Tổng thiệt hại do sự cố bảo mật trong quý 1 năm 2024 lên tới 462 triệu USD. Các yếu tố như giá tiền tệ tăng trong quý này có tác động nhất định đến tổng số tiền tăng lên, nhưng nhìn chung, tình hình bảo mật Web3 không mấy khả quan. .
Tác giả: SharkTeam
Ảnh bìa: Ảnh của Markus Spiske trên Bapt
I. Tổng quan
Trong quý đầu tiên của năm 2024, các hành vi độc hại như tấn công hacker, lừa đảo rugpull và tấn công Phishing đã gây ra tổng thiệt hại là 462 triệu USD, tăng trưởng khoảng 18,02% so với cùng kỳ năm ngoái so với quý đầu tiên của năm 2023 (khoảng 383 USD). triệu). Báo cáo này nhằm mục đích tổ chức và phân tích tình trạng bảo mật của ngành Web3 toàn cầu, các sự kiện lớn và xu hướng bảo mật trong quý 1 năm 2024, cung cấp cho độc giả những thông tin hữu ích và ý tưởng mới, đồng thời góp phần thúc đẩy sự phát triển an toàn và lành mạnh của Web3.
2. Phân tích sự cố bảo mật
Theo dữ liệu từ nền tảng phân tích bảo mật Chuỗi chuỗi ChainAegis của SharkTeam, tổng cộng 280 sự cố bảo mật đã xảy ra trong lĩnh vực Web3 trong quý 1 năm 2024 (Hình 1), với tổng thiệt hại hơn 462 triệu đô la Mỹ (Hình 2) So với cùng kỳ năm ngoái, tần suất các sự cố an ninh tăng khoảng 32,70% và số lượng tổn thất tăng trưởng khoảng 20,65%.
Tổng cộng có 60 cuộc tấn công hacker đã xảy ra trong Quý 1 năm 2024, tăng 140% so với Quý 1 năm 2023 và số tiền thiệt hại lên tới 385 triệu USD, chiếm tỷ lệ 83% (Hình 3 so với Quý 1 năm 2023 (362 triệu). ), tăng 6,35% so với cùng kỳ năm trước.
Tổng cộng có 127 trường hợp Kéo Rug xảy ra, tăng 323,33% so với Quý 1 năm 2023 (30 trường hợp), nhưng số tiền thiệt hại giảm 59,44%, tổng trị giá 8,21 triệu USD, chiếm 2% tổng số tiền lỗ trong Quý 1.
Tổng cộng có 93 cuộc tấn Phishing đã xảy ra trong Quý 1, tăng so với cùng kỳ năm trước, với thiệt hại lên tới khoảng 68,66 triệu USD, chiếm tỷ lệ khoảng 15%.
Nhìn vào quý 1 theo tháng (Hình 5), khoản lỗ trong tháng 1 là nghiêm trọng nhất, vượt quá 250 triệu USD, cao hơn nhiều so với tháng 2 (71,42 triệu USD) và tháng 3 (140 triệu USD). Trong đó, 88 sự cố an ninh xảy ra trong tháng 1, cao hơn một chút so với 72 sự cố trong tháng 2 và thấp hơn một chút so với 120 sự cố trong tháng 3. Có thể thấy số tiền thiệt hại của lần sự cố an ninh trong tháng 1 là cao nhất. Phương thức tấn công gây thiệt hại nhiều nhất trong tháng 1 là hacker. Tổng cộng có 20 vụ hacker đã xảy ra, gây thiệt hại 217 triệu USD. Đồng thời, các cuộc tấn công Phishing cũng có tỷ lệ xảy ra cao trong tháng 1, với tổng số 39 cuộc tấn công Phishing, nhưng số tiền thiệt hại tương đối nhỏ, tổng cộng là 29,15 triệu USD. Tần suất chung của các sự cố an ninh và số lượng tổn thất trong tháng 2 ở mức thấp hơn so với tháng 1 và tháng 3.
2.1 Tin tặc hacker
Tổng cộng có 60 cuộc tấn công hacker đã xảy ra trong quý đầu tiên, với tổng thiệt hại là 385 triệu USD. Trong đó, tổn thất nghiêm trọng nhất là 217 triệu USD vào tháng 1. Nguyên nhân chính là do có tổng cộng 2 khoản lỗ vốn lớn xảy ra trong tháng 1.
(1) Vào ngày 1 tháng 1 năm 2024, dự án cầu nối xuyên chuỗi Orbit Chain đã bị tấn công mạng, dẫn đến vụ trộm crypto trị giá khoảng 81,5 triệu đô la Mỹ. Vụ việc liên quan đến 5 giao dịch riêng biệt, mỗi giao dịch hướng đến một địa chỉ ví khác nhau. Các dòng quỹ trái phép bao gồm 50 triệu USD stablecoin(trong đó gồm 30 triệu USDT, 10 triệu USD Dai và 10 triệu USDC), 231 wBTC trị giá khoảng 10 triệu USD và khoảng 21,5 triệu USD trị giá 9500 Ethereum.
(2) Vào ngày 31 tháng 1 năm 2024, bốn ví của người đồng sáng lập Ripple Chris Larsen đã bị tấn công và tổng cộng 237 triệu XRP đã bị đánh cắp, tương đương khoảng 112,5 triệu USD. Phân tích trên Chuỗi ChainAegis cho thấy số tiền bị đánh cắp đã được chuyển qua MEXC, Gate, Binance, Kraken, OKX, HTX, HitBTC, v.v. Đây là vụ trộm crypto lớn nhất năm 2024 cho đến nay và là vụ trộm crypto lớn thứ 20 crypto cho đến nay. Giá XRP đã giảm khoảng 4,4% trong 24 giờ sau vụ việc.
2.2 Rug thảm & Lừa đảo
Như được hiển thị trong hình bên dưới (Hình 6), 29 sự cố Rugpull & Scam đã xảy ra vào tháng 1 và sau đó tăng dần theo từng tháng, với khoảng 63 sự cố xảy ra trong tháng 3; thiệt hại trong tháng 1 là khoảng 4,51 triệu USD và thiệt hại trong tháng 2 là khoảng 4,51 triệu USD. 1,49 triệu USD. Theo phân tích của ChainAegis, sự cố xảy ra chủ yếu ở các Chuỗi chính thống Ethereum và BNB Chain. Tần suất xảy ra sự cố Rug Pull trong dự án Chuỗi BNB cao hơn nhiều so với Ethereum.
Ngoài ra, vào ngày 25 tháng 2, một Rugpull đã xảy ra trong RiskOnBlast, dự án GameFi của hệ sinh thái Blast. Theo phân tích của ChainAegis, địa chỉ 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558 của RiskOnBlast đã huy động được tổng cộng 420 ETH từ ngày 22 đến ngày 24, trị giá khoảng 1,25 triệu USD. Sau đó, nó được chuyển đổi thành Dai và được chuyển sang các địa chỉ tiền gửi sàn giao dịch như ChangeNOW, MEXC, Bybit , v.v. rút tiền. .
2.3 Tấn Phishing đảo
Như minh họa trong hình bên dưới (Hình 7), các cuộc tấn công Phishing xảy ra với tần suất cao nhất trong tháng 1, với tổng số 39 trường hợp, gây thiệt hại khoảng 29,15 triệu USD; tháng 2 có tần suất thấp nhất với 21 cuộc tấn công, gây thiệt hại khoảng 11,34 triệu USD; . SharkTeam nhắc nhở mọi người rằng trong thị trường bò, thị trường đang sôi động và có nhiều cơ hội airdrop. Tuy nhiên, mọi người phải cảnh giác hơn để tránh bị tấn công bởi các nhóm Phishing tích cực như Angel Drainer và Pink Drainer. khi chuyển nhượng và ủy quyền.
3. Phân tích trường hợp điển hình
3.1 Lỗ hổng tính toán độ chính xác của hợp đồng và đề xuất bảo mật
Vào ngày 30 tháng 1 năm 2024, MIM_SPELL bị tấn công Khoản vay nhanh và mất 6,5 triệu USD do lỗ hổng tính toán chính xác. Nguyên nhân của cuộc tấn công là do có lỗ hổng trong tính chính xác của hợp đồng thông minh của dự án khi tính toán các biến vay mượn, khiến các biến chính co giãn và giá trị cơ sở bị thao túng và mất cân bằng, dẫn đến các vấn đề khi tính toán tài sản thế chấp và số tiền vay mượn và cuối cùng là cho vay quá token.
Cả hàm vay và hàm trả nợ trong hợp đồng bị tấn công (0x7259e1520) đều sử dụng làm tròn khi tính toán các biến co giãn và biến cơ sở.
Kẻ tấn công (0x87F58580) trước tiên đặt biến đàn hồi và biến cơ sở lần lượt là 0 và 97 bằng cách hoàn trả các khoản vay của người dùng khác.
Sau đó, hàm mượn và hàm trả nợ được gọi liên tục và số lượng tham số là 1. Khi hàm mượn được gọi lần đầu tiên, vì elastic=0, logic if ở trên sẽ được thực thi và trả về hàm add. Điều này dẫn đến co giãn = 1, cơ sở = 98.
Sau đó, kẻ tấn công (0x87F58580) gọi hàm mượn và chuyển vào 1. Vì elastic=1, logic else sẽ được thực thi và giá trị trả về được tính toán là 98. Theo cách này, khi quay lại hàm add, elastic=2 và biến cơ sở là 196.
Nhưng tại thời điểm này, kẻ tấn công (0x87F58580) gọi hàm trả nợ và chuyển vào 1. Vì elastic=2, logic else sẽ được thực thi ban đầu là 1*2/98 = 0, nhưng do những điều sau đây. các bước làm tròn lên, kết quả tính toán được giá trị trả về là 1, để khi quay về hàm con, biến đàn hồi đổi về 1, biến cơ sở là 195.
Có thể thấy, sau vòng lặp vay-trả nợ, biến đàn hồi không thay đổi và biến cơ sở tăng gần gấp đôi, lợi dụng lỗ hổng này, hacker thường xuyên thực hiện các vòng lặp chức năng vay-trả nợ và cuối cùng gọi trả nợ lần nữa, cuối cùng tạo ra đàn hồi=0. cơ sở = 120080183810681886665215049728.
Khi tỷ lệ giữa biến đàn hồi và biến Cơ sở mất cân bằng nghiêm trọng, kẻ tấn công (0x87F58580) có thể cho vay lượng lớn token MIM sau khi thêm một lượng tài sản thế chấp rất nhỏ để hoàn thành cuộc tấn công.
3.2 Sự cố tấn công Phishing DeGame và Pink Nhóm lừa đảo thoát nước
Vào tháng 3 năm 2024, một người dùng Web3 đã vô tình nhấn vào liên kết Phishing được đăng twitter chính thức của DeGame đã bị đánh cắp tài khoản và bị thua lỗ.
Sau đó, người dùng nhầm tưởng rằng DeGame đã thực hiện hành vi trộm cắp trong quá trình này nên đã tiết lộ vụ việc trên Twitter. Một nhóm KOL, phương tiện truyền thông và một số lượng đáng kể người dùng tiếp tục lan truyền vụ việc mà không hề hay biết, điều này đã ảnh hưởng đến hình ảnh thương hiệu của DeGame và. Danh tiếng của nền tảng đã có tác động lớn.
Sau sự việc, DeGame đã đưa ra một kế hoạch khẩn cấp để giúp người dùng nạn nhân cố gắng lấy lại tài sản. Câu chuyện về cuộc tấn Phishing của DeGame đại khái như sau:
(1 ) Từ 4h00 sáng đến 9h30 sáng ngày airdrop, chính thức chính thức airdrop Một người dùng báo cáo rằng anh ta đã mất khoảng 57 PufETH sau khi nhấn liên kết airdrop;
(2) Các nhà điều hành Twitter chính thức của DeGame đã phát hiện ra liên kết Phishing trên nền tảng này sau 9:30 sáng và xóa nó. Đồng thời, DeGame đã đồng bộ hóa tin tức đến tất cả người dùng thông qua mạng xã hội và cộng đồng chính thức , đồng thời đưa ra thông báo nhắc nhở.
(3) Người dùng nạn nhân đã duyệt liên kết trang web Phishing và văn bản giải thích do kẻ tấn công đăng trong khoảng thời gian bất thường trên tài khoản Twitter chính thức của DeGame. Anh ta đã vô tình tin rằng liên kết này thực sự được tổ chức bởi chính thức DeGame cùng với các bên dự án khác. hoạt động airdrop token , sau khi nhấn liên kết và làm theo lời nhắc đặt trước của kẻ tấn công, tài sản đã bị mất.
(4) Sau khi người dùng nhấn trang web Phishing để kết nối với ví, trang web sẽ tự động phát hiện xem có tài sản trong địa chỉ ví hay không. Nếu có tài sản, chữ ký giao dịch Phê duyệt Mã thông báo Cấp phép sẽ bật lên trực tiếp. Điều khác biệt so với chữ ký giao dịch thông thường là chữ ký này hoàn toàn không được tải lên Chuỗi, hoàn toàn nặc danh và có khả năng được sử dụng theo cách bất hợp pháp. Ngoài ra, người dùng không cần phải có sự ủy quyền trước để tương tác với hợp đồng ứng dụng bằng cách đính kèm chữ ký ủy quyền (Permit).
(5) Trong vụ trộm cắp lần , hacker Phishing đã lấy được chữ ký giao dịch Phê duyệt mã thông báo cấp phép được người dùng bị đánh cắp ủy quyền đến địa chỉ hợp đồng Phishing 0xd560b5325d6669aab86f6d42e156133c534cde90 và gửi Giấy phép trong giao dịch tấn công để gọi Phê duyệt để nhận ủy quyền token và sau đó chuyển số tiền bị đánh cắp .
(6) Nhà cung cấp công cụ Phishing là nhóm hacker Pink Drainer. Pink Drainer là một phần mềm độc hại dưới dạng dịch vụ (MaaS) cho phép kẻ tấn công nhanh chóng thiết lập các trang web độc hại và lấy thông tin thông qua phần tài sản độc hại. Khoảng 25% số tiền bị đánh cắp trong giao dịch bị đánh cắp này đã được chuyển đến PinkDrainer: Wallet 2, đây là địa chỉ ví số 2 của nhóm Phishing PinkDrainer. Đây là địa chỉ tự động được kẻ thực hiện Phishing cấp cho PinkDrainer sau khi sử dụng công cụ Phishing . của nhóm Phishing PinkDrainer được chia thành.
3.3 Rugpull hàng loạt dẫn đến số lượng sự kiện tăng đột biến
Sự gia tăng số lượng sự cố Rugpull vào năm 2024 có liên quan chặt chẽ đến việc tạo hàng loạt token Rugpull theo hợp đồng với nhà máy RugPull. Đội ngũ nghiên cứu bảo mật của SharkTeam đã tiến hành phân tích chi tiết về các sự cố Rugpull này. Trong quá trình phân tích, chúng tôi nhận thấy rằng hợp đồng nhà máy Rugpull trên Chuỗi BNB đã bắt đầu lần 70 sự kiện Rugpull trong tháng qua thường có các đặc điểm hành vi sau:
(1) Token này được tạo bởi hoạt động createToken của hợp đồng sản xuất token. Trong hàm createToken, các tham số sau cần được chuyển vào khi tạo token: tên token, ký hiệu token, độ chính xác, lượng cung ứng, địa chỉ chủ sở hữu token, địa chỉ hợp đồng nhà máy để tạo token và địa chỉ stablecoin BUSD-T. Trong đó, hợp đồng nhà máy tạo cặp token sử dụng hợp đồng nhà máy của PancakeSwap và mỗi token có một địa chỉ chủ sở hữu khác nhau.
(2) Chủ sở hữu token sử dụng các địa chỉ khác để mua vào và bán token Rugpull theo đợt. Trong hoạt động mua vào và bán, thanh khoản của token tăng đáng kể và giá tăng dần.
(3) Quảng cáo thông qua Phishing và các phương pháp khác để thu hút lượng lớn người dùng mua. Khi thanh khoản tăng lên, giá token sẽ tăng gấp đôi.
(4) Khi giá của token đạt đến một giá trị nhất định, chủ sở hữu token sẽ tham gia thị trường và thực hiện thao tác bán để thực hiện Rugpull.
Đằng sau sê-ri hành vi này là một nhóm lừa đảo Web3 với sự phân công lao động rõ ràng, hình thành Chuỗi ngành công nghiệp đen, chủ yếu liên quan đến thu thập điểm nóng, phát hành tiền tự động, giao dịch tự động, tuyên truyền sai sự thật, tấn công Phishing, thu hoạch Rugpull và các liên kết khác. Token Rugpull giả được phát hành có liên quan chặt chẽ đến các sự kiện điểm nóng trong ngành và rất khó hiểu và mang tính xúi giục. Người dùng cần luôn cảnh giác, duy trì lý trí và tránh thua lỗ.
4. Tóm tắt
Tổng thiệt hại do sự cố bảo mật trong quý 1 năm 2024 lên tới 462 triệu USD. Các yếu tố như giá tiền tệ tăng trong quý này có tác động nhất định đến tổng số tiền tăng lên, nhưng nhìn chung, tình hình bảo mật Web3 không mấy khả quan. . Các lỗ hổng logic hợp đồng thông minh, Chuỗi công nghiệp đen Rugpull, các cuộc tấn công Phishing , v.v. là những nguyên nhân chính đe dọa tính bảo mật của tài sản crypto của người dùng. Chúng tôi hy vọng rằng người dùng và dự án Web3 có thể cải thiện nhận thức về bảo mật của họ càng sớm càng tốt và giảm thiểu tổn thất.
Tuyên bố miễn trừ trách nhiệm: Là một nền tảng thông tin blockchain, các bài viết được xuất bản trên trang này chỉ thể hiện quan điểm cá nhân của tác giả và khách và không liên quan gì đến quan điểm của Web3Caff. Thông tin trong bài viết chỉ tham khảo và không cấu thành bất kỳ lời khuyên hay đề nghị đầu tư nào. Vui lòng tuân thủ luật pháp và quy định có liên quan của quốc gia hoặc khu vực nơi bạn sinh sống.
