Los actores maliciosos, como los piratas informáticos, extrajeron ** $ 310 millones ** de la industria de la Web 3.0 en el segundo trimestre de 2023.
Esta cifra está cerca de la pérdida de $320 millones en el primer trimestre, que es una disminución del 58 %** de la pérdida de $745 millones en el segundo trimestre de 2022**.
CertiK encontró un total de 212* incidentes de seguridad, lo que se traduce en una pérdida promedio de $1,48 millones por incidente en el segundo trimestre. Esa cifra fue ligeramente inferior a la pérdida promedio por incidente de $ 1,56 millones en el primer trimestre.
98 estafas de salida robaron $70,35 millones de los inversores, más del doble de los $31 millones perdidos por estafas de salida en el primer trimestre.
54 ataques de préstamo rápido e incidentes de manipulación de Oracle generaron a los atacantes $23,75 millones. Eso está muy por debajo de los $ 222 millones en pérdidas totales de 52 manipulaciones de Oracle en el primer trimestre. Por supuesto, debido a la enorme pérdida de Euler Finance en el último trimestre, esta laguna por sí sola representó el 85% del monto total en el trimestre anterior.
Además, están ocurriendo algunos grandes eventos "fuera de la cadena" en la industria: la Comisión de Bolsa y Valores de EE. UU. ha presentado cargos contra las dos casas de cambio de moneda virtual más grandes; y la empresa de gestión de activos más grande del mundo ha presentado una solicitud para un ETF de Bitcoin. .
Mientras tanto, los investigadores de seguridad de CertiK también han descubierto algunas vulnerabilidades importantes en los principales protocolos y aplicaciones de blockchain, incluidos los riesgos de seguridad en los nodos de validación de Sui y la billetera MPC de ZenGo.
Visualización de datos parciales
Introducción
Las pérdidas totales registradas en el espacio Web 3.0 en el segundo trimestre de 2023 ascendieron a $313.566.528, casi lo mismo que en el trimestre anterior y una disminución del 58% en comparación con el mismo período del año anterior. La pérdida promedio por accidente también se redujo levemente.
Mirando el segundo trimestre, la cantidad de incidentes de manipulación de Oracle disminuyó significativamente, mientras que las pérdidas totales de estafas de salida aumentaron, lo que indica que las tácticas empleadas por los actores maliciosos han cambiado.
A medida que la industria evoluciona, casos como el ataque al robot MEV y el descubrimiento de una amenaza de seguridad de "rueda de hámster" en la cadena de bloques Sui demuestran la importancia de las inmersiones profundas continuas en la seguridad, los ataques preventivos y la vigilancia constante. Con cada desafío superado, estamos un paso más cerca de un espacio Web 3.0 más seguro.
Consulte el Informe para obtener más detalles y datos.
El robot MEV es explotado maliciosamente
A principios de abril, el robot MEV fue explotado por piratas informáticos en el bloque 16964664 de Ethereum. Un validador malicioso reemplazó varias transacciones MEV, lo que resultó en una pérdida de aproximadamente $25,38 millones. El incidente fue el mayor ataque a robots MEV hasta la fecha.
El incidente ocurrió en el bloque 16964664 de Ethereum, con 8 transacciones MEV explotadas por validadores maliciosos. Este validador se estableció el 15 de marzo de 2023, en la dirección externa (EOA) 0x687A9, y desde entonces logró infiltrarse en un Flashbot que evita la ejecución frontal.
Sin embargo, una vulnerabilidad en MEV-boost-relay permite que los validadores maliciosos reproduzcan transacciones agrupadas, interceptando las estrategias mezzanine parciales de los bots MEV, especialmente las transacciones inversas. Debido a la vulnerabilidad anterior, el validador vio la información detallada de la transacción. Con estos detalles de transacción, los validadores malintencionados pueden crear sus propios bloques e insertar sus transacciones previas antes de la transacción inicial del bot MEV.
En total, este validador malicioso logró robar alrededor de 25 millones de dólares de 5 bots MEV, lo que la convierte en una de las pérdidas más grandes para los bots MEV vistas por CertiK hasta la fecha. En los últimos 12 meses, solo se detectaron seis bots MEV explotados, y este incidente por sí solo representó el 92 % del total de USD 27,5 millones en pérdidas.
Un validador malintencionado explota la vulnerabilidad MEV-boost-relay e inicia el ataque enviando un bloque inválido pero firmado correctamente. Después de ver las transacciones dentro de un bloque, los validadores pueden volver a vincularlas para reclamar activos de los bots MEV. Esta vulnerabilidad ha sido parcheada más tarde.
Para obtener más información sobre los robots MEV y los ataques sándwich, consulte Informe para obtener más información.
Monedero atómico pirateado
A principios de junio de este año, más de 5000 usuarios de Atomic Wallet se encontraron con el mayor incidente de seguridad del trimestre, lo que resultó en una pérdida de más de $100 millones. Inicialmente, Atomic Wallet afirmó que menos del 1 % de los usuarios activos mensuales fueron víctimas del incidente, pero luego lo cambió a menos del 0,1 %. Un ataque de esta magnitud y enormes pérdidas subrayan la gravedad de las fallas de seguridad en las aplicaciones de billetera.
Los atacantes tienen como objetivo las claves privadas de los usuarios y obtienen control total sobre sus activos. Después de obtener las claves, pudieron transferir activos a sus propias direcciones de billetera, vaciando la cuenta de la víctima.
Los inversores minoristas informaron pérdidas de diversos tamaños, incluso de hasta $ 7,95 millones. Las pérdidas acumuladas de las cinco víctimas minoristas más grandes totalizaron $17 millones.
Para recuperar sus pérdidas, Atomic Wallet hizo públicamente una oferta a los atacantes, prometiendo entregar el 10 % de los fondos robados a cambio del 90 % de los tokens robados. Sin embargo, según la historia de Lazarus Group y el hecho de que los fondos robados han comenzado a lavarse, las posibilidades de recuperar los fondos son muy escasas.
Para obtener más análisis sobre Atomic Wallet y el "detrás de escena", consulte Informe para obtener más información.
Sui "Rueda de hámster" nuevo exploit
Anteriormente, el equipo de CertiK descubrió una serie de vulnerabilidades de denegación de servicio en la cadena de bloques de Sui. Entre estas vulnerabilidades, se destaca una nueva vulnerabilidad de alto impacto. Esta vulnerabilidad puede hacer que los nodos de la red Sui no puedan procesar nuevas transacciones y el efecto es equivalente a un apagado completo de toda la red. CertiK recibió una recompensa por errores de $ 500,000 de Sui por descubrir esta importante falla de seguridad. CoinDesk, un medio autorizado en la industria de EE. UU., informó sobre el evento, y luego los principales medios también publicaron noticias relacionadas después de su informe.
Esta vulnerabilidad de seguridad se llama vívidamente "Rueda de hámster": su método de ataque único es diferente de los ataques conocidos actualmente. El atacante solo necesita enviar una carga útil de aproximadamente 100 bytes para activar un bucle infinito en el nodo de verificación de Sui, lo que hace que no responda. a nuevas transacciones.
Además, el daño causado por el ataque puede continuar después de que se reinicie la red y puede propagarse automáticamente en la red Sui, lo que hace que todos los nodos no puedan procesar nuevas transacciones como hámsters corriendo sin cesar en la rueda. Por lo tanto, nos referimos a este tipo único de ataque como un ataque de "rueda de hámster".
Después de descubrir el error, CertiK se lo informó a Sui a través del programa de recompensas por errores de Sui. Sui también respondió de manera efectiva la primera vez, confirmó la gravedad de la vulnerabilidad y tomó activamente las medidas correspondientes para reparar el problema antes del lanzamiento de la red principal. Además de reparar esta vulnerabilidad en particular, Sui también implementó mitigaciones preventivas para reducir el daño potencial que podría causar esta vulnerabilidad.
Para agradecer al equipo de CertiK por su divulgación responsable, Sui otorgó al equipo de CertiK una recompensa de $500,000.
Para obtener más información, haga clic en "La última vulnerabilidad de Sui, "Rueda de hámster", detalles técnicos y análisis en profundidad".
Vulnerabilidad a nivel de servidor basada en la billetera MPC
El cálculo de múltiples partes (MPC) es un método criptográfico que permite que varios participantes realicen cálculos en una función de sus entradas mientras preservan la privacidad de esas entradas. Su objetivo es garantizar que estas entradas no se compartan con terceros. La tecnología tiene diversas aplicaciones, incluida la extracción de datos para preservar la privacidad, las subastas seguras, los servicios financieros, el aprendizaje automático seguro de múltiples partes y el intercambio seguro de contraseñas y secretos.
El equipo Skyfall de CertiK encontró una vulnerabilidad grave en la arquitectura de seguridad de la billetera durante un análisis de seguridad preventivo de la billetera de computación multipartita (MPC) actualmente popular ZenGo, que se denomina "ataque de bifurcación del dispositivo". Los atacantes pueden usarlo para eludir las medidas de seguridad existentes de ZenGo, dándoles la oportunidad de controlar los fondos de los usuarios. El quid del ataque es explotar una vulnerabilidad en la API para crear una nueva clave de dispositivo que engaña a los servidores de ZenGo para que lo traten como un dispositivo de usuario real.
El equipo de Skyfall informó de inmediato esta vulnerabilidad a ZenGo de acuerdo con los principios de divulgación responsable. Después de darse cuenta de la gravedad del problema, el equipo de seguridad de ZenGo actuó rápidamente para solucionarlo. Para evitar la posibilidad de un ataque, la vulnerabilidad se solucionó en el nivel de la API del servidor, por lo que no se requieren actualizaciones en el código del cliente.
ZenGo reconoció públicamente los hallazgos después de que se completó la corrección del error y agradeció a CertiK por su importante papel en el fortalecimiento de la seguridad y la confiabilidad de su billetera basada en MPC.
"La computación multipartita tiene grandes perspectivas y muchas aplicaciones importantes en el campo de la Web 3.0. Aunque la tecnología MPC reduce el riesgo de punto único de falla, la implementación de soluciones MPC traerá nuevas complejidades al diseño de billeteras de criptomonedas. Esto la complejidad puede conducir a nuevos riesgos de seguridad, lo que ilustra que un enfoque integral de auditoría y monitoreo es esencial". - Profesor Kang Li, director de seguridad, CertiK
Haga clic para ver el informe completo
Ver originales
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Publicación del informe de seguridad de la industria Web3.0 para el segundo trimestre de 2023
Resumir
Visualización de datos parciales
Introducción
Las pérdidas totales registradas en el espacio Web 3.0 en el segundo trimestre de 2023 ascendieron a $313.566.528, casi lo mismo que en el trimestre anterior y una disminución del 58% en comparación con el mismo período del año anterior. La pérdida promedio por accidente también se redujo levemente.
Mirando el segundo trimestre, la cantidad de incidentes de manipulación de Oracle disminuyó significativamente, mientras que las pérdidas totales de estafas de salida aumentaron, lo que indica que las tácticas empleadas por los actores maliciosos han cambiado.
A medida que la industria evoluciona, casos como el ataque al robot MEV y el descubrimiento de una amenaza de seguridad de "rueda de hámster" en la cadena de bloques Sui demuestran la importancia de las inmersiones profundas continuas en la seguridad, los ataques preventivos y la vigilancia constante. Con cada desafío superado, estamos un paso más cerca de un espacio Web 3.0 más seguro.
Consulte el Informe para obtener más detalles y datos.
El robot MEV es explotado maliciosamente
A principios de abril, el robot MEV fue explotado por piratas informáticos en el bloque 16964664 de Ethereum. Un validador malicioso reemplazó varias transacciones MEV, lo que resultó en una pérdida de aproximadamente $25,38 millones. El incidente fue el mayor ataque a robots MEV hasta la fecha.
El incidente ocurrió en el bloque 16964664 de Ethereum, con 8 transacciones MEV explotadas por validadores maliciosos. Este validador se estableció el 15 de marzo de 2023, en la dirección externa (EOA) 0x687A9, y desde entonces logró infiltrarse en un Flashbot que evita la ejecución frontal.
Sin embargo, una vulnerabilidad en MEV-boost-relay permite que los validadores maliciosos reproduzcan transacciones agrupadas, interceptando las estrategias mezzanine parciales de los bots MEV, especialmente las transacciones inversas. Debido a la vulnerabilidad anterior, el validador vio la información detallada de la transacción. Con estos detalles de transacción, los validadores malintencionados pueden crear sus propios bloques e insertar sus transacciones previas antes de la transacción inicial del bot MEV.
En total, este validador malicioso logró robar alrededor de 25 millones de dólares de 5 bots MEV, lo que la convierte en una de las pérdidas más grandes para los bots MEV vistas por CertiK hasta la fecha. En los últimos 12 meses, solo se detectaron seis bots MEV explotados, y este incidente por sí solo representó el 92 % del total de USD 27,5 millones en pérdidas.
Un validador malintencionado explota la vulnerabilidad MEV-boost-relay e inicia el ataque enviando un bloque inválido pero firmado correctamente. Después de ver las transacciones dentro de un bloque, los validadores pueden volver a vincularlas para reclamar activos de los bots MEV. Esta vulnerabilidad ha sido parcheada más tarde.
Para obtener más información sobre los robots MEV y los ataques sándwich, consulte Informe para obtener más información.
Monedero atómico pirateado
A principios de junio de este año, más de 5000 usuarios de Atomic Wallet se encontraron con el mayor incidente de seguridad del trimestre, lo que resultó en una pérdida de más de $100 millones. Inicialmente, Atomic Wallet afirmó que menos del 1 % de los usuarios activos mensuales fueron víctimas del incidente, pero luego lo cambió a menos del 0,1 %. Un ataque de esta magnitud y enormes pérdidas subrayan la gravedad de las fallas de seguridad en las aplicaciones de billetera.
Los atacantes tienen como objetivo las claves privadas de los usuarios y obtienen control total sobre sus activos. Después de obtener las claves, pudieron transferir activos a sus propias direcciones de billetera, vaciando la cuenta de la víctima.
Los inversores minoristas informaron pérdidas de diversos tamaños, incluso de hasta $ 7,95 millones. Las pérdidas acumuladas de las cinco víctimas minoristas más grandes totalizaron $17 millones.
Para recuperar sus pérdidas, Atomic Wallet hizo públicamente una oferta a los atacantes, prometiendo entregar el 10 % de los fondos robados a cambio del 90 % de los tokens robados. Sin embargo, según la historia de Lazarus Group y el hecho de que los fondos robados han comenzado a lavarse, las posibilidades de recuperar los fondos son muy escasas.
Para obtener más análisis sobre Atomic Wallet y el "detrás de escena", consulte Informe para obtener más información.
Sui "Rueda de hámster" nuevo exploit
Anteriormente, el equipo de CertiK descubrió una serie de vulnerabilidades de denegación de servicio en la cadena de bloques de Sui. Entre estas vulnerabilidades, se destaca una nueva vulnerabilidad de alto impacto. Esta vulnerabilidad puede hacer que los nodos de la red Sui no puedan procesar nuevas transacciones y el efecto es equivalente a un apagado completo de toda la red. CertiK recibió una recompensa por errores de $ 500,000 de Sui por descubrir esta importante falla de seguridad. CoinDesk, un medio autorizado en la industria de EE. UU., informó sobre el evento, y luego los principales medios también publicaron noticias relacionadas después de su informe.
Esta vulnerabilidad de seguridad se llama vívidamente "Rueda de hámster": su método de ataque único es diferente de los ataques conocidos actualmente. El atacante solo necesita enviar una carga útil de aproximadamente 100 bytes para activar un bucle infinito en el nodo de verificación de Sui, lo que hace que no responda. a nuevas transacciones.
Además, el daño causado por el ataque puede continuar después de que se reinicie la red y puede propagarse automáticamente en la red Sui, lo que hace que todos los nodos no puedan procesar nuevas transacciones como hámsters corriendo sin cesar en la rueda. Por lo tanto, nos referimos a este tipo único de ataque como un ataque de "rueda de hámster".
Después de descubrir el error, CertiK se lo informó a Sui a través del programa de recompensas por errores de Sui. Sui también respondió de manera efectiva la primera vez, confirmó la gravedad de la vulnerabilidad y tomó activamente las medidas correspondientes para reparar el problema antes del lanzamiento de la red principal. Además de reparar esta vulnerabilidad en particular, Sui también implementó mitigaciones preventivas para reducir el daño potencial que podría causar esta vulnerabilidad.
Para agradecer al equipo de CertiK por su divulgación responsable, Sui otorgó al equipo de CertiK una recompensa de $500,000.
Para obtener más información, haga clic en "La última vulnerabilidad de Sui, "Rueda de hámster", detalles técnicos y análisis en profundidad".
Vulnerabilidad a nivel de servidor basada en la billetera MPC
El cálculo de múltiples partes (MPC) es un método criptográfico que permite que varios participantes realicen cálculos en una función de sus entradas mientras preservan la privacidad de esas entradas. Su objetivo es garantizar que estas entradas no se compartan con terceros. La tecnología tiene diversas aplicaciones, incluida la extracción de datos para preservar la privacidad, las subastas seguras, los servicios financieros, el aprendizaje automático seguro de múltiples partes y el intercambio seguro de contraseñas y secretos.
El equipo Skyfall de CertiK encontró una vulnerabilidad grave en la arquitectura de seguridad de la billetera durante un análisis de seguridad preventivo de la billetera de computación multipartita (MPC) actualmente popular ZenGo, que se denomina "ataque de bifurcación del dispositivo". Los atacantes pueden usarlo para eludir las medidas de seguridad existentes de ZenGo, dándoles la oportunidad de controlar los fondos de los usuarios. El quid del ataque es explotar una vulnerabilidad en la API para crear una nueva clave de dispositivo que engaña a los servidores de ZenGo para que lo traten como un dispositivo de usuario real.
El equipo de Skyfall informó de inmediato esta vulnerabilidad a ZenGo de acuerdo con los principios de divulgación responsable. Después de darse cuenta de la gravedad del problema, el equipo de seguridad de ZenGo actuó rápidamente para solucionarlo. Para evitar la posibilidad de un ataque, la vulnerabilidad se solucionó en el nivel de la API del servidor, por lo que no se requieren actualizaciones en el código del cliente.
ZenGo reconoció públicamente los hallazgos después de que se completó la corrección del error y agradeció a CertiK por su importante papel en el fortalecimiento de la seguridad y la confiabilidad de su billetera basada en MPC.
"La computación multipartita tiene grandes perspectivas y muchas aplicaciones importantes en el campo de la Web 3.0. Aunque la tecnología MPC reduce el riesgo de punto único de falla, la implementación de soluciones MPC traerá nuevas complejidades al diseño de billeteras de criptomonedas. Esto la complejidad puede conducir a nuevos riesgos de seguridad, lo que ilustra que un enfoque integral de auditoría y monitoreo es esencial". - Profesor Kang Li, director de seguridad, CertiK
Haga clic para ver el informe completo