Atores maliciosos, como hackers, extraíram US$ 310 milhões da indústria da Web 3.0 no segundo trimestre de 2023.
Este número está próximo do prejuízo de US$ 320 milhões no primeiro trimestre, o que representa uma queda de 58%** em relação ao prejuízo de US$ 745 milhões no segundo trimestre de 2022**.
A CertiK encontrou um total de 212* incidentes de segurança, o que se traduz em uma perda média de US$ 1,48 milhão por incidente no segundo trimestre. Esse número caiu ligeiramente em relação à perda média por incidente de US$ 1,56 milhão no primeiro trimestre.
98 golpes de saída roubaram US$ 70,35 milhões dos investidores, mais que o dobro dos $31 milhões perdidos em golpes de saída no primeiro trimestre.
Ataques de 54 empréstimos instantâneos e incidentes de manipulação de oráculo renderam aos invasores US$ 23,75 milhões. Isso está bem abaixo dos US$ 222 milhões em perdas totais de 52 manipulações de oráculos no primeiro trimestre. Claro, devido à enorme perda da Euler Finance no último trimestre, essa brecha sozinha representou 85% do valor total no trimestre anterior.
Além disso, alguns grandes eventos "off-chain" estão acontecendo no setor: a Comissão de Valores Mobiliários dos EUA apresentou acusações contra as duas maiores bolsas de moeda virtual; e a maior empresa de gerenciamento de ativos do mundo apresentou um pedido de ETF Bitcoin .
Enquanto isso, os pesquisadores de segurança da CertiK também descobriram algumas das principais vulnerabilidades nos principais protocolos e aplicativos de blockchain, incluindo riscos de segurança nos nós do validador Sui e na carteira MPC do ZenGo.
Exibição de dados parciais
Introdução
As perdas totais registradas no espaço da Web 3.0 no segundo trimestre de 2023 totalizaram $ 313.566.528, quase o mesmo que no trimestre anterior e uma queda de 58% em comparação com o mesmo período do ano passado. A perda média por acidente também caiu ligeiramente.
Olhando para o segundo trimestre, o número de incidentes de manipulação de oráculos diminuiu significativamente, enquanto as perdas totais de golpes de saída aumentaram, indicando que as táticas empregadas por agentes mal-intencionados mudaram.
À medida que a indústria evolui, casos como o ataque ao robô MEV e a descoberta de uma ameaça de segurança de “roda de hamster” na blockchain Sui demonstram a importância de mergulhos profundos contínuos em segurança, ataques preventivos e vigilância constante. A cada desafio superado, estamos um passo mais perto de um espaço Web 3.0 mais seguro.
Confira o Relatório para mais detalhes e dados.
O robô MEV é explorado de forma maliciosa
No início de abril, o robô MEV foi explorado por hackers no bloco 16964664 da Ethereum. Um validador malicioso substituiu várias transações MEV, resultando em uma perda de aproximadamente US$ 25,38 milhões. O incidente foi o maior ataque a robôs MEV até o momento.
O incidente ocorreu no bloco Ethereum 16964664, com 8 transações MEV exploradas por validadores maliciosos. Este validador foi estabelecido em 15 de março de 2023, no endereço externo (EOA) 0x687A9, e desde então conseguiu se infiltrar em um Flashbot que impede o front-running.
No entanto, uma vulnerabilidade no MEV-boost-relay permite que validadores mal-intencionados repitam transações agrupadas, interceptando estratégias parciais de mezanino dos bots MEV, especialmente transações reversas. Devido à vulnerabilidade acima, o validador viu as informações detalhadas da transação. Com esses detalhes da transação, os validadores maliciosos podem criar seus próprios blocos e inserir suas pré-transações antes da transação inicial do bot MEV.
No total, esse validador malicioso conseguiu roubar cerca de US$ 25 milhões de 5 bots MEV, tornando-se uma das maiores perdas para bots MEV vistas pela CertiK até o momento. Nos últimos 12 meses, apenas seis bots MEV foram explorados, e esse incidente sozinho foi responsável por 92% do total de US$ 27,5 milhões em perdas.
Um validador mal-intencionado explora a vulnerabilidade MEV-boost-relay e inicia o ataque enviando um bloco inválido, mas assinado corretamente. Depois de ver as transações dentro de um bloco, os validadores podem reativá-las para reivindicar ativos dos bots MEV. Esta vulnerabilidade foi corrigida posteriormente.
Para obter mais informações sobre robôs MEV e ataques sanduíche, verifique Relatório para obter mais informações.
Carteira Atomic Hackeada
No início de junho deste ano, mais de 5.000 usuários da Atomic Wallet enfrentaram o maior incidente de segurança do trimestre, resultando em uma perda de mais de US$ 100 milhões. Inicialmente, a Atomic Wallet afirmou que menos de 1% dos usuários ativos mensais foram vítimas do incidente, mas depois mudou para menos de 0,1%. Um ataque dessa magnitude e grandes perdas ressaltam a gravidade das falhas de segurança em aplicativos de carteira.
Os invasores visam as chaves privadas dos usuários, obtendo controle total sobre seus ativos. Após a obtenção das chaves, eles conseguiram transferir os bens para os endereços de suas próprias carteiras, esvaziando a conta da vítima.
Investidores de varejo relataram perdas de tamanhos variados, incluindo até US$ 7,95 milhões. As perdas cumulativas das cinco maiores vítimas do varejo totalizaram US$ 17 milhões.
Para recuperar as perdas, a Atomic Wallet fez publicamente uma oferta aos atacantes, prometendo desistir de 10% dos fundos roubados em troca de 90% dos tokens roubados. No entanto, com base na história do Lazarus Group e no fato de que os fundos roubados começaram a ser lavados, as chances de recuperação dos fundos são muito pequenas.
Para mais análises sobre a Atomic Wallet e os "bastidores", verifique Relatório para obter mais informações.
Sui "Hamster Wheel" novo exploit
Anteriormente, a equipe da CertiK descobriu uma série de vulnerabilidades de negação de serviço na blockchain Sui. Dentre essas vulnerabilidades, destaca-se uma nova e de alto impacto. Essa vulnerabilidade pode fazer com que os nós da rede Sui sejam incapazes de processar novas transações e o efeito é equivalente a um desligamento completo de toda a rede. A CertiK recebeu uma recompensa de bug de $ 500.000 de Sui por descobrir essa grande falha de segurança. A CoinDesk, uma mídia autorizada na indústria dos EUA, informou sobre o evento e, em seguida, a grande mídia também divulgou notícias relacionadas após seu relatório.
Essa vulnerabilidade de segurança é claramente chamada de "Hamster Wheel": seu método de ataque exclusivo é diferente dos ataques conhecidos atualmente. O invasor só precisa enviar uma carga útil de cerca de 100 bytes para acionar um loop infinito no nó de verificação Sui. , tornando-o insensível a novas transações.
Além disso, os danos causados pelo ataque podem continuar após a reinicialização da rede, podendo ser propagados automaticamente na rede Sui, tornando todos os nós incapazes de processar novas transações como hamsters rodando sem parar na roda. Portanto, nos referimos a esse tipo único de ataque como um ataque de "roda de hamster".
Depois de descobrir o bug, a CertiK o relatou a Sui por meio do programa de recompensas de bugs de Sui. Sui também respondeu de forma eficaz na primeira vez, confirmou a gravidade da vulnerabilidade e ativamente tomou as medidas correspondentes para reparar o problema antes do lançamento da rede principal. Além de corrigir essa vulnerabilidade específica, a Sui também implementou mitigações preventivas para reduzir o dano potencial que essa vulnerabilidade poderia causar.
Para agradecer à equipe da CertiK por sua divulgação responsável, Sui concedeu à equipe da CertiK uma recompensa de US$ 500.000.
Para obter detalhes, clique em "Última vulnerabilidade de Sui "Hamster Wheel", detalhes técnicos e análise aprofundada"
Vulnerabilidade no nível do servidor com base na carteira MPC
A computação multipartidária (MPC) é um método criptográfico que permite que vários participantes executem cálculos em uma função de suas entradas, preservando a privacidade dessas entradas. Seu objetivo é garantir que essas entradas não sejam compartilhadas com terceiros. A tecnologia tem diversas aplicações, incluindo mineração de dados para preservação da privacidade, leilões seguros, serviços financeiros, aprendizado de máquina multipartidário seguro e compartilhamento seguro de senhas e segredos.
A equipe Skyfall da CertiK encontrou uma vulnerabilidade séria na arquitetura de segurança da carteira durante uma análise preventiva de segurança da atualmente popular carteira de computação multipartidária (MPC) ZenGo, que é chamada de "ataque de bifurcação de dispositivo". Os invasores podem usá-lo para contornar as medidas de segurança existentes do ZenGo, dando-lhes a oportunidade de controlar os fundos dos usuários. O cerne do ataque é explorar uma vulnerabilidade na API para criar uma nova chave de dispositivo que engana os servidores ZenGo para tratá-la como um dispositivo de usuário real.
A equipe do Skyfall relatou prontamente essa vulnerabilidade ao ZenGo de acordo com os princípios de divulgação responsável. Depois de perceber a gravidade do problema, a equipe de segurança do ZenGo agiu rapidamente para corrigi-lo. Para evitar a possibilidade de um ataque, a vulnerabilidade foi corrigida no nível da API do servidor, portanto, nenhuma atualização no código do cliente é necessária.
A ZenGo reconheceu publicamente as descobertas após a conclusão da correção do bug e agradeceu à CertiK por seu importante papel no fortalecimento da segurança e confiabilidade de sua carteira baseada em MPC.
"A computação multipartidária tem grandes perspectivas e muitas aplicações importantes no campo da Web 3.0. Embora a tecnologia MPC reduza o risco de ponto único de falha, a implementação de soluções MPC trará novas complexidades ao design de carteiras de criptomoedas. Isso a complexidade pode levar a novos riscos de segurança, ilustrando que uma abordagem abrangente de auditoria e monitoramento é essencial." - Professor Kang Li, diretor de segurança, CertiK
Clique para relatório completo
Ver original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Relatório de segurança da indústria Web3.0 para o segundo trimestre de 2023 divulgado
Resumir
Exibição de dados parciais
Introdução
As perdas totais registradas no espaço da Web 3.0 no segundo trimestre de 2023 totalizaram $ 313.566.528, quase o mesmo que no trimestre anterior e uma queda de 58% em comparação com o mesmo período do ano passado. A perda média por acidente também caiu ligeiramente.
Olhando para o segundo trimestre, o número de incidentes de manipulação de oráculos diminuiu significativamente, enquanto as perdas totais de golpes de saída aumentaram, indicando que as táticas empregadas por agentes mal-intencionados mudaram.
À medida que a indústria evolui, casos como o ataque ao robô MEV e a descoberta de uma ameaça de segurança de “roda de hamster” na blockchain Sui demonstram a importância de mergulhos profundos contínuos em segurança, ataques preventivos e vigilância constante. A cada desafio superado, estamos um passo mais perto de um espaço Web 3.0 mais seguro.
Confira o Relatório para mais detalhes e dados.
O robô MEV é explorado de forma maliciosa
No início de abril, o robô MEV foi explorado por hackers no bloco 16964664 da Ethereum. Um validador malicioso substituiu várias transações MEV, resultando em uma perda de aproximadamente US$ 25,38 milhões. O incidente foi o maior ataque a robôs MEV até o momento.
O incidente ocorreu no bloco Ethereum 16964664, com 8 transações MEV exploradas por validadores maliciosos. Este validador foi estabelecido em 15 de março de 2023, no endereço externo (EOA) 0x687A9, e desde então conseguiu se infiltrar em um Flashbot que impede o front-running.
No entanto, uma vulnerabilidade no MEV-boost-relay permite que validadores mal-intencionados repitam transações agrupadas, interceptando estratégias parciais de mezanino dos bots MEV, especialmente transações reversas. Devido à vulnerabilidade acima, o validador viu as informações detalhadas da transação. Com esses detalhes da transação, os validadores maliciosos podem criar seus próprios blocos e inserir suas pré-transações antes da transação inicial do bot MEV.
No total, esse validador malicioso conseguiu roubar cerca de US$ 25 milhões de 5 bots MEV, tornando-se uma das maiores perdas para bots MEV vistas pela CertiK até o momento. Nos últimos 12 meses, apenas seis bots MEV foram explorados, e esse incidente sozinho foi responsável por 92% do total de US$ 27,5 milhões em perdas.
Um validador mal-intencionado explora a vulnerabilidade MEV-boost-relay e inicia o ataque enviando um bloco inválido, mas assinado corretamente. Depois de ver as transações dentro de um bloco, os validadores podem reativá-las para reivindicar ativos dos bots MEV. Esta vulnerabilidade foi corrigida posteriormente.
Para obter mais informações sobre robôs MEV e ataques sanduíche, verifique Relatório para obter mais informações.
Carteira Atomic Hackeada
No início de junho deste ano, mais de 5.000 usuários da Atomic Wallet enfrentaram o maior incidente de segurança do trimestre, resultando em uma perda de mais de US$ 100 milhões. Inicialmente, a Atomic Wallet afirmou que menos de 1% dos usuários ativos mensais foram vítimas do incidente, mas depois mudou para menos de 0,1%. Um ataque dessa magnitude e grandes perdas ressaltam a gravidade das falhas de segurança em aplicativos de carteira.
Os invasores visam as chaves privadas dos usuários, obtendo controle total sobre seus ativos. Após a obtenção das chaves, eles conseguiram transferir os bens para os endereços de suas próprias carteiras, esvaziando a conta da vítima.
Investidores de varejo relataram perdas de tamanhos variados, incluindo até US$ 7,95 milhões. As perdas cumulativas das cinco maiores vítimas do varejo totalizaram US$ 17 milhões.
Para recuperar as perdas, a Atomic Wallet fez publicamente uma oferta aos atacantes, prometendo desistir de 10% dos fundos roubados em troca de 90% dos tokens roubados. No entanto, com base na história do Lazarus Group e no fato de que os fundos roubados começaram a ser lavados, as chances de recuperação dos fundos são muito pequenas.
Para mais análises sobre a Atomic Wallet e os "bastidores", verifique Relatório para obter mais informações.
Sui "Hamster Wheel" novo exploit
Anteriormente, a equipe da CertiK descobriu uma série de vulnerabilidades de negação de serviço na blockchain Sui. Dentre essas vulnerabilidades, destaca-se uma nova e de alto impacto. Essa vulnerabilidade pode fazer com que os nós da rede Sui sejam incapazes de processar novas transações e o efeito é equivalente a um desligamento completo de toda a rede. A CertiK recebeu uma recompensa de bug de $ 500.000 de Sui por descobrir essa grande falha de segurança. A CoinDesk, uma mídia autorizada na indústria dos EUA, informou sobre o evento e, em seguida, a grande mídia também divulgou notícias relacionadas após seu relatório.
Essa vulnerabilidade de segurança é claramente chamada de "Hamster Wheel": seu método de ataque exclusivo é diferente dos ataques conhecidos atualmente. O invasor só precisa enviar uma carga útil de cerca de 100 bytes para acionar um loop infinito no nó de verificação Sui. , tornando-o insensível a novas transações.
Além disso, os danos causados pelo ataque podem continuar após a reinicialização da rede, podendo ser propagados automaticamente na rede Sui, tornando todos os nós incapazes de processar novas transações como hamsters rodando sem parar na roda. Portanto, nos referimos a esse tipo único de ataque como um ataque de "roda de hamster".
Depois de descobrir o bug, a CertiK o relatou a Sui por meio do programa de recompensas de bugs de Sui. Sui também respondeu de forma eficaz na primeira vez, confirmou a gravidade da vulnerabilidade e ativamente tomou as medidas correspondentes para reparar o problema antes do lançamento da rede principal. Além de corrigir essa vulnerabilidade específica, a Sui também implementou mitigações preventivas para reduzir o dano potencial que essa vulnerabilidade poderia causar.
Para agradecer à equipe da CertiK por sua divulgação responsável, Sui concedeu à equipe da CertiK uma recompensa de US$ 500.000.
Para obter detalhes, clique em "Última vulnerabilidade de Sui "Hamster Wheel", detalhes técnicos e análise aprofundada"
Vulnerabilidade no nível do servidor com base na carteira MPC
A computação multipartidária (MPC) é um método criptográfico que permite que vários participantes executem cálculos em uma função de suas entradas, preservando a privacidade dessas entradas. Seu objetivo é garantir que essas entradas não sejam compartilhadas com terceiros. A tecnologia tem diversas aplicações, incluindo mineração de dados para preservação da privacidade, leilões seguros, serviços financeiros, aprendizado de máquina multipartidário seguro e compartilhamento seguro de senhas e segredos.
A equipe Skyfall da CertiK encontrou uma vulnerabilidade séria na arquitetura de segurança da carteira durante uma análise preventiva de segurança da atualmente popular carteira de computação multipartidária (MPC) ZenGo, que é chamada de "ataque de bifurcação de dispositivo". Os invasores podem usá-lo para contornar as medidas de segurança existentes do ZenGo, dando-lhes a oportunidade de controlar os fundos dos usuários. O cerne do ataque é explorar uma vulnerabilidade na API para criar uma nova chave de dispositivo que engana os servidores ZenGo para tratá-la como um dispositivo de usuário real.
A equipe do Skyfall relatou prontamente essa vulnerabilidade ao ZenGo de acordo com os princípios de divulgação responsável. Depois de perceber a gravidade do problema, a equipe de segurança do ZenGo agiu rapidamente para corrigi-lo. Para evitar a possibilidade de um ataque, a vulnerabilidade foi corrigida no nível da API do servidor, portanto, nenhuma atualização no código do cliente é necessária.
A ZenGo reconheceu publicamente as descobertas após a conclusão da correção do bug e agradeceu à CertiK por seu importante papel no fortalecimento da segurança e confiabilidade de sua carteira baseada em MPC.
"A computação multipartidária tem grandes perspectivas e muitas aplicações importantes no campo da Web 3.0. Embora a tecnologia MPC reduza o risco de ponto único de falha, a implementação de soluções MPC trará novas complexidades ao design de carteiras de criptomoedas. Isso a complexidade pode levar a novos riscos de segurança, ilustrando que uma abordagem abrangente de auditoria e monitoramento é essencial." - Professor Kang Li, diretor de segurança, CertiK
Clique para relatório completo