Beosin年报:2023年度Web3区块链安全态势和加密行业监管政策
Tác giả gốc: Nhóm nghiên cứu Beosin Mario, Tian Daxia Donny
Nguồn chính thức:Beosin
Lời nói đầu
Báo cáo nghiên cứu này được thực hiện bởiĐược khởi xướng bởi Liên minh bảo mật Blockchain và được đồng sáng lập bởi các thành viên liên minh Beosin, Web3 Xiaolu và Elven, nó nhằm mục đích khám phá toàn diện tình hình bảo mật blockchain toàn cầu vào năm 2023 và các chính sách quản lý quan trọng trong ngành mã hóa.Thông qua phân tích và đánh giá hiện trạng bảo mật blockchain toàn cầu, báo cáo sẽ tiết lộ những thách thức và mối đe dọa bảo mật hiện tại, đồng thời cung cấp các giải pháp và phương pháp hay nhất. Đồng thời, báo cáo cũng sẽ xem xét quan điểm và định hướng chính sách của chính phủ và cơ quan quản lý ở nhiều quốc gia khác nhau về quy định của ngành mã hóa để giúp người đọc hiểu được những thay đổi năng động và tác động có thể có của môi trường pháp lý.
Thông qua báo cáo này, người đọc sẽ có thể hiểu một cách toàn diện hơn về sự phát triển năng động của tình hình bảo mật chuỗi khối Web3 và các điểm cốt lõi của các chính sách quy định. Điều này sẽ giúp người đọc đánh giá và ứng phó với những thách thức bảo mật mà lĩnh vực blockchain phải đối mặt và thúc đẩy sự phát triển bền vững của ngành đồng thời tuân thủ các yêu cầu quy định. Ngoài ra, người đọc cũng có thể nhận được những gợi ý hữu ích từ báo cáo về các biện pháp bảo mật, yêu cầu tuân thủ và định hướng phát triển ngành để giúp họ đưa ra những quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. Bảo mật và giám sát chuỗi khối là vấn đề then chốt cho sự phát triển của kỷ nguyên Web3. Thông qua nghiên cứu và thảo luận chuyên sâu, chúng ta có thể hiểu rõ hơn và ứng phó với những thách thức này, đồng thời thúc đẩy tính bảo mật và phát triển bền vững của công nghệ blockchain.
1. Tổng quan về tình hình bảo mật Blockchain Web3 năm 2023
Theo giám sát của nền tảng EagleEye của công ty kiểm toán bảo mật blockchain Beosin,Vào năm 2023, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pull của các bên dự án trong lĩnh vực Web3 gây ra lên tới 2,02 tỷ đô la Mỹ.Trong số đó, có 191 cuộc tấn công, với tổng thiệt hại khoảng 1,397 tỷ USD; 267 sự cố Rug Pull liên quan đến các bên tham gia dự án, với tổng thiệt hại khoảng 388 triệu USD; và các vụ lừa đảo lừa đảo, với tổng thiệt hại khoảng 238 triệu USD.
Vào năm 2023, các cuộc tấn công của hacker, lừa đảo lừa đảo và các sự cố Rug Pull của nhóm dự án đều đã giảm đáng kể so với năm 2022, với tổng số tiền giảm 53,9%.Trong số đó, các cuộc tấn công của hacker giảm nhiều nhất, từ 3,6 tỷ USD năm 2022 xuống còn 1,397 tỷ USD vào năm 2023, giảm khoảng 61,2%. Tổn thất do lừa đảo lừa đảo giảm 33,2% so với năm 2022 và tổn thất do kéo thảm giảm 8,8% so với năm 2022.
Năm 2023, có 4 vụ tấn công với thiệt hại trên 100 triệu USD và 17 vụ tấn công với thiệt hại từ 10 triệu USD đến 100 triệu USD.Tổng thiệt hại của 10 sự cố bảo mật hàng đầu là khoảng 1 tỷ USD, chiếm 71,5% tổng số tiền sự cố tấn công hàng năm.
Các loại dự án bị tấn công vào năm 2023 sẽ mở rộng hơn so với năm 2022.Bao gồm DeFi, CEX, DEX, chuỗi công khai, cầu nối chuỗi, ví, nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới mã hóa, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot TG và nhiều loại khác.DeFi là loại dự án có tần suất tấn công cao nhất và số tiền thua lỗ cao nhất, 130 cuộc tấn công DeFi gây ra tổng thiệt hại khoảng 408 triệu USD.
Các loại chuỗi công khai nơi các cuộc tấn công sẽ xảy ra thường xuyên hơn vào năm 2023 sẽĐã có nhiều sự cố bảo mật liên quan đến hành vi trộm cắp trên nhiều chuỗi. Ethereum vẫn là chuỗi công khai có số tổn thất cao nhất với 71 cuộc tấn công vào Ethereum gây thiệt hại 766 triệu USD, chiếm 54,9% tổng thiệt hại trong năm.
Xét về phương pháp tấn công,30 vụ rò rỉ khóa riêng gây ra tổng thiệt hại khoảng 627 triệu USD, chiếm 44,9% tổng thiệt hại và đây là phương thức tấn công gây ra nhiều tổn thất nhất.Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất. Trong số 191 vụ tấn công, 99 vụ đến từ khai thác lỗ hổng hợp đồng, chiếm 51,8%.
Khoảng 295 triệu USD số tiền bị đánh cắp đã được thu hồi trong suốt năm, chiếm khoảng 21,1%, tăng đáng kể so với năm 2022.Khoảng 330 triệu USD số tiền bị đánh cắp đã được chuyển sang các máy trộn tiền xu trong suốt cả năm, chiếm 23,6% tổng số tiền bị đánh cắp.
Khác với sự sụt giảm đáng kể về các cuộc tấn công hack trên chuỗi, lừa đảo lừa đảo và số tiền Rug Pull của dự án, dữ liệu tội phạm trong lĩnh vực mã hóa ngoài chuỗi sẽ tăng đáng kể vào năm 2023. Vào năm 2023, số lượng tội phạm trong ngành mã hóa toàn cầu đạt mức đáng kinh ngạc là 65,688 tỷ USD, tăng khoảng 377% so với 13,76 tỷ USD vào năm 2022.Ba loại tội phạm hàng đầu liên quan đến số tiền là cờ bạc trực tuyến, rửa tiền và lừa đảo.
2. Mười sự kiện bảo mật hàng đầu trong Hệ sinh thái Web3 năm 2023
Năm 2023, có 4 vụ tấn công với thiệt hại hơn 100 triệu đô la Mỹ: Mixin Network (200 triệu đô la Mỹ), Euler Finance (197 triệu đô la Mỹ), Poloniex (126 triệu đô la Mỹ) và HTX Heco Bridge (110 triệu đô la Mỹ). Tổng thiệt hại của 10 sự cố bảo mật hàng đầu là khoảng 1 tỷ USD, chiếm 71,5% tổng số tiền sự cố tấn công hàng năm.
No.1 Mixin Network
Số tiền thiệt hại: 200 triệu USD
Phương thức tấn công: Tấn công cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây
Sáng sớm ngày 23/9, cơ sở dữ liệu của nhà cung cấp dịch vụ đám mây Mixin Network đã bị hacker tấn công dẫn đến thất thoát một số tài sản trên mạng chính, trị giá khoảng 200 triệu USD. Vào ngày 25 tháng 9, người sáng lập Mixin đã công khai giải thích vụ việc trong một chương trình phát sóng trực tiếp, nói rằng tài sản bị thiệt hại chủ yếu là tài sản cốt lõi Bitcoin và các tài sản như BOX và XIN không bị đánh cắp nghiêm trọng.
No.2 Euler Finance
Số tiền thiệt hại: 197 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - vấn đề logic nghiệp vụ
Vào ngày 13 tháng 3, giao thức cho vay DeFi Euler Finance đã bị tấn công, dẫn đến thiệt hại khoảng 197 triệu USD. Nguyên nhân sâu xa của cuộc tấn công là hợp đồng đã không kiểm tra chính xác số lượng token mà người dùng thực sự nắm giữ và tình trạng sổ cái của người dùng sau khi quyên góp. Tất cả số tiền bị đánh cắp trong vụ việc này đã được kẻ tấn công trả lại.
No.3 Poloniex./a>
Số tiền thiệt hại: 126 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng/tấn công APT
No.4 HTX & Heco Bridge
Số tiền thiệt hại: 110 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng
Vào ngày 22 tháng 11, sàn giao dịch HTX và cầu xuyên chuỗi Heco Bridge của Justin Sun đã bị tin tặc tấn công, dẫn đến thiệt hại tổng cộng 110 triệu USD, trong đó Heco Bridge mất 86,6 triệu USD và HTX mất khoảng 23,4 triệu USD.
No.5 Curve/ Vyper
Số tiền thiệt hại: 73 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - reentrancy
Vào sáng sớm ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 có lỗ hổng khóa reentrancy và ETH gốc có thể điều chỉnh các lệnh gọi lại trong quá trình chuyển, dẫn đến một số ít trong nhóm lp này. nhóm ETH có thể bị tấn công bởi reentrancy. Sau đó, Twitter chính thức của Curve đã đăng tải rằng nhiều nhóm stablecoin (alETH/msETH/pETH) sử dụng Vyper 0.2.15 đã bị tấn công do khóa reentry bị lỗi. Thiệt hại trong vụ việc này lên tới khoảng 73 triệu USD.
No.6 CoinEx
Số tiền thiệt hại: 70 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng/tấn công APT
Vào ngày 12 tháng 9, sàn giao dịch tiền điện tử CoinEX đã đưa ra tuyên bố cho biết hệ thống kiểm soát rủi ro đã phát hiện các hoạt động rút tiền lớn đáng ngờ trong ví nóng được sử dụng để lưu trữ tạm thời tài sản giao dịch của nền tảng và một nhóm đặc biệt đã ngay lập tức được thành lập để can thiệp. sự cố liên quan đến các tài sản token như ETH, TRON và Polygon, số tiền bị đánh cắp là khoảng 70 triệu USD.
No.7 Atomic Wallet
Số tiền thiệt hại: 67 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng/tấn công APT
Giám sát rủi ro bảo mật EagleEye, cảnh báo sớm và giám sát nền tảng chặn của Beosin cho thấy Atomic Wallet đã bị tấn công vào đầu tháng 6. Theo thống kê từ nhóm Beosin, dựa trên thông tin báo cáo nạn nhân đã biết trên chuỗi, tổn thất do cuộc tấn công này gây ra ít nhất là khoảng 67 triệu USD. .
No.8 Alphapo
Số tiền thiệt hại: 60 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng/tấn công APT
Vào ngày 23 tháng 7, ví nóng của nhà cung cấp dịch vụ thanh toán tiền điện tử Alphapo đã bị đánh cắp, dẫn đến tổng thiệt hại 60 triệu USD. Vụ việc được thực hiện bởi nhóm hacker Lazarus của Triều Tiên.
No.9 KyberSwap
Số tiền thiệt hại: 54,7 triệu USD
Phương thức tấn công: Lỗ hổng hợp đồng - vấn đề logic nghiệp vụ
Vào ngày 22 tháng 11, dự án DEX KyberSwap đã bị tấn công, gây thiệt hại tổng cộng khoảng 54,7 triệu USD. Kyber Network tuyên bố rằng cuộc tấn công hack này là một trong những cuộc tấn công phức tạp nhất trong lịch sử DeFi và kẻ tấn công cần thực hiện một loạt hoạt động chính xác trên chuỗi để khai thác lỗ hổng.
No.10 Stake.com
Số tiền thiệt hại: 41,3 triệu USD
Phương thức tấn công: Rò rỉ khóa riêng/tấn công APT
Vào ngày 4 tháng 9, nền tảng cờ bạc tiền điện tử Stake.com đã bị hacker tấn công. Sau cuộc tấn công, Stake.com tuyên bố rằng các giao dịch trái phép đã xảy ra trong ví nóng của họ trên ETH và BSC, đồng thời họ đang điều tra và sẽ tiếp tục gửi và rút tiền ngay khi ví được bảo mật lại hoàn toàn. Vụ việc được thực hiện bởi nhóm hacker Lazarus của Triều Tiên.
3. Các loại dự án bị tấn công
So với năm 2022, các loại dự án bị tấn công vào năm 2023 có quy mô rộng hơn và số lượng thiệt hại không còn tập trung vào một số loại dự án nhất định. Ngoài các loại phổ biến như DeFi, CEX, DEX, chuỗi công khai, cầu nối chuỗi và ví, các cuộc tấn công của hacker vào năm 2023 cũng sẽ xuất hiện trên các nền tảng thanh toán, nền tảng cờ bạc, nhà môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển và Robot MEV, robot TG và các loại dự án khác.
Trong số 191 vụ tấn công vào năm 2023,Các dự án DeFi chiếm tới 130 lần (khoảng 68%), khiến nó trở thành loại dự án bị tấn công nhiều nhất.Tổng thiệt hại từ các cuộc tấn công DeFi là khoảng 408 triệu USD, chiếm 29,2% tổng thiệt hại và đây cũng là loại dự án bị thiệt hại lớn nhất.
Tổn thất lớn thứ hai là CEX (sàn giao dịch tập trung), với 9 vụ tấn công gây thiệt hại tổng cộng 275 triệu USD. Ngoài ra, 16 cuộc tấn công đã xảy ra trong loại DEX (sàn giao dịch phi tập trung), dẫn đến tổng thiệt hại khoảng 85,68 triệu USD. Tổng hợp lại, các loại sàn giao dịch sẽ gặp sự cố bảo mật thường xuyên vào năm 2023 và bảo mật sàn giao dịch là thách thức lớn thứ hai sau bảo mật DeFi.
Số tiền thua lỗ lớn thứ ba là chuỗi công khai.Số tiền thiệt hại xấp xỉ 208 triệu USD, chủ yếu là do vụ trộm Mixin Network trị giá 200 triệu USD.
Vào năm 2023, tổn thất cầu xuyên chuỗi xếp thứ tư, chiếm khoảng 7% tổng số tổn thất.Năm 2022, 12 sự cố an ninh cầu xuyên chuỗi đã gây ra tổng thiệt hại khoảng 1,89 tỷ USD, chiếm 52,5% tổng thiệt hại trong năm đó. Giảm đáng kể các sự cố an ninh cầu xuyên chuỗi vào năm 2023.
Ở vị trí thứ 5 là nền tảng thanh toán tiền điện tử,Hai sự cố bảo mật (Alphapo và CoinsPaid) dẫn đến tổng thiệt hại khoảng 97,3 triệu USD. Các tin tặc đằng sau cả hai sự cố đều nhắm vào tổ chức APT của Triều Tiên là Lazarus.
4. Số tiền thua lỗ trên mỗi chuỗi
So với năm 2022, các loại chuỗi công khai xảy ra các cuộc tấn công vào năm 2023 cũng rộng hơn, chủ yếu là do nhiều vụ rò rỉ khóa riêng CEX xảy ra vào năm 2023, gây tổn thất trên nhiều chuỗi.Top 5 về số lượng tổn thất là Ethereum, Mixin, HECO, BNB Chain và TRON; 5 top về số lượng sự kiện tấn công là BNB Chain, Ethereum, Arbitrum, Polygon, Optimism và Avalanche (đồng hạng ở vị trí thứ năm). ).
Giống như năm 2022, Ethereum vẫn là chuỗi công khai có mức lỗ cao nhất. 71 cuộc tấn công vào Ethereum đã gây thiệt hại 766 triệu USD, chiếm 54,9% tổng thiệt hại trong năm.
Tổn thất của chuỗi Mixin đứng thứ hai, với tổn thất từ một sự cố bảo mật lên tới 200 triệu USD. Ở vị trí thứ ba là HECO, với khoản lỗ khoảng 92,6 triệu USD.
Đã xảy ra 76 cuộc tấn công vào Chuỗi BNB, chiếm 39,8% tổng số vụ tấn công, đây là số vụ tấn công cao nhất trong số tất cả các nền tảng chuỗi. Tổng thiệt hại trên Chuỗi BNB là khoảng 70,81 triệu USD và phần lớn các sự kiện (88%) tập trung dưới 1 triệu USD.
5. Phân tích kỹ thuật tấn công
So với năm 2022, các phương thức tấn công năm 2023 sẽ đa dạng hơn, đặc biệt sẽ bổ sung thêm nhiều phương thức tấn công Web2, bao gồm:Tấn công cơ sở dữ liệu, tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công trung gian, tấn công DNS, tấn công giao diện người dùng, v.v.
Vào năm 2023, 30 sự cố rò rỉ khóa riêng đã gây ra tổng thiệt hại 627 triệu USD, chiếm 44,9% tổng thiệt hại, khiến đây trở thành phương thức tấn công gây ra nhiều tổn thất nhất. Rò rỉ khóa riêng gây thiệt hại lớn bao gồm: Poloniex (126 triệu USD), HTX Heco Bridge (110 triệu USD), CoinEx (70 triệu USD), Atomic Wallet (67 triệu USD) và Alphapo (60 triệu USD).Hầu hết các sự cố này đều liên quan đến tổ chức APT Lazarus của Triều Tiên.
Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất. Trong số 191 vụ tấn công, 99 vụ đến từ khai thác lỗ hổng hợp đồng, chiếm 51,8%. Tổng thiệt hại do sơ hở trong hợp đồng là 430 triệu USD, đứng thứ hai về số tiền thiệt hại.
Chia nhỏ theo các lỗ hổng, những lỗ hổng xảy ra thường xuyên nhất và gây ra nhiều tổn thất nhất là các lỗ hổng logic nghiệp vụ. Khoảng 72,7% tổn thất trong các sự cố lỗ hổng hợp đồng đến từ các lỗ hổng logic nghiệp vụ.Tổng thiệt hại khoảng 313 triệu USD. Lỗ hổng hợp đồng có số tiền tổn thất cao thứ hai là lỗ hổng reentrancy, với 13 lỗ hổng reentrancy gây thiệt hại khoảng 93,47 triệu USD.
6. Phân tích kỹ thuật tấn công trong các trường hợp điển hình
6.1 Sự cố bảo mật tài chính Euler
Tóm tắt sự kiện
Vào ngày 13 tháng 3, Euler Finance, một dự án cho vay trên chuỗi Ethereum, đã bị tấn công bởi một khoản vay nhanh, gây thiệt hại 197 triệu USD.
Vào ngày 16 tháng 3, Quỹ Euler đã trao phần thưởng trị giá 1 triệu đô la cho thông tin dẫn đến việc bắt giữ các tin tặc và trả lại số tiền bị đánh cắp.
Vào ngày 17 tháng 3, Giám đốc điều hành của Euler Labs, Michael Bentley đã tweet rằng Euler “luôn là một dự án có ý thức bảo mật”. Từ tháng 5 năm 2021 đến tháng 9 năm 2022, Euler Finance đã trải qua 10 cuộc kiểm toán bởi 6 công ty bảo mật blockchain bao gồm Halborn, Solidified, ZK Labs, Certora, Sherlock và Omnisica.
Bắt đầu từ ngày 18 tháng 3 đến ngày 4 tháng 4, những kẻ tấn công bắt đầu trả lại tiền lần lượt. Trong khoảng thời gian này, kẻ tấn công đã xin lỗi thông qua tin nhắn trên dây chuyền, nói rằng mình đã “làm gián đoạn tiền bạc, công việc và cuộc sống của người khác” và cầu xin mọi người tha thứ.
Vào ngày 4 tháng 4, Euler Labs đã tweet rằng kẻ tấn công đã trả lại tất cả số tiền bị đánh cắp sau khi đàm phán thành công.
Phân tích lỗ hổng
Trong cuộc tấn công này, chức năng donateToReserves của hợp đồng Etoken đã không kiểm tra chính xác số lượng token mà người dùng thực sự nắm giữ và tình trạng sức khỏe của sổ cái của người dùng sau khi quyên góp. Kẻ tấn công đã khai thác lỗ hổng này và quyên góp 100 triệu eDAI, trong khi thực tế kẻ tấn công chỉ stake 30 triệu DAI.
Vì tình trạng sức khỏe của sổ cái của người dùng đáp ứng các điều kiện thanh lý sau khi quyên góp nên hợp đồng cho vay sẽ được kích hoạt để thanh lý. Trong quá trình thanh lý, eDAI và dDAI sẽ được chuyển sang hợp đồng thanh lý. Tuy nhiên, do số nợ xấu rất lớn nên hợp đồng thanh lý sẽ áp dụng mức chiết khấu tối đa cho việc thanh lý. Sau khi thanh lý, hợp đồng thanh lý có 310,93 M eDAI và 259,31 M dDAI.
Tại thời điểm này, tình trạng sổ cái của người dùng đã được khôi phục và người dùng có thể rút tiền. Số tiền có thể rút là chênh lệch giữa eDAI và dDAI. Nhưng thực tế chỉ có 38,9 triệu DAI trong pool nên người dùng chỉ có thể rút số tiền này.
6.2 Sự cố bảo mật Vyper/Curve
Tóm tắt sự kiện
Vào ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 có lỗ hổng khóa reentrancy. Curve tuyên bố rằng nhiều nhóm stablecoin (CRV/alETH/msETH/pETH) sử dụng Vyper 0.2.15 đã bị tấn công, với tổng thiệt hại lên tới 73 triệu USD và khoảng 52,3 triệu USD đã bị tin tặc trả lại sau đó.
Phân tích lỗ hổng
Cuộc tấn công này chủ yếu là do lỗi khóa chống quay lại của Vyper 0.2.15. Khi kẻ tấn công gọi hàm Remove_liquidity của nhóm thanh khoản có liên quan để loại bỏ thanh khoản, hắn sẽ thêm thanh khoản bằng cách nhập lại hàm add_liquidity. Vì cập nhật số dư là không được thực hiện trong quá trình thử lại, hàm add_liquidity gây ra lỗi khi tính giá.
7. Phân tích, rà soát các vụ việc chống rửa tiền điển hình
7.1 Vụ trộm ví Atomic Wallet
Theo nền tảng giám sát, cảnh báo sớm và ngăn chặn rủi ro bảo mật EagleEye của Beosin, Atomic Wallet đã bị tấn công vào đầu tháng 6 năm nay. Theo thống kê từ nhóm Beosin, dựa trên thông tin nạn nhân đã biết báo cáo trên chuỗi, cuộc tấn công đã gây ra thiệt hại tại ít nhất khoảng 6.700 nhân dân tệ, 10.000 đô la Mỹ.
Theo phân tích của nhóm Beosin, cho đến nay có tổng cộng 21 chuỗi liên quan đến vụ trộm này, bao gồm BTC, ETH và TRX. Số tiền bị đánh cắp chủ yếu tập trung vào chuỗi Ethereum. TRONG:
Chuỗi Ethereum đã xác định số tiền bị đánh cắp là tiền ảo trị giá 16.262 ETH, khoảng 30 triệu USD.
Số tiền bị đánh cắp được biết đến của TRON Chain là tiền ảo trị giá 251335387.3208 TRX, tương đương khoảng 17 triệu USD.
Số tiền bị đánh cắp được biết đến của chuỗi BTC là tiền ảo trị giá 420,882 BTC, tương đương 12,6 triệu USD.
Chuỗi BSC Số tiền bị đánh cắp được biết đến của Chuỗi BSC là tiền ảo trị giá 40,206266 BNB.
Phần còn lại của chuỗi
Hãy lấy một ví dụ về rửa tiền trên chuỗi Ethereum
Khi tin tặc hoạt động dựa trên số tiền bị đánh cắp, có hai cách chính để Ethereum bị tấn công:
Sử dụng Avalanche để rửa tiền chuỗi chéo sau khi phân tán thông qua hợp đồng
Theo phân tích của nhóm Beosin, trước tiên hacker sẽ đổi số tiền có giá trị trong ví thành loại tiền chính của chuỗi công khai, sau đó tổng hợp chúng thông qua hai hợp đồng.
Địa chỉ hợp đồng sẽ đóng gói ETH vào WETH thông qua hai lớp chuyển khoản, sau đó chuyển WETH sang hợp đồng được sử dụng để phân tán ETH và chuyển nó đến địa chỉ ví của Avalanche cho Cross Bridge thông qua tối đa 5 lớp chuyển khoản cho các hoạt động xuyên chuỗi. giao dịch chuỗi không sử dụng hợp đồng và thuộc loại giao dịch kế toán nội bộ của Avalanche.
Sơ đồ liên kết Ethereum như sau:
Sự hội tụ xấp xỉ 1:
0xe07e2153542eb4b768b4d73081143c90d25f1d58 liên quan đến tổng cộng 3357,0201 ETH
Chuyển sang WETH và chuyển sang hợp đồng 0x3c3ed2597b140f31241281523952e936037cbed3
Sơ đồ chi tiết đường đi bán đồ trộm cắp như sau:
Tập hợp 2: 0x7417b428f597648d1472945ff434c395cca73245 liên quan đến tổng cộng 3009,8874 ETH
Hacker đổi thành WETH và chuyển sang hợp đồng 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0
Sơ đồ chi tiết đường đi bán đồ trộm cắp như sau:
Hai hợp đồng tổng hợp được xác nhận bằng cách thống nhất nguồn phí và không có địa chỉ hành vi giao dịch nào bị che giấu. Lộ trình phí xử lý như sau:
Ngoài ra, trên chuỗi Ethereum, tin tặc còn rửa tiền thông qua nhiều giao thức và sàn giao dịch cầu nối xuyên chuỗi khác nhau, số tiền hiện tại liên quan đến phần này là 9896 ETH và phần này sẽ được thu thập thông qua nhiều địa chỉ thu thập.
Xuyên suốt vụ việc, có rất nhiều kênh để hacker rửa tiền, chủ yếu thông qua nhiều tài khoản sàn giao dịch khác nhau, đồng thời rửa tiền trực tiếp vào các hợp đồng cầu nối xuyên chuỗi. Để phân tích dòng vốn trên các chuỗi khác, vui lòng nhấp vào đây:Một vụ trộm ví liên quan đến ít nhất 60 triệu USD, BeosinKYT sẽ giúp bạn tìm hiểu các hoạt động rửa tiền của tin tặc
Các nghiên cứu trường hợp chống rửa tiền khác:
1 Stake.com bị tấn công và mất 40 triệu USD. Beosin KYT/AML giúp bạn theo dõi dòng tiền bị đánh cắp.
8. Phân tích dòng tiền của tài sản bị đánh cắp
Trong số số tiền bị đánh cắp trong suốt năm 2023, khoảng 723 triệu USD vẫn còn trong các địa chỉ của hacker (bao gồm chuyển khoản qua chuỗi chéo và phân tán đến nhiều địa chỉ), chiếm 51,8% tổng số tiền bị đánh cắp. So với năm ngoái, năm nay tin tặc có nhiều khả năng sử dụng nhiều chuỗi chéo để rửa tiền và truyền số tiền bị đánh cắp đến nhiều địa chỉ. Sự gia tăng địa chỉ và sự phức tạp của các con đường rửa tiền chắc chắn sẽ khiến việc điều tra trở nên khó khăn hơn đối với các bên tham gia dự án và các cơ quan quản lý.
Khoảng 295 triệu USD số tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,1%. Vào năm 2022, chỉ có 8% số tiền sẽ được thu hồi. Khả năng thu hồi số tiền bị đánh cắp vào năm 2023 tốt hơn đáng kể so với năm 2022, với phần lớn đến từ lợi nhuận được thương lượng trên chuỗi.
Khoảng 330 triệu USD số tiền bị đánh cắp đã được chuyển sang các máy trộn tiền tệ trong suốt cả năm (khoảng 71,16 triệu USD đã được chuyển sang Tornado Cash và 259 triệu USD khác đã được chuyển sang các nền tảng trộn tiền tệ khác), chiếm 23,6% tổng số tiền bị đánh cắp. Tỷ lệ này đã giảm đáng kể so với mức 38,7% của năm ngoái. Kể từ khi OFAC của Hoa Kỳ xử phạt Tornado Cash vào tháng 8 năm 2022, số tiền bị đánh cắp được chuyển sang Tornado Cash đã giảm đáng kể và được thay thế bằng việc tăng cường sử dụng các nền tảng trộn tiền tệ khác, chẳng hạn như Sinbad, FixFloat, v.v. Vào tháng 11 năm 2023, OFAC của Hoa Kỳ đã bổ sung Sinbad vào danh sách trừng phạt, gọi đây là “công cụ rửa tiền chính của tổ chức Lazarus của Triều Tiên”.
Ngoài ra, một lượng nhỏ tiền bị đánh cắp (12,79 triệu USD) đã được chuyển sang sàn giao dịch và một lượng nhỏ tiền bị đánh cắp (10,9 triệu USD) đã bị đóng băng.
9. Phân tích tình hình kiểm toán dự án
Trong số 191 sự cố tấn công, 79 sự cố của các bên dự án chưa được kiểm toán và 101 sự cố của các bên dự án đã được kiểm toán. Tỷ lệ các bên tham gia dự án được kiểm toán năm nay cao hơn một chút so với năm ngoái (tỷ lệ các dự án được kiểm toán/không được kiểm toán năm ngoái gần như tương đương).
Trong số 79 dự án chưa được kiểm toán, sự cố lỗ hổng hợp đồng chiếm 47 trường hợp (59,5%). Điều này cho thấy các dự án không có kiểm toán sẽ dễ gặp rủi ro bảo mật tiềm ẩn hơn.Để so sánh, sự cố lỗ hổng hợp đồng chiếm 51 (50,5%) trong số 101 dự án được kiểm toán. Điều này cho thấy việc kiểm toán có thể cải thiện tính bảo mật của dự án ở một mức độ nhất định.
Tuy nhiên, do thiếu các tiêu chuẩn quy định hoàn chỉnh trên thị trường Web3, chất lượng kiểm tra không đồng đều và kết quả cuối cùng không như mong đợi. Để đảm bảo an toàn tài sản một cách hiệu quả, dự án nên tìm một công ty bảo vệ chuyên nghiệp để tiến hành kiểm tra trước khi lên mạng.Là công ty bảo mật blockchain hàng đầu thế giới, Beosin cam kết phát triển an toàn hệ sinh thái Web3 và đã kiểm toán hơn 3.000 hợp đồng thông minh và mạng chính của chuỗi công cộng, bao gồm PancakeSwap, Ronin Network, OKCSwap, v.v.Là một công ty bảo mật blockchain đáng tin cậy, Beosin có thể cung cấp cho các bên dự án các dịch vụ kiểm tra bảo mật tuyệt vời.
10. Phân tích kéo thảm
Vào năm 2023, nền tảng EagleEye của Beosin đã theo dõi tổng cộng 267 sự cố Kéo thảm sinh thái Web3, với tổng số tiền liên quan khoảng 388 triệu USD, giảm khoảng 8,7% so với năm 2022.
Xét về số tiền, 233 (87%) trong số 267 sự cố kéo thảm có giá trị dưới 1 triệu USD, gần bằng tỷ lệ của năm 2022. Có 4 dự án trị giá hơn 10 triệu USD gồm Multichain (210 triệu USD), Fintoch (31,6 triệu USD), BALD (23 triệu USD) và PEPE (15,5 triệu USD).
Các dự án Rug Pull trên BNB Chain và Ethereum chiếm 92,3% tổng số, lần lượt là 159 và 81. Một số lượng nhỏ sự kiện Rug Pull cũng đã xảy ra trong các chuỗi công khai khác, bao gồm: Arbitrum, BASE, Sui, zkSync, v.v.
11. Dữ liệu tội phạm ngành tiền điện tử toàn cầu năm 2023
Vào năm 2023, số lượng tội phạm trong ngành mã hóa toàn cầu đạt mức đáng kinh ngạc là 65,688 tỷ USD, tăng khoảng 377% so với 13,76 tỷ USD vào năm 2022. Trong khi số lượng các cuộc tấn công hack trên chuỗi đã giảm đáng kể thì các vụ tội phạm trong các lĩnh vực tiền điện tử khác lại tăng lên đáng kể. Mức tăng lớn nhất là cờ bạc trực tuyến, với số tiền liên quan lên tới 54,9 tỷ USD. Sau đây là rửa tiền (khoảng 4 tỷ USD), gian lận (khoảng 2,05 tỷ USD), mô hình kim tự tháp (khoảng 1,43 tỷ USD) và các cuộc tấn công của hacker (khoảng 1,39 tỷ USD).
Với sự cải tiến của hệ thống quản lý mã hóa toàn cầu và hoạt động trấn áp chuyên sâu tội phạm tiền điện tử, vào năm 2023, cảnh sát trên khắp thế giới đã phát hiện ra một số vụ án lớn liên quan đến hàng trăm triệu đô la. Sau đây là điểm lại một số trường hợp điển hình:
Số 1 Vào tháng 7 năm 2023, cảnh sát Hồ Bắc ở Trung Quốc đã phá “vụ tiền ảo đầu tiên” của nước này, liên quan đến 400 tỷ nhân dân tệ (khoảng 54,9 tỷ USD). Hơn 50.000 người có liên quan đến vụ án cờ bạc trực tuyến này, máy chủ đặt bên ngoài Trung Quốc, thủ phạm chính Qiu Moumou và những người khác đã bị đưa ra xét xử theo quy định của pháp luật.
Số 2 Vào tháng 8 năm 2023, chính quyền Singapore đã điều tra vụ rửa tiền lớn nhất trong lịch sử, với số tiền liên quan lên tới 2,8 tỷ đô la Singapore. Phương thức rửa tiền chủ yếu thông qua tiền ảo.
Số 3 Vào tháng 3 năm 2023, cảnh sát Giang Tô ở Trung Quốc đã tiến hành truy tố công khai hành vi lừa đảo “đầu cơ tiền xu” của Ubank, liên quan đến khối lượng giao dịch theo mô hình kim tự tháp hơn 10 tỷ nhân dân tệ (khoảng 1,4 tỷ USD).
Số 4 Vào tháng 12 năm 2023, người đồng sáng lập sàn giao dịch tiền ảo Bitzlato đã nhận tội rửa tiền 700 triệu USD, theo một tuyên bố từ Văn phòng Luật sư Hoa Kỳ tại Quận phía Đông New York.
Số 5 Vào tháng 7 năm 2023, Cảnh sát Liên bang Brazil đã triệt phá hai băng nhóm tội phạm buôn bán ma túy, chuyển tổng cộng hơn 417 triệu đô la Mỹ và cung cấp dịch vụ rửa tiền thông qua tài sản tiền điện tử.
Số 6 Vào tháng 2 năm 2023, theo một bản cáo trạng ở Oregon, người sáng lập Forsage đã bị truy tố liên quan đến kế hoạch DeFi Ponzi trị giá 340 triệu đô la.
Số 7 Vào tháng 11 năm 2023, cảnh sát ở Himachal Pradesh, Ấn Độ, đã bắt giữ 18 người trong vụ lừa đảo tiền điện tử trị giá 300 triệu USD.
Số 8 Vào tháng 8 năm 2023, cảnh sát Israel đã cáo buộc doanh nhân Moshe Hogeg và các đối tác của ông ta lừa đảo các nhà đầu tư 290 triệu USD tiền điện tử.
Số 9 Vào tháng 6 năm 2023, cảnh sát Thái Lan đã phát hiện một vụ án nghi ngờ lừa đảo tiền điện tử, liên quan đến tổng số tiền hơn 10 tỷ baht (khoảng 288 triệu USD).
Số 10 Vào tháng 10 năm 2023, JPEX, một sàn giao dịch tài sản ảo ở Hồng Kông, bị nghi ngờ lừa đảo, cảnh sát đã bắt giữ tổng cộng 66 người, liên quan đến số tiền khoảng 1,6 tỷ đô la Hồng Kông (khoảng 205 triệu đô la Mỹ).
Năm 2023 là năm gia tăng tội phạm tiền điện tử. Sự xuất hiện thường xuyên của các âm mưu gian lận và kim tự tháp cũng đồng nghĩa với việc khả năng người dùng thông thường bị mất tài sản đã tăng lên rất nhiều.Vì vậy, việc tăng cường giám sát ngành công nghiệp tiền điện tử là điều cấp thiết. Chúng ta có thể thấy rằng các cơ quan quản lý toàn cầu đã nỗ lực rất nhiều để quản lý tiền điện tử trong năm nay, nhưng vẫn còn một chặng đường dài trước khi có một hệ sinh thái hoàn chỉnh, an toàn và phát triển tích cực.
12. Tóm tắt tình hình bảo mật Blockchain Web3 năm 2023
Vào năm 2023, các hoạt động hack trên chuỗi, lừa đảo lừa đảo và sự cố Rug Pull của bên dự án đều đã giảm đáng kể so với năm 2022. Số lượng tổn thất do hacker tấn công đã giảm 61,3% và phương thức tấn công tốn kém nhất cũng đã thay đổi từ khai thác lỗ hổng hợp đồng năm ngoái sang rò rỉ khóa riêng của năm nay. Những lý do chính cho sự thay đổi này bao gồm:
1. Sau các hoạt động tràn lan của hacker năm ngoái, toàn bộ hệ sinh thái Web3 đã chú ý hơn đến vấn đề bảo mật trong năm nay, từ các bên dự án đến các công ty bảo mật, những nỗ lực đã được thực hiện về mọi mặt.Chẳng hạn như giám sát trên chuỗi theo thời gian thực, chú ý hơn đến kiểm tra bảo mật và tích cực học hỏi từ các sự cố khai thác lỗ hổng trong hợp đồng trong quá khứ. Điều này khiến việc đánh cắp tiền thông qua các lỗ hổng trong hợp đồng trở nên khó khăn hơn năm ngoái.
2. Tăng cường giám sát toàn cầu và cải tiến công nghệ chống rửa tiền. Có thể thấy rằng 21,1% số tiền bị đánh cắp sẽ được thu hồi vào năm 2023, tốt hơn đáng kể so với năm 2022.Khi các nền tảng trộn tiền như Tornado Cash và Sinbad bị Mỹ trừng phạt, con đường rửa tiền của hacker ngày càng trở nên phức tạp hơn. Đồng thời, chúng ta cũng thấy tin tức về việc hacker bị cảnh sát địa phương bắt giữ, điều này có tác dụng răn đe nhất định đối với hacker.
3. Tác động của thị trường tiền điện tử đầu năm. Lợi nhuận kỳ vọng của tin tặc đánh cắp tài sản từ các dự án Web3 đã giảm, do đó làm suy yếu hoạt động của tin tặc. Điều này cũng dẫn đến việc tin tặc không còn bị giới hạn trong việc tấn công DeFi, cầu nối chuỗi, sàn giao dịch, v.v. mà chuyển sang nền tảng thanh toán, nền tảng cờ bạc, môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, robot MEV, robot TG, vv loại.
Khác với sự sụt giảm đáng kể trong các hoạt động hack trên chuỗi, đã có sự gia tăng đáng kể các hoạt động tội phạm bí mật ngoài chuỗi, chẳng hạn như cờ bạc trực tuyến, rửa tiền, mô hình kim tự tháp, v.v. Do tính ẩn danh của tiền điện tử, nhiều hoạt động tội phạm khác nhau có xu hướng sử dụng tiền điện tử để giao dịch nhiều hơn. Tuy nhiên, sẽ là phiến diện khi cho rằng sự gia tăng các vụ án tội phạm tiền ảo chỉ là do tính ẩn danh và thiếu sự giám sát của tiền điện tử.Nguyên nhân cơ bản nằm ở sự gia tăng của các hoạt động tội phạm toàn cầu và tiền ảo cung cấp một kênh tài trợ tương đối ẩn giấu và khó theo dõi cho các hoạt động tội phạm này.Năm 2023, tăng trưởng kinh tế toàn cầu chậm lại đáng kể và môi trường chính trị phải đối mặt với nhiều yếu tố bất ổn, ở một mức độ nhất định góp phần làm gia tăng hoạt động tội phạm toàn cầu.Với những kỳ vọng kinh tế như vậy, các hoạt động tội phạm toàn cầu dự kiến sẽ vẫn ở mức cao vào năm 2024, điều này đặt ra thách thức nghiêm trọng đối với các cơ quan thực thi pháp luật và cơ quan quản lý toàn cầu.
Là công ty bảo mật blockchain hàng đầu toàn cầu, Beosin đã thành lập chi nhánh tại hơn 10 quốc gia và khu vực trên thế giới.Doanh nghiệp này bao gồm các sản phẩm + dịch vụ bảo mật blockchain một cửa như kiểm tra bảo mật mã trước khi dự án trực tuyến, giám sát rủi ro bảo mật, cảnh báo sớm và chặn trong quá trình vận hành dự án, phục hồi tài sản tiền ảo bị đánh cắp, tuân thủ bảo mật KYT/AML, v.v. . ,Công ty cam kết phát triển an toàn hệ sinh thái Web3 và đã cung cấp dịch vụ công nghệ bảo mật blockchain cho hơn 3.000 công ty trên khắp thế giới, bao gồm HashKey Group, Amber Group, BNB Chain, v.v., đồng thời đã kiểm toán hơn 3.000 hợp đồng thông minh và các mạng chính của chuỗi công khai, bao gồm PancakeSwap, Ronin Network, OKCSwap, v.v.
