Зловмисники, такі як хакери, вилучили $310 мільйонів з індустрії Web 3.0 у другому кварталі 2023 року.
Ця цифра близька до збитків у розмірі 320 мільйонів доларів США в першому кварталі, що на 58%** менше, ніж збиток у розмірі 745 мільйонів доларів США у другому кварталі 2022 року**.
CertiK виявив загалом 212* інцидентів безпеки, що означає середню втрату 1,48 мільйона доларів США за інцидент у другому кварталі. Ця цифра дещо знизилася порівняно із середніми втратами за один інцидент у 1,56 мільйона доларів у першому кварталі.
98 шахрайських акцій вкрали в інвесторів 70,35 мільйона доларів США, що більш ніж удвічі перевищує 31 мільйон доларів, втрачених через афери з виходом у перший квартал.
54 атаки на флеш-позику та інциденти з маніпулюванням оракула принесли зловмисникам 23,75 мільйона доларів США. Це різко менше, ніж 222 мільйони доларів загальних збитків від 52 маніпуляцій з оракулами в першому кварталі. Звичайно, через величезні втрати Euler Finance в останньому кварталі ця лазівка становила 85% від загальної суми в попередньому кварталі.
Крім того, в індустрії відбуваються деякі великі події поза ланцюгом: Комісія з цінних паперів і бірж США висунула звинувачення проти двох найбільших бірж віртуальних валют; а найбільша в світі компанія з управління активами подала заявку на Bitcoin ETF. .
Тим часом дослідники безпеки CertiK також виявили деякі серйозні вразливості в основних протоколах і програмах блокчейну, включаючи ризики для безпеки у вузлах валідатора Sui та гаманці ZenGo MPC.
Часткове відображення даних
Вступ
Загальні збитки, зафіксовані в просторі Web 3.0 у другому кварталі 2023 року, склали $313 566 528, майже стільки ж, скільки в попередньому кварталі, і на 58% менше порівняно з аналогічним періодом минулого року. Середній збиток на одну аварію також трохи знизився.
У другому кварталі кількість інцидентів маніпулювання оракулами значно зменшилася, тоді як загальні втрати від шахрайства з виходом зросли, що вказує на те, що тактика зловмисників змінилася.
З розвитком галузі такі випадки, як атака на робота MEV і виявлення загрози безпеці «колеса хом’яка» в блокчейні Sui, демонструють важливість безперервного глибокого занурення в безпеку, превентивних ударів і постійної пильності. З кожним подоланим викликом ми стаємо на крок ближче до більш безпечного простору Web 3.0.
Перегляньте Звіт, щоб отримати додаткові відомості та дані.
Робот MEV використовується зловмисно
На початку квітня робот MEV був використаний хакерами в блоці 16964664 Ethereum. Зловмисний валідатор замінив кілька транзакцій MEV, що призвело до втрати приблизно 25,38 мільйонів доларів США. Інцидент став найбільшою атакою на роботів MEV на сьогодні.
Інцидент стався в блоці Ethereum 16964664 з 8 транзакціями MEV, використаними зловмисними валідаторами. Цей валідатор було створено 15 березня 2023 року за зовнішньою адресою (EOA) 0x687A9, і з тих пір йому вдалося проникнути у флеш-бота, який запобігає передньому запуску.
Однак уразливість у MEV-boost-relay дозволяє зловмисним валідаторам відтворювати пакетні транзакції, перехоплюючи часткові мезонінні стратегії ботів MEV, особливо зворотні транзакції. Через зазначену вище вразливість валідатор побачив детальну інформацію про трансакцію. За допомогою цих деталей транзакції зловмисні валідатори можуть створювати власні блоки та вставляти свої попередні транзакції перед початковою транзакцією бота MEV.
Загалом цьому зловмисному валідатору вдалося вкрасти близько 25 мільйонів доларів у 5 ботів MEV, що зробило його одним із найбільших втрат ботів MEV, зафіксованих CertiK на сьогодні. За останні 12 місяців було виявлено лише шість ботів MEV, і лише цей інцидент спричинив 92% загальних збитків у розмірі 27,5 мільйонів доларів США.
Шкідливий валідатор використовує вразливість MEV-boost-relay і починає атаку, надсилаючи недійсний, але правильно підписаний блок. Побачивши транзакції в блоці, валідатори можуть повторно зв’язати їх, щоб отримати активи від ботів MEV. Цю вразливість було виправлено пізніше.
Щоб дізнатися більше про роботів MEV і сендвіч-атаки, перегляньте Звіт для отримання додаткової інформації.
Atomic Wallet зламано
На початку червня цього року понад 5000 користувачів Atomic Wallet зіткнулися з найбільшим інцидентом безпеки кварталу, що призвело до збитків понад 100 мільйонів доларів. Спочатку Atomic Wallet заявляв, що жертвами інциденту стали менше 1% активних користувачів щомісяця, але пізніше змінили це на менше 0,1%. Атака такого масштабу та величезні втрати підкреслюють серйозність недоліків безпеки в програмах гаманців.
Зловмисники атакують закриті ключі користувачів, отримуючи повний контроль над їхніми активами. Отримавши ключі, вони змогли перевести активи на власні адреси гаманців, спустошивши обліковий запис жертви.
Роздрібні інвестори повідомили про збитки різного розміру, включно з 7,95 мільйонами доларів. Сукупні збитки п'яти найбільших жертв роздрібної торгівлі склали 17 мільйонів доларів.
Щоб відшкодувати збитки, Atomic Wallet публічно зробив пропозицію зловмисникам, пообіцявши віддати 10% вкрадених коштів в обмін на 90% вкрадених токенів. Однак, виходячи з історії Lazarus Group і того факту, що вкрадені кошти почали відмиватися, шанси повернути кошти дуже мізерні.
Щоб отримати додаткову інформацію про Atomic Wallet і «за лаштунками», перегляньте Звіт.
Новий експлойт Sui "Hamster Wheel"
Раніше команда CertiK виявила в блокчейні Sui низку вразливостей, які викликають відмову в обслуговуванні. Серед цих вразливостей виділяється нова вразливість із сильним впливом. Ця вразливість може призвести до того, що вузли мережі Sui не зможуть обробляти нові транзакції, і ефект еквівалентний повному вимкненню всієї мережі. CertiK отримав винагороду від Sui у розмірі 500 000 доларів США за виявлення цієї серйозної вади безпеки. CoinDesk, авторитетне ЗМІ в промисловості США, повідомило про подію, а потім основні ЗМІ також випустили відповідні новини після свого звіту.
Цю вразливість безпеки яскраво називають "Колесом хом'яка": її унікальний метод атаки відрізняється від відомих на даний момент атак. Зловмиснику потрібно лише надіслати корисне навантаження розміром близько 100 байтів, щоб запустити нескінченний цикл у вузлі перевірки Sui. , через що він не реагує. до нових транзакцій.
Крім того, збиток, спричинений атакою, може продовжуватися після перезапуску мережі та автоматично поширюватися в мережі Sui, унаслідок чого всі вузли не зможуть обробляти нові транзакції, як хом’яки, які нескінченно бігають на колесі. Тому ми називаємо цей унікальний тип атаки атакою «колесо хом’яка».
Виявивши помилку, CertiK повідомив про неї Sui через програму винагороди за помилки Sui. Sui також ефективно відреагував у перший раз, підтвердив серйозність уразливості та активно вжив відповідних заходів для усунення проблеми до запуску основної мережі. Окрім усунення цієї конкретної вразливості, Sui також реалізував профілактичні заходи для зменшення потенційної шкоди, яку може завдати ця вразливість.
Щоб подякувати команді CertiK за відповідальне розкриття інформації, Суї нагородив команду CertiK винагородою в розмірі 500 000 доларів США.
Щоб дізнатися більше, натисніть «Остання вразливість Sui «Колесо хом’яка», технічні відомості та поглиблений аналіз»
Уразливість на рівні сервера на основі гаманця MPC
Багатостороннє обчислення (MPC) — це криптографічний метод, який дозволяє декільком учасникам виконувати обчислення для функції своїх вхідних даних, зберігаючи при цьому конфіденційність цих вхідних даних. Його мета полягає в тому, щоб гарантувати, що ці вхідні дані не передаються третім особам. Ця технологія має різноманітні застосування, включаючи інтелектуальний аналіз даних із збереженням конфіденційності, безпечні аукціони, фінансові послуги, безпечне багатостороннє машинне навчання та безпечний обмін паролями та секретами.
Команда Skyfall від CertiK виявила серйозну вразливість в архітектурі безпеки гаманця під час превентивного аналізу безпеки популярного в даний час багатостороннього гаманця (MPC) ZenGo, що називається «атакою розгалуження пристрою». Зловмисники можуть використовувати його для обходу існуючих заходів безпеки ZenGo, надаючи їм можливість контролювати кошти користувачів. Суть атаки полягає в використанні вразливості в API для створення нового ключа пристрою, який змушує сервери ZenGo розглядати його як пристрій реального користувача.
Команда Skyfall негайно повідомила ZenGo про цю вразливість відповідно до принципів відповідального розкриття інформації. Усвідомивши серйозність проблеми, команда безпеки ZenGo швидко вжила заходів, щоб її вирішити. Щоб запобігти ймовірності атаки, уразливість була виправлена на рівні API сервера, тому оновлення коду клієнта не потрібні.
ZenGo публічно визнав висновки після завершення виправлення помилок і подякував CertiK за важливу роль у посиленні безпеки та надійності свого гаманця на основі MPC.
"Багатосторонні обчислення мають великі перспективи та мають багато важливих застосувань у сфері Web3.0. Хоча технологія MPC знижує ризик єдиної точки відмови, впровадження рішень MPC принесе нові складності в дизайн гаманців для криптовалют. Це складність може призвести до нових ризиків безпеці, ілюструючи те, що комплексний підхід до аудиту та моніторингу є важливим", - професор Канг Лі, головний спеціаліст із безпеки, CertiK
Натисніть, щоб переглянути повний звіт
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Опубліковано звіт про безпеку галузі Web3.0 за другий квартал 2023 року
Підсумуйте
Часткове відображення даних
Вступ
Загальні збитки, зафіксовані в просторі Web 3.0 у другому кварталі 2023 року, склали $313 566 528, майже стільки ж, скільки в попередньому кварталі, і на 58% менше порівняно з аналогічним періодом минулого року. Середній збиток на одну аварію також трохи знизився.
У другому кварталі кількість інцидентів маніпулювання оракулами значно зменшилася, тоді як загальні втрати від шахрайства з виходом зросли, що вказує на те, що тактика зловмисників змінилася.
З розвитком галузі такі випадки, як атака на робота MEV і виявлення загрози безпеці «колеса хом’яка» в блокчейні Sui, демонструють важливість безперервного глибокого занурення в безпеку, превентивних ударів і постійної пильності. З кожним подоланим викликом ми стаємо на крок ближче до більш безпечного простору Web 3.0.
Перегляньте Звіт, щоб отримати додаткові відомості та дані.
Робот MEV використовується зловмисно
На початку квітня робот MEV був використаний хакерами в блоці 16964664 Ethereum. Зловмисний валідатор замінив кілька транзакцій MEV, що призвело до втрати приблизно 25,38 мільйонів доларів США. Інцидент став найбільшою атакою на роботів MEV на сьогодні.
Інцидент стався в блоці Ethereum 16964664 з 8 транзакціями MEV, використаними зловмисними валідаторами. Цей валідатор було створено 15 березня 2023 року за зовнішньою адресою (EOA) 0x687A9, і з тих пір йому вдалося проникнути у флеш-бота, який запобігає передньому запуску.
Однак уразливість у MEV-boost-relay дозволяє зловмисним валідаторам відтворювати пакетні транзакції, перехоплюючи часткові мезонінні стратегії ботів MEV, особливо зворотні транзакції. Через зазначену вище вразливість валідатор побачив детальну інформацію про трансакцію. За допомогою цих деталей транзакції зловмисні валідатори можуть створювати власні блоки та вставляти свої попередні транзакції перед початковою транзакцією бота MEV.
Загалом цьому зловмисному валідатору вдалося вкрасти близько 25 мільйонів доларів у 5 ботів MEV, що зробило його одним із найбільших втрат ботів MEV, зафіксованих CertiK на сьогодні. За останні 12 місяців було виявлено лише шість ботів MEV, і лише цей інцидент спричинив 92% загальних збитків у розмірі 27,5 мільйонів доларів США.
Шкідливий валідатор використовує вразливість MEV-boost-relay і починає атаку, надсилаючи недійсний, але правильно підписаний блок. Побачивши транзакції в блоці, валідатори можуть повторно зв’язати їх, щоб отримати активи від ботів MEV. Цю вразливість було виправлено пізніше.
Щоб дізнатися більше про роботів MEV і сендвіч-атаки, перегляньте Звіт для отримання додаткової інформації.
Atomic Wallet зламано
На початку червня цього року понад 5000 користувачів Atomic Wallet зіткнулися з найбільшим інцидентом безпеки кварталу, що призвело до збитків понад 100 мільйонів доларів. Спочатку Atomic Wallet заявляв, що жертвами інциденту стали менше 1% активних користувачів щомісяця, але пізніше змінили це на менше 0,1%. Атака такого масштабу та величезні втрати підкреслюють серйозність недоліків безпеки в програмах гаманців.
Зловмисники атакують закриті ключі користувачів, отримуючи повний контроль над їхніми активами. Отримавши ключі, вони змогли перевести активи на власні адреси гаманців, спустошивши обліковий запис жертви.
Роздрібні інвестори повідомили про збитки різного розміру, включно з 7,95 мільйонами доларів. Сукупні збитки п'яти найбільших жертв роздрібної торгівлі склали 17 мільйонів доларів.
Щоб відшкодувати збитки, Atomic Wallet публічно зробив пропозицію зловмисникам, пообіцявши віддати 10% вкрадених коштів в обмін на 90% вкрадених токенів. Однак, виходячи з історії Lazarus Group і того факту, що вкрадені кошти почали відмиватися, шанси повернути кошти дуже мізерні.
Щоб отримати додаткову інформацію про Atomic Wallet і «за лаштунками», перегляньте Звіт.
Новий експлойт Sui "Hamster Wheel"
Раніше команда CertiK виявила в блокчейні Sui низку вразливостей, які викликають відмову в обслуговуванні. Серед цих вразливостей виділяється нова вразливість із сильним впливом. Ця вразливість може призвести до того, що вузли мережі Sui не зможуть обробляти нові транзакції, і ефект еквівалентний повному вимкненню всієї мережі. CertiK отримав винагороду від Sui у розмірі 500 000 доларів США за виявлення цієї серйозної вади безпеки. CoinDesk, авторитетне ЗМІ в промисловості США, повідомило про подію, а потім основні ЗМІ також випустили відповідні новини після свого звіту.
Цю вразливість безпеки яскраво називають "Колесом хом'яка": її унікальний метод атаки відрізняється від відомих на даний момент атак. Зловмиснику потрібно лише надіслати корисне навантаження розміром близько 100 байтів, щоб запустити нескінченний цикл у вузлі перевірки Sui. , через що він не реагує. до нових транзакцій.
Крім того, збиток, спричинений атакою, може продовжуватися після перезапуску мережі та автоматично поширюватися в мережі Sui, унаслідок чого всі вузли не зможуть обробляти нові транзакції, як хом’яки, які нескінченно бігають на колесі. Тому ми називаємо цей унікальний тип атаки атакою «колесо хом’яка».
Виявивши помилку, CertiK повідомив про неї Sui через програму винагороди за помилки Sui. Sui також ефективно відреагував у перший раз, підтвердив серйозність уразливості та активно вжив відповідних заходів для усунення проблеми до запуску основної мережі. Окрім усунення цієї конкретної вразливості, Sui також реалізував профілактичні заходи для зменшення потенційної шкоди, яку може завдати ця вразливість.
Щоб подякувати команді CertiK за відповідальне розкриття інформації, Суї нагородив команду CertiK винагородою в розмірі 500 000 доларів США.
Щоб дізнатися більше, натисніть «Остання вразливість Sui «Колесо хом’яка», технічні відомості та поглиблений аналіз»
Уразливість на рівні сервера на основі гаманця MPC
Багатостороннє обчислення (MPC) — це криптографічний метод, який дозволяє декільком учасникам виконувати обчислення для функції своїх вхідних даних, зберігаючи при цьому конфіденційність цих вхідних даних. Його мета полягає в тому, щоб гарантувати, що ці вхідні дані не передаються третім особам. Ця технологія має різноманітні застосування, включаючи інтелектуальний аналіз даних із збереженням конфіденційності, безпечні аукціони, фінансові послуги, безпечне багатостороннє машинне навчання та безпечний обмін паролями та секретами.
Команда Skyfall від CertiK виявила серйозну вразливість в архітектурі безпеки гаманця під час превентивного аналізу безпеки популярного в даний час багатостороннього гаманця (MPC) ZenGo, що називається «атакою розгалуження пристрою». Зловмисники можуть використовувати його для обходу існуючих заходів безпеки ZenGo, надаючи їм можливість контролювати кошти користувачів. Суть атаки полягає в використанні вразливості в API для створення нового ключа пристрою, який змушує сервери ZenGo розглядати його як пристрій реального користувача.
Команда Skyfall негайно повідомила ZenGo про цю вразливість відповідно до принципів відповідального розкриття інформації. Усвідомивши серйозність проблеми, команда безпеки ZenGo швидко вжила заходів, щоб її вирішити. Щоб запобігти ймовірності атаки, уразливість була виправлена на рівні API сервера, тому оновлення коду клієнта не потрібні.
ZenGo публічно визнав висновки після завершення виправлення помилок і подякував CertiK за важливу роль у посиленні безпеки та надійності свого гаманця на основі MPC.
"Багатосторонні обчислення мають великі перспективи та мають багато важливих застосувань у сфері Web3.0. Хоча технологія MPC знижує ризик єдиної точки відмови, впровадження рішень MPC принесе нові складності в дизайн гаманців для криптовалют. Це складність може призвести до нових ризиків безпеці, ілюструючи те, що комплексний підхід до аудиту та моніторингу є важливим", - професор Канг Лі, головний спеціаліст із безпеки, CertiK
Натисніть, щоб переглянути повний звіт