Pelaku jahat seperti peretas mengekstraksi $310 juta dari industri Web 3.0 pada Q2 2023.
Angka ini mendekati kerugian $320 juta pada kuartal pertama, yang merupakan penurunan 58%** dari kerugian $745 juta pada kuartal kedua tahun 2022**.
CertiK menemukan total 212* insiden keamanan, yang berarti kerugian rata-rata $1,48 juta per insiden di Q2. Angka itu sedikit turun dari rata-rata kerugian per insiden sebesar $1,56 juta pada kuartal pertama.
98 exit scam mencuri $70,35 juta dari investor, lebih dari dua kali lipat kerugian $31 juta akibat exit scam di kuartal pertama.
Insiden 54 flash loan dan manipulasi oracle menjaring penyerang $23,75 juta. Itu turun tajam dari total kerugian $222 juta dari 52 manipulasi oracle di kuartal pertama. Tentu saja, karena kerugian besar yang dialami Euler Finance di kuartal terakhir, celah ini saja sudah mencapai 85% dari jumlah total di kuartal sebelumnya.
Selain itu, beberapa peristiwa "off-chain" besar sedang terjadi di industri ini: Komisi Sekuritas dan Bursa AS telah mengajukan tuntutan terhadap dua bursa mata uang virtual terbesar; dan perusahaan manajemen aset terbesar di dunia telah mengajukan permohonan untuk ETF Bitcoin .
Sementara itu, peneliti keamanan CertiK juga menemukan beberapa kerentanan utama dalam protokol dan aplikasi blockchain utama, termasuk risiko keamanan di node validator Sui dan dompet MPC ZenGo.
Tampilan data parsial
Perkenalan
Total kerugian yang tercatat di ruang Web 3.0 pada kuartal kedua tahun 2023 berjumlah $313.566.528, hampir sama dengan kuartal sebelumnya dan turun 58% dibandingkan periode yang sama tahun lalu. Rata-rata kerugian per kecelakaan juga turun tipis.
Melihat kuartal kedua, jumlah insiden manipulasi oracle menurun secara signifikan, sementara total kerugian penipuan keluar meningkat, menunjukkan bahwa taktik yang digunakan oleh aktor jahat telah berubah.
Seiring perkembangan industri, kasus-kasus seperti serangan terhadap robot MEV dan penemuan ancaman keamanan "roda hamster" di blockchain Sui menunjukkan pentingnya penyelaman mendalam yang berkelanjutan ke dalam keamanan, serangan pencegahan, dan kewaspadaan terus-menerus. Dengan mengatasi setiap tantangan, kami selangkah lebih dekat ke ruang Web 3.0 yang lebih aman.
Lihat Laporan untuk detail dan data lebih lanjut.
** Robot MEV dieksploitasi dengan jahat **
Pada awal April, robot MEV dieksploitasi oleh peretas di blok 16964664 Ethereum. Validator jahat mengganti beberapa transaksi MEV, mengakibatkan kerugian sekitar $25,38 juta. Insiden tersebut merupakan serangan terbesar terhadap robot MEV hingga saat ini.
Insiden tersebut terjadi di blok Ethereum 16964664, dengan 8 transaksi MEV dieksploitasi oleh validator jahat. Validator ini didirikan pada 15 Maret 2023, di alamat eksternal (EOA) 0x687A9, dan sejak itu berhasil menyusup ke Flashbot yang mencegah front-running.
Namun, kerentanan dalam MEV-boost-relay memungkinkan validator jahat untuk memutar ulang transaksi yang dibundel, mencegat strategi mezzanine parsial bot MEV, terutama membalikkan transaksi. Karena kerentanan di atas, validator melihat detail informasi transaksi. Dengan perincian transaksi ini, validator jahat dapat membangun blok mereka sendiri dan memasukkan pra-transaksi mereka sebelum transaksi bot MEV awal.
Secara total, validator jahat ini berhasil mencuri sekitar $25 juta dari 5 bot MEV, menjadikannya salah satu kerugian terbesar bot MEV yang dilihat oleh CertiK hingga saat ini. Dalam 12 bulan terakhir, hanya enam bot MEV yang ditemukan dieksploitasi, dan insiden ini saja menyumbang 92% dari total kerugian $27,5 juta.
Validator jahat mengeksploitasi kerentanan MEV-boost-relay dan memulai serangan dengan mengirimkan blok yang tidak valid tetapi ditandatangani dengan benar. Setelah melihat transaksi dalam satu blok, validator dapat mengembalikannya untuk mengklaim aset dari bot MEV. Kerentanan ini telah ditambal nanti.
Untuk informasi lebih lanjut tentang robot MEV dan serangan sandwich, harap periksa Laporan untuk informasi lebih lanjut.
Dompet Atom Diretas
Pada awal Juni tahun ini, lebih dari 5.000 pengguna Dompet Atom mengalami insiden keamanan terbesar di kuartal tersebut, yang mengakibatkan kerugian lebih dari $100 juta. Awalnya, Atomic Wallet menyatakan bahwa kurang dari 1% pengguna aktif bulanan menjadi korban insiden tersebut, namun kemudian mengubahnya menjadi kurang dari 0,1%. Serangan sebesar ini dan kerugian besar menggarisbawahi keseriusan kelemahan keamanan dalam aplikasi dompet.
Penyerang menargetkan kunci pribadi pengguna, mendapatkan kontrol penuh atas aset mereka. Setelah mendapatkan kunci, mereka dapat mentransfer aset ke alamat dompet mereka sendiri, mengosongkan akun korban.
Investor ritel melaporkan kerugian dalam berbagai ukuran, termasuk setinggi $7,95 juta. Kerugian kumulatif dari lima korban ritel terbesar berjumlah $17 juta.
Untuk memulihkan kerugian, Dompet Atom secara terbuka mengajukan penawaran kepada penyerang, berjanji untuk menyerahkan 10% dari dana yang dicuri dengan imbalan 90% dari token yang dicuri. Namun, berdasarkan sejarah Grup Lazarus dan fakta bahwa dana yang dicuri sudah mulai dicuci, peluang untuk mendapatkan kembali dana tersebut sangat kecil.
Untuk analisis lebih lanjut tentang Dompet Atom dan "di balik layar", harap periksa Laporan untuk informasi lebih lanjut.
** Eksploitasi baru "Roda Hamster" Sui**
Sebelumnya, tim CertiK menemukan serangkaian kerentanan denial-of-service di blockchain Sui. Di antara kerentanan ini, kerentanan baru dan berdampak tinggi menonjol. Kerentanan ini dapat menyebabkan node jaringan Sui tidak dapat memproses transaksi baru, dan efeknya setara dengan penghentian total seluruh jaringan. CertiK menerima hadiah bug sebesar $500.000 dari Sui karena menemukan celah keamanan utama ini. CoinDesk, media otoritatif di industri AS, melaporkan acara tersebut, dan kemudian media besar juga merilis berita terkait setelah laporannya.
Kerentanan keamanan ini dengan jelas disebut "Roda Hamster": metode serangannya yang unik berbeda dari serangan yang diketahui saat ini. Penyerang hanya perlu mengirimkan muatan sekitar 100 byte untuk memicu loop tak terbatas di node verifikasi Sui. , membuatnya tidak responsif ke transaksi baru.
Selain itu, kerusakan akibat serangan dapat berlanjut setelah jaringan dihidupkan ulang, dan dapat disebarkan secara otomatis di jaringan Sui, membuat semua node tidak dapat memproses transaksi baru seperti hamster yang berjalan tanpa henti di atas roda. Oleh karena itu, kami menyebut jenis serangan unik ini sebagai serangan "roda hamster".
Setelah menemukan bug tersebut, CertiK melaporkannya ke Sui melalui program bug bounty milik Sui. Sui juga merespons secara efektif pada kali pertama, mengonfirmasi keseriusan kerentanan, dan secara aktif mengambil tindakan yang sesuai untuk memperbaiki masalah sebelum peluncuran mainnet. Selain memperbaiki kerentanan khusus ini, Sui juga menerapkan mitigasi pencegahan untuk mengurangi potensi kerusakan yang dapat ditimbulkan oleh kerentanan ini.
Untuk berterima kasih kepada tim CertiK atas pengungkapan tanggung jawab mereka, Sui memberi hadiah $500.000 kepada tim CertiK.
Untuk detailnya, silakan klik "Kerentanan terbaru Sui" Roda Hamster ", detail teknis dan analisis mendalam"
Kerentanan tingkat server berdasarkan dompet MPC
Komputasi multi-pihak (MPC) adalah metode kriptografi yang memungkinkan banyak peserta melakukan komputasi pada fungsi input mereka sambil menjaga privasi input tersebut. Tujuannya adalah untuk memastikan bahwa input ini tidak dibagikan kepada pihak ketiga mana pun. Teknologi ini memiliki aplikasi yang beragam, termasuk penambangan data yang menjaga privasi, lelang yang aman, layanan keuangan, pembelajaran mesin multi-pihak yang aman, serta kata sandi yang aman dan berbagi rahasia.
Tim Skyfall CertiK menemukan kerentanan serius dalam arsitektur keamanan dompet selama analisis keamanan preventif dari dompet multi-party computing (MPC) ZenGo yang saat ini populer, yang disebut "serangan forking perangkat." Penyerang dapat menggunakannya untuk melewati perlindungan keamanan ZenGo yang ada, memberi mereka kesempatan untuk mengontrol dana pengguna. Inti dari serangan itu adalah mengeksploitasi kerentanan di API untuk membuat kunci perangkat baru yang mengelabui server ZenGo agar memperlakukannya sebagai perangkat pengguna sebenarnya.
Tim Skyfall segera melaporkan kerentanan ini ke ZenGo sesuai dengan prinsip pengungkapan yang bertanggung jawab. Setelah menyadari keseriusan masalah tersebut, tim keamanan ZenGo bertindak cepat untuk memperbaikinya. Untuk mencegah kemungkinan serangan, kerentanan telah diperbaiki pada level API server, sehingga tidak diperlukan pembaruan kode klien.
ZenGo secara terbuka mengakui temuan tersebut setelah perbaikan bug selesai, dan berterima kasih kepada CertiK atas peran pentingnya dalam memperkuat keamanan dan kepercayaan dompet berbasis MPC miliknya.
"Komputasi multi-pihak memiliki prospek besar dan memiliki banyak aplikasi penting di bidang Web3.0. Meskipun teknologi MPC mengurangi risiko kegagalan satu titik, penerapan solusi MPC akan menghadirkan kompleksitas baru pada desain dompet cryptocurrency. Ini kompleksitas dapat menyebabkan risiko keamanan baru, yang menggambarkan bahwa pendekatan audit dan pemantauan yang komprehensif sangat penting." - Profesor Kang Li, Chief Security Officer, CertiK
Klik untuk laporan lengkap
Lihat Asli
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Laporan Keamanan Industri Web3.0 untuk Kuartal Kedua 2023 Dirilis
Meringkaskan
Tampilan data parsial
Perkenalan
Total kerugian yang tercatat di ruang Web 3.0 pada kuartal kedua tahun 2023 berjumlah $313.566.528, hampir sama dengan kuartal sebelumnya dan turun 58% dibandingkan periode yang sama tahun lalu. Rata-rata kerugian per kecelakaan juga turun tipis.
Melihat kuartal kedua, jumlah insiden manipulasi oracle menurun secara signifikan, sementara total kerugian penipuan keluar meningkat, menunjukkan bahwa taktik yang digunakan oleh aktor jahat telah berubah.
Seiring perkembangan industri, kasus-kasus seperti serangan terhadap robot MEV dan penemuan ancaman keamanan "roda hamster" di blockchain Sui menunjukkan pentingnya penyelaman mendalam yang berkelanjutan ke dalam keamanan, serangan pencegahan, dan kewaspadaan terus-menerus. Dengan mengatasi setiap tantangan, kami selangkah lebih dekat ke ruang Web 3.0 yang lebih aman.
Lihat Laporan untuk detail dan data lebih lanjut.
** Robot MEV dieksploitasi dengan jahat **
Pada awal April, robot MEV dieksploitasi oleh peretas di blok 16964664 Ethereum. Validator jahat mengganti beberapa transaksi MEV, mengakibatkan kerugian sekitar $25,38 juta. Insiden tersebut merupakan serangan terbesar terhadap robot MEV hingga saat ini.
Insiden tersebut terjadi di blok Ethereum 16964664, dengan 8 transaksi MEV dieksploitasi oleh validator jahat. Validator ini didirikan pada 15 Maret 2023, di alamat eksternal (EOA) 0x687A9, dan sejak itu berhasil menyusup ke Flashbot yang mencegah front-running.
Namun, kerentanan dalam MEV-boost-relay memungkinkan validator jahat untuk memutar ulang transaksi yang dibundel, mencegat strategi mezzanine parsial bot MEV, terutama membalikkan transaksi. Karena kerentanan di atas, validator melihat detail informasi transaksi. Dengan perincian transaksi ini, validator jahat dapat membangun blok mereka sendiri dan memasukkan pra-transaksi mereka sebelum transaksi bot MEV awal.
Secara total, validator jahat ini berhasil mencuri sekitar $25 juta dari 5 bot MEV, menjadikannya salah satu kerugian terbesar bot MEV yang dilihat oleh CertiK hingga saat ini. Dalam 12 bulan terakhir, hanya enam bot MEV yang ditemukan dieksploitasi, dan insiden ini saja menyumbang 92% dari total kerugian $27,5 juta.
Validator jahat mengeksploitasi kerentanan MEV-boost-relay dan memulai serangan dengan mengirimkan blok yang tidak valid tetapi ditandatangani dengan benar. Setelah melihat transaksi dalam satu blok, validator dapat mengembalikannya untuk mengklaim aset dari bot MEV. Kerentanan ini telah ditambal nanti.
Untuk informasi lebih lanjut tentang robot MEV dan serangan sandwich, harap periksa Laporan untuk informasi lebih lanjut.
Dompet Atom Diretas
Pada awal Juni tahun ini, lebih dari 5.000 pengguna Dompet Atom mengalami insiden keamanan terbesar di kuartal tersebut, yang mengakibatkan kerugian lebih dari $100 juta. Awalnya, Atomic Wallet menyatakan bahwa kurang dari 1% pengguna aktif bulanan menjadi korban insiden tersebut, namun kemudian mengubahnya menjadi kurang dari 0,1%. Serangan sebesar ini dan kerugian besar menggarisbawahi keseriusan kelemahan keamanan dalam aplikasi dompet.
Penyerang menargetkan kunci pribadi pengguna, mendapatkan kontrol penuh atas aset mereka. Setelah mendapatkan kunci, mereka dapat mentransfer aset ke alamat dompet mereka sendiri, mengosongkan akun korban.
Investor ritel melaporkan kerugian dalam berbagai ukuran, termasuk setinggi $7,95 juta. Kerugian kumulatif dari lima korban ritel terbesar berjumlah $17 juta.
Untuk memulihkan kerugian, Dompet Atom secara terbuka mengajukan penawaran kepada penyerang, berjanji untuk menyerahkan 10% dari dana yang dicuri dengan imbalan 90% dari token yang dicuri. Namun, berdasarkan sejarah Grup Lazarus dan fakta bahwa dana yang dicuri sudah mulai dicuci, peluang untuk mendapatkan kembali dana tersebut sangat kecil.
Untuk analisis lebih lanjut tentang Dompet Atom dan "di balik layar", harap periksa Laporan untuk informasi lebih lanjut.
** Eksploitasi baru "Roda Hamster" Sui**
Sebelumnya, tim CertiK menemukan serangkaian kerentanan denial-of-service di blockchain Sui. Di antara kerentanan ini, kerentanan baru dan berdampak tinggi menonjol. Kerentanan ini dapat menyebabkan node jaringan Sui tidak dapat memproses transaksi baru, dan efeknya setara dengan penghentian total seluruh jaringan. CertiK menerima hadiah bug sebesar $500.000 dari Sui karena menemukan celah keamanan utama ini. CoinDesk, media otoritatif di industri AS, melaporkan acara tersebut, dan kemudian media besar juga merilis berita terkait setelah laporannya.
Kerentanan keamanan ini dengan jelas disebut "Roda Hamster": metode serangannya yang unik berbeda dari serangan yang diketahui saat ini. Penyerang hanya perlu mengirimkan muatan sekitar 100 byte untuk memicu loop tak terbatas di node verifikasi Sui. , membuatnya tidak responsif ke transaksi baru.
Selain itu, kerusakan akibat serangan dapat berlanjut setelah jaringan dihidupkan ulang, dan dapat disebarkan secara otomatis di jaringan Sui, membuat semua node tidak dapat memproses transaksi baru seperti hamster yang berjalan tanpa henti di atas roda. Oleh karena itu, kami menyebut jenis serangan unik ini sebagai serangan "roda hamster".
Setelah menemukan bug tersebut, CertiK melaporkannya ke Sui melalui program bug bounty milik Sui. Sui juga merespons secara efektif pada kali pertama, mengonfirmasi keseriusan kerentanan, dan secara aktif mengambil tindakan yang sesuai untuk memperbaiki masalah sebelum peluncuran mainnet. Selain memperbaiki kerentanan khusus ini, Sui juga menerapkan mitigasi pencegahan untuk mengurangi potensi kerusakan yang dapat ditimbulkan oleh kerentanan ini.
Untuk berterima kasih kepada tim CertiK atas pengungkapan tanggung jawab mereka, Sui memberi hadiah $500.000 kepada tim CertiK.
Untuk detailnya, silakan klik "Kerentanan terbaru Sui" Roda Hamster ", detail teknis dan analisis mendalam"
Kerentanan tingkat server berdasarkan dompet MPC
Komputasi multi-pihak (MPC) adalah metode kriptografi yang memungkinkan banyak peserta melakukan komputasi pada fungsi input mereka sambil menjaga privasi input tersebut. Tujuannya adalah untuk memastikan bahwa input ini tidak dibagikan kepada pihak ketiga mana pun. Teknologi ini memiliki aplikasi yang beragam, termasuk penambangan data yang menjaga privasi, lelang yang aman, layanan keuangan, pembelajaran mesin multi-pihak yang aman, serta kata sandi yang aman dan berbagi rahasia.
Tim Skyfall CertiK menemukan kerentanan serius dalam arsitektur keamanan dompet selama analisis keamanan preventif dari dompet multi-party computing (MPC) ZenGo yang saat ini populer, yang disebut "serangan forking perangkat." Penyerang dapat menggunakannya untuk melewati perlindungan keamanan ZenGo yang ada, memberi mereka kesempatan untuk mengontrol dana pengguna. Inti dari serangan itu adalah mengeksploitasi kerentanan di API untuk membuat kunci perangkat baru yang mengelabui server ZenGo agar memperlakukannya sebagai perangkat pengguna sebenarnya.
Tim Skyfall segera melaporkan kerentanan ini ke ZenGo sesuai dengan prinsip pengungkapan yang bertanggung jawab. Setelah menyadari keseriusan masalah tersebut, tim keamanan ZenGo bertindak cepat untuk memperbaikinya. Untuk mencegah kemungkinan serangan, kerentanan telah diperbaiki pada level API server, sehingga tidak diperlukan pembaruan kode klien.
ZenGo secara terbuka mengakui temuan tersebut setelah perbaikan bug selesai, dan berterima kasih kepada CertiK atas peran pentingnya dalam memperkuat keamanan dan kepercayaan dompet berbasis MPC miliknya.
"Komputasi multi-pihak memiliki prospek besar dan memiliki banyak aplikasi penting di bidang Web3.0. Meskipun teknologi MPC mengurangi risiko kegagalan satu titik, penerapan solusi MPC akan menghadirkan kompleksitas baru pada desain dompet cryptocurrency. Ini kompleksitas dapat menyebabkan risiko keamanan baru, yang menggambarkan bahwa pendekatan audit dan pemantauan yang komprehensif sangat penting." - Profesor Kang Li, Chief Security Officer, CertiK
Klik untuk laporan lengkap