Các tác nhân độc hại như tin tặc đã bòn rút 310 triệu đô la từ ngành công nghiệp Web 3.0 trong quý 2 năm 2023.
Con số này gần bằng khoản lỗ 320 triệu đô la trong quý đầu tiên, giảm 58%** so với khoản lỗ 745 triệu đô la trong quý 2 năm 2022**.
CertiK đã tìm thấy tổng số 212* sự cố bảo mật, tương đương với mức thiệt hại trung bình là 1,48 triệu đô la cho mỗi sự cố trong quý 2. Con số đó giảm nhẹ so với mức lỗ trung bình cho mỗi sự cố là 1,56 triệu đô la trong quý đầu tiên.
98 vụ lừa đảo thoát lệnh đã đánh cắp 70,35 triệu đô la từ các nhà đầu tư, nhiều hơn gấp đôi so với 31 triệu đô la bị mất do lừa đảo thoát lệnh trong quý đầu tiên.
54 vụ tấn công flash loan và các sự cố thao túng tiên tri đã khiến những kẻ tấn công phải trả giá $23,75 triệu. Con số này giảm mạnh so với tổng thiệt hại 222 triệu đô la từ 52 thao tác tiên tri trong quý đầu tiên. Tất nhiên, do khoản lỗ lớn của Euler Finance trong quý trước, chỉ riêng lỗ hổng này đã chiếm 85% tổng số tiền trong quý trước.
Ngoài ra, một số sự kiện "off-chain" lớn đang diễn ra trong ngành: Ủy ban Chứng khoán và Giao dịch Hoa Kỳ đã đệ đơn kiện hai sàn giao dịch tiền ảo lớn nhất; và công ty quản lý tài sản lớn nhất thế giới đã nộp đơn đăng ký Bitcoin ETF .
Trong khi đó, các nhà nghiên cứu bảo mật của CertiK cũng đã phát hiện ra một số lỗ hổng lớn trong các ứng dụng và giao thức chuỗi khối chính, bao gồm rủi ro bảo mật trong các nút trình xác thực Sui và ví MPC của ZenGo.
Hiển thị một phần dữ liệu
Giới thiệu
Tổng thiệt hại được ghi nhận trong không gian Web 3.0 trong quý 2 năm 2023 lên tới $313.566.528, gần bằng với quý trước và giảm 58% so với cùng kỳ năm ngoái. Tổn thất trung bình trên mỗi vụ tai nạn cũng giảm nhẹ.
Nhìn vào quý thứ hai, số vụ thao túng tiên tri đã giảm đáng kể, trong khi tổng thiệt hại của các vụ lừa đảo tăng lên, cho thấy các chiến thuật mà những kẻ độc hại sử dụng đã thay đổi.
Khi ngành công nghiệp phát triển, các trường hợp như cuộc tấn công vào robot MEV và việc phát hiện ra mối đe dọa bảo mật “bánh xe chuột đồng” trên chuỗi khối Sui cho thấy tầm quan trọng của việc liên tục tìm hiểu sâu về bảo mật, tấn công phủ đầu và cảnh giác liên tục. Với mỗi thử thách được vượt qua, chúng ta tiến một bước gần hơn đến không gian Web 3.0 an toàn hơn.
Hãy xem Báo cáo để biết thêm chi tiết và dữ liệu.
Robot MEV bị khai thác ác ý
Vào đầu tháng 4, robot MEV đã bị tin tặc khai thác tại khối 16964664 của Ethereum. Trình xác thực độc hại đã thay thế một số giao dịch MEV, dẫn đến thiệt hại khoảng 25,38 triệu USD. Vụ việc là cuộc tấn công lớn nhất vào robot MEV cho đến nay.
Sự cố xảy ra trong khối Ethereum 16964664, với 8 giao dịch MEV bị khai thác bởi các trình xác thực độc hại. Trình xác thực này được thiết lập vào ngày 15 tháng 3 năm 2023, tại địa chỉ bên ngoài (EOA) 0x687A9 và kể từ đó đã quản lý để xâm nhập vào Flashbot ngăn chặn chạy trước.
Tuy nhiên, một lỗ hổng trong MEV-boost-relay cho phép các trình xác thực độc hại phát lại các giao dịch theo gói, chặn các chiến lược tầng lửng một phần của bot MEV, đặc biệt là các giao dịch đảo ngược. Do lỗ hổng trên, trình xác nhận đã xem thông tin giao dịch chi tiết. Với các chi tiết giao dịch này, trình xác thực độc hại có thể xây dựng các khối của riêng họ và chèn các giao dịch trước của họ trước giao dịch bot MEV ban đầu.
Tổng cộng, trình xác thực độc hại này đã đánh cắp được khoảng 25 triệu đô la từ 5 bot MEV, khiến nó trở thành một trong những tổn thất lớn nhất đối với bot MEV mà CertiK từng thấy cho đến nay. Trong 12 tháng qua, chỉ có sáu bot MEV bị phát hiện bị khai thác và riêng sự cố này đã chiếm 92% trong tổng số 27,5 triệu USD thiệt hại.
Trình xác thực độc hại khai thác lỗ hổng MEV-boost-relay và bắt đầu cuộc tấn công bằng cách gửi một khối không hợp lệ nhưng được ký chính xác. Sau khi xem các giao dịch trong một khối, người xác thực có thể liên kết lại chúng để xác nhận tài sản từ bot MEV. Lỗ hổng này đã được vá sau đó.
Để biết thêm thông tin về robot MEV và các cuộc tấn công bằng bánh sandwich, vui lòng kiểm tra Báo cáo để biết thêm thông tin.
** Ví Atomic bị tấn công **
Vào đầu tháng 6 năm nay, hơn 5.000 người dùng Atomic Wallet đã gặp phải sự cố bảo mật lớn nhất trong quý, dẫn đến thiệt hại hơn 100 triệu USD. Ban đầu, Atomic Wallet tuyên bố rằng ít hơn 1% người dùng hoạt động hàng tháng là nạn nhân của sự cố, nhưng sau đó đã thay đổi thành ít hơn 0,1%. Một cuộc tấn công với quy mô lớn như vậy và những tổn thất to lớn đã nhấn mạnh mức độ nghiêm trọng của các lỗi bảo mật trong các ứng dụng ví.
Những kẻ tấn công nhắm mục tiêu khóa riêng của người dùng, giành toàn quyền kiểm soát tài sản của họ. Sau khi lấy được chìa khóa, họ có thể chuyển tài sản đến địa chỉ ví của chính họ, làm trống tài khoản của nạn nhân.
Các nhà đầu tư bán lẻ đã báo cáo các khoản lỗ ở các quy mô khác nhau, bao gồm mức cao tới 7,95 triệu đô la. Thiệt hại tích lũy của năm nạn nhân bán lẻ lớn nhất lên tới 17 triệu đô la.
Để phục hồi những tổn thất, Atomic Wallet đã công khai đưa ra lời đề nghị cho những kẻ tấn công, hứa sẽ từ bỏ 10% số tiền bị đánh cắp để đổi lấy 90% số mã thông báo bị đánh cắp. Tuy nhiên, dựa trên lịch sử của Tập đoàn Lazarus và thực tế là số tiền bị đánh cắp đã bắt đầu được rửa, cơ hội lấy lại số tiền là rất mong manh.
Để biết thêm phân tích về Atomic Wallet và "hậu trường", vui lòng kiểm tra Báo cáo để biết thêm thông tin.
Khai thác mới của Sui "Hamster Wheel"
Trước đây, nhóm CertiK đã phát hiện ra một loạt lỗ hổng từ chối dịch vụ trong chuỗi khối Sui. Trong số các lỗ hổng này, có một lỗ hổng mới và có mức độ ảnh hưởng cao. Lỗ hổng này có thể khiến các nút mạng Sui không thể xử lý các giao dịch mới và hậu quả tương đương với việc tắt hoàn toàn toàn bộ mạng. CertiK đã nhận được tiền thưởng sửa lỗi trị giá 500.000 đô la từ Sui vì đã phát hiện ra lỗ hổng bảo mật lớn này. CoinDesk, một phương tiện truyền thông có thẩm quyền trong ngành công nghiệp Hoa Kỳ, đã đưa tin về sự kiện này, và sau đó các phương tiện truyền thông lớn cũng đưa tin liên quan sau báo cáo của nó.
Lỗ hổng bảo mật này được gọi một cách sinh động là "Hamster Wheel": phương thức tấn công độc đáo của nó khác với các cuộc tấn công hiện đã biết. Kẻ tấn công chỉ cần gửi một tải trọng khoảng 100 byte để kích hoạt vòng lặp vô hạn trong nút xác minh Sui, khiến nó không phản hồi đến các giao dịch mới.
Ngoài ra, thiệt hại do cuộc tấn công gây ra có thể tiếp tục sau khi mạng được khởi động lại và có thể tự động lan truyền trong mạng Sui, khiến tất cả các nút không thể xử lý các giao dịch mới giống như chuột đồng chạy không ngừng trên bánh xe. Do đó, chúng tôi gọi kiểu tấn công độc đáo này là cuộc tấn công "bánh xe chuột đồng".
Sau khi phát hiện ra lỗi, CertiK đã báo cáo cho Sui thông qua chương trình tiền thưởng lỗi của Sui. Sui cũng đã phản hồi hiệu quả ngay lần đầu tiên, xác nhận mức độ nghiêm trọng của lỗ hổng và tích cực thực hiện các biện pháp tương ứng để khắc phục sự cố trước khi ra mắt mạng chính. Ngoài việc khắc phục lỗ hổng cụ thể này, Sui cũng thực hiện các biện pháp giảm thiểu phòng ngừa để giảm thiểu thiệt hại tiềm ẩn mà lỗ hổng này có thể gây ra.
Để cảm ơn nhóm CertiK vì sự tiết lộ có trách nhiệm của họ, Sui đã trao cho nhóm CertiK khoản tiền thưởng 500.000 USD.
Để biết chi tiết, vui lòng nhấp vào "Lỗ hổng mới nhất của Sui "Hamster Wheel", chi tiết kỹ thuật và phân tích chuyên sâu"
Lỗ hổng cấp máy chủ dựa trên ví MPC
Tính toán nhiều bên (MPC) là một phương pháp mật mã cho phép nhiều người tham gia thực hiện tính toán trên một chức năng của đầu vào của họ trong khi vẫn bảo vệ quyền riêng tư của những đầu vào đó. Mục tiêu của nó là đảm bảo rằng những đầu vào này không được chia sẻ với bất kỳ bên thứ ba nào. Công nghệ này có các ứng dụng đa dạng, bao gồm khai thác dữ liệu bảo vệ quyền riêng tư, đấu giá an toàn, dịch vụ tài chính, học máy đa bên an toàn, mật khẩu an toàn và chia sẻ bí mật.
Nhóm Skyfall của CertiK đã tìm thấy một lỗ hổng nghiêm trọng trong kiến trúc bảo mật của ví trong quá trình phân tích bảo mật phòng ngừa của ví điện toán đa bên (MPC) phổ biến hiện nay ZenGo, được gọi là "tấn công rẽ nhánh thiết bị". Những kẻ tấn công có thể sử dụng nó để vượt qua các biện pháp bảo mật hiện có của ZenGo, tạo cơ hội cho chúng kiểm soát tiền của người dùng. Mấu chốt của cuộc tấn công là khai thác lỗ hổng trong API để tạo khóa thiết bị mới nhằm đánh lừa các máy chủ ZenGo coi đó là thiết bị của người dùng thực.
Nhóm Skyfall đã nhanh chóng báo cáo lỗ hổng này cho ZenGo theo các nguyên tắc tiết lộ có trách nhiệm. Sau khi nhận thấy mức độ nghiêm trọng của vấn đề, nhóm bảo mật của ZenGo đã nhanh chóng hành động để khắc phục. Để ngăn chặn khả năng bị tấn công, lỗ hổng đã được khắc phục ở cấp API của máy chủ, do đó không cần cập nhật mã máy khách.
ZenGo đã công khai thừa nhận những phát hiện sau khi hoàn thành sửa lỗi và cảm ơn CertiK vì vai trò quan trọng của nó trong việc tăng cường tính bảo mật và độ tin cậy của ví dựa trên MPC.
"Điện toán đa bên có triển vọng lớn và có nhiều ứng dụng quan trọng trong lĩnh vực Web 3.0. Mặc dù công nghệ MPC giúp giảm nguy cơ xảy ra lỗi tại một điểm, nhưng việc triển khai các giải pháp MPC sẽ mang lại sự phức tạp mới cho thiết kế ví tiền điện tử. Điều này sự phức tạp có thể dẫn đến những rủi ro bảo mật mới, điều này cho thấy rằng một phương pháp giám sát và kiểm tra toàn diện là điều cần thiết." - Giáo sư Kang Li, Giám đốc An ninh, CertiK
Bấm để báo cáo đầy đủ
Xem bản gốc
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Đã phát hành Báo cáo bảo mật ngành Web3.0 cho Quý 2 năm 2023
Tóm tắt
Hiển thị một phần dữ liệu
Giới thiệu
Tổng thiệt hại được ghi nhận trong không gian Web 3.0 trong quý 2 năm 2023 lên tới $313.566.528, gần bằng với quý trước và giảm 58% so với cùng kỳ năm ngoái. Tổn thất trung bình trên mỗi vụ tai nạn cũng giảm nhẹ.
Nhìn vào quý thứ hai, số vụ thao túng tiên tri đã giảm đáng kể, trong khi tổng thiệt hại của các vụ lừa đảo tăng lên, cho thấy các chiến thuật mà những kẻ độc hại sử dụng đã thay đổi.
Khi ngành công nghiệp phát triển, các trường hợp như cuộc tấn công vào robot MEV và việc phát hiện ra mối đe dọa bảo mật “bánh xe chuột đồng” trên chuỗi khối Sui cho thấy tầm quan trọng của việc liên tục tìm hiểu sâu về bảo mật, tấn công phủ đầu và cảnh giác liên tục. Với mỗi thử thách được vượt qua, chúng ta tiến một bước gần hơn đến không gian Web 3.0 an toàn hơn.
Hãy xem Báo cáo để biết thêm chi tiết và dữ liệu.
Robot MEV bị khai thác ác ý
Vào đầu tháng 4, robot MEV đã bị tin tặc khai thác tại khối 16964664 của Ethereum. Trình xác thực độc hại đã thay thế một số giao dịch MEV, dẫn đến thiệt hại khoảng 25,38 triệu USD. Vụ việc là cuộc tấn công lớn nhất vào robot MEV cho đến nay.
Sự cố xảy ra trong khối Ethereum 16964664, với 8 giao dịch MEV bị khai thác bởi các trình xác thực độc hại. Trình xác thực này được thiết lập vào ngày 15 tháng 3 năm 2023, tại địa chỉ bên ngoài (EOA) 0x687A9 và kể từ đó đã quản lý để xâm nhập vào Flashbot ngăn chặn chạy trước.
Tuy nhiên, một lỗ hổng trong MEV-boost-relay cho phép các trình xác thực độc hại phát lại các giao dịch theo gói, chặn các chiến lược tầng lửng một phần của bot MEV, đặc biệt là các giao dịch đảo ngược. Do lỗ hổng trên, trình xác nhận đã xem thông tin giao dịch chi tiết. Với các chi tiết giao dịch này, trình xác thực độc hại có thể xây dựng các khối của riêng họ và chèn các giao dịch trước của họ trước giao dịch bot MEV ban đầu.
Tổng cộng, trình xác thực độc hại này đã đánh cắp được khoảng 25 triệu đô la từ 5 bot MEV, khiến nó trở thành một trong những tổn thất lớn nhất đối với bot MEV mà CertiK từng thấy cho đến nay. Trong 12 tháng qua, chỉ có sáu bot MEV bị phát hiện bị khai thác và riêng sự cố này đã chiếm 92% trong tổng số 27,5 triệu USD thiệt hại.
Trình xác thực độc hại khai thác lỗ hổng MEV-boost-relay và bắt đầu cuộc tấn công bằng cách gửi một khối không hợp lệ nhưng được ký chính xác. Sau khi xem các giao dịch trong một khối, người xác thực có thể liên kết lại chúng để xác nhận tài sản từ bot MEV. Lỗ hổng này đã được vá sau đó.
Để biết thêm thông tin về robot MEV và các cuộc tấn công bằng bánh sandwich, vui lòng kiểm tra Báo cáo để biết thêm thông tin.
** Ví Atomic bị tấn công **
Vào đầu tháng 6 năm nay, hơn 5.000 người dùng Atomic Wallet đã gặp phải sự cố bảo mật lớn nhất trong quý, dẫn đến thiệt hại hơn 100 triệu USD. Ban đầu, Atomic Wallet tuyên bố rằng ít hơn 1% người dùng hoạt động hàng tháng là nạn nhân của sự cố, nhưng sau đó đã thay đổi thành ít hơn 0,1%. Một cuộc tấn công với quy mô lớn như vậy và những tổn thất to lớn đã nhấn mạnh mức độ nghiêm trọng của các lỗi bảo mật trong các ứng dụng ví.
Những kẻ tấn công nhắm mục tiêu khóa riêng của người dùng, giành toàn quyền kiểm soát tài sản của họ. Sau khi lấy được chìa khóa, họ có thể chuyển tài sản đến địa chỉ ví của chính họ, làm trống tài khoản của nạn nhân.
Các nhà đầu tư bán lẻ đã báo cáo các khoản lỗ ở các quy mô khác nhau, bao gồm mức cao tới 7,95 triệu đô la. Thiệt hại tích lũy của năm nạn nhân bán lẻ lớn nhất lên tới 17 triệu đô la.
Để phục hồi những tổn thất, Atomic Wallet đã công khai đưa ra lời đề nghị cho những kẻ tấn công, hứa sẽ từ bỏ 10% số tiền bị đánh cắp để đổi lấy 90% số mã thông báo bị đánh cắp. Tuy nhiên, dựa trên lịch sử của Tập đoàn Lazarus và thực tế là số tiền bị đánh cắp đã bắt đầu được rửa, cơ hội lấy lại số tiền là rất mong manh.
Để biết thêm phân tích về Atomic Wallet và "hậu trường", vui lòng kiểm tra Báo cáo để biết thêm thông tin.
Khai thác mới của Sui "Hamster Wheel"
Trước đây, nhóm CertiK đã phát hiện ra một loạt lỗ hổng từ chối dịch vụ trong chuỗi khối Sui. Trong số các lỗ hổng này, có một lỗ hổng mới và có mức độ ảnh hưởng cao. Lỗ hổng này có thể khiến các nút mạng Sui không thể xử lý các giao dịch mới và hậu quả tương đương với việc tắt hoàn toàn toàn bộ mạng. CertiK đã nhận được tiền thưởng sửa lỗi trị giá 500.000 đô la từ Sui vì đã phát hiện ra lỗ hổng bảo mật lớn này. CoinDesk, một phương tiện truyền thông có thẩm quyền trong ngành công nghiệp Hoa Kỳ, đã đưa tin về sự kiện này, và sau đó các phương tiện truyền thông lớn cũng đưa tin liên quan sau báo cáo của nó.
Lỗ hổng bảo mật này được gọi một cách sinh động là "Hamster Wheel": phương thức tấn công độc đáo của nó khác với các cuộc tấn công hiện đã biết. Kẻ tấn công chỉ cần gửi một tải trọng khoảng 100 byte để kích hoạt vòng lặp vô hạn trong nút xác minh Sui, khiến nó không phản hồi đến các giao dịch mới.
Ngoài ra, thiệt hại do cuộc tấn công gây ra có thể tiếp tục sau khi mạng được khởi động lại và có thể tự động lan truyền trong mạng Sui, khiến tất cả các nút không thể xử lý các giao dịch mới giống như chuột đồng chạy không ngừng trên bánh xe. Do đó, chúng tôi gọi kiểu tấn công độc đáo này là cuộc tấn công "bánh xe chuột đồng".
Sau khi phát hiện ra lỗi, CertiK đã báo cáo cho Sui thông qua chương trình tiền thưởng lỗi của Sui. Sui cũng đã phản hồi hiệu quả ngay lần đầu tiên, xác nhận mức độ nghiêm trọng của lỗ hổng và tích cực thực hiện các biện pháp tương ứng để khắc phục sự cố trước khi ra mắt mạng chính. Ngoài việc khắc phục lỗ hổng cụ thể này, Sui cũng thực hiện các biện pháp giảm thiểu phòng ngừa để giảm thiểu thiệt hại tiềm ẩn mà lỗ hổng này có thể gây ra.
Để cảm ơn nhóm CertiK vì sự tiết lộ có trách nhiệm của họ, Sui đã trao cho nhóm CertiK khoản tiền thưởng 500.000 USD.
Để biết chi tiết, vui lòng nhấp vào "Lỗ hổng mới nhất của Sui "Hamster Wheel", chi tiết kỹ thuật và phân tích chuyên sâu"
Lỗ hổng cấp máy chủ dựa trên ví MPC
Tính toán nhiều bên (MPC) là một phương pháp mật mã cho phép nhiều người tham gia thực hiện tính toán trên một chức năng của đầu vào của họ trong khi vẫn bảo vệ quyền riêng tư của những đầu vào đó. Mục tiêu của nó là đảm bảo rằng những đầu vào này không được chia sẻ với bất kỳ bên thứ ba nào. Công nghệ này có các ứng dụng đa dạng, bao gồm khai thác dữ liệu bảo vệ quyền riêng tư, đấu giá an toàn, dịch vụ tài chính, học máy đa bên an toàn, mật khẩu an toàn và chia sẻ bí mật.
Nhóm Skyfall của CertiK đã tìm thấy một lỗ hổng nghiêm trọng trong kiến trúc bảo mật của ví trong quá trình phân tích bảo mật phòng ngừa của ví điện toán đa bên (MPC) phổ biến hiện nay ZenGo, được gọi là "tấn công rẽ nhánh thiết bị". Những kẻ tấn công có thể sử dụng nó để vượt qua các biện pháp bảo mật hiện có của ZenGo, tạo cơ hội cho chúng kiểm soát tiền của người dùng. Mấu chốt của cuộc tấn công là khai thác lỗ hổng trong API để tạo khóa thiết bị mới nhằm đánh lừa các máy chủ ZenGo coi đó là thiết bị của người dùng thực.
Nhóm Skyfall đã nhanh chóng báo cáo lỗ hổng này cho ZenGo theo các nguyên tắc tiết lộ có trách nhiệm. Sau khi nhận thấy mức độ nghiêm trọng của vấn đề, nhóm bảo mật của ZenGo đã nhanh chóng hành động để khắc phục. Để ngăn chặn khả năng bị tấn công, lỗ hổng đã được khắc phục ở cấp API của máy chủ, do đó không cần cập nhật mã máy khách.
ZenGo đã công khai thừa nhận những phát hiện sau khi hoàn thành sửa lỗi và cảm ơn CertiK vì vai trò quan trọng của nó trong việc tăng cường tính bảo mật và độ tin cậy của ví dựa trên MPC.
"Điện toán đa bên có triển vọng lớn và có nhiều ứng dụng quan trọng trong lĩnh vực Web 3.0. Mặc dù công nghệ MPC giúp giảm nguy cơ xảy ra lỗi tại một điểm, nhưng việc triển khai các giải pháp MPC sẽ mang lại sự phức tạp mới cho thiết kế ví tiền điện tử. Điều này sự phức tạp có thể dẫn đến những rủi ro bảo mật mới, điều này cho thấy rằng một phương pháp giám sát và kiểm tra toàn diện là điều cần thiết." - Giáo sư Kang Li, Giám đốc An ninh, CertiK
Bấm để báo cáo đầy đủ