重磅:2023年第一季度Web3.0行业安全报告发布(附PDF下载链接)

概要

  • 恶意行为者在2023年第一季度从Web3.0协议中窃取超过3.2亿(320,332,058)美元的价值。

  • 这一数字约为2022年第四季度9.5亿美元资产损失的三分之一,约为2022年第一季度13亿美元资产损失的四分之一。

  • 2023年第一季度,仅一起安全事件就造成了60%以上的损失——1.97亿美元Euler Finance漏洞事件。

  • 90起退出骗局的“幕后黑手”共盗取了约会3100万(31、043、335)美元资产,52起闪电贷款攻击和预测机操纵漏洞事件造成超过2.2亿(222,963,86)美元的损失。Euler事件直接增加了闪电贷款攻击事件的平均损失428.8万美元,退出骗局造成的平均资产损失较低34.5万美元

  • 除了区块链,2023年第一季度还发生了可以载入Web3.0货币史册的重大事件:从Silvergate银行倒闭,作为Web3.0货币行业与传统金融行业最强的联系之一,到硅谷银行危机导致的USDC稳定货币脱钩。

简介

总的来说,2023年第一季度相对平静。损失仅为2022年同期24%,与去年第四季度相比,9.5亿美元大幅下降。如果第一季度损失超过60%,Euler Finance事件减少(事件中损失的大部分资金最终已归还),2023年第一季度黑客和欺诈造成的损失在Web3.0历史上创下新低。

尽管与去年同期相比, blue-chip资产的价值明显较低,但其价格在第一季度强劲复苏。主要网络的日交易量也保持稳定或增长。以太坊平均每天处理约会110万笔交易,年初,BNB链也扭转了日交易量的持续下降趋势,从225万日交易的低点反弹到3月底的平均水平近400万笔

来源:Dune Analytics

值得注意的是,Arbitrum生态系统在2月底成为第一个日交易量超过以太坊的L2,在3月份向用户进行空投后,交易量再次激增。第一季度,Arbitrum安全事件造成约426.1万美元所有Web3.0区块链的总损失价值都占据了损失1.45%

尽管Euler Finance黑客事件是本季度最大的安全事件,但大部分资金最终被返还,削弱了事件的影响。虽然我们无法准确描述或猜测本季度黑客、欺诈和漏洞利用造成的损失减少的原因,但其中一个很大的可能性也是由于资产价格的下降,加上公众对Web3.0安全重要性的理解正在缓慢但持续增长。希望这一趋势一直持续到第二季度甚至2023年。

Euler损失:1.97亿美元,然后 所有可复原资金 "被归还

Euler Finance这是一项非托管协议,允许用户在以太坊借出和借入几乎任何web3.0货币资产。2023年3月13日,攻击者用闪电贷款攻击了多个euler Finance池最终被盗。约1.97亿美元。仅此事件就使Web3.0在第一季度的安全事件损失总额翻了一番以上。

Euler的漏洞在于Euler Pool合同中的donatetoreserve函数。该函数对流动性抵押缺乏适当的检查,导致用户自主放弃部分杠杆存款,使资本池资不抵债。

此外,尽管Euler白皮书中的mint函数被描述为存款的价值上限19倍,但当它被多次调用时,杠杆倍数没有实际控制

攻击流程

攻击者从AAVE闪电贷到3000万 DAI,通过EDAI合同向Euler存储2000万元 DAI,并收到2000万 eDAI。Euler池中的DAI余额为890万,直到攻击者存入2000万DAI。然后攻击者调用`eDAI.mint()`。该特定的`mint`功能是Eule Financer是独一无二的,允许用户反复借款和还款。这是一种创建贷款周期的方法,其结果是杠杆贷款头寸。当调用`mint`后,收到2亿 1.95.6亿DDAI eDAI。(注:dtokens代表债务代币,etokens代表抵押股权)。调用 "repay将EDAI池中的1000万DAI还给Euler,这将销毁1000万DAI。然后再次调用 "mint以2亿DAI和1.956亿EDAI的形式,为攻击合同创造另一个借贷位置。此时攻击者的位置如下:3.9 亿 dDAI 和 4亿 eDAI

调用`donateToReserves`(2022年7月引入存在漏洞的函数),将1亿edAI转移给euler。因为这种行为的抵押状况没有得到适当的检查,”donate" 后来的攻击者成了“违规者”(非健康负债水平的地址), 风险调整后,债务远远超过抵押品的价值,因此可以清算。攻击者部署的清算人合同开始清算“违规者”,清算人员利用平台运营获得20%的利润。

攻击发生后,一个与Ronin Bridge攻击相关的钱包通过链上的信息与Euler攻击者沟通,并附上加密信息和“解密工具”链接。这很可能是一个恶意软件,旨在从Euler攻击者那里窃取资金。

这是本案耐人寻味的发展,也揭示了专业黑客在Web3.0领域采用的各种战术和策略。

3月20日,黑客在区块链上发消息,宣布他们愿意谈判。

“我们希望所有受影响的人都能更容易地解决这些问题。我们无意保留不属于我们的东西。建立安全通信,让我们达成协议。”

——交易ID:0xcc73...6a1c0

攻击事件发生两周后,攻击者退还了大量资金,价值超过8500万美元的5.5万美元 ETH转回协议。虽然与Euler达成的具体协议条款尚不清楚,但似乎受影响的用户将得到部分或全部赔偿。

虽然与Web3.0领域的许多其他黑客攻击相比,该事件有一个“快乐”的结局,但这并不意味着该项目可以希望黑客的“善良”。积极的安全预防措施至关重要,毕竟,绝大多数被盗的价值永远不会被归还。

来源:推特

Kokomo Finance 和其他89人一起退出骗局

第一季度退出骗局的持续威胁尤为明显。在2023年的前三个月,89起退出骗局从投资者那里窃取了超过3100万美元。

退出骗局,我们通常称之为跑项目。也被生动地称为“拉地毯”(Rug Pull)通常,在“喂肥”项目后,欺诈者会突然撤回大量资金,关闭项目,最终导致投资者持有的代币失去价值。虽然大量的统计信息显示了多年来退出骗局的普遍性和影响,但研究其特征和犯罪分子的数据和报告却很少。从退出骗局到结束,certik研究了整个周期40个Rug Pull为了更好地理解最终消除流动性的共同点和差异。通过确定项目特征和定性和定量分析,我们可以识别和分析Rug Pull的共同特征。

Kokomo Finance在Optimism上部署Ethereum的Layer 2.扩展解决方案。2023年3月26日,Kokomo Finance实施退出骗局。由项目团队控制的部署合同实施了恶意合同,允许他们暂停协议的贷款功能,并将存款转移到外部地址,导致141 WBTC遭受损失。就像经典的退出骗局一样,团队删除了他们所有的社交媒体账户,项目网站不再可访问。

这不是第一季度最大的漏洞,也不是独一无二的。但它代表了这种骗局的可持续性:从Web开始 3.0用户窃取金额,从而积少成多。

诈骗者多次在web3.0河塘钓鱼

Web3.随着这一发展,社区也开始面临新的、更复杂的威胁和挑战。其中一个威胁是假钱包泛滥,其目的是欺骗用户发送他们的宝贵资产。这些假钱包是Web3.0社区的一个持续问题,我们需要特殊的努力和研究来识别和揭露它们。

BombFlower

Certik发现了一个有组织的诈骗集团。该集团组织使用它假钱包的部署欺骗用户窃取用户资产。由于该组使用的特殊逃逸反收集功能相对罕见,我们将其命名为bombflower。由于该组织使用了检测逃逸技术,这些假钱包移动应用程序很可能被主流恶意软件检测工具忽略。

bombflower集团通常将这些假钱包设计得与合法钱包非常相似,例如使用类似于原始网站的设计和布局,域名上只有轻微的变化。用户很难区分它。

假钱包包括后门,Hook钩技术的生成功能,直接到钱包的Javascript代码(如index.android.bundle)或在smali代码中注入恶意代码。

用户应仔细检查下载钱包应用程序的网站域名,并将其作为Web使用的基本预防措施 反恶意软件运行在3.0货币交易的计算机上。

Monkey Drainer

我们已经发现一些骗子使用一种俗称的方法Monkey Drainer网络钓鱼工具包。这些网络钓鱼工具为恶意犯罪者从Web3.0社区窃取资产提供了快捷方便的工具。这个工具包是由恶意供应商出售给那些想要窃取用户资金的潜在欺诈者的。即使你不熟悉“欺诈专业”,你仍然可以用钓鱼工具包钓到一些“猎物”。Monkey Drainer工具包和类似的钓鱼工具使用一种叫做“Ice Phishing欺骗用户的技术,骗子可以有无限的权限来花费代币。

Ice PhishingWeb3.0是世界上独特的攻击类型,用户被诱骗签署权限,允许欺诈者直接消费用户账户中的资产。与传统的网络钓鱼攻击不同,后者通常用于窃取用户数据,包括登录凭证、钱包或资产信息,如私人钥匙或密码。这使得Ice Phishing对Web3.0用户威胁更大,因为与DeFi协议的互动需要用户授权,欺诈者只需要让用户相信他们批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产,账户可能会被盗。

用户可以使用revokee.cash或etherscanToken Approval 像checker这样的网站检查他们授予的权限,以保护自己免受Ice的影响 Phishing的侵权行为。若有未经批准的未经认可的地址或开始交易的地址,则应撤销授予其所有权限。

传统金融体系受到打击

在第一季度的事件中,美国银行系统显示了许多弊端和脆弱,贴现窗口贷款也创下新高,银行定期融资计划于3月启动。硅谷银行和签名银行的破产进一步显示了当前金融体系的脆弱性。网络 3.0货币生态系统显然更能从容应对这些挑战。

增加贴现窗口贷款和建立紧急备用金突出了银行系统的持续脆弱性,各机构也在努力解决存款迁移和流动性问题。相比之下,Web 货币生态系统已经证明了它在这些动荡时期的有效运作能力。例如,担心SVB拉垮Circle存款的用户可以在Web USDC在3.0货币的24/7市场交易,愿意承担交易的用户可以获得相应的回报。

来源:CoinMarketCap

Web 3.0货币生态系统的主要目标一直是建立一个分散的、自由的和公平的传统金融替代品。开发更多的Web 3.0货币本地解决方案可以与日益脆弱的传统金融体系隔离。其中,后者往往需要政府干预和停止交易以保持稳定。

美国和欧洲金融体系最近引发的一些事件无疑暴露了传统银行的弱点,而Web 3.0货币生态系统证明了其规模较大弹性和效率。通过减少对传统金融的依赖,Web 3.0货币生态系统将有机会更加繁荣,成为日益脆弱的传统银行系统强大而分散的替代品。

Skynet for Community: 概述

Certik很荣幸在2023年第一季度宣布推出Skynet for Community,这是一个集安全、尽职调查和数据于一体该平台旨在提高Web3.0生态系统中的信任度和透明度。该平台致力于为社区用户、投资者和项目团队提供所需的工具和资源,使他们能够轻松调查和理解Web3.0生态系统。

因为成千上万的Web 3.0项目每天都在创建数百万的数据点,所以用户很容易在噪音中迷失。Skynet for Comunity丰富的数据驱动洞察力,帮助用户找到新项目,尽职调查感兴趣的项目,及时了解Web 3.0领域的最新新闻和发展。该平台将大量数据汇总到Web 以安全为重点的尽职调查工具最容易获得3.0。无论是对可操作的链数据和社会数据进行全面的尽职调查,发现最新的智能合同审计项目,还是挖掘最有价值的行业见解和最佳安全实践,Skynet for 所有的Comunity都实现了流程简化,并将所有这些数据整合到用户浏览的平台上。新设计的界面和强大的功能,Skynet for 在Web3.0生态系统中,Community是明智决策和促进信任和透明度的终极工具。

Skynet for Community: 解决方案

Skynet for Community的主页默认为“探索新项目”。从这个页面开始,你可以随时随地轻松地搜索你感兴趣的项目和新项目。

Web3.0 安全榜根据项目的安全分数和市场表现,列出项目并对其进行排名。安全分数是通过专有算法产生的分数。该算法的计算和考虑包括代码安全、基本健康、操作灵活性、社区信任、市场稳定性和治理强度。安全评分列表允许用户根据项目的安全情况快速确定最佳性能,并与类似项目进行比较。

Web3.0 KYC团队榜根据项目获得的Certik, 公示和排名KYC徽章状态。通过严格背景调查的项目团队将获得certik KYC徽章,Certik将根据项目团队提供的验证信息和信息等级授予KYC金徽章、KYC银徽章或KYC青铜徽章。KYC徽章将表明我们知道项目背后的团队,并且已经符合首席执行官的要求 KYC 标准的调查和验证也代表了项目团队履行合规措施的承诺。

Web3.0 KOL榜根据每个KOL的影响得分进行排名,反映了其作为KOL输出的内容影响和影响范围。这个列表对那些有兴趣识别正在塑造Web3.0行业风向标KOL的用户非常有帮助。此外,它还提供了与KOL相关的社区和项目概述,以便用户能够更好地了解该领域的流行和趋势。

交易所审计分析允许用户通过显示链上的资产持有量对集中交易所进行尽职调查。这是验证储量证书的第一步,也是最关键的一步。

天网项目预警系统在Web3.0货币领域的Rug Pull攻击和漏洞事件提供第一次预警。为了识别和报告潜在的Rug,系统将实时监控各种信息源 恶意利用Pull攻击和漏洞。用户还可以在“探索新项目”页面上的“Web3”.0 访问流行的智能基金列表中的钱包分析器,或点击项目详细信息页面中代币链上的任何监控、治理和自治模块中的钱包地址。

智能资金导向它是智能货币钱包分析器功能的接入点,允许用户直接搜索钱包地址,查看钱包搜索趋势、智能资本列表和流动性交易列表。钱包分析器提供了对钱包地址的分析,用户更容易通过显示关键钱包的特征、钱包之间的关系和代币交易活动的可视化图片来解释钱包之间的链交易。

现在就来登录Skynetet吧 for Community平台,阅读Skynett, education hub和观看masterclass的教学,并进行高水平的尽职调查!

certik端到端安全解决方案

致力于保护Web 在3.0的道路上,certik开发了许多工具,帮助项目采用端到端安全解决方案。

certik安全排名列表让Web 3.0用户可以利用Certik的审计和安全团队的专业知识,对投资项目的安全风险有更深入的了解,做出更明智的决策,将整个生态系统推向一个新的高度。

目前,certik安全排名已全面升级安全排行榜360,为成千上万的项目提供完整和即时的安全状况“全景图”。由于整个系统的全面更新,用户访问和分析这些安全数据将是前所未有的方便。此外,我们还使用定量工具为个人投资者提供合理的决策建议。欢迎访问首席执行官.了解细节的com。

Skynet天网动态扫描系统数百个Web可以结合链上交易监控和链下数据(如社会舆论) 3.0平台进行实时、全面的安全监控和分析。Skynet天网动态扫描系统高级版Skynetet Certik于2021年正式推出Premium,其威胁检测模型将通过机器学习与不断变化的智能合约风险环境同步发展。这也意味着,随着威胁情报数据库和智能合约漏洞数据库的不断积累,该平台将变得越来越先进,以适应不断变化的智能合约风险环境。目前,Skynet天网动态扫描系统已全面升级,增加了更多维度的Skynet天网信任评分、项目亮点、专属项目预警等新功能。

SkyTrace它是一种智能、直观的跟踪工具,可以帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和跟踪个人钱包或项目团队钱包的可疑流量提供了深入的分析。

CertiK KYC项目背景调查服务服务它可以为项目团队提供身份验证,包括使用基于人工智能的检测系统进行ID真实性检查,以确保个人身份真实性并与ID匹配。Certik除了在身份验证过程中进行实时有效性检查外,还将与每个项目团队成员进行实时视频沟通,以验证他们的身份和其他必要的参数。随着团队的匿名性越来越高,项目的风险行为越来越有可能。此外,通过KYC调查的项目团队被列入青铜、白银和黄金等级的KYC徽章,最大限度地匿名项目团队,建立更完善的问责制,从而提高项目的可信度。

Certik渗透试验它是确保Web3.0应用程序安全和综合解决方案在运行环境中的重要组成部分。我们的渗透测试服务是由经验丰富的道德黑客团队通过使用专有工具来发现代码中最小的攻击。

最近推出的CertiK漏洞赏金计划在恶意行为者利用漏洞之前,招募并选择了一批世界顶级的白帽黑客及时发现情报。首席安全专家团队将负责筛选和识别所有提交材料,并协助客户正确维修。我们的0%成本模式减轻了项目团队的支付负担,白帽黑客可以获得全额奖励。

SkyHarbor为数字资产的保护和监控提供了多合一的解决方案。SkyHarbor凭借其先进的监控和威胁检测系统,可以快速识别系统中的任何漏洞或可疑活动,确保您的资产始终安全。

生态系统

Certik的审计和端到端解决方案它已经覆盖了市场上大部分的生态系统,并支持几乎所有的主流编程语言,区块链平台,Web 3.0资产交易平台、智能合约安全等领域为各生态链提供安全技术支持。目前与我们合作的生态系统包括:

通过与Certik咨询的合作,在我们经验丰富的分析团队提供技术评估、专有研究和战略建议的全面服务的同时,我们可以尽可能多地获得Web 3.0最大收入。

致力于Certik保护Web3.0世界,以安全数据为重点,继续分析Web 3.0安全的未来和发展。帮助用户远离“土狗”和人为踏空,赋予科技价值和载舟之路。

本报告PDF版本已收录并生成链接,欢迎下载查阅。

下载方式⬇️

将链接复制到浏览器:https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn

即刻下载!

本文的部分内容来自网络,仅供参考。如有侵权行为,请联系删除。

相关推荐