*本報告由Beosin、Footprint Analytics聯合出品。

本章作者:Beosin 研究團隊Mario

1、2024年上半年 Web3區塊鏈安全態勢綜述

據 Beosin Alert 監控及預警顯示,2024 年上半年 Web3 領域因黑客攻擊、釣魚詐騙和項目方 Rug Pull 造成的總損失達到了 15.4 億美元。其中主要攻擊事件 78 起,總損失金額約 11.93 億美元;項目方 Rug Pull 事件 64 起,總損失約 1.19 億美元;釣魚詐騙總損失金額約 2.32 億美元。

2024 上半年共發生 3 起損失金額超過 1 億美元的安全事件。5 月的總損失金額達到了 4.5 億美元,爲 2024 年上半年損失金額最高的月份。

從被攻擊項目類型來看,損失最高的項目類型爲 CEX,4 次針對 CEX 的攻擊共造成了約 3.92 億美元的損失,佔所有攻擊損失金額的 32.8%。

從各鏈損失金額來看,Ethereum 依舊爲損失金額最高、攻擊事件最多的鏈。32 次 Ethereum 上的攻擊事件造成了 4.7 億美元的損失,佔到了總損失的 39.4%。

從攻擊手法來看,上半年共發生 22 次私鑰泄露事件,造成損失達到了 8.94 億美元,約佔總攻擊損失金額的 75%,是佔比最高的攻擊類型。

從資金流向來看,約有 4.7 億美元(39.3%)被盜資金被凍結或追回。該比例較 2023 年有了顯著提升。
從審計情‍‍況來看,被攻擊的項目中,經過審計的項目方比例有所增加。

2、2024年上半年十大攻擊事件


78 起主要攻擊事件共造成損失約 11.93 億美元

2024 年上半年,Beosin Alert 共監測到 Web3 領域主要攻擊事件 78 起,總損失金額達 11.93 億美元。其中損失金額超過 1 億美元的安全事件共 3起,損失在 1000 萬美元 - 1 億美元區間的事件共 15 起,100 萬美元 - 1000 萬美元區間的事件共 33 起。

2024 年上半年 10 大黑客攻擊事件(按損失金額排序):

● DMM Bitcoin - 3 億美元攻擊方式:私鑰泄露 鏈平臺:BTC

5 月 31 日,日本加密貨幣交易所 DMM Bitcoin 遭到攻擊,價值約 3 億美元的比特幣被盜。黑客將盜取資金分散到了 10 餘個地址。

● PlayDapp - 2.9 億美元攻擊方式:私鑰泄露 鏈平臺:Ethereum

2 月 9 日,區塊鏈遊戲平臺 PlayDapp 遭到攻擊,黑客地址鑄造了 2 億枚 pla 代幣,價值 3650 萬美元。而後 PlayDapp 與黑客談判失敗,黑客於 2 月 12 日又鑄造了 15.9 億枚 PLA 代幣,價值 2.539 億美元,並將部分資金髮送到 Gate.io 交易所。事後項目方將 PLA 合約暫停,並將 PLA 代幣遷移到了 PDA 代幣。

● Chris Larsen (Ripple聯合創始人) - 1.12 億美元攻擊方式:私鑰泄露 鏈平臺:XRP

1 月 31 日,Ripple 聯合創始人Chris Larsen 表示,自己的四個錢包遭到黑客攻擊,共計被盜約 1.12 億美元。幣安團隊已成功凍結了攻擊者竊取的價值 420 萬美元的 XRP。

● Munchables - 6230 萬美元攻擊方式:社會工程學 鏈平臺:Blast

3 月 26 日,基於 Blast 的 Web3 遊戲平臺 Munchables 遭遇攻擊,損失約 6250 萬美元。疑似項目方因僱傭朝鮮黑客爲開發者而遭受攻擊。事後所有被盜資金已由黑客歸還。

● BTCTurk - 5500 萬美元攻擊方式:私鑰泄露 鏈平臺:Avalanche

6 月 22 日,土耳其加密貨幣交易所 BTCTurk 遭到攻擊,損失約 5500 萬美元。Binance 協助凍結了超過 530 萬美元的被盜資金。

● Hedgey Finance - 4470 萬美元攻擊方式:合約漏洞 鏈平臺:Arbitrum

4 月 19 日,Hedgey Finance 遭到黑客攻擊,損失約 4470 萬美元。

● FixedFloat - 2610 萬美元攻擊方式:安全結構漏洞 鏈平臺:Ethereum

2月17日,加密交易所 FixedFloat 遭遇攻擊,損失約 2610 萬美元,黑客已將大部分被盜資金轉移到了 eXch 交易所。2月20日,FixedFloat表示,此次攻擊”不是我們的員工所爲,而是一次由我們安全結構漏洞引起的外部攻擊“。

● Gala Games - 2250 萬美元攻擊方式:私鑰泄露 鏈平臺:Ethereum

5 月 20 日,遊戲平臺 Gala Games遭到攻擊,黑客鑄造了 50 億枚 GALA 代幣,之後迅速拋售 5.92 億枚 GALA。事後黑客將獲取的 2250 萬美元全部歸還。

● Lykke - 2200 萬美元攻擊方式:私鑰泄露 鏈平臺:Ethereum、BTC

6 月 4 日,英國加密貨幣交易所 Lykke 遭到 ”未經授權的訪問“,共損失約 2200 萬美元。

● Sonne Finance - 2000 萬美元攻擊方式:合約漏洞 鏈平臺:Optimism

5 月 15 日,Optimism 鏈上 Compound fork 項目 Sonne Finance 因合約漏洞遭受攻擊,損失達 2000 萬美元。

3、被攻擊項目類型

CEX 爲損失金額最高的項目類型

2024 年上半年,損失最高的項目類型爲 CEX,4 次針對 CEX 的攻擊共造成了約 3.92 億美元的損失,佔所有攻擊損失金額的 32.8%。CEX 安全事件雖然次數不多,但每次被盜金額都巨大,這對交易所生態安全造成了嚴峻的考驗。

緊隨其後損失排在第二位的受害者類型爲遊戲平臺。8 次遊戲平臺黑客事件造成了 3.89 億美元的損失,佔比約 32.6%。和 2023 年相比,2024 年針對 Web3 遊戲平臺的攻擊有了大幅增加。


78 次黑客攻擊事件中,共有 38 起事件發生在 DeFi 領域,佔比約 48.7%,是攻擊次數最多的項目類型。這 38 次 DeFi 攻擊事件共導致了 1.57 億美元的損失,排在所有項目類型的第三位。
其他被攻擊的項目類型還包括:DEX、基礎設施、個人錢包、NFT 等。

4、各鏈損失金額情況

Ethereum爲損失金額最高、攻擊事件最多的鏈

和 2023 年相同的是,在 2024 年上半年,Ethereum 依舊是損失金額最高的公鏈。32 次 Ethereum 上的攻擊事件造成了 4.7 億美元的損失,佔到了總損失的 39.4%。

損失金額排名第二的公鏈爲 BTC,共計損失 3.26 億美元,佔總損失的27.3%。BTC 損失金額主要來自於日本交易所 DMM Bitcoin 被盜 3 億美元事件。

損失金額排名第三的公鏈爲 XRP(1.12 億美元),來自一次 Ripple 聯合創始人Chris Larsen 錢包被盜事件。

按照安全事件數量排名,前三名分別爲 Ethereum(32次)、BNB Chain(10次)、Arbitrum(9次)。Arbitrum 鏈上的安全事件數量較 2023 年有所增加。

5、攻擊手法分析

75%的損失金額來自私鑰泄露事件

2024 年上半年,共發生 22 次私鑰泄露事件,造成損失達到了 8.94 億美元,約佔總攻擊損失金額的 75%。和 2023 年相同,私鑰泄露事件造成的損失依舊是所有攻擊類型的第一位。造成較大損失的私鑰泄露事件有:DMM Bitcoin(3 億美元)、PlayDapp(2.9 億美元)、Ripple 聯合創始人 Chris Larsen(1.12 億美元)、BtcTurk(5500 萬美元)。

78 起攻擊事件中,有 43 起來自合約漏洞利用,佔比約 55%。合約漏洞利用總損失達 1.67 億美元,排名第二。

損失金額排名第三的攻擊手法爲社會工程學攻擊,3 次社會工程學攻擊造成損失約 6500 萬美元。
按照漏洞細分,造成損失前三名的漏洞分別爲:業務邏輯漏洞(8170萬美元)、訪問控制漏洞(2565萬美元)、算法缺陷(2405萬美元)。出現次數最高的漏洞也爲業務邏輯漏洞,43 起合約漏洞攻擊中有 16 次是業務邏輯漏洞。

6、反洗錢典型事件分析回顧

朝鮮黑客團伙Lazarus Group洗錢分析

根據加密貨幣偵探 ZachXBT 的調查,朝鮮Lazarus Group在 2020 年 8 月至 2023 年 10 月期間將價值 2 億美元的加密貨幣洗錢爲法定貨幣。

以下介紹了朝鮮黑客Lazarus Group過往幾年的動態,並對其洗錢的方式進行了分析與總結:Lazarus Group在盜取加密資產後,基本是通過來回跨鏈再轉入Tornado Cash的方式進行資金混淆。在混淆之後,Lazarus Group將被盜資產提取到目標地址併發送到固定的一些地址羣進行提現操作。此前被盜的加密資產基本上都是存入Paxful deposit address以及Noones deposit address,然後通過OTC服務將加密資產換爲法幣。 

製造CoinBerry等攻擊事件

2020 年 8 月 24 日,加拿大加密貨幣交易所 CoinBerry 錢包被盜。

黑客地址:

0xA06957c9C8871ff248326A1DA552213AB26A11AE 

2020 年 9 月 11 日,Unbright 由於私鑰泄露,團隊控制的多個錢包中發生了 40 萬美元的未經授權的轉賬。

黑客地址:

0x6C6357F30FCc3517c2E7876BC609e6d7d5b0Df43

2020 年 10 月 6 日,由於安全漏洞,CoinMetro熱錢包中未經授權轉移了價值 75 萬美元的加密資產。

黑客地址:

0x044bf69ae74fcd8d1fc11da28adbad82bbb42351

Beosin KYT: 被盜資金流向圖

2021年初,各個攻擊事件的資金彙集到了以下地址:

0x0864b5ef4d8086cd0062306f39adea5da5bd2603。

2021年1月11日,0x0864b5地址在Tornado Cash存入了3000ETH,隨後再次通過0x1031ffaf5d00c6bc1ee0978eb7ec196b1d164129地址向Tornado Cash存入了1800多枚ETH。 

隨後在1月11日至1月15日,陸續從Tornado Cash中提取了近4500枚ETH到0x05492cbc8fb228103744ecca0df62473b2858810地址。 

到2023年,攻擊者經過多次轉移兌換,最終彙集到了其他安全事件資金歸集提現的地址,根據資金追蹤圖可以看到,攻擊者陸續將盜取的資金髮送至Noones deposit address以及Paxful deposit address。

Nexus Mutual 創始人 (Hugh Karp) 遭黑客攻擊

2020 年 12 月 14 日,Nexus Mutual 創始人 Hugh Karp 被盜37萬NXM(830萬美元)。

Beosin KYT: 被盜資金流向圖

被盜資金在下面幾個地址之間轉移,並且兌換爲其他資金。

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1 

0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b 

0x09923e35f19687a524bbca7d42b92b6748534f25 

0x0784051d5136a5ccb47ddb3a15243890f5268482 

0x0adab45946372c2be1b94eead4b385210a8ebf0b 

Lazarus Group通過這幾個地址進行了資金混淆、分散、歸集等操作。例如,部分資金通過跨鏈到比特幣鏈上,再通過一系列轉移跨回以太坊鏈上,之後通過混幣平臺進行混幣,再將資金髮送至提現平臺。

2020年12月16日-12月20日,其中一個黑客地址0x078405將超2500ETH發送至Tornado Cash,幾個小時之後,根據特徵關聯,可以發現0x78a9903af04c8e887df5290c91917f71ae028137地址便開始了提款操作。 

黑客通過轉移以及兌換,將部分資金轉移至上一個事件涉及的資金歸集提現的地址。

之後,2021年5月-7月,攻擊者將1100萬USDT轉入Bixin deposit address。 

2023年2月-3月,攻擊者通過0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,將277萬USDT發送到Paxful deposit address。

2023年4月-6月,攻擊者通過0xcbf04b011eebc684d380db5f8e661685150e3a9e地址,將840萬USDT發送到Noones deposit address。

Steadefi 和 CoinShift 黑客攻擊

Beosin KYT: 被盜資金流向圖

Steadefi事件攻擊地址

0x9cf71f2ff126b9743319b60d2d873f0e508810dc 

Coinshift事件攻擊地址

0x979ec2af1aa190143d294b0bfc7ec35d169d845c 

2023年8月,Steadefi事件的624枚被盜ETH被轉移到Tornado Cash,同一個月,Coinshift事件的900枚被盜ETH被轉移到Tornado Cash。

在轉移ETH到Tornado Cash之後,立即陸續將資金提取到下面地址:

0x9f8941cd7229aa3047f05a7ee25c7ce13cbb8c41

0x4e75c46c299ddc74bac808a34a778c863bb59a4e

0xc884cf2fb3420420ed1f3578eaecbde53468f32e

2023年10月12日,上述三個地址將從Tornado Cash提取的資金都發送到了0x5d65aeb2bd903bee822b7069c1c52de838f11bf8地址上。

2023年11月,0x5d65ae地址開始轉移資金,最終通過中轉和兌換,將資金髮送到了Paxful deposit address以及Noones deposit address。 

7、被盜資產的資金流向分析

39.3% 的被盜資產被凍結和追回

據 Beosin KYT 反洗錢平臺分析顯示,2024 年上半年被盜的資金中,約有 4.7 億美元(39.3%)被盜資金被凍結或追回。該比例較 2023 年有了顯著提升。

約有 5.5 億美元(46.3%)的被盜資金還保留在黑客地址。隨着全球監管機構反洗錢力度的加大,黑客清洗贓款變得更加困難,因此相當一部分黑客選擇暫時將盜取資金保留在鏈上地址。

約有 1.075 億美元的被盜資金轉入了各交易所,佔比約 9%,該比例高於 2023 年。共有 6414 萬美元(5.4%)轉入了混幣器:5243 萬美元轉入了 Tornado Cash;1171 萬美元轉入了其他混幣器。和去年相比,2024年上半年通過混幣器清洗的被盜資金大幅減少。

8、項目審計情況分析

經過審計的項目方比例有所增加

2024 年上半年,78 起攻擊事件裏,有 26 起事件的項目方沒有經過審計,49 起事件的項目方經過了審計。經過審計的項目方比例略高於 2023 年,這表明整個 Web3 行業項目方對安全的重視程度提高了。

26 個沒有經過審計的項目中,合約漏洞事件佔了 15 起(57.7%)。49 個經過審計的項目中,合約漏洞事件佔了 28 起(57.1%)。兩者整體比例大致相當。和 2023 年比,2024 年整體安全審計質量有所下滑。

9、Rug Pull 分析

64 起 Rug Pull 事件共損失 1.19 億美元

2024 年上半年,共監測到項目方 Rug Pull 事件 64 起,涉及金額達 1.19 億美元。

損失金額排名前 5 的 Rug pull 事件爲:Bitforex(5650萬美元)、ZKasino(3300萬美元)、Gemholic(340萬美元)、Hector Network(270萬美元)、MangoFarm(200萬美元)。這 5 起 Rug Pull 事件分佈在 Ethereum、ZKsync、Fantom、Solana 四條鏈。

Ethereum 鏈上 Rug Pull 涉及總金額達到了 9628 萬美元,佔總損失的 81%。BNB Chain 鏈上發生了最多的 Rug Pull 事件,共 31 次,佔總事件數量的 48.4%。

10、2024年上半年 Web3區塊鏈安全態勢總結

和 2023 年同期相比,2024 年上半年因黑客攻擊、釣魚詐騙、項目方 Rug Pull 造成的總損失大幅上升,達到了 15.4 億美元( 2023 年上半年這一數字爲 6.7 億美元)。2024 年上半年幣價上漲因素對總金額的增加有一定的影響,但總體而言,Web3 安全領域形勢依舊不容樂觀。

和 2023 年相同,2024 上半年造成危害最大的攻擊類型依舊爲私鑰泄露。約 75% 的損失金額來自私鑰泄露事件。從項目類型來看,私鑰泄露事件遍佈於Web3各個領域:遊戲平臺、DeFi、個人錢包、基礎設施、NFT、支付平臺、博彩平臺、數據存儲平臺等。各個Web3項目方/個人用戶都需要提高警惕,離線存儲私鑰、使用多重簽名、謹慎使用第三方服務、對特權員工進行定期安全培訓。

上半年有 39.3% 的被盜資產被凍結和追回,這標誌着全球監管體系的完善和反洗錢力度的加強。上半年僅有 5.4% 的被盜資產轉入了各類混幣器,另外有 46.3% 的資產還保留在黑客地址,這進一步說明了黑客清洗贓款難度的增加。上半年依舊有 9% 的被盜資金轉入了各交易所,這需要交易所及時識別黑客行爲,積極配合執法機構和項目方凍結資金和進行調證。目前交易所和執法機構、項目方、安全團隊的合作已經有了較爲明顯的成果,相信未來會有更多被盜資金能夠追回。

上半年 78 起攻擊事件中,依然有 43 起來自合約漏洞利用,建議項目方在上線前尋求專業的安全公司進行審計。Beosin作爲全球最早一批從事形式化驗證的區塊鏈安全公司,主打”安全+合規“全生態業務,在全球10多個國家和地區設立了分部,業務涵蓋項目上線前的代碼安全審計、項目運行時的安全風險監控與阻斷、被盜追回、虛擬資產反洗錢(AML)以及符合各地監管要求的合規評估等“一站式”區塊鏈合規產品+安全服務。