文章目錄
概要
● 2023 年第一季度,惡意行為者從Web3.0 協議中盜取了超過 3.2 億(320, 332, 058 )美元的價值。
● 這個數字約為 2022 年第四季度 9.5 億美元資產損失的的三分之一,約為 2022 年第一季度 13 億美元資產損失的四分之一。
● 2023 年第一季度,僅僅一個安全事件就造成了超過 60% 的損失—— 1.97 億美元的 Euler Finance 漏洞事件。
● 90 起退出騙局的“幕後黑手”共計盜取約 3100 萬(31, 043, 335 )美元資產,而 52 起閃電貸攻擊及預言機操縱漏洞事件造成了超過 2.2 億(222, 963, 86 )美元的損失。Euler 事件直接拉高了閃電貸攻擊事件的平均損失——達到了 428.8 萬美元,而退出騙局造成的平均資產損失較低,為 34.5 萬美元。
● 在區塊鏈領域之外, 2023 年第一季度也發生了可被載入Web3.0 貨幣史冊的重大事件:從作為Web3.0 貨幣行業與傳統金融行業最強聯絡之一的 Silvergate 銀行倒閉,到因矽谷銀行危機導致的 USDC 穩定幣脫鉤。
文末附 PDF 下載連結
簡介
總體而言, 2023 年第一季度相對較為平靜。損失僅為 2022 年同期的 24% ,並且相比去年第四季度的 9.5 億美元有了顯著下降。如果將造成第一季度超過 60% 損失的Euler Finance事件減去(該事件中損失的大部分資金最終已被歸還), 2023 年第一季度因駭客和欺詐事件所造成損失創下了Web3.0 歷史中的新低。
儘管與去年同期相比, blue-chip 資產的價值顯著較低,但是其價格卻在第一季度中得到了強力的復甦。主要網路的日交易量也在保持穩定或增長。以太坊平均每天處理約 110 萬筆交易,BNB 鏈也在年初時扭轉了日交易量的持續下降趨勢,從 225 萬筆日交易的低點反彈到 3 月底平均近 400 萬筆。
來源:Dune Analytics
值得注意的是,Arbitrum 生態系統在 2 月底成為第一個在日交易量方面超過以太坊的L2,並且在 3 月份向使用者進行空投後,又引起了另一次交易量激增。第一季度,Arbitrum 的安全事件造成了約 426.1 萬美元的損失,佔據所有Web3.0 區塊鏈總損失價值的 1.45% 。
儘管 Euler Finance 駭客事件是本季度規模最大的安全事件,但其中大部分資金最終被返還,削弱了此事件帶來的影響。雖然我們無法精準描繪或猜測本季度因駭客、欺詐和漏洞利用導致損失降低的原因,但其中一個很大的可能性也是因為資產價格降低,外加大眾對對Web3.0 安全重要性的認識在雖然緩慢但持續地增長著。我們希望這個趨勢一直保持到第二季度乃至 2023 全年。
Euler 損失額: 1.97 億美元,然後 “所有可復原資金 “被歸還
Euler Finance是“以太坊上的一個允許使用者借出和借入幾乎任何Web3.0 貨幣資產的非託管協議”。2023 年 3 月 13 日,攻擊者利用閃電貸攻擊了多個 Euler Finance 池。他們最終盜取了大約 1.97 億美元。僅這一事件,就讓Web3.0 在第一季度的安全事件損失總額翻了一番以上。
Euler 的漏洞在於 Euler Pool 合約中的 donateToReserve 函式。該函式缺乏對流動性抵押狀況的適當檢查,結果導致使用者可以自主放棄一部分槓桿存款,使資金池變得資不抵債。
此外,儘管 Euler 白皮書中的 mint 函式被描述為其價值上限是存款的 19 倍,但當它被多次呼叫時,對槓桿倍數並沒有實際控制。
攻擊流程
攻擊者從 AAVE 閃電貸到 3000 萬 DAI,透過 eDAI 合約向 Euler 存入 2000 萬 DAI,並收到 2000 萬 eDAI。在攻擊者存入 2000 萬 DAI 之前,Euler 池中的 DAI 餘額為 890 萬。隨後攻擊者呼叫`eDAI.mint()`。該特定的`mint`功能是 Eule Financer 獨有的,可允許使用者反覆借款和還款。這是一種建立借貸迴圈的方法,其結果是帶槓桿的借貸倉位。當呼叫`mint`後,收到 2 億 dDAI 和 1.95.6 億 eDAI。(注:dTokens 代表債務代幣,eTokens 代表抵押股權)。呼叫 “repay”,將 eDAI 池中的 1000 萬 DAI 償還給 Euler,這就將 1000 萬 dDAI 銷燬了。隨後再次呼叫 “mint”,為攻擊合約創造另一個 2 億 dDAI 和 1.956 億 eDAI 形式的借貸倉位。此時攻擊者的倉位為: 3.9 億 dDAI 和 4 億 eDAI。
呼叫`donateToReserves`(該存在漏洞的函式於 2022 年 7 月被引入),將 1 億 eDAI 轉給 Euler。由於沒有對這一行為的抵押狀況進行適當的檢查,”donate” 後的攻擊者成為了“違規者”(非健康負債水平的地址), 其風險調整後負債遠超過了的抵押品價值,因此可以對其進行清算。攻擊者部署的清算人合約開始清算“違規者”,清算人員利用了平臺運作方式獲得了 20% 的利潤。
攻擊發生後,一個與 Ronin Bridge 攻擊有關的錢包透過鏈上資訊與 Euler 攻擊者進行了溝通,並附上了一條加密資訊以及一個“解密工具”的連結。這很可能是意圖從 Euler 攻擊者那裡竊取資金的惡意軟體。
這是該起案件中一個耐人尋味的發展,也揭示了專業駭客在Web3.0 領域中採用的多種不同戰術和策略。
3 月 20 日,駭客在區塊鏈上傳送了一條訊息,宣佈他們願意進行談判。
“我們希望讓所有受影響的人都可以輕鬆一些解決這些問題。我們無意於保留那些不屬於我們的東西。建立安全通訊,讓我們達成協議吧。”
——交易 ID:0xcc73…6a1c0
攻擊事件發生兩週後,攻擊者退還了一大筆資金,將價值超過 8500 萬美元的 55, 000 ETH 轉回給了該協議。雖然目前尚不清楚其與 Euler 達成的具體協議條款,但看起來受影響的使用者們將會得到部分或全部的賠償。
雖然這起事件相比於Web3.0 領域中的另外許多駭客攻擊事件,擁有了一個“皆大歡喜”的結局,但這並不意味著專案可以寄希望於駭客的“善心”。積極主動的安全防範措施至關重要,畢竟絕大部分被盜取的價值永遠不會被返還。
40 個 Rug Pull以便更好地瞭解導致其最終移除流動性的共同點和差異。透過確定專案特徵並且進行定性和定量分析,我們能夠識別和分析 Rug Pull 的共同特徵。
Kokomo Finance 是部署在 Optimism 上 Ethereum 的 Layer 2 擴充套件解決方案。2023 年 3 月 26 日,Kokomo Finance 實施退出騙局。由專案團隊控制的部署者合約實施了一個惡意合約,允許他們暫停協議的借貸功能,並將存款轉移到一個外部地址,從而導致了 141 wBTC 遭受損失。和經典的退出騙局一樣,事後該團隊刪除了他們所有的社交媒體賬戶,專案網站也不再可訪問。
這不是第一季度最大的漏洞,也並不獨特。但是它反而代表了這類騙局的持續性:一直從 Web 3.0 使用者那裡竊取金額從而積少成多。
詐騙者多次Web3.0 河塘釣魚
Web3.0 和加密世界在不斷髮展。而隨著這種發展,社羣也開始面臨新的和更加複雜的威脅與挑戰。其中一個威脅就是假錢包的泛濫,其目的是欺騙使用者送出他們的寶貴資產。這些假錢包對Web3.0 社羣來說是一個持續的問題,我們需要專門的努力和研究才能識別和揭露它們。
BombFlower
CertiK 發現了一個有組織的詐騙集團。該集團組織利用部署的假錢包以欺騙使用者來竊取使用者資產。由於該團體使用的特殊逃逸性反取證功能較為罕見,因此我們將其命名為 BombFlower。由於該集團組織使用了檢測逃逸技術,這些假錢包移動應用程序很可能會被主流的惡意軟體檢測工具所忽略。
BombFlower 集團通常將這些假錢包設計的與合法錢包非常相似,例如使用與原始網站類似的設計和佈局,只在域名上有輕微的變化。以至於使用者難以區分。
假錢包包括後門,Hook 鉤子技術的生成功能,直接向錢包的 Javascript 程式碼(如 index.android.bundle)或 smali 程式碼中注入惡意程式碼。
使用者應仔細檢查下載錢包應用程序的網站域名,並將其作為一項基本預防措施讓任何用於 Web 3.0 貨幣交易的計算機上都執行反惡意軟體。
Monkey Drainer
我們已經發現一些騙子利用一種俗稱為 Monkey Drainer 的網路釣魚工具包。這些網路釣魚工具包為惡意行為者從Web3.0 社羣竊取資產提供了一個快捷方便的工具。這種工具包由惡意供應商出售給那些希望竊取使用者資金的潛在詐騙者,即便你對“詐騙專業”不熟悉,你也依然可以使用釣魚工具包釣到一些“獵物”。Monkey Drainer 工具包和類似的一個釣魚工具使用一種叫做“Ice Phishing”的技術來欺騙使用者,騙子可以擁有無限許可權來花費代幣。
Ice Phishing是一種Web3.0 世界獨有的攻擊型別,使用者被誘騙簽署許可權,允許欺詐者直接消費使用者賬戶內的資產。這與傳統的網路釣魚攻擊不同,後者作為一種社會工程學攻擊手段,通常用於竊取使用者資料,包括登入憑證和錢包或資產資訊,如私人鑰匙或密碼。這使得 Ice Phishing 對Web3.0 使用者具備更大的威脅,因為與 DeFi 協議的互動需要使用者授予許可權,欺詐者只需要讓使用者相信他們所批准的惡意地址是合法的。一旦使用者批准欺詐者花費其資產,那麼賬戶就有可能被盜。
使用者可以透過使用 revoke.cash 或 Etherscan 的 Token Approval Checker 這樣的網站來檢查他們所授予的許可權,從而保護自己免受 Ice Phishing 的侵害。如果有一個不被承認的地址或一個未經批准就啟動交易的地址,那麼授予它的所有許可權都應被撤銷。
傳統金融體系遭到打擊
美國銀行系統在第一季度的事件中顯示了諸多弊端和脆弱性,貼現視窗借貸也創下了新高,並在 3 月份推出了銀行定期融資計劃。矽谷銀行和簽名銀行的倒閉進一步顯示了當前金融系統的脆弱性。而 Web 3.0 貨幣生態系統顯然在這些挑戰中更能從容應對。
增加貼現視窗借款和建立緊急備用金可謂突出了銀行系統內部持續的脆弱性,各機構也都在努力解決存款遷移和流動性問題。相比之下,Web 3.0 貨幣生態系統已經證明了其在這些動盪時期有效運作的能力。例如,那些擔心 SVB 拉垮 Circle 存款的使用者可以在 Web 3.0 貨幣的 24/7 市場上交易 USDC,而那些願意承擔這筆交易的使用者可以相應獲得回報。
來源:CoinMarketCap
Web 3.0 貨幣生態系統的主要目標一直是建立一個去中心化、自由和公平的傳統金融替代品。透過開發更多的 Web 3.0 貨幣原生解決方案,該行業可以與日益脆弱的傳統金融系統較為隔離開來。其中,後者往往需要政府幹預和停止交易來維持穩定。
最近美國和歐洲金融系統中引起的一些事件無疑暴露了傳統銀行的弱點,而 Web 3.0 貨幣生態系統已經證明了其較大的彈性和效率。透過減少對傳統金融的依賴,Web 3.0 貨幣生態系統將有機會更加繁榮,成為日益脆弱的傳統銀行系統的一個強大且去中心化的替代品。
Skynet for Community: 概述
2023 年第一季度,CertiK 非常榮幸地宣佈推出Skynet for Community,這是一個集安全、盡職調查和資料於一體的平臺,旨在提高Web3.0 生態系統中的信任和透明度。該平臺致力於為社羣使用者、投資者和專案團隊提供所需的工具和資源,讓他們可以輕鬆地調查並瞭解Web3.0 生態系統。
由於數以千計的 Web 3.0 專案每天都在創造數以百萬計的資料點,因此使用者很容易迷失在噪音中。Skynet for Community 豐富的資料驅動的洞察力幫助使用者發現新的專案,對感興趣的專案進行盡職調查,並及時瞭解 Web 3.0 領域的最新新聞和發展。該平臺將大量的資料彙總到 Web 3.0 的最容易獲得的以安全為重點的盡職調查工具。無論是對可操作的鏈上資料和社交資料進行全面的盡職調查、發現最新完成智慧合約審計的專案,還是挖掘最具價值的行業見解和安全最佳實踐,Skynet for Community 均實現了流程簡化並將這些資料全部整合於一個平臺供使用者瀏覽。憑藉全新設計的介面和強大的功能,Skynet for Community 是做出明智決策以及在Web3.0 生態系統中促進信任和透明度的終極工具。
Skynet for Community: 解決方案
Skynet for Community 的主頁預設為“探索新專案”。從這個頁面開始,你可以隨時隨地輕鬆檢索你感興趣的專案以及搜尋那些全新的專案。
Web3.0 安全榜根據專案的安全分數和市場表現列出專案並對其進行排名。安全分數是透過一種專有演算法產生的分數,該演算法的計算和考量包含了專案的程式碼安全、基本健康、運營彈性、社羣信任、市場穩定性和治理強度。安全評分排行榜能夠讓使用者根據專案的安全狀況迅速確定表現最佳的專案,並將其與同類專案進行對比。
Web3.0 KYC 團隊榜則根據專案所獲取的 CertiK KYC 徽章狀態進行公示和排名。已透過嚴格背景調查的專案團隊將獲得CertiK KYC 徽章,CertiK 將根據專案團隊提供的可驗證資訊和資訊等級授予其 KYC 黃金徽章、KYC 白銀徽章或 KYC 青銅徽章。KYC 徽章會表明我們知曉專案背後的團隊並已經做過了符合 CertiK KYC 標準的調查和驗證,也代表專案團隊對履行合規措施的承諾。
Web3.0 KOL 榜根據各個 KOL 的影響力得分進行了排名,這一排名體現了他們作為 KOL 輸出的內容影響力和影響範圍。此排行榜對那些有興趣識別正在塑造Web3.0 業內風向標 KOL 的使用者很有幫助。此外,它還提供了與 KOL 具備相關可能性的社羣及專案概覽,讓使用者更加了解該領域的熱門及趨勢。
交易所審計分析允許使用者透過顯示其鏈上資產持有量對中心化交易所進行盡職調查。這是儲量證明驗證的第一步,也是最為關鍵的一步。
天網專案預警系統可對Web3.0 貨幣領域的 Rug Pull 攻擊和漏洞事件提供第一時間的預警。該系統將實時監控各類資訊來源,以識別和報告潛在的 Rug Pull 攻擊和漏洞惡意利用。使用者也可以透過“探索新專案”頁面上的“Web3.0 熱門智慧資金榜”訪問錢包分析器,或者點選專案詳情頁面中代幣鏈上監控和治理與自治模組中的任何錢包地址進行檢視。
智慧資金嚮導是智慧貨幣錢包分析器功能的接入點,可以讓使用者直接搜尋錢包地址並檢視錢包搜尋趨勢、智慧資金榜及流動性交易對榜。錢包分析器提供了對錢包地址的分析,並透過顯示關鍵錢包特徵、錢包之間的關係和代幣交易活動的視覺化圖片,使使用者更容易解讀錢包之間的鏈上交易。
現在就來登入 Skynet for Community 平臺,閱讀 Skynet education hub 和觀看 masterclass 的教學並做一個高水平的盡職調查吧!
CertiK 端到端安全解決方案
在致力於保護 Web 3.0 的道路上,CertiK 開發了許多幫助專案採取端到端安全解決方案的工具。
CertiK 安全排行榜讓 Web 3.0 使用者能夠利用 CertiK 的審計和安全團隊的專業知識,對投資專案的安全風險有更深入的瞭解並做出更明智的決策,這些使用者將整個生態系統推向了新的高度。
目前 CertiK 安全排行榜已全面升級為安全排行榜 360 ,為數以千計的榜上專案提供完整而即時的安全狀況“全景圖”。由於整個系統進行了全面的更新,使用者訪問和分析這些安全資料將前所未有地便捷。此外,我們還利用量化工具為個人投資者提供合理的決策建議。歡迎訪問 certik.com 瞭解詳情。
Skynet 天網動態掃描系統可結合鏈上交易監測與鏈下資料(如社會輿情),對數百個 Web 3.0 平臺進行實時、全面的安全監測和分析。Skynet 天網動態掃描系統高階版 Skynet Premium 由 CertiK 於 2021 年正式推出,其威脅檢測模型會透過機器學習與不斷變化的智慧合約風險環境同步進化。這也意味著,隨著威脅情報庫和智慧合約漏洞庫的不斷積累,這一平臺也會變得愈發先進,從而適應變化無常的智慧合約風險環境。目前 Skynet 天網動態掃描系統已全面升級,新增了更多維度的 Skynet 天網信任評分及專屬於專案的專案亮點和預警等全新功能。
SkyTrace則是一種智慧、直觀的追蹤工具,可幫助分析和視覺化以太坊和 BSC 錢包的交易資料。該工具為識別和追蹤進出自己的個人錢包或專案團隊錢包的可疑流量提供了深入的分析。
CertiK KYC 專案背景調查服務可為專案團隊提供身份驗證,包括使用基於 AI 的檢測系統進行 ID 真實性檢查,以確保個人身份真實並與 ID 相匹配。除了在身份驗證過程中進行實時有效性檢查外,CertiK 還將與每個專案團隊成員進行實時影片溝通,以驗證他們的身份和其他必要引數。由於團隊的匿名性越來越高,專案的風險行為也越來越具有可能。除此之外,CertiK 安全排行榜賦予透過 KYC 調查的專案團隊以青銅、白銀、黃金等級的 KYC 徽章,最大程度上使專案團隊去匿名化,建立更完善的問責制,從而增強專案的可信度。
CertiK 滲透測試是確保執行環境中Web3.0 應用程序安全綜合解決方案的重要組成部分。我們的滲透測試服務由經驗豐富的道德駭客團隊透過利用專有工具來發現程式碼中即便是最為微小的易受攻擊之處。
CertiK 於近期推出的漏洞賞金計劃招募並遴選了一批世界頂級的白帽駭客,收集情報以在惡意行為者利用漏洞之前將其及時發現。CertiK 的安全專家團隊將負責篩查和鑑定所有提交材料,並協助客戶進行正確的修復。我們的 0% 費用模式降低了專案團隊的支付負擔,白帽駭客可因此獲取全額賞金。
SkyHarbor 提供了一個多合一的解決方案來保護和監控數字資產。憑藉其先進的監控和威脅檢測系統,SkyHarbor 可以快速識別系統中的任何漏洞或可疑活動,確保你的資產始終是安全的。
生態系統
CertiK 的審計及端到端解決方案已覆蓋目前市面上大部分生態系統,並支援幾乎所有主流程式語言,就區塊鏈平臺、Web 3.0 資產交易平臺、智慧合約的安全性等領域為各個生態鏈提供安全技術支援。目前與我們合作的生態系統包括:
透過與 CertiK 諮詢進行合作,在我們經驗豐富的分析師團隊提供包括技術評估、專有研究和戰略建議全面服務的同時,儘可能獲得 Web 3.0 最大收益。
CertiK 致力於守護Web3.0 世界,將以安全資料為重心,持續分析 Web 3.0 的安全未來及發展。助力使用者遠離“土狗”以及人為踏空,以科技賦予科技價值和載舟之路。
該報告 PDF 版本已收錄並生成連結,歡迎下載查閱。
下載方式⬇️
複製連結至瀏覽器:https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn 即刻下載!
