据推断,黑客等恶意行为者在2023年第二季度从Web3.0行业提取了3.1亿美元。
这一数字接近第一季度的3.2亿美元亏损,比2022年第二季度的7.45亿美元亏损低58%。
CertiK总共发现了212起安全事件,这意味着第二季度每个事件的平均损失为148万美元。这一数字略低于第一季度每起事故156万美元的平均损失。
98个退出骗局从投资者那里窃取了7035万美元,是第一季度退出骗局造成的3100万美元损失的两倍多。
54次闪电贷款攻击和计算机操纵事件使攻击者获利2375万美元。这与第一季度52起电脑操纵案件造成的2.22亿美元的总损失相比,是一个大幅下降。当然,由于欧拉金融上个季度的巨额亏损,仅这个漏洞就占到了上个季度总额的85%。
此外,行业内正在发生一些“线下”事件:美国证券交易委员会指控虚拟货币最大的两家交易所;全球最大的资产管理公司提交了比特币ETF的申请。
与此同时,CertiK安全研究人员还在主要的区块链协议和应用中发现了一些重大漏洞,包括Sui验证器节点和ZenGo MPC钱包中的安全风险。
部分数据显示
2023年第二季度,Web3.0领域记录的总亏损为313,566,528美元,与上一季度几乎持平,与去年同期相比下降了58%。每起事故的平均损失也略有下降。
在整个第二季度,预测机器操纵的事件数量明显减少,而退出骗局的总损失增加,表明恶意行为者采取的战术发生了变化。
随着行业的发展,MEV机器人遇袭、隋区块链发现“仓鼠轮”安全威胁等案例印证了继续研究安全、先发制人、保持警惕的重要性。每克服一次挑战,我们就离更安全的Web3.0 空更近一步。
有关更多详细信息和数据,请查看报告。(见文末报告下载链接)
MEV机器人被恶意使用。4月初,MEV机器人在以太坊16964664街区被黑客利用。一个恶意验证者替换了几笔MEV交易,造成了约2538万美元的损失。此次事件是迄今为止对MEV机器人最大的一次攻击。事件发生在以太坊16964664的街区,8笔MEV交易被恶意验证者利用。这个验证器成立于2023年3月15日,外部地址(EOA)为0x687A9,一直试图渗透到Flashbot中,防止抢先交易。
然而,MEV-boost-relay中的一个漏洞允许恶意验证者重新绑定交易,拦截MEV机器人的一些夹层策略,尤其是反向交易。由于上述漏洞,验证者看到了详细的交易信息。利用这些详细的交易信息,恶意验证者可以构建他们自己的块,并在初始MEV机器人交易之前插入他们的预交易。
总的来说,这个恶意验证者成功地从5个MEV机器人身上偷走了大约2500万美元,这也是CertiK迄今为止发现的MEV机器人最大的损失之一。在过去的12个月中,只发现了6个MEV机器人的漏洞,仅这一次事件就占了2750万美元总损失的92%。恶意验证者利用MEV-boost-relay漏洞,通过提交无效但正确签名的块来发起攻击。在看到块中的交易后,验证者可以重新绑定它们,以从MEV机器人要求资产。这个漏洞后来被修复了。
有关MEV机器人和三明治攻击的更多信息,请参见报告。(见文末报告下载链接)
原子钱包被黑了。今年6月初,5000多名原子钱包用户遭遇了本季度最大的安全事故,损失超过1亿美元。一开始原子钱包说每月不到1%的用户成为这一事件的受害者,后来改为不到0.1%。如此规模的攻击和巨大的损失凸显了钱包应用安全漏洞的严重性。攻击者瞄准用户的私钥,并获得对其资产的完全控制。在获得密钥后,他们可以将资产转移到他们的钱包地址,并清除空受害者的帐户。
散户投资者报告的损失大小不一,最高金额达到795万美元。五大零售受害者累计损失高达1700万美元。为了挽回损失,原子钱包公开向攻击者提出建议,攻击者承诺放弃10%的被盗资金,换取90%的被盗代币。但根据拉扎勒斯集团的历史记录,且被盗资金已被清洗,追回资金的希望十分渺茫。
有关原子钱包和“幕后”的更多分析,请参见报告。(见文末报告下载链接)
Sui“仓鼠轮”新漏洞之前,CertiK团队在Sui区块链中发现了一系列拒绝服务漏洞。在这些漏洞中,一种影响严重的新型漏洞尤为引人注目。该漏洞会导致Sui网络节点无法处理新的事务,效果相当于整个网络完全关闭。CertiK因发现这一重大安全漏洞获得了SUI 50万美元的漏洞奖励。美国业界权威媒体CoinDesk报道了该事件,随后各大媒体也跟随其报道发布了相关消息。
这个安全漏洞被形象地称为“仓鼠轮”:其独特的攻击方式不同于目前已知的攻击方式。攻击者只需要提交一个100字节左右的负载,就可以触发Sui验证节点的无限循环,使其无法响应新的事务。此外,攻击造成的破坏在网络重启后还能继续,并能在Sui网络中自动扩散,使所有节点无法像仓鼠一样在车轮上无休止地奔跑处理新的事务。因此,我们将这种独特的攻击类型称为“仓鼠轮”攻击。
CertiK发现漏洞后,通过Sui的漏洞赏金计划向Sui报告。隋也在第一时间有效响应,确认了漏洞的严重性,并在主网启动前积极采取相应措施修复问题。
除了修复此特定漏洞,Sui还实施了预防性缓解措施,以减少此漏洞可能造成的潜在损害。为了感谢CertiK团队负责任的披露,隋授予CertiK团队50万美元奖金。
详情请见报告文字和视频内容。(见文末报告下载链接)
基于MPC wallet的服务器级漏洞多方计算(MPC)是一种加密方法,它允许多个参与者计算他们的输入函数,同时保护这些输入的隐私。目标是确保这些输入不会与任何第三方共享。这项技术有许多应用,包括用于隐私保护的数据挖掘、安全拍卖、金融服务、安全多方机器学习以及安全密码和秘密共享。
在对流行的多方计算(MPC)钱包ZenGo进行预防性安全分析的过程中,CertiK的Skyfall团队发现了该钱包安全架构的一个严重漏洞,该漏洞被称为“设备分叉攻击”。攻击者可以利用它绕过ZenGo现有的安全措施,从而有机会控制用户的资金。这种攻击的关键是利用API的漏洞创建新的设备密钥,从而欺骗ZenGo服务器将其视为真实用户的设备。
根据负责任的披露原则,Skyfall团队迅速向ZenGo报告了这一漏洞。在意识到问题的严重性后,ZenGo的安全团队迅速采取行动来修复它。为了防止被攻击的可能,已经在服务器的API级别修复了漏洞,所以不需要更新客户端代码。漏洞修复后,ZenGo公开承认了这些发现,并感谢CertiK在加强其基于MPC的钱包的安全性和可信度方面发挥的重要作用。
“多方计算在Web3.0领域有着广阔的前景和许多重要的应用,虽然MPC技术降低了单点故障的风险,但MPC解决方案的实施会给加密货币钱包的设计带来新的复杂性。这种复杂性将导致新的安全风险,表明全面的审计和监控方法至关重要。”CertiK首席安全官李康教授
详情请见报告详细图文分析。(见文末报告下载链接)
介绍报告的一部分
下载方式1。**链接到浏览器:http://certik-2.hubspotpagebuilder.com/2023-q2-web3-cn-0立即下载!
2.关注CertiK官方微信微信官方账号后台消息【2023年第二季度报告】获取PDF下载链接。
本网站声明:网站内容来源于网络。如有侵权,请联系我们,我们会及时处理。
温馨提示:注:内容来源均采集于互联网,不要轻信任何,后果自负,本站不承担任何责任。若本站收录的信息无意侵犯了贵司版权,请给我们来信(j7hr0a@163.com),我们会及时处理和回复。
原文地址"CertiK第二季度Web3.0行业报告:详解3.1亿美金损失“幕后黑手”":http://www.guoyinggangguan.com/qkl/140453.html。
微信扫描二维码关注官方微信
▲长按图片识别二维码
