รายงานฉบับเต็ม:ชื่อระดับแรก
แหล่งข้อมูล:Footprint Analytics
ภาพรวมของสถานการณ์ความปลอดภัยของ Web3 ในช่วงครึ่งแรกของปี 2022
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - จำนวนเหตุการณ์ด้านความปลอดภัยและจำนวนการสูญเสียในช่วงครึ่งปีแรก
เราสามารถดูสถานการณ์โดยรวมของฟิลด์ความปลอดภัย Web3 ในช่วงครึ่งปีแรกได้จากชุดข้อมูลต่อไปนี้:
ในช่วงครึ่งปีแรก มีการโจมตีสะพานข้ามโซ่ 7 ครั้ง สูญเสียรวม 1.13599 พันล้านดอลลาร์สหรัฐ 53% ของการโจมตีเป็นการแสวงหาประโยชน์จากสัญญา 26.6% ของการโจมตีเป็นการกู้ยืมแบบแฟลช มี 5 ความปลอดภัย การโจมตีที่สูญเสียมากกว่า 100 ล้านในช่วงครึ่งแรกของปี เหตุการณ์ TVL ของตลาด DeFi ทั้งหมดลดลงจาก 276 พันล้านเหรียญสหรัฐในช่วงต้นเดือนมกราคมเป็น 80 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 71% แฮ็กเกอร์ทำการฟอกทั้งหมด 1.1407 พันล้านเหรียญสหรัฐผ่าน Tornado Cash ประมาณ 71% ของการโจมตีเกิดขึ้นในเขต DeFi
ในรายงานความปลอดภัยสำหรับไตรมาสที่หนึ่งและสอง เราได้แสดงและวิเคราะห์สถานการณ์โดยรวมในฟิลด์ความปลอดภัยบล็อกเชนจากมิติต่างๆ รวมถึงจำนวนการสูญเสียทั้งหมด ประเภทของโครงการที่ถูกโจมตี จำนวนการสูญเสียในแต่ละแพลตฟอร์มเชน วิธีการโจมตี กระแสเงินทุน สถานะการตรวจสอบโครงการ ฯลฯ
ข้อมูลหนึ่ง
ในช่วงครึ่งแรกของปี 2565 มีการโจมตีสะพานข้ามโซ่ทั้งหมด 7 ครั้ง
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - ปริมาณการสูญเสียของสะพานข้ามโซ่ในช่วงครึ่งแรกของปี (ตามแพลตฟอร์มเชน)
ข้อมูลสอง
53% ของการโจมตีเป็นการใช้ประโยชน์จากสัญญา
ในช่วงครึ่งแรกของปี 2565 ตรวจพบกรณีการโจมตีหลักทั้งหมด 42 กรณีที่เกิดจากช่องโหว่ของสัญญา และประมาณ 53% ของการโจมตีใช้ประโยชน์จากช่องโหว่ของสัญญา
ตามสถิติ ในช่วงครึ่งแรกของปี 2565 ตรวจพบกรณีการโจมตีครั้งใหญ่ที่เกิดจากช่องโหว่ของสัญญาทั้งหมด 42 กรณี โดยมีมูลค่าความเสียหายรวม 644.04 ล้านดอลลาร์สหรัฐ
คำอธิบายภาพ
Footprint Analytics - จำนวนช่องโหว่และจำนวนความเสียหายที่เกิดจากช่องโหว่แต่ละรายการ
จำนวนการสูญเสียเดียวที่ใหญ่ที่สุดคือช่องโหว่ในการตรวจสอบลายเซ็น เมื่อวันที่ 3 กุมภาพันธ์ พ.ศ. 2565 โครงการสะพานข้ามโซ่โซลานารูหนอนถูกโจมตีขาดทุนสะสมประมาณ 326 ล้านเหรียญสหรัฐ แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่การตรวจสอบลายเซ็นในสัญญา Wormhole ซึ่งอนุญาตให้แฮ็กเกอร์ปลอมแปลงบัญชี sysvar เพื่อขุด wETH
ได้รับความเดือดร้อนจาก flash loan บวกกับ reentry attack ทำให้ขาดทุนรวม 80.34 ล้านเหรียญสหรัฐRari Fuse Poolได้รับความเดือดร้อนจาก flash loan บวกกับ reentry attack ทำให้ขาดทุนรวม 80.34 ล้านเหรียญสหรัฐ
เหตุการณ์ที่พบบ่อยที่สุดในกระบวนการตรวจสอบโดยทั่วไปแบ่งออกเป็น 4 ประเภท: 1. การโจมตีแบบกลับเข้ามาใหม่ ERC721/ERC1155 2. ช่องโหว่เชิงตรรกะ 3. ขาดการตรวจสอบความถูกต้อง 4. การควบคุมราคา
ตามสถิติของเหตุการณ์ด้านความปลอดภัยที่รับรู้โดย Chengdu Lianan Hawkeye Blockchain Security Situation Awareness Platform ช่องโหว่เกือบทั้งหมดในกระบวนการตรวจสอบถูกแฮ็กเกอร์ใช้ในสถานการณ์จริง และการใช้ประโยชน์จากช่องโหว่ตรรกะของสัญญายังคงเป็นส่วนหลัก
ข้อมูลที่สาม
ในช่วงครึ่งแรกของปี 2565 จำนวนการโจมตีโดยใช้สินเชื่อแฟลชสูงถึง 21 ครั้ง
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - ความถี่ในการโจมตีสินเชื่อแฟลชและจำนวนการสูญเสียของแต่ละแพลตฟอร์มเชน
1) เมื่อวันที่ 17 เมษายน 2022 Beanstalk Farms ซึ่งเป็นโครงการ Stablecoin แบบอัลกอริทึมถูกโจมตีโดยเงินกู้และการกำกับดูแลอย่างรวดเร็ว แฮ็กเกอร์ทำกำไรได้ 76 ล้านดอลลาร์สหรัฐ และสูญเสียโปรโตคอลถึง 182 ล้านดอลลาร์สหรัฐ
2) เมื่อวันที่ 28 เมษายน 2022 DEUS Finance แพลตฟอร์มอนุพันธ์แบบหลายห่วงโซ่พบการกู้ยืมแบบฉับพลันและการโจมตีด้วยการควบคุมราคา ทำให้สูญเสียเงินประมาณ 15.7 ล้านเหรียญสหรัฐ
3) เมื่อวันที่ 30 เมษายน 2022 Rari Fuse Pool อย่างเป็นทางการของ Fei Protocol ได้รับความเดือดร้อนจากเงินกู้ด่วนและการโจมตีซ้ำ และแฮ็กเกอร์ทำกำไรได้ 28,380 ETH มูลค่าประมาณ 80 ล้านดอลลาร์
การโจมตีของเงินกู้แฟลชเกิดขึ้นบ่อยครั้ง ดังนั้นฝ่ายโครงการควรป้องกันหรือชะลอการโจมตีของเงินกู้แฟลชอย่างไร ต่อไปนี้เป็นคำแนะนำที่เป็นไปได้บางประการ:
กำหนดให้การทำธุรกรรมที่สำคัญครอบคลุมสองช่วงตึก
หากธุรกรรมที่ใช้เงินทุนจำนวนมากจำเป็นต้องขยายอย่างน้อยสองช่วงตึก และผู้ใช้จำเป็นต้องกู้เงินออกมาอย่างน้อยสองช่วงตึก การโจมตีด้วยเงินกู้ด่วนจะล้มเหลว แต่เพื่อให้ได้ผล ค่าของผู้ใช้จะต้องถูกล็อคระหว่างสองช่วงตึก เพื่อป้องกันไม่ให้พวกเขาชำระคืนเงินกู้
ราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP)
ในกรณีของการเปลี่ยนแปลงราคา ขอเสนอให้ใช้ราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP) เพื่อคำนวณราคาในกลุ่มสภาพคล่องในหลายช่วงตึก เนื่องจากลำดับธุรกรรมการโจมตีทั้งหมดจำเป็นต้องได้รับการประมวลผลในบล็อกเดียวกัน แต่ TWAP ไม่สามารถจัดการได้หากไม่จัดการบล็อกเชนทั้งหมด ดังนั้นจึงเป็นการหลีกเลี่ยงความผิดปกติของราคาในทันทีที่เกิดจากสินเชื่อแฟลช
กลไกการอัพเดทราคาบ่อยขึ้น
นอกจากนี้ ในกรณีของการปรับราคา ความถี่ที่กลุ่มสภาพคล่องสอบถามออราเคิลและอัปเดตราคาสามารถเพิ่มขึ้นได้อย่างเหมาะสม เมื่อจำนวนการอัปเดตเพิ่มขึ้น ราคาของโทเค็นในกลุ่มจะได้รับการอัปเดตเร็วขึ้น ทำให้เกิดการปั่นราคา ไม่ได้ผล
ตรรกะการกำกับดูแลที่เข้มงวดยิ่งขึ้น
เมื่อพูดถึงการกำกับดูแลโครงการควรพิจารณาความเข้มงวดของตรรกะการกำกับดูแลในหลาย ๆ ด้านเพื่อหลีกเลี่ยงช่องโหว่เชิงตรรกะเช่น Beanstalk Farms เมื่อมีช่องโหว่เล็ก ๆ มันอาจขยายอย่างไม่มีที่สิ้นสุดผ่านสินเชื่อแฟลชและในที่สุดก็ก่อให้เกิดความสูญเสียครั้งใหญ่
มั่นใจในความปลอดภัยและความน่าเชื่อถือระหว่างการออกแบบและการใช้งานตรรกะทางธุรกิจ
เมื่อฝ่ายโครงการออกแบบตรรกะทางธุรกิจและนักพัฒนานำไปใช้ พวกเขาควรพิจารณาความสมบูรณ์และความปลอดภัยของตรรกะทางธุรกิจอย่างเต็มที่ และให้ความสนใจกับสถานการณ์ที่รุนแรง เมื่อจำเป็น ควรพบสถาบันการตรวจสอบมืออาชีพเพื่อทำการตรวจสอบและวิจัยเพื่อป้องกันความเสี่ยงต่างๆ ที่อาจเกิดขึ้น
ข้อมูลสี่
ครึ่งปีแรกเกิดเหตุความมั่นคง 5 ครั้ง สูญกว่า 100 ล้าน
ในช่วงครึ่งแรกของปี 2565 มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 5 เหตุการณ์ที่มีมูลค่าความเสียหายกว่า 100 ล้าน ได้แก่
Ronin Network: 625 ล้านเหรียญ
เวิร์มโฮล: 326 ล้านเหรียญ
ฟาร์มถั่ว: 182 ล้านเหรียญ
เอลรอนด์: 113 ล้านเหรียญ
ความกลมกลืน: 100 ล้านเหรียญ
การสูญเสียทั้งหมดที่เกิดจากเหตุการณ์แฮ็กข้อมูลทั้ง 5 ครั้งนี้สูงถึง 1.346 พันล้านดอลลาร์สหรัฐ คิดเป็น 70% ของการสูญเสียทั้งหมดในช่วงครึ่งแรกของปี 2565
ในรายงานประจำไตรมาสของไตรมาสที่ 2 เราพบว่า TVL ของบางโครงการกลับมาเป็นศูนย์โดยตรงหลังจากถูกโจมตี และไม่มีการรีสตาร์ทในภายหลัง แล้วเกิดอะไรขึ้นกับโครงการเหล่านี้ที่สูญเสียเงินไปกว่า 100 ล้านหยวนหลังจากถูกโจมตี?
Ronin: ขาดทุน 625 ล้านดอลลาร์ ทรัพย์สินถูกโอนไปยัง Tornado Cash
เมื่อวันที่ 29 มีนาคม Ronin Network ของ Ethereum sidechain ของ Axie Infinity ถูกแฮ็ก ทำให้สูญเสียเงินไปประมาณ 625 ล้านดอลลาร์ Ronin sidechain ประกอบด้วยโหนดเครื่องมือตรวจสอบความถูกต้อง 9 โหนด และเพื่อยืนยันการฝากหรือถอน จำเป็นต้องมีลายเซ็นเครื่องมือตรวจสอบความถูกต้องห้ารายการ ผู้โจมตีสามารถควบคุมตัวตรวจสอบ Ronin ของ Sky Mavis สี่ตัวและตัวตรวจสอบบุคคลที่สามที่ดำเนินการโดย Axie DAO
หลังจากการโจมตี ผู้โจมตี Ronin ได้โอนเงินบางส่วนที่ถูกขโมยไปยัง Huobi, FTX, Binance, Crypto.com และการแลกเปลี่ยนอื่น ๆ แต่การแลกเปลี่ยนที่สำคัญทั้งหมดออกแถลงการณ์ว่าพวกเขาจะช่วยเหลืออย่างเต็มที่ในการกู้คืนเงินที่ถูกขโมย
ต่อจากนั้น ผู้โจมตีได้กระจายทรัพย์สินที่ถูกขโมยไปยังที่อยู่หลายแห่งและทำความสะอาดเป็นชุดผ่าน Tornado Cash เมื่อวันที่ 20 พฤษภาคม ผู้โจมตีกลุ่ม Ronin ได้โอนเงินที่ถูกขโมยไปล่าสุดให้กับ Tornado Cash และทรัพย์สินทั้งหมดก็ได้รับการทำความสะอาด ในเวลานี้ ราคาต่อหน่วยของ ETH ลดลงจาก 3,330 ดอลลาร์เหลือประมาณ 2,000 ดอลลาร์ และกำไรที่แท้จริงของแฮ็กเกอร์คือ 160 ล้านดอลลาร์น้อยกว่าตอนที่เขาโจมตี
การใช้ Lianbizhui-Virtual Currency Case Intelligent Research and Judgment Platform เพื่อวิเคราะห์เงินที่ถูกขโมย จะเห็นได้ว่าในที่สุดเงินที่ถูกขโมยทั้งหมดจะไหลไปที่ Tornado Cash
Harmony: โอน 42,000 ETH เป็น Tornado Cash
เมื่อวันที่ 24 มิถุนายน สะพาน Horizon Bridge ของ Harmony ถูกโจมตี ทำให้สูญเสียเงินกว่า 100 ล้านดอลลาร์
เมื่อวันที่ 26 มิถุนายน ผู้ก่อตั้ง Harmony ระบุว่าการโจมตี Horizon ไม่ได้เกิดจากช่องโหว่ของสัญญาอัจฉริยะ แต่เกิดจากการรั่วไหลของคีย์ส่วนตัว เงินถูกขโมยจากฝั่ง Ethereum ของสะพานข้ามโซ่ แม้ว่า Harmony จะจัดเก็บคีย์ส่วนตัวที่เข้ารหัสไว้ แต่ผู้โจมตีก็ถอดรหัสบางส่วนและลงนามในธุรกรรมที่ไม่ได้รับอนุญาต
Harmony กล่าวว่าได้เริ่มการสอบสวนแฮ็กเกอร์ทั่วโลกกับหน่วยงานบังคับใช้กฎหมายและแพลตฟอร์มการซื้อขายทั้งหมด ในขณะเดียวกัน Harmony ยังได้เพิ่มจำนวนเหรียญที่ถูกขโมยของแฮ็กเกอร์จาก 1 ล้านดอลลาร์แรกเป็น 10 ล้านดอลลาร์ อย่างไรก็ตาม แฮ็กเกอร์ฟอกเงินที่ถูกขโมยผ่าน Tornado Cash
ณ วันที่ 30 มิถุนายน จากการวิเคราะห์เงินที่ถูกขโมยผ่าน Lianbizhui-Virtual Currency Case Intelligent Research and Judgment Platform จะเห็นได้ว่าแฮ็กเกอร์ได้โอนเงินประมาณ 42,000 ETH (มูลค่าประมาณ 46.2 ล้านดอลลาร์สหรัฐ) ไปยัง Tornado Cash
ข้อมูลห้า
DeFi TVL ทั้งหมดลดลงจาก 279.8 พันล้านดอลลาร์ในช่วงต้นเดือนมกราคมเป็น 82.4 พันล้านดอลลาร์ ณ สิ้นเดือนมิถุนายน ลดลง 70.5%
DeFi TVL ทั้งหมดลดลงจาก 279.8 พันล้านเหรียญสหรัฐในช่วงต้นเดือนมกราคมเป็น 82.4 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 70.5% ในช่วงครึ่งปี ในหมู่พวกเขา การลดลงสะสมของ TVL ในเดือนพฤษภาคมและมิถุนายนสูงถึง 63.2% และลดลง 44.5% ในไม่กี่วันตั้งแต่วันที่ 5 พฤษภาคมถึง 13 พฤษภาคมเพียงวันเดียว
จากมุมมองที่ครอบคลุมของจำนวนการสูญเสียในกิจกรรมการโจมตีและจำนวนการโจมตี เดือนมีนาคมและเมษายนเป็นเดือนที่มีกิจกรรมแฮ็กเกอร์ในระดับสูงสุด และ TVL ในเดือนมีนาคมและเมษายนก็อยู่ในจุดที่ค่อนข้างสูงในรอบครึ่งปีเช่นกัน . ในเดือนพฤษภาคม TVL ลดลงอย่างรวดเร็ว และความถี่ของการโจมตีด้วยการแฮ็กและจำนวนเงินที่ถูกขโมยก็ลดลงอย่างมาก ในเดือนมิถุนายน TVL ยังคงลดลง และกิจกรรมของแฮ็กเกอร์เพิ่มขึ้นเมื่อเทียบกับเดือนพฤษภาคม แต่ก็ยังอยู่ในระดับต่ำเมื่อเทียบกับเดือนมีนาคมและเมษายน
แม้ว่า TVL ในเดือนมกราคมจะอยู่ที่ระดับสูงสุดในรอบครึ่งปี แต่กิจกรรมของแฮ็กเกอร์ก็ค่อนข้างต่ำ จากการเปรียบเทียบข้อมูลในเดือนมกราคม 2021 เราพบว่าการสูญเสียเนื่องจากการแฮ็กข้อมูลในเดือนมกราคม 2021 อยู่ที่ประมาณ 250,000 ดอลลาร์สหรัฐ ซึ่งค่อนข้างต่ำสำหรับทั้งปี ดังนั้น เหตุผลที่กิจกรรมของแฮ็กเกอร์ต่ำในเดือนมกราคม 2022 อาจเป็นไปได้ว่าเดือนมกราคมเป็นช่วงนอกฤดูกาลสำหรับกิจกรรมการแฮ็ก
คำอธิบายภาพ
Footprint Analytics - จำนวนการโจมตี DeFi และแนวโน้ม TVL ในช่วงครึ่งปีแรก
คำอธิบายภาพ
Footprint Analytics - แนวโน้มมูลค่าตลาดของ GameFi และ BTC ในช่วงครึ่งปีแรก
ข้อมูลหก
แฮ็กเกอร์ฟอกเงิน 1.140.7 ล้านดอลลาร์ผ่าน Tornado Cash
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - H1 การไหลของเงินทุนที่ถูกขโมย
สถิติแสดงให้เห็นว่าในช่วงครึ่งแรกของปี 2022 มีการฝาก Ethereum ทั้งหมด 95,000 Ethereum (ประมาณ 2.34 พันล้านเหรียญสหรัฐ) ใน Tornado Cash กล่าวอีกนัยหนึ่ง อย่างน้อย 48.7% ของเงินที่ฝากใน Tornado Cash มาจากแฮ็กเกอร์ สมมติว่าเจ้าของที่เหลือใช้ Tornado Cash เป็นเครื่องมือความเป็นส่วนตัวในการทำธุรกรรม ในความเป็นจริง ผู้คนจำนวนมากใช้ Tornado Cash เพื่อดำเนินธุรกรรมทางอาญาเกี่ยวกับสกุลเงินดิจิทัล ข้อมูลดังกล่าวไม่อยู่ในขอบเขตของรายงานนี้
แม้ว่าเทคโนโลยีการผสมสกุลเงินจะช่วยเพิ่มความเป็นนิรนามและความเป็นส่วนตัวของการทำธุรกรรมบนเครือข่าย นอกจากนี้ เทคโนโลยีดังกล่าวยังถูกนำไปใช้ในทางที่ผิด เช่น การฟอกเงิน เทคโนโลยีการผสมสกุลเงินจะเพิ่มความยากลำบากในการติดตามทรัพย์สินทางอาญาในเครือข่าย อย่างไรก็ตาม เมื่อแฮ็กเกอร์ใช้ Tornado Cash เพื่อฟอกเงิน ร่องรอยข้อมูลบางส่วนจะถูกเปิดเผยด้วย ผ่านการรวมจำนวนเงินของที่อยู่ทั้งหมดและจำนวนเงินที่โอนจากแฮ็กเกอร์ไปยัง Tornado และการรวมจำนวนเงินของที่อยู่ปลายทางทั้งหมดและจำนวนเงินที่โอนออกจาก Tornado Cash ต่อหน่วยเวลา จำนวนเงินที่เติมสกุลเงินผสมและจำนวนเงินที่ถอนสกุลเงินผสม มีการจับคู่เพื่อให้บรรลุการติดตามเงินที่ผิดกฎหมายโดยเชื่อมโยงที่อยู่ฝากทองคำของแฮ็กเกอร์กับที่อยู่ถอนทองคำ
ในเวลาเดียวกัน เฉิงตู เหลียนหนานมุ่งมั่นที่จะต่อสู้กับอาชญากรรมสกุลเงินเสมือนจริงทั้งระบบ โดยให้บริการและผลิตภัณฑ์ทั้งหมดเพื่อต่อสู้กับอาชญากรรมสกุลเงินเสมือน มีประสบการณ์ด้านการต่อต้านการฟอกเงินและการกำกับดูแลสกุลเงินเสมือน และมี ช่วยเหลือหน่วยงานบังคับใช้กฎหมายในการดำเนินการหลายกรณีในการเข้าร่วมการสนับสนุนด้านเทคนิคของ Tornado Cash Case
ข้อมูลที่เจ็ด
ประมาณ 71% ของการโจมตีเกิดขึ้นในสนาม DeFi
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - การจัดประเภทโครงการที่ถูกโจมตีและจำนวนการสูญเสีย
เหตุใด DeFi จึงกลายเป็นพื้นที่ที่แฮ็กเกอร์โจมตียากที่สุดในโลก web3.0
ประการแรก DeFi มีการใช้งานสูง ในฐานะสาขาบล็อกเชนที่ร้อนแรงที่สุด DeFi ได้รับความสนใจอย่างมากตั้งแต่เกิด ยิ่งกิจกรรมสูง โครงการและผู้ใช้ที่เข้าร่วมก็ยิ่งมากขึ้น และยิ่งเป็นเป้าหมายของแฮ็กเกอร์ได้ง่ายขึ้น
คำอธิบายภาพ
ระบบนิเวศ DeFi
ประการที่สาม ตรรกะทางธุรกิจของ DeFi นั้นซับซ้อน ทุกวันนี้ ระบบนิเวศของ DeFi มีขนาดใหญ่ขึ้นเรื่อยๆ และความซับซ้อนทางธุรกิจก็เพิ่มขึ้นเรื่อยๆ และเนื่องจากความสามารถในการประกอบที่แข็งแกร่งของผลิตภัณฑ์ DeFi จึงนำไปสู่การแบ่งปันสภาพคล่องและสินทรัพย์ระหว่างผลิตภัณฑ์ DeFi ต่างๆ ดังนั้น ความซับซ้อนของตรรกะทางธุรกิจของ DeFi ควบคู่ไปกับการรวมกันและการโต้ตอบระหว่างผลิตภัณฑ์ จึงมีแนวโน้มที่จะนำไปสู่ปัญหาด้านความปลอดภัย ซึ่งจะถูกแฮ็กเกอร์ยึดไป
คำอธิบายภาพ
การตรวจสอบความปลอดภัยภายนอกอย่างครอบคลุม โค้ดที่สอดคล้องกับข้อกำหนดด้านความปลอดภัย และการทดสอบการจำลองในสภาพแวดล้อมเครือข่ายทดสอบคือการใช้งานที่ดีที่สุดเพื่อรับประกันความปลอดภัยของโปรเจ็กต์ DeFi
สำหรับปัญหาข้อกำหนดทางเทคนิคระดับรหัสที่กล่าวถึงข้างต้น หากยอมรับการตรวจสอบความปลอดภัยของบุคคลที่สามก่อนที่โครงการจะออนไลน์ ปัญหาอาจหมดไปในทันที บางทีอาจจะเป็นเพราะการพิจารณานี้เองที่ทำให้โครงการ DeFi จำนวนมากค่อยๆ เริ่มตระหนักถึงความสำคัญของการตรวจสอบความปลอดภัย และเลือกบริษัทรักษาความปลอดภัยที่มีคุณสมบัติสูงเพื่อดำเนินการดังกล่าว
ข้อมูลที่แปด
มีเหตุการณ์ด้านความปลอดภัยที่สำคัญ 10 เหตุการณ์ในด้าน NFT โดยสูญเสียไปประมาณ 64.9 ล้านเหรียญสหรัฐ
คำอธิบายภาพ
การวิเคราะห์รอยเท้า - การสูญเสียการโจมตี NFT (ตามวิธีการโจมตี)
ความปลอดภัยของสัญญา NFT
ในช่วงครึ่งปีแรกมีเหตุการณ์ด้านความปลอดภัยที่เกี่ยวข้องกับสัญญา NFT สาเหตุหลักคือไม่มีการตรวจสอบความปลอดภัยอย่างครอบคลุม ปัญหาทั่วไปอะไรจะเกิดขึ้นในกระบวนการตรวจสอบสัญญา NFT?
เมื่อตรวจสอบสัญญาชุด NFT ทีมตรวจสอบของ Chengdu Lianan พบว่าปัญหาหลักของสัญญา NFT รวมถึงประเภทต่อไปนี้:
(1) การปลอมแปลงลายเซ็นและการใช้ซ้ำ:
ข้อมูลลายเซ็นขาดการตรวจสอบการดำเนินการซ้ำ (เช่น: ขาดผู้ใช้ nonce) ส่งผลให้มีความเป็นไปได้ที่จะใช้ข้อมูลลายเซ็นซ้ำเพื่อสร้าง NFT;
การตรวจสอบลายเซ็นไม่มีเหตุผล (เช่น: ผู้ลงนามไม่ได้รับการตรวจสอบที่อยู่ศูนย์) เพื่อให้ผู้ใช้สามารถส่งการตรวจสอบไปยังโรงกษาปณ์;
(2) ช่องโหว่ทางตรรกะ:
ผู้ดูแลสัญญาสามารถสร้างเหรียญด้วยวิธีพิเศษ เช่น การวางตำแหน่งส่วนตัวโดยไม่ถูกจำกัดด้วยจำนวนเงินทั้งหมด ส่งผลให้จำนวน NFT จริงเกินความคาดหมาย
เมื่อทำการประมูล NFT ผู้ชนะสามารถพึ่งพาการโจมตีตามลำดับการรับธุรกรรมเพื่อแก้ไขราคาประมูล เพื่อให้ผู้ชนะการประมูลได้รับ NFT ในราคาต่ำ
(3) ERC721&ERC1155 การโจมตีกลับเข้ามาใหม่
เมื่อสัญญาใช้ฟังก์ชันการแจ้งเตือนการถ่ายโอน (ฟังก์ชัน onERC721Received) สัญญา NFT จะส่งการเรียกไปยังสัญญาเป้าหมายของการถ่ายโอน ซึ่งอาจนำไปสู่การโจมตีซ้ำ
(4) ขอบเขตการอนุญาตมีขนาดใหญ่เกินไป
ผู้ใช้จำเป็นต้องอนุญาตโทเค็นเดียวเมื่อทำการเดิมพันหรือประมูล แต่สัญญานั้นต้องมีการให้สิทธิ์ _operatorApprovals เมื่อผู้ใช้อนุญาตสำเร็จ มีความเสี่ยงที่ NFT จะถูกขโมย
(5) การจัดการราคา
ราคาของ NFT ขึ้นอยู่กับจำนวนของโทเค็นที่ถืออยู่ในสัญญาหนึ่ง ทำให้ผู้โจมตีใช้สินเชื่อแฟลชเพื่อเพิ่มราคาของโทเค็น ทำให้ NFT ที่จำนำถูกชำระบัญชีอย่างผิดปกติ
เมื่อพิจารณาจากเหตุการณ์ด้านความปลอดภัยของสัญญา NFT ที่เกิดขึ้นในช่วงครึ่งปีแรก ช่องโหว่ที่มักปรากฏในกระบวนการตรวจสอบจะถูกแฮ็กเกอร์นำไปใช้ในทางปฏิบัติเช่นกัน ดังนั้นจึงจำเป็นต้องหาบริษัทรักษาความปลอดภัยมืออาชีพเพื่อตรวจสอบสัญญา NFT
ความปลอดภัยของกระเป๋าเงิน
ความสำคัญของการรักษาความปลอดภัยกระเป๋าเงินใน blockchain นั้นชัดเจน สำหรับผู้ใช้แต่ละราย ทรัพย์สิน wallet ของผู้ใช้จำนวนมากถูกขโมยเนื่องจากเหตุการณ์ฟิชชิ่งบ่อยครั้งในปีนี้ สำหรับโปรเจ็กต์ มีหลายเหตุการณ์ที่เกี่ยวข้องกับการรั่วไหลของคีย์ส่วนตัว ในปีนี้ ส่งผลให้มีการขโมยทรัพย์สินของโครงการเป็นจำนวนมาก ต่อไปนี้จะแนะนำการโจมตีแบบฟิชชิงที่เป็นอันตรายต่อผู้ใช้แต่ละรายและเหตุการณ์การรั่วไหลของคีย์ส่วนตัวที่เป็นอันตรายต่อฝ่ายโครงการ
ตกปลา
วิธีการฟิชชิ่งในปัจจุบันมักจะหลอกลวงผู้ใช้ให้อนุญาตกระเป๋าเงินด้วยวิธีต่าง ๆ ซึ่งจะเป็นภัยต่อความปลอดภัยของกระเป๋าเงิน ต่อไปนี้เป็นวิธีการฟิชชิ่งทั่วไปบางวิธี:
แอร์ดรอปปลอม
เว็บไซต์ฟิชชิ่งประเภทนี้ส่วนใหญ่จะใช้วิธีเช่น airdrops ปลอมเพื่อหลอกผู้ใช้ให้เยี่ยมชมเว็บไซต์ฟิชชิ่ง หลังจากที่ผู้ใช้เชื่อมต่อกับกระเป๋าเงินแล้ว จะมีปุ่มต่างๆ เช่น "รับสิทธิ์ทันที" เพื่อดึงดูดให้ผู้ใช้คลิก หลังจากที่ผู้ใช้คลิก ที่อยู่สีดำของเว็บไซต์ฟิชชิ่งจะได้รับอนุญาต
หลอกให้ผู้ใช้กรอกวลีช่วยจำ
เว็บไซต์ฟิชชิ่งประเภทนี้ส่วนใหญ่หลอกให้ผู้ใช้คลิกที่หน้าเว็บที่เชื่อมต่อกับกระเป๋าเงินหรือที่อื่น จากนั้นแสดงหน้าเว็บปลอมขึ้นมา พร้อมแจ้งข้อมูลแก่ผู้ใช้ เช่น "เวอร์ชันปลั๊กอิน MetaMask ต้องได้รับการอัปเกรด" . หากผู้ใช้เชื่อและกรอกข้อมูลในความจำกระเป๋าเงินของเขา รหัสส่วนตัวของผู้ใช้จะถูกอัปโหลดไปยังเซิร์ฟเวอร์ของผู้โจมตี และกระเป๋าเงินของผู้ใช้จะถูกขโมย
APP กระเป๋าเงินปลอม
APP wallet ปลอมประเภทนี้มักจะหลอกให้ผู้ใช้ดาวน์โหลดด้วยสามวิธีต่อไปนี้ วิธีแรกคือ หลอกให้ผู้ใช้ไปที่เว็บไซต์ทางการปลอมของ wallet เพื่อดาวน์โหลดโดยการซื้อพื้นที่โฆษณาบนเครื่องมือค้นหา วิธีที่สองคือ ส่งอีเมลและโปสเตอร์ให้เหยื่อ เป็นต้น เพื่อหลอกล่อผู้ใช้ให้ดาวน์โหลดกระเป๋าเงินปลอม วิธีที่สาม คือการใช้นักสังคมสงเคราะห์เพื่อให้เหยื่อได้รับความไว้วางใจก่อน จากนั้น หลอกให้ดาวน์โหลดกระเป๋าเงิน APP ปลอม
ความขัดแย้งตกปลา
ชื่อเรื่องรอง
จะป้องกันการโจมตีแบบฟิชชิ่งอย่างมีประสิทธิภาพได้อย่างไร?
ปลั๊กอินป้องกันฟิชชิง
บทส่งท้าย
บทส่งท้าย
เมื่อพิจารณาจากแนวโน้มตลาดของตลาด cryptocurrency ทั้งหมดในช่วงครึ่งแรกของปี แนวโน้มทั่วไปของการพัฒนาแทร็กหลักเช่น DeFi, NFT และ GameFi ยังคงลดลง ปริมาณรวมของ DeFi ที่ล็อคไว้ลดลงจาก 279.8 พันล้านเหรียญสหรัฐเมื่อต้นเดือนมกราคมเป็น 82.4 พันล้านเหรียญสหรัฐ ณ สิ้นเดือนมิถุนายน ลดลง 70.5% ในช่วงครึ่งปี การวิเคราะห์พบว่ามีความสัมพันธ์บางอย่างระหว่างความถี่ของการโจมตีของแฮ็กเกอร์และแนวโน้มของตลาด เนื่องจาก TVL หดตัวลงอย่างมากในเดือนพฤษภาคมและมิถุนายน เหตุการณ์การแฮ็กจึงลดลงเมื่อเทียบกับเดือนก่อนหน้า และเงินทุนที่มากขึ้นในเครือข่ายจะดึงดูดแฮ็กเกอร์ได้มากขึ้น
ในช่วงครึ่งปีแรกมีการโจมตีสะพานข้ามโซ่ 7 ครั้ง สูญเสียรวม 1.13599 พันล้านดอลลาร์สหรัฐ วิธีการโจมตีของ cross-chain bridge ส่วนใหญ่เป็นช่องโหว่ของสัญญา การรั่วไหลของคีย์ส่วนตัว และข้อบกพร่องของโปรแกรมออฟไลน์ สำหรับฝั่งโครงการ การตรวจสอบความปลอดภัย การควบคุมความเสี่ยงแบบออฟไลน์ การตรวจสอบเซิร์ฟเวอร์ลายเซ็นเป็นประจำ การตรวจสอบผู้ลงนามอย่างเข้มงวด การประเมินความปลอดภัยใหม่เมื่อมีการอัปเดตเวอร์ชัน - โครงการสะพานลูกโซ่
จากเหตุการณ์การโจมตีในช่วงครึ่งปีแรก ประมาณ 53% ของวิธีการโจมตีใช้ประโยชน์จากช่องโหว่ของสัญญา เมื่อเปรียบเทียบช่องโหว่ทั่วไปในกระบวนการตรวจสอบกับช่องโหว่ที่ถูกโจมตีจริง จะพบว่าช่องโหว่ส่วนใหญ่สามารถตรวจพบได้ในระหว่างขั้นตอนการตรวจสอบ เช่น ช่องโหว่เชิงตรรกะและช่องโหว่การกลับเข้าระบบ
นอกจากนี้ 26.6% ของการโจมตีเงินกู้แฟลชทำให้สูญเสียเงิน 332.91 ล้านดอลลาร์สหรัฐ นอกจากนี้ การใช้มาตรการบางอย่าง เช่น การตั้งราคาถัวเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP) กลไกการอัปเดตราคาที่มีความถี่สูงขึ้น และตรรกะการกำกับดูแลที่เข้มงวดขึ้น เป็นต้น ยังเป็นเครื่องมือในการตรวจสอบสินเชื่อแฟลชแบบเรียลไทม์
ในช่วงครึ่งปีแรกมีเหตุการณ์ด้านความปลอดภัยเกิดขึ้น 5 ครั้ง มูลค่าความเสียหายกว่า 100 ล้าน ข่าวดีก็คือโครงการที่ถูกโจมตีทั้ง 5 โครงการได้ออกมาตรการแก้ไขหลังจากช่วงระยะเวลาหนึ่งและกลับมาออนไลน์อีกครั้ง ในเหตุการณ์ที่ผ่านมา ตรงกันข้าม ฝ่ายโครงการขนาดเล็กและขนาดกลางบางกลุ่มที่มีเงินทุนจำนวนมากจะพบว่าเป็นการยากที่จะเริ่มต้นใหม่หลังจากการโจมตีครั้งใหญ่
ในช่วงครึ่งแรกของปี 2565 เงินที่ถูกขโมยไปประมาณ 1.1407 พันล้านดอลลาร์ถูกโอนไปยัง Tornado Cash โดยแฮ็กเกอร์ ซึ่งคิดเป็นประมาณ 60% ของการสูญเสียทั้งหมด แม้ว่าเทคโนโลยีการผสมสกุลเงินจะช่วยเพิ่มความเป็นนิรนามและความเป็นส่วนตัวของธุรกรรมบนเครือข่าย แต่แฮ็กเกอร์ก็นำไปใช้ในทางที่ผิดในข้อหาก่ออาชญากรรม เช่น การฟอกเงิน ในกรณีที่ผ่านมา เฉิงตู เหลียนหนานประสบความสำเร็จในการวิเคราะห์ร่องรอยข้อมูลของแฮ็กเกอร์และติดตาม Tornado Cash หลายครั้ง ณ เวลาที่ตีพิมพ์รายงาน กระทรวงการคลังสหรัฐได้ประกาศว่าจะTornado Cashรวมอยู่ในรายการลงโทษ
ในฐานะบริษัทรักษาความปลอดภัยบล็อกเชนชั้นนำระดับโลกที่อุทิศตนเพื่อการสร้างระบบนิเวศความปลอดภัยบล็อกเชนและเป็นบริษัทแรกที่ใช้เทคโนโลยีการตรวจสอบอย่างเป็นทางการเพื่อรักษาความปลอดภัยบล็อกเชน เฉิงตู เหลียนหนานได้สร้างความร่วมมือกับบริษัทบล็อกเชนชั้นนำทั้งในและต่างประเทศ ให้บริการติดตั้งใช้งานการตรวจสอบและป้องกันความปลอดภัยสำหรับสัญญาอัจฉริยะมากกว่า 2,000 รายการ แพลตฟอร์มบล็อกเชนมากกว่า 100 แพลตฟอร์ม และระบบแอปพลิเคชันเชื่อมโยงไปถึงทั่วโลก แพลตฟอร์มบริการความปลอดภัยบล็อกเชนครบวงจร "Lianbian" ที่พัฒนาตนเองสามารถให้บริการตรวจสอบความปลอดภัย การป้องกันความปลอดภัย การควบคุมดูแลความปลอดภัย คำเตือนด้านความปลอดภัย การให้คำปรึกษาด้านความปลอดภัย และวงจรชีวิตเต็มรูปแบบอื่น ๆ สำหรับหน่วยงานกำกับดูแลที่บังคับใช้กฎหมาย สถาบันการเงิน โซลูชั่น
Footprint Analytics เป็นเครื่องมือสำหรับค้นหาและแสดงภาพข้อมูลบล็อกเชน ซึ่งครอบคลุมข้อมูลที่เกี่ยวข้องในฟิลด์ต่างๆ เช่น NFT และ GameFi จนถึงตอนนี้ Footprint ได้รวบรวม วิเคราะห์ และล้างข้อมูลของเครือข่ายสาธารณะ 17 แห่ง และสร้างแดชบอร์ดแบบลากและวางที่ไม่ต้องใช้โค้ดสำหรับผู้ใช้ ขณะเดียวกัน Footprint ยังรองรับการใช้ SQL และ Python สำหรับการวิเคราะห์ข้อมูล .
Twitter: https://twitter.com/Footprint_Data
IOS
Android