Злоумышленники, такие как хакеры, извлекли 310 миллионов долларов из индустрии Web 3.0 во втором квартале 2023 года.
Этот показатель близок к убытку в размере 320 млн долларов США в первом квартале, что на 58%** меньше убытка в размере 745 млн долларов США во втором квартале 2022 года**.
CertiK обнаружила в общей сложности 212** инцидентов безопасности, что соответствует среднему убытку в размере 1,48 млн долларов США на каждое происшествие во втором квартале. Эта цифра немного ниже среднего убытка на один инцидент в размере 1,56 млн долларов в первом квартале.
98 мошеннических действий при выходе украли 70,35 миллиона долларов у инвесторов, что более чем вдвое превышает 31 миллион долларов, потерянных в результате мошенничества при выходе в первом квартале.
54 атаки мгновенного займа и инциденты манипуляций с оракулами принесли злоумышленникам 23,75 миллиона долларов. Это резко ниже общих убытков в размере 222 миллионов долларов от 52 манипуляций с оракулами в первом квартале. Конечно, из-за огромных убытков Euler Finance в последнем квартале одна только эта лазейка составила 85% от общей суммы в предыдущем квартале.
Кроме того, в отрасли происходят крупные «офчейн» события: Комиссия по ценным бумагам и биржам США выдвинула обвинения против двух крупнейших бирж виртуальных валют, а крупнейшая в мире компания по управлению активами подала заявку на создание биткойн-ETF. .
Между тем, исследователи безопасности CertiK также обнаружили некоторые серьезные уязвимости в основных протоколах и приложениях блокчейна, в том числе риски безопасности в узлах валидатора Sui и кошельке ZenGo MPC.
Отображение частичных данных
Введение
Общие убытки, зафиксированные в пространстве Web 3.0 во втором квартале 2023 года, составили 313 566 528 долларов, что почти так же, как и в предыдущем квартале, и на 58% меньше, чем за тот же период прошлого года. Средние потери на одну аварию также немного снизились.
Во втором квартале количество случаев манипуляций с оракулами значительно уменьшилось, а общие потери от мошеннических действий увеличились, что указывает на изменение тактики, используемой злоумышленниками.
По мере развития отрасли такие случаи, как атака на робота MEV и обнаружение угрозы безопасности «колеса хомяка» в блокчейне Sui, демонстрируют важность постоянного глубокого погружения в безопасность, упреждающих ударов и постоянной бдительности. С каждой преодоленной проблемой мы на шаг ближе к более безопасному пространству Web 3.0.
Ознакомьтесь с отчетом для получения более подробной информации и данных.
Робот MEV используется злонамеренно
В начале апреля робот MEV был взломан хакерами на блоке 16964664 Ethereum. Вредоносный валидатор заменил несколько транзакций MEV, что привело к убыткам примерно в 25,38 млн долларов. Инцидент стал крупнейшей атакой на роботов MEV на сегодняшний день.
Инцидент произошел в блоке Ethereum 16964664, когда злоумышленники использовали 8 транзакций MEV. Этот валидатор был установлен 15 марта 2023 года по внешнему адресу (EOA) 0x687A9, и с тех пор ему удалось внедриться во Flashbot, который предотвращает опережение.
Однако уязвимость в MEV-boost-relay позволяет злоумышленникам воспроизводить связанные транзакции, перехватывая частичные мезонинные стратегии ботов MEV, особенно обратные транзакции. Из-за вышеуказанной уязвимости валидатор видел подробную информацию о транзакции. С помощью этих сведений о транзакции злоумышленники-валидаторы могут создавать свои собственные блоки и вставлять свои предварительные транзакции перед начальной транзакцией бота MEV.
В общей сложности этому вредоносному валидатору удалось украсть около 25 миллионов долларов у 5 ботов MEV, что сделало это одной из самых больших потерь для ботов MEV, которые CertiK видел на сегодняшний день. За последние 12 месяцев было обнаружено, что только шесть ботов MEV были использованы, и только на этот инцидент пришлось 92% от общей суммы убытков в размере 27,5 миллионов долларов.
Вредоносный валидатор использует уязвимость MEV-boost-relay и начинает атаку, отправляя недействительный, но правильно подписанный блок. Увидев транзакции внутри блока, валидаторы могут повторно связать их, чтобы получить активы от ботов MEV. Эта уязвимость была исправлена позже.
Для получения дополнительной информации о роботах MEV и сэндвич-атаках см. Отчет.
Атомный кошелек взломан
В начале июня этого года более 5000 пользователей Atomic Wallet столкнулись с крупнейшим инцидентом безопасности за квартал, в результате которого убытки составили более 100 миллионов долларов. Первоначально Atomic Wallet заявлял, что жертвами инцидента стали менее 1% ежемесячно активных пользователей, но позже изменил это значение до менее 0,1%. Атака такого масштаба и огромные потери подчеркивают серьезность недостатков безопасности в приложениях-кошельках.
Злоумышленники нацелены на закрытые ключи пользователей, получая полный контроль над их активами. Получив ключи, они смогли перевести активы на адреса собственных кошельков, опустошив аккаунт жертвы.
Розничные инвесторы сообщили об убытках разного размера, в том числе до $7,95 млн. Совокупные убытки пяти крупнейших жертв розничной торговли составили 17 миллионов долларов.
Чтобы возместить убытки, Atomic Wallet публично сделал злоумышленникам предложение, пообещав отдать 10% украденных средств в обмен на 90% украденных токенов. Однако, исходя из истории Lazarus Group и того факта, что украденные средства начали отмывать, шансы вернуть средства очень малы.
Для более подробного анализа Atomic Wallet и «закулисных событий» посетите Отчет для получения дополнительной информации.
Новый эксплойт Sui "Hamster Wheel"
Ранее команда CertiK обнаружила серию уязвимостей отказа в обслуживании в блокчейне Sui. Среди этих уязвимостей выделяется новая уязвимость с высоким уровнем воздействия. Эта уязвимость может привести к тому, что узлы сети Sui не смогут обрабатывать новые транзакции, а эффект будет эквивалентен полному отключению всей сети. CertiK получила вознаграждение в размере 500 000 долларов США от Sui за обнаружение этой серьезной уязвимости в системе безопасности. CoinDesk, авторитетное СМИ в индустрии США, сообщило об этом событии, а затем основные СМИ также опубликовали соответствующие новости после своего отчета.
Эта уязвимость в системе безопасности получила яркое название «Колесо хомяка»: ее уникальный метод атаки отличается от известных в настоящее время атак. Злоумышленнику нужно всего лишь отправить полезную нагрузку размером около 100 байт, чтобы вызвать бесконечный цикл в верификационном узле Sui, что делает его невосприимчивым. к новым сделкам.
Кроме того, ущерб, нанесенный атакой, может продолжаться после перезапуска сети и может автоматически распространяться в сети Sui, делая все узлы неспособными обрабатывать новые транзакции, как хомяки, бесконечно бегающие в колесе. Поэтому мы называем этот уникальный тип атаки атакой «колесо хомяка».
Обнаружив ошибку, CertiK сообщила о ней Sui через программу Sui по поиску ошибок. Sui также эффективно отреагировала в первый раз, подтвердила серьезность уязвимости и активно приняла соответствующие меры для устранения проблемы до запуска основной сети. В дополнение к устранению этой конкретной уязвимости Sui также реализовала превентивные меры, чтобы уменьшить потенциальный ущерб, который может нанести эта уязвимость.
Чтобы поблагодарить команду CertiK за их ответственное раскрытие информации, Суй наградил команду CertiK вознаграждением в размере 500 000 долларов США.
Для получения подробной информации, пожалуйста, нажмите «Последняя уязвимость Sui «Колесо хомяка», технические подробности и подробный анализ».
Уязвимость на уровне сервера на основе кошелька MPC
Многосторонние вычисления (MPC) — это криптографический метод, который позволяет нескольким участникам выполнять вычисления в зависимости от их входных данных, сохраняя при этом конфиденциальность этих входных данных. Его цель — гарантировать, что эти входные данные не будут переданы третьим лицам. Эта технология имеет разнообразные приложения, включая интеллектуальный анализ данных с сохранением конфиденциальности, безопасные аукционы, финансовые услуги, безопасное многостороннее машинное обучение, а также безопасный обмен паролями и секретами.
Команда Skyfall из CertiK обнаружила серьезную уязвимость в архитектуре безопасности кошелька во время превентивного анализа безопасности популярного в настоящее время кошелька для многосторонних вычислений (MPC) ZenGo, который называется «атакой разветвления устройства». Злоумышленники могут использовать его для обхода существующих мер безопасности ZenGo, что дает им возможность контролировать средства пользователей. Суть атаки заключается в использовании уязвимости в API для создания нового ключа устройства, который обманом заставляет серверы ZenGo рассматривать его как устройство реального пользователя.
Команда Skyfall незамедлительно сообщила об этой уязвимости ZenGo в соответствии с принципами ответственного раскрытия информации. Осознав серьезность проблемы, служба безопасности ZenGo быстро приняла меры для ее устранения. Для предотвращения возможности атаки уязвимость устранена на уровне API сервера, поэтому никаких обновлений клиентского кода не требуется.
ZenGo публично признал выводы после того, как исправление ошибки было завершено, и поблагодарил CertiK за его важную роль в укреплении безопасности и надежности своего кошелька на основе MPC.
"Многосторонние вычисления имеют большие перспективы и имеют много важных приложений в области Web3.0. Хотя технология MPC снижает риск единой точки отказа, внедрение решений MPC внесет новые сложности в разработку криптовалютных кошельков. Это сложность может привести к новым рискам безопасности, что свидетельствует о важности комплексного подхода к аудиту и мониторингу», — профессор Кан Ли, директор по безопасности, CertiK.
Нажмите для полного отчета
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Опубликован отчет об отраслевой безопасности Web3.0 за второй квартал 2023 г.
Подведем итог
Отображение частичных данных
Введение
Общие убытки, зафиксированные в пространстве Web 3.0 во втором квартале 2023 года, составили 313 566 528 долларов, что почти так же, как и в предыдущем квартале, и на 58% меньше, чем за тот же период прошлого года. Средние потери на одну аварию также немного снизились.
Во втором квартале количество случаев манипуляций с оракулами значительно уменьшилось, а общие потери от мошеннических действий увеличились, что указывает на изменение тактики, используемой злоумышленниками.
По мере развития отрасли такие случаи, как атака на робота MEV и обнаружение угрозы безопасности «колеса хомяка» в блокчейне Sui, демонстрируют важность постоянного глубокого погружения в безопасность, упреждающих ударов и постоянной бдительности. С каждой преодоленной проблемой мы на шаг ближе к более безопасному пространству Web 3.0.
Ознакомьтесь с отчетом для получения более подробной информации и данных.
Робот MEV используется злонамеренно
В начале апреля робот MEV был взломан хакерами на блоке 16964664 Ethereum. Вредоносный валидатор заменил несколько транзакций MEV, что привело к убыткам примерно в 25,38 млн долларов. Инцидент стал крупнейшей атакой на роботов MEV на сегодняшний день.
Инцидент произошел в блоке Ethereum 16964664, когда злоумышленники использовали 8 транзакций MEV. Этот валидатор был установлен 15 марта 2023 года по внешнему адресу (EOA) 0x687A9, и с тех пор ему удалось внедриться во Flashbot, который предотвращает опережение.
Однако уязвимость в MEV-boost-relay позволяет злоумышленникам воспроизводить связанные транзакции, перехватывая частичные мезонинные стратегии ботов MEV, особенно обратные транзакции. Из-за вышеуказанной уязвимости валидатор видел подробную информацию о транзакции. С помощью этих сведений о транзакции злоумышленники-валидаторы могут создавать свои собственные блоки и вставлять свои предварительные транзакции перед начальной транзакцией бота MEV.
В общей сложности этому вредоносному валидатору удалось украсть около 25 миллионов долларов у 5 ботов MEV, что сделало это одной из самых больших потерь для ботов MEV, которые CertiK видел на сегодняшний день. За последние 12 месяцев было обнаружено, что только шесть ботов MEV были использованы, и только на этот инцидент пришлось 92% от общей суммы убытков в размере 27,5 миллионов долларов.
Вредоносный валидатор использует уязвимость MEV-boost-relay и начинает атаку, отправляя недействительный, но правильно подписанный блок. Увидев транзакции внутри блока, валидаторы могут повторно связать их, чтобы получить активы от ботов MEV. Эта уязвимость была исправлена позже.
Для получения дополнительной информации о роботах MEV и сэндвич-атаках см. Отчет.
Атомный кошелек взломан
В начале июня этого года более 5000 пользователей Atomic Wallet столкнулись с крупнейшим инцидентом безопасности за квартал, в результате которого убытки составили более 100 миллионов долларов. Первоначально Atomic Wallet заявлял, что жертвами инцидента стали менее 1% ежемесячно активных пользователей, но позже изменил это значение до менее 0,1%. Атака такого масштаба и огромные потери подчеркивают серьезность недостатков безопасности в приложениях-кошельках.
Злоумышленники нацелены на закрытые ключи пользователей, получая полный контроль над их активами. Получив ключи, они смогли перевести активы на адреса собственных кошельков, опустошив аккаунт жертвы.
Розничные инвесторы сообщили об убытках разного размера, в том числе до $7,95 млн. Совокупные убытки пяти крупнейших жертв розничной торговли составили 17 миллионов долларов.
Чтобы возместить убытки, Atomic Wallet публично сделал злоумышленникам предложение, пообещав отдать 10% украденных средств в обмен на 90% украденных токенов. Однако, исходя из истории Lazarus Group и того факта, что украденные средства начали отмывать, шансы вернуть средства очень малы.
Для более подробного анализа Atomic Wallet и «закулисных событий» посетите Отчет для получения дополнительной информации.
Новый эксплойт Sui "Hamster Wheel"
Ранее команда CertiK обнаружила серию уязвимостей отказа в обслуживании в блокчейне Sui. Среди этих уязвимостей выделяется новая уязвимость с высоким уровнем воздействия. Эта уязвимость может привести к тому, что узлы сети Sui не смогут обрабатывать новые транзакции, а эффект будет эквивалентен полному отключению всей сети. CertiK получила вознаграждение в размере 500 000 долларов США от Sui за обнаружение этой серьезной уязвимости в системе безопасности. CoinDesk, авторитетное СМИ в индустрии США, сообщило об этом событии, а затем основные СМИ также опубликовали соответствующие новости после своего отчета.
Эта уязвимость в системе безопасности получила яркое название «Колесо хомяка»: ее уникальный метод атаки отличается от известных в настоящее время атак. Злоумышленнику нужно всего лишь отправить полезную нагрузку размером около 100 байт, чтобы вызвать бесконечный цикл в верификационном узле Sui, что делает его невосприимчивым. к новым сделкам.
Кроме того, ущерб, нанесенный атакой, может продолжаться после перезапуска сети и может автоматически распространяться в сети Sui, делая все узлы неспособными обрабатывать новые транзакции, как хомяки, бесконечно бегающие в колесе. Поэтому мы называем этот уникальный тип атаки атакой «колесо хомяка».
Обнаружив ошибку, CertiK сообщила о ней Sui через программу Sui по поиску ошибок. Sui также эффективно отреагировала в первый раз, подтвердила серьезность уязвимости и активно приняла соответствующие меры для устранения проблемы до запуска основной сети. В дополнение к устранению этой конкретной уязвимости Sui также реализовала превентивные меры, чтобы уменьшить потенциальный ущерб, который может нанести эта уязвимость.
Чтобы поблагодарить команду CertiK за их ответственное раскрытие информации, Суй наградил команду CertiK вознаграждением в размере 500 000 долларов США.
Для получения подробной информации, пожалуйста, нажмите «Последняя уязвимость Sui «Колесо хомяка», технические подробности и подробный анализ».
Уязвимость на уровне сервера на основе кошелька MPC
Многосторонние вычисления (MPC) — это криптографический метод, который позволяет нескольким участникам выполнять вычисления в зависимости от их входных данных, сохраняя при этом конфиденциальность этих входных данных. Его цель — гарантировать, что эти входные данные не будут переданы третьим лицам. Эта технология имеет разнообразные приложения, включая интеллектуальный анализ данных с сохранением конфиденциальности, безопасные аукционы, финансовые услуги, безопасное многостороннее машинное обучение, а также безопасный обмен паролями и секретами.
Команда Skyfall из CertiK обнаружила серьезную уязвимость в архитектуре безопасности кошелька во время превентивного анализа безопасности популярного в настоящее время кошелька для многосторонних вычислений (MPC) ZenGo, который называется «атакой разветвления устройства». Злоумышленники могут использовать его для обхода существующих мер безопасности ZenGo, что дает им возможность контролировать средства пользователей. Суть атаки заключается в использовании уязвимости в API для создания нового ключа устройства, который обманом заставляет серверы ZenGo рассматривать его как устройство реального пользователя.
Команда Skyfall незамедлительно сообщила об этой уязвимости ZenGo в соответствии с принципами ответственного раскрытия информации. Осознав серьезность проблемы, служба безопасности ZenGo быстро приняла меры для ее устранения. Для предотвращения возможности атаки уязвимость устранена на уровне API сервера, поэтому никаких обновлений клиентского кода не требуется.
ZenGo публично признал выводы после того, как исправление ошибки было завершено, и поблагодарил CertiK за его важную роль в укреплении безопасности и надежности своего кошелька на основе MPC.
"Многосторонние вычисления имеют большие перспективы и имеют много важных приложений в области Web3.0. Хотя технология MPC снижает риск единой точки отказа, внедрение решений MPC внесет новые сложности в разработку криптовалютных кошельков. Это сложность может привести к новым рискам безопасности, что свидетельствует о важности комплексного подхода к аудиту и мониторингу», — профессор Кан Ли, директор по безопасности, CertiK.
Нажмите для полного отчета