยะมากกว่า 2,000 รายการ แพลตฟอร์มบล็อกเชนมากกว่า 100 แพลตฟอร์ม และระบบแอปพลิเคชันเชื่อมโยงไปถึงทั่วโลก แพลตฟอร์มบริการความปลอดภัยบล็อกเชนครบวงจร "Lianbian" ที่พัฒนาตนเองสามารถให้บริการตรวจสอบความปลอดภัย การป้องกันความปลอดภัย การควบคุมดูแลความปลอดภัย คำเตือนด้านความปลอดภัย การให้คำปรึกษาด้านความปลอดภัย และวงจรชีวิตเต็มรูปแบบอื่น ๆ สำหรับหน่วยงานกำกับดูแลที่บังคับใช้กฎหมาย สถาบันการเงิน โซลูชั่น