• 元宇宙:本站分享元宇宙相关资讯,资讯仅代表作者观点与平台立场无关,仅供参考.

2024年Web3Blockchain安全态势年报

  • 2024年12月31日 19:35

前言

本研究报告由Blockchain安全联盟发起,由联盟成员Beosin、FootprintAnalytics共同创作,旨在全面探讨2024年全球Blockchain安全态势发展。通过对全球Blockchain安全现状的分析和评估,报告将揭示当前面临的安全挑战和威胁,并提供解决方案和最佳实践。

通过这份报告,读者将能够更全面地了解Web3Blockchain安全态势的动态演变。这将有助于读者评估和应对Blockchain领域所面临的安全挑战。此外,读者还可以从报告中获得有关安全措施和行业发展方向的有益建议,以帮助他们在这一新兴领域中做出明智的决策和行动。Blockchain安全和监管是Web3时代发展的关键问题。通过深入研究和探讨,我们可以更好地理解和应对这些挑战,推动Blockchain技术的安全性和可持续发展。

1、2024年Web3Blockchain安全态势综述

2024年,黑客攻击、钓鱼诈骗金额较2023年均有明显上升,其中钓鱼诈骗相比2023年激增140.66%。项目方RugPull事件的损失金额显著下降,下降了约61.94%。

2024年DeFi项目攻击事件75次,是被攻击次数最多(约50.70%)的项目类型。DeFi攻击总损失金额约3.90亿美元,约占所有损失金额的15.50%,是损失金额第4多的项目类型。

Ethereum、BNBChain、Arbitrum、Others、Base、Solana:

Bitcoin网络损失排在第2位,单次安全事件损失达到了2.38亿美元。第三位的是Arbitrum,总损失约为1.14亿美元。

5、攻击手法分析

2024年的攻击方式非常多样化,除常见的合约漏洞攻击外,还有多种攻击方式,包括:供应链攻击、第三方服务商攻击、中间人攻击、DNS攻击、前端攻击等。

6、反*洗*钱典型事件分析6.1 Polter Finance安全事件事件概要

2024年11月17日,据BeosinAlert监控预警发现FTM链上借贷协议PolterFinance遭受攻击,攻击者通过闪电贷操纵项目合约中Tokens价格进行获利。漏洞与资金分析

本次事件被攻击的LendingPool合约(0xd47ae558623638f676c1e38dad71b53054f54273)使用0x6808b5ce79d44e89883c5393b487c4296abb69fe作为预言机,该预言机使用的是近期部署的喂价合约(0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe)。这个喂价合约使用可被攻击者用于闪电贷的uniswapV2_pair(0xEc71)合约中的Tokens储备来计算价格,因此该合约存在价格操纵攻击漏洞。

攻击者利用闪电贷虚假推高$BOOTokens价值,借出其它加密资产。随后,被盗资金被攻击者转换成FTMTokens,然后跨链到ETH链,将所有资金都存放在ETH链上。以下是ARB链和ETH链上的资金流动过程示意图:

6.2BitForex安全事件事件概要

2024年2月23日,知名链上侦探ZachXBT通过其分析工具披露,BitForex的热钱包出现了约5650万美元的资金流出,并且在这一过程中,平台暂停了提款服务。资金分析

Beosin安全团队通过Trace对BitForex事件进行了深入追踪分析:

Ethereum

Bitforex交易所在2024年2月24日6:11(UTC+8)开始陆续将40,771USDT、258,700USDC、148.01ETH和471,405TRB转入Ethereum跑路地址(0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f)。

随后在北京时间8月9日跑路地址将除了TRB以外的Tokens(包括147.9ETH、40,771USDT和258,700USDC)全部转回Bitforex交易所账户(0xcce7300829f49b8f2e4aee6123b12da64662a8b8)。

接着在北京时间11月9日至11月10日跑路地址通过7笔交易将355,000TRB转入四个不同的OKX交易所用户地址:

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

随后跑路地址地址将剩余全部116,414.93TRB转入一个中转地址(0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e)后由该地址分两笔将全部TRB转入了两个不同的币安交易所用户:

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Polygon

北京时间2月24日Bitforex交易所提币99,000MATIC、20,300USDT和1,700USDC至POL链地址:0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。

其中99000MATIC于8月9日转入地址0xcce7300829f49b8f2e4aee6123b12da64662a8b8至今沉淀,其余USDT和USDCTokens至今沉淀。

Bitcoin

2月24日开始陆续有16个Bitforex地址将共计5.7BTC转入BTC链地址3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。该地址于8月9日将5.7BTC全部转回Bitforex交易所地址:11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。

7、被盗资产的资金流向分析

2024年全年被盗的资金中,约有13.12亿美元还保留在黑客地址(包括通过跨链转出和分散到多个地址的情况),占总被盗资金的52.20%。与去年相比,今年黑客更倾向于用多次跨链进行*洗*钱,并将被盗资金分散到很多地址上,而非直接使用混币器。地址增加、*洗*钱路径变复杂,这无疑为项目方和监管机构增加了调查难度。

42个没有经过审计的项目中,合约漏洞事件占了30起(约71.43%)。这表明,没有经过审计的项目更容易存在潜在的安全风险。相比之下,78个经过审计的项目中,合约漏洞事件占了49起(约62.82%)。这显示出审计在一定程度上能够提高项目的安全性。

然而,由于Web3市场缺乏完善的规范标准,导致审计质量参差不齐,最终呈现的结果远未达到预期。为了有效保障资产安全,建议项目在上线之前务必寻找专业的安全公司进行审计。

9、Rug Pull 分析

2024年,BeosinAlert平台共监测到Web3生态主要RugPull事件68起,总涉及金额约为1.48亿美元,较2023年的3.88亿美元有大幅下降。

从金额上看,68起RugPull事件中,涉及金额在百万美元以上的共9个项目,分别为EssenceFinance(2000万美元),ShidoGlobal(240万美元),ETHTrustFund(220万美元),Nexera(180万美元),GrandBase(170万美元),SAGAToken(160万美元),OrdiZK(140万美元),MangoFarmSOL(129万美元)和RiskOnBlast(125万美元),损失金额共3364万美元,占所有RugPull事件损失金额的22.73%。

Ethereum和BNBChain上的RugPull项目占到了总数量的82.35%,分别为24起和32起,Scroll上发生了1起超过2000万美元的RugPull。其它公链发生过小数量的RugPull事件,包括:Polygon、BASE、Solana等。

10、2024Web3Blockchain安全态势总结

2024年,链上黑客攻击活动、项目方RugPull事件次数均较2023年有了明显下降,但损失金额仍在增加,并且钓鱼攻击更加猖獗。损失最高的攻击手法依然为私钥泄露。造成这一转变的主要原因包括:

在去年猖獗的黑客活动之后,今年整个Web3生态更加注重安全性,从项目方到安全公司都在各个方面做出了努力,如实时链上监控、更加注重安全审计、从过往合约漏洞利用事件中积极汲取经验,导致黑客通过合约漏洞盗取资金比去年变得困难。然而,项目方还需在私钥保管与项目运营安全方面加强安全意识。

随着加密市场与传统市场的融合,黑客不再局限于攻击DeFi、跨链桥、交易所等类型,而是转向攻击支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV机器人、TG机器人等多种目标。

2024-2025年,加密市场进入牛市,链上资金活跃,在一定程度上将吸引更多的黑客攻击。此外,各地区针对加密资产的监管政策在逐渐完善,以打击各类使用加密资产进行的犯罪活动。在这样的趋势下,预计2025年黑客攻击活动将持续处于高位,全球执法机构和监管部门依然面临严峻的挑战。

元宇宙最新

元宇宙热门

Copyright © 2021.Company 元宇宙YITB.COM All rights reserved.元宇宙YITB.COM