Đánh giá tình hình bảo mật chuỗi khối Web3 và phân tích chống rửa tiền năm 2024 (1)

Tác giả của chương này: Nhóm nghiên cứu Beosin Mario, Tian Daxia Donny

Theo Beosin Alert hiển thị giám sát và cảnh báo ,Trong quý đầu tiên của năm 2024, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pulls của các bên dự án lên tới 778 triệu USD. Có 39 sự cố tấn công lớn, với tổng thiệt hại khoảng 617 triệu USD; có 43 sự cố Rug Pull do các bên tham gia dự án thực hiện, với tổng thiệt hại khoảng 75,5 triệu USD; và các vụ lừa đảo lừa đảo, với tổng thiệt hại là 75,5 triệu USD. khoảng 86,24 triệu USD.

Tổng thiệt hại trong quý 1 năm 2024 là khoảng 778 triệu USD, tăng hàng năm khoảng 126% và tăng hàng tháng khoảng 72%. Số tiền bị mất do các sự cố hack cao hơn bất kỳ quý nào trong năm 2023.

Tổng thiệt hại trong tháng 2 lên tới 422 triệu USD, tháng tốn kém nhất trong quý đầu tiên của năm 2024.

Từ góc độ các loại dự án bị tấn công, nền tảng trò chơi lần đầu tiên đã trở thành loại dự án có số tiền thua lỗ cao nhất. Sáu cuộc tấn công nhằm vào nền tảng chơi game Web3 đã gây ra tổng thiệt hại 365 triệu USD, chiếm 59% tổng thiệt hại do các cuộc tấn công.

Xét về mức độ thua lỗ của mỗi chuỗi, Ethereum vẫn là chuỗi có số tiền thua lỗ cao nhất và nhiều nhất các cuộc tấn công. Mười tám cuộc tấn công vào Ethereum đã gây thiệt hại 342 triệu USD, chiếm 55,4% tổng thiệt hại.

Từ góc độ phương pháp tấn công, tổng cộng 13 vụ rò rỉ khóa riêng đã xảy ra trong quý này, gây thiệt hại 458 triệu USD, theo kế toán vì Chiếm 74,3% tổng số tổn thất do tấn công, đây là loại tấn công có tỷ lệ cao nhất.

Từ góc độ dòng vốn, hầu hết tài sản bị đánh cắp đã bị phong tỏa và thu hồi trong quý này. Khoảng 303 triệu USD (49,2%) số tiền bị đánh cắp đã bị phong tỏa và 79,45 triệu USD (12,9%) số tiền bị đánh cắp đã được thu hồi.

Đánh giá từ tình hình kiểm toán, trong số các dự án bị tấn công, tỷ lệ các bên tham gia dự án được kiểm toán đã tăng lên.

39 Các cuộc tấn công lớn gây thiệt hại tổng cộng 6 16,70 triệu đô la Mỹ

2024 Trong quý đầu tiên, Beosin Alert đã phát hiện tổng cộng 39 cuộc tấn công lớn trong lĩnh vực Web3, với tổng thiệt hại lên tới 616,7 triệu USD. Trong đó, có 2 sự cố an ninh với thiệt hại trên 100 triệu USD, 5 sự cố gây thiệt hại từ 10 triệu đến 100 triệu USD và 21 sự cố gây thiệt hại từ 1 triệu đến 10 triệu USD.

Các cuộc tấn công gây thiệt hại trên 10 triệu đô la Mỹ (sắp xếp theo số tiền):

< strong >● PlayDapp - 290 USD    

Phương thức tấn công: Rò rỉ khóa riêng Nền tảng chuỗi: Ethereum

Vào ngày 9 tháng 2, nền tảng trò chơi blockchain PlayDapp đã bị tấn công và địa chỉ của hacker đã tạo ra 200 triệu mã thông báo pla trị giá 3650  Mười nghìn đô la Mỹ. Các cuộc đàm phán giữa PlayDapp và hacker đã thất bại và hacker đã đúc thêm 1,59 tỷ token PLA trị giá 253,9 triệu USD vào ngày 12 tháng 2 và gửi một phần số tiền đến sàn giao dịch Gate.io. Sau đó, nhóm dự án đã đình chỉ hợp đồng PLA và chuyển mã thông báo PLA sang mã thông báo PDA.

● Chris Larsen (Người đồng sáng lập Ripple) - 112 USD

Vào ngày 31 tháng 1, Chris Larsen, người đồng sáng lập Ripple cho biết rằng 4 chiếc ví của anh ta đã bị hack và tổng cộng khoảng 112 triệu USD đã bị đánh cắp. Nhóm Binance đã đóng băng thành công số XRP trị giá 4,2 triệu USD bị kẻ tấn công đánh cắp.

● Munchables - $62,3 triệu USD

Phương thức tấn công: Nền tảng chuỗi kỹ thuật xã hội: Blast

Vào ngày 26 tháng 3, nền tảng trò chơi Web3 dựa trên Blast Munchables đã bị tấn công, dẫn đến mất khoảng 62,5 triệu đô la. Người ta nghi ngờ nhóm dự án bị tấn công vì đã thuê hacker Triều Tiên làm nhà phát triển. Tất cả số tiền bị đánh cắp sau đó đã được tin tặc trả lại.

● FixedFloat - $26,1 triệu USD

Phương thức tấn công: Nền tảng chuỗi lỗ hổng cấu trúc bảo mật: Ethereum

Vào ngày 17 tháng 2, sàn giao dịch tiền điện tử FixFloat đã bị tấn công, dẫn đến thiệt hại khoảng 26,1 USD Hacker Hầu hết số tiền bị đánh cắp đã được chuyển sang sàn giao dịch eXch. Vào ngày 20 tháng 2, FixFloat tuyên bố rằng cuộc tấn công "không phải do nhân viên của chúng tôi gây ra, mà là một cuộc tấn công từ bên ngoài do lỗ hổng trong cấu trúc bảo mật của chúng tôi gây ra".

● Curio Hệ sinh thái - 16 triệu USD

Phương thức tấn công: Lỗ hổng hợp đồng - Nền tảng chuỗi lỗ hổng kiểm soát truy cập: Ethereum

Vào ngày 23 tháng 3, cơ sở hạ tầng RWA Hệ sinh thái Curio đã bị tấn công, dẫn đến thiệt hại khoảng 16 triệu USD.

● Somesing - 11,58 USD

Phương thức tấn công: Nền tảng chuỗi rò rỉ khóa riêng: Klaytn

Ngày 27 tháng 1, dịch vụ âm nhạc xã hội Web3 của Hàn Quốc bị tấn công, mất 730 triệu token gốc SSX, trị giá 11,58 triệu USD.

● Jihoz.ron (Người đồng sáng lập Ronin) - 10 triệu USD

Phương thức tấn công: Nền tảng chuỗi rò rỉ khóa riêng: Ronin

Vào ngày 23 tháng 2, người đồng sáng lập Ronin jihoz Two Địa chỉ .ron mất khoảng 10 triệu USD do khóa riêng của họ bị rò rỉ.

Nền tảng trò chơi lần đầu tiên trở thành loại dự án có mức lỗ cao nhất

Loại dự án có mức lỗ cao nhất trong quý này là nền tảng trò chơi, 6 lần Các cuộc tấn công nhằm vào nền tảng trò chơi Web3 đã gây ra tổng thiệt hại 365 triệu USD, chiếm 59% tổng thiệt hại do các cuộc tấn công. Lần đầu tiên, nền tảng chơi game trở thành loại dự án bị tấn công với mức thiệt hại cao nhất.

Loại nạn nhân phổ biến thứ hai là ví cá nhân. Hai vụ trộm ví cá nhân gây thiệt hại 122,5 triệu USD. Cả hai trường hợp trộm ví cá nhân đều bị đánh cắp từ những người đồng sáng lập của các bên dự án nổi tiếng (Ripple Lianchuang và Ronin Lianchuang).

Trong số 39 vụ tấn công của hacker, có tổng cộng 17 sự cố xảy ra trong lĩnh vực DeFi, chiếm khoảng 43,6%. 17 cuộc tấn công DeFi này dẫn đến tổng thiệt hại là 39,96 triệu USD, đứng thứ ba trong số tất cả các loại dự án.

Các loại dự án khác bị tấn công bao gồm:DEX, cơ sở hạ tầng, nền tảng thanh toán, nền tảng âm nhạc Web3, v.v.

Ethereum là chuỗi có số tổn thất cao nhất và có nhiều cuộc tấn công nhất

Tương tự như năm 2023, Ethereum vẫn là chuỗi công khai có mức lỗ cao nhất. Mười tám cuộc tấn công vào Ethereum đã gây thiệt hại 342 triệu USD, chiếm 55,4% tổng thiệt hại.

Chuỗi công khai có số tiền lỗ lớn thứ hai là XRP, xuất phát từ ví bị đánh cắp của người đồng sáng lập Ripple, Chris Larsen.

Chuỗi công khai có số tiền thua lỗ lớn thứ ba là Blast. Ba cuộc tấn công vào chuỗi Blast đã gây ra tổng thiệt hại 67,5 triệu USD. Chuỗi vụ nổ đứng đầu về số tiền thua lỗ trong số các chuỗi công khai lớn mới nổi.

Chỉ có 4 sự cố bảo mật lớn xảy ra trong Chuỗi BNB trong quý này, với thiệt hại khoảng 8,01 triệu USD. Cả số tiền thiệt hại và số lượng sự cố sự cố được xếp hạng cao hơn năm 2023. giảm đáng kể.

74,3% tổn thất đến từ rò rỉ khóa riêng

Tổng cộng có 13 vụ rò rỉ khóa riêng đã xảy ra trong quý này, gây ra tổn thất Đạt 458 triệu USD, chiếm 74,3% tổng thiệt hại do tấn công. Giống như năm 2023, những tổn thất do rò rỉ khóa riêng vẫn đứng đầu trong số tất cả các loại tấn công. Các vụ rò rỉ khóa riêng gây thiệt hại lớn bao gồm: PlayDapp (290 triệu USD), đồng sáng lập Ripple Chris Larsen (112 triệu USD), Somesing (11,58 triệu USD), đồng sáng lập Ronin Jihoz.ron (10 triệu USD).

Trong số 39 cuộc tấn công, 21 cuộc tấn công đến từ việc khai thác lỗ hổng theo hợp đồng, với tổng thiệt hại lên tới 65,56 triệu USD, đứng thứ hai.

Phương thức tấn công gây tổn thất lớn thứ ba là tấn công kỹ thuật xã hội, với ba cuộc tấn công kỹ thuật xã hội gây thiệt hại khoảng 65 triệu USD.

Chia theo các lỗ hổng, ba lỗ hổng hàng đầu gây thiệt hại là: lỗi thuật toán (22,78 triệu USD), lỗ hổng kiểm soát truy cập (16,32 triệu USD), lỗ logic kinh doanh (11,28 USD) triệu). Các lỗ hổng có tần suất xuất hiện cao nhất là các lỗ hổng logic nghiệp vụ và 7 trong số 21 cuộc tấn công vào lỗ hổng hợp đồng là các lỗ hổng logic nghiệp vụ.

Atom Asset (AAX)  ;Tránh phân tích chống rửa tiền (AML)

Gần đây, sàn giao dịch Atom Asset (AAX) ở Hồng Kông bị sụp đổ đã bắt đầu chuyển tiền từ Ví của nó đã được chuyển đến nhiều sàn giao dịch phi tập trung và nền tảng tập trung khác nhau, được cho là nhằm trốn tránh các biện pháp kiểm soát chống rửa tiền (AML). Trước khi được phát hiện, các giao dịch được biết đến gần đây nhất liên quan đến ví sàn giao dịch AAX xảy ra vào tháng 10 năm 2023 và tháng 11 năm 2022. Trước khi sụp đổ, AAX là một trong những sàn giao dịch tiền điện tử lớn nhất ở Hồng Kông, với hơn 2 triệu người dùng.

Theo phân tích của nhóm Beosin, người ta thấy rằng bắt đầu từ ngày 29 tháng 1 năm 2024, sàn giao dịch AAX bắt đầu chuyển 25.100 ETH ra khỏi ví sàn giao dịch của mình . Có ba lần chuyển tiền, một lần là 500ETH, một lần là 600ETH và một lần là 24.000ETH. Số tiền được chuyển lên tới hơn 74 triệu USD dựa trên giá hiện tại.

Toàn bộ câu chuyện về sự cố trao đổi AAX

Tháng 11 2022 Vào ngày 13, chỉ hai ngày sau khi sàn giao dịch tiền điện tử FTX nộp đơn xin phá sản, AAX cũng đã ngừng rút tiền và xóa tất cả các kênh xã hội do rủi ro đối tác. Ban đầu, AAX cho rằng việc đóng băng là do các biện pháp bảo mật chống lại một cuộc tấn công độc hại bị cáo buộc.

Vào ngày 15 tháng 11 năm 2022, sàn giao dịch AAX đã đưa ra tuyên bố cho biết nền tảng của họ cần được bảo trì. Ngoài việc tạm dừng rút tiền, các công cụ phái sinh sẽ tự động được thanh lý. Kể từ đó, AAX đã ngừng hoạt động nền tảng và cập nhật trên mạng xã hội.

Điều kỳ lạ là: sau 426 ngày im lặng, ví trao đổi AAX bắt đầu hoạt động và một lượng lớn tiền bắt đầu được chuyển sang các địa chỉ khác, cố gắng tránh sự nhận dạng và giám sát của các công cụ AML!

liên kết: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c

Phân tích quỹ trên chuỗi sự kiện trao đổi AAX

Các hoạt động trên chuỗi gần đây của nền tảng phân tích chống rửa tiền Beosin KYT của AAX ví trao đổi Nghiên cứu chuyên sâu đã được tiến hành và một loạt hoạt động rủi ro đã được phát hiện. Đầu tiên, tất cả 25.100 ETH đã được chuyển, các nhà khai thác đã thực hiện nhiều cách khác nhau để chuyển đổi một phần ETH thành USDT, sau đó chuyển tiền sang các chuỗi khối khác nhau thông qua các cầu nối chuỗi chéo để làm sạch tiền.

Nền tảng chống rửa tiền Beosin KYT

Trong số đó, hầu hết tiền đã được chuyển đến Trên chuỗi khối Tron, nó được chuyển qua một số địa chỉ và sau đó được giải quyết ở một số địa chỉ mà không bao giờ được chuyển. Hành vi này thể hiện nỗ lực rõ ràng nhằm trốn tránh AML và che giấu nguồn gốc và đích đến thực sự của số tiền.

Nền tảng chống rửa tiền Beosin KYT

Cảnh sát Hồng Kông hành động kịp thời chống lại các hoạt động gian lận, đã bắt giữ hai người có liên quan đến AAX và hiện đang làm việc để vạch ra đường đi của số tiền được chuyển và thu hồi tài sản của những người dùng bị ảnh hưởng.

AAX Exchange sử dụng các phương tiện kỹ thuật như sàn giao dịch phi tập trung, sàn giao dịch tiền điện tử và cầu nối chuỗi chéo để cố gắng che khuất đường đi và nguồn của dòng vốn. Điều này tạo ra những thách thức đáng kể cho các cơ quan quản lý và nền tảng phân tích AML.

Hầu hết tài sản bị đánh cắp đã bị phong tỏa và thu hồi

Theo phân tích của nền tảng chống rửa tiền Beosin KYT, lần đầu tiên vào năm 2024 Trong số số tiền bị đánh cắp trong quý, khoảng 303 triệu USD (49,2%) số tiền bị đánh cắp đã bị đóng băng và 79,45 triệu USD (12,9%) số tiền bị đánh cắp đã được thu hồi. Tỷ lệ này cao hơn đáng kể so với năm 2023.

Khoảng 105,5 triệu USD số tiền bị đánh cắp đã được chuyển sang nhiều sàn giao dịch khác nhau, chiếm khoảng 17,1%. So với năm 2023, tỷ lệ tin tặc chuyển số tiền bị đánh cắp sang các sàn giao dịch đã tăng đáng kể trong năm nay. Điều này đặt ra các yêu cầu cao hơn đối với việc tuân thủ và chống rửa tiền của các sàn giao dịch.

Tổng cộng 30,12 triệu USD (4,9%) đã được chuyển sang các máy trộn: 29,9 triệu USD đã được chuyển sang Tornado Cash; 216.000 USD đã được chuyển sang các máy trộn khác Coinware. So với năm ngoái, số tiền bị đánh cắp được rửa thông qua việc trộn tiền trong quý đầu tiên của năm 2024 đã giảm đáng kể.

Tỷ lệ các bên dự án được kiểm toán đã tăng lên

Trong số 39 sự cố tấn công, 12 trong số đó là các bên dự án. không có kiểm toán, và các bên tham gia dự án trong 24 trường hợp đã được kiểm toán. Tỷ lệ các bên tham gia dự án được kiểm toán cao hơn một chút so với năm 2023, cho thấy các bên tham gia dự án trên toàn ngành Web3 đang coi trọng vấn đề bảo mật hơn.

Trong số 12 dự án chưa được kiểm toán, sự cố lỗ hổng hợp đồng chiếm 8 trường hợp (66,7%). Để so sánh, sự cố lỗ hổng hợp đồng chiếm 13 trong số 24 dự án được kiểm toán (54,2%). Điều này cho thấy việc kiểm toán có thể cải thiện tính bảo mật của dự án ở một mức độ nhất định.

43 Rug Sự cố kéo tổng thiệt hại là 75,5 triệu đô la Mỹ

Quý đầu tiên của năm 2024, tổng cộng có 43 tấm thảm Sự cố kéo của các bên dự án đã được giám sát, liên quan đến tổng số tiền là 75,5 triệu USD.

5 sự cố Rug pull có số tiền thua lỗ lớn nhất là: Bitforex (56,5 triệu USD), Hector Network (2,7 triệu USD), MangoFarm (2 triệu USD) ), OrdiZK (1,4 triệu USD), RiskOnBlast (1,3 triệu USD). Năm sự kiện Rug Pull này được phân phối trên bốn chuỗi: Ethereum, Fantom, Solana và Blast.

Tổng số tiền liên quan đến Rug Pull trên chuỗi Ethereum đạt 59,68 triệu USD, chiếm 79% tổng số thiệt hại. Số lượng sự kiện Rug Pull xảy ra nhiều nhất trên chuỗi BNB Chain, với tổng số 29 lần, chiếm 67,4% tổng số sự kiện.

So với quý trước, tổng thiệt hại do các cuộc tấn công của hacker, lừa đảo lừa đảo và Rug Pull của các bên dự án gây ra trong quý đầu tiên của năm 2024 đã tăng đáng kể, đạt 778 triệu USD. Việc tăng giá tiền tệ trong quý này có tác động nhất định đến sự gia tăng tổng số tiền, nhưng nhìn chung, tình hình trong lĩnh vực bảo mật Web3 vẫn không mấy khả quan.

Loại tấn công gây thiệt hại nhiều nhất trong quý này là rò rỉ khóa riêng.Khoảng 74,3% số tiền bị mất là do rò rỉ khóa riêng Xu hướng này Phù hợp với dữ liệu năm 2023. Từ góc độ các loại dự án, rò rỉ khóa riêng tư xảy ra trong nhiều lĩnh vực khác nhau của Web3: nền tảng trò chơi, DeFi, ví cá nhân, cơ sở hạ tầng, NFT, nền tảng thanh toán, nền tảng cờ bạc, nền tảng lưu trữ dữ liệu, v.v. Mỗi bên/người dùng cá nhân trong dự án Web3 cần phải cảnh giác hơn, lưu trữ khóa riêng tư ngoại tuyến, sử dụng nhiều chữ ký, thận trọng khi sử dụng dịch vụ của bên thứ ba và tiến hành đào tạo bảo mật thường xuyên cho nhân viên có đặc quyền.

Hầu hết tài sản đã bị phong tỏa và thu hồi trong quý này, điều này đánh dấu sự cải thiện của hệ thống quản lý toàn cầu và tăng cường chống rửa tiền nỗ lực. Trong quý này, tỷ lệ hacker chuyển số tiền bị đánh cắp sang các sàn giao dịch cũng tăng lên đáng kể, điều này đòi hỏi các sàn giao dịch phải kịp thời xác định hành vi hack và tích cực hợp tác với các cơ quan thực thi pháp luật và các bên tham gia dự án để phong tỏa quỹ và tiến hành xác minh. Hiện tại, sự hợp tác của sàn giao dịch với các cơ quan thực thi pháp luật, các bên tham gia dự án và đội bảo mật đã đạt được những kết quả đáng kể. Người ta tin rằng sẽ có nhiều số tiền bị đánh cắp hơn được thu hồi trong tương lai.

Trong số 39 cuộc tấn công trong quý này, 21 vẫn đến từ việc khai thác lỗ hổng theo hợp đồng. Nhóm dự án nên tìm một công ty bảo mật chuyên nghiệp để kiểm tra trước đang online. .