Web3安全报告

BEOSIN022全球Web32022年安全报告&加密法规遵从性的研究保护区块链E COSYSTEM 内容011.十大安全事故2022042.类型的攻击项目073.损失由链084.攻击类型095.审计分析116.偷来的基金流117.地毯拉在202212II. 2022 年加密犯罪、金融风险和监管131.全球加密和犯罪统计数据情况下132.从金融监管反应产生风险143.在不同的国家和法规遵从性地区164.2023年全球监管和政策前景253安全指南Web3用户 261.私钥和种子短语262.网络钓鱼网站27四、北信2023区块链安全行业总结好吧28Beosin安全产品29对区块链安全联盟30关于Beosin30关于LegalDAO30关于Buidler刀30关于碳足迹分析30联系我们31即2022年全球Web3安全统计数据 前言随着区块链行业在2022年迎来新的发展时期，各种安全风险也不断显现。接二连三的区块链安全事件高发，对区块链行业构成了严峻的挑战。从Beosin在2022年的统计数据来看，多个项目遭到黑客攻击，巨大的经济损失严重影响了区块链生态系统的安全稳定。在监管合规方面，完善和建立区块链行业相关体系还有很长的路要走，迫切需要相关部门的介入和行业从业者的有效推动。当前区块链行业发展趋势总体上是积极的，未来发展潜力可期，但同样重要的是要认识到，混乱的安全形势和多方面的安全挑战迫切需要加强区块链安全监管和合规。在这份“2022 年全球 Web3 安全报告和加密监管合规性研究”中，我们将回顾前 10 大安全事件，并在第一节中从多个维度分析全球 Web3 安全统计数据。第二部分将介绍全球加密犯罪统计数据、重大金融事件以及不同国家或地区的监管合规情况。在第三部分中，将为 web3 用户提供安全指南和解决方案。最后一部分是Beosin对区块链安全行业的2023年展望。保护区块链E COSYSTEM 我。2022全球Web3安全统计数据参与者:Beosin研究团队——马里奥,唐尼数据来源（截至2022年12月20日）：https://www.footprint.network/@Beosin/Footprint-Beosin-2022-Report 即2022年全球Web3安全统计数据2022 年，Beosin EagleEye 监测了 Web3 领域超过 167 次重大攻击，所有类型的攻击造成的总损失约为 36 亿美元，比 2021 年增加了 47.4%。其中，10起安全事件在一次攻击中损失超过1亿美元，21起安全事件的损失从1 000万美元到1亿美元不等。按项目类型划分，12起跨链桥事件共造成约18.9亿元损失，在所有项目类型中排名第一。DeFi类型的协议被攻击了113次，约占攻击总数的67.6%，使其成为最常被攻击的项目类型。2022 年共有 20 个公共区块链发生重大安全事件，损失金额排名前三的是以太坊、BNB 链和 Solana ;攻击次数最多的前三名是BNB链，以太坊和Solana。全年漏洞利用的频率和损失均排名最高，在 87 次漏洞利用中损失了 14.58 亿美元。在 2022 年监测的 167 次重大攻击中，经审计和未经审计的协议约占 50/50，分别为 51.5% 和 48.5%。2022 年，大约 13.96 亿美元的被盗资金存入了 Tornado Cash，占所有攻击中损失资金的 38.7%。全年仅追回了8%的被盗资金，即约2.89亿美元。01 即2022年全球Web3安全统计数据2022 年，全球加密犯罪总额为 137.6 亿美元（不包括金融犯罪），其中洗钱占 73.3 亿美元，攻击/漏洞利用 36 亿美元，金字塔计划达到 10 亿美元，诈骗为 8.3 亿美元。在 2022 年的骗局中，243 起地毯拉动涉及总额为 4.25 亿美元（不包括 4.4 亿美元的 FTX 事件）。大约86.4%的项目资金在$ 1k- $ 1M之间。02 即2022年全球Web3安全统计数据全球TVL在2022年大幅萎缩，年底TVL较年初的峰值下降了约80%。市场受到以三箭资本、Terra Luna和FTX为代表的一系列黑天鹅事件的严重影响。尽管全球加密市值大幅萎缩，但 2022 年区块链的整体犯罪数字仍达到 137 亿美元，与 2021 年相比，攻击数量显着增加。过去的2022年对于全球区块链安全来说总体上是艰难的一年，2023年将对安全行业提出更高、更紧迫的要求。打击猖獗的黑客行为，加快建立全球监管体系，并带来技术突破以解决现有的行业缺陷 - 这些将是2023年需要考虑和紧急解决的关键问题。03 I.2022年全球Web3安全统计数据1.2022年十大安全事故一号门将。浪人网络损失:624美元攻击类型:社会工程2022 年 3 月 29 日，Axie Infinity 侧链 Ronin 遭到攻击，大约 6.24 亿美元的加密货币被盗。黑客使用被盗的私钥伪造提款凭据，这至少需要五个验证者，最终攻击者设法控制了五个验证者来窃取资金。根据调查，黑客通过社会工程向Sky Mavis的工程师发送了一封虚假的录取通知书，该文件允许黑客入侵Ronin的系统。袭击发生后，被盗资产被发送到多个地址，并通过Tornado Cash分批洗钱。5月20日，浪人袭击者将最后一批资金转移到龙卷风现金，所有资产都被清洗。6月28日，浪人号在推特上宣布重新开业。北信安全团队对此类跨链桥项目给出了以下建议：1.注意验证人的安全性;2、当相关业务中签名服务下线时，应及时更新策略关闭相应的服务模块，并丢弃相应的签名地址;3. 在多签名验证中，多重签名服务应在逻辑上相互隔离，签名内容应独立验证;4、项目业主应实时监控资金异常情况。二氧化氮。二元同步通信令牌中心(BNB链)损失：5.6亿美元 攻击类型：区块链漏洞2022 年 10 月 7 日，BNB 链的跨链桥代币中心遭到黑客攻击。黑客首先通过调用区块高度21955968合约来支付 100 BNB 注册为 Relayer，然后从 BNB Chain 的 TokenHub 合约中获得了总计 200 万 BNB。黑客随后在BNB Chain的借贷协议Venus上质押了其中的90万个BNB，并借出了6250万的BUSD，5000万的USDT和3500万的USDC。Beosin安全团队发现，由于BSC Token Hub使用了特殊的预编译合约来验证IAVL执行跨链交易验证时的树。该实现易受攻击，允许攻击者伪造任意消息。10月24日，币安创始人赵长鹏表示，在执法部门的帮助下，攻击者的身份范围已经缩小。此外，CZ表示，币安能够冻结约80%至90%的被盗资金，实际损失在1亿美元左右。04 即2022年全球Web3安全统计数据3号。FTX:黑客或地毯拉?损失：4.4亿美元 攻击类型：疑似拉拉2022 年 11 月 15 日，在 FTX 宣布破产后不久，FTX 被宣布遭到黑客攻击。大约4.4亿美元被盗。管理员向官方电报组发送了一条消息，指出破产的平台已被黑客入侵，所有应用程序都是恶意软件。管理员建议用户删除该应用程序，不要访问该网站或打开其应用程序，因为这可能包含特洛伊木马。还有很多未知数，很多人认为这很可能是内幕操作。4号。虫洞损失：3.26亿美元 攻击类型：合约漏洞 - 验证问题2022 年 2 月 3 日，虫洞遭到黑客攻击，造成约 3.26 亿美元的损失。Beosin安全团队的分析发现，黑客利用了Wormhole合约中的签名验证漏洞，该漏洞允许黑客伪造sysvar帐户以铸造wETH。该漏洞已在 Solana 1.9.4 中修补，并且在最终上线之前仍需经过审查过程，黑客利用此漏洞攻击仍在使用 Solana 1.8 合约的合约。攻击发生后，Wormhole宣布已恢复其跨链桥资金并重新上线。加密投资基金Jump Crypto于2月4日宣布，已投资120，000以太币来弥补事件的损失，以支持虫洞的持续增长。排名第五。游牧桥损失:190美元几百万攻击类型：合约漏洞 - 验证问题2022 年 8 月 2 日，跨链桥协议 Nomad 遭到大规模黑客攻击，涉及 500 多个黑客地址，造成 1.9 亿美元的损失。北信安全团队分析交易，发现项目业主错误地添加了0x000...000作为可接受的根，导致判决成立，从而允许攻击者提取合约中的资金。因此，任何攻击者都可以简单地复制第一个被黑客入侵的交易并将其替换为未使用的攻击地址，然后单击以通过Etherscan发送以窃取资金。此外，由于是副本合约容易受到攻击，其所有相应的与BridgeRouter相关的DApp都受到影响，因此被盗资金表现出多代币性质。8月3日，Nomad发布了一份说明，呼吁白帽黑客归还被盗资金。截至8月15日，该项目已收回3700万美元。六号。豆茎损失:182美元攻击类型:Flashloan2022 年 4 月 17 日，算法稳定币项目 Beanstalk 农场遭受闪购攻击，协议失败1.82亿美元，攻击者获利8000万美元。袭击发生后不久，攻击者将全部8000万美元转移到Tornado Cash。攻击者在攻击前一天发起了一项提案，该提案将从Beanstalk协议合同中提取资金。黑客通过闪贷获得了大量资金储备，然后反复交换。对该提案的最后表决最终获得通过。针对此次事件，北信安全团队建议：1、用于投票的资金应在合约中锁定一定时间，避免使用账户当前资金余额统计票数;2、项目业主和社区应注意所有提案，如有恶意提案，建议放弃提案;3. 考虑禁止合约地址投票。05 即2022年全球Web3安全统计数据No7。Wintermute损失：1.6亿美元 攻击类型：私钥泄露2022 年 9 月 20 日，Wintermute 在 DeFi 黑客攻击中损失了 1.6 亿美元。Beosin安全团队的分析发现，攻击者经常利用0x0000000fe6a...用于调用0x00000000ae34的0x178979ae函数的地址...将资金转移到攻击者的合同中。通过反编译合约，发现调用0x178979ae函数需要权限检查，通过查询函数确认0x0000000fe6a地址已经设置了CommonAdmin权限，并且该地址在攻击前与合约有正常的交互，因此可以确认0x0000000fe6a私钥被泄露。9 月 21 日，Wintermute 确认它在 6 月份使用了亵渎和内部工具创建钱包地址，并且亵渎工具存在私钥爆裂的风险。No8。芒果市场损失：1.16亿美元 攻击类型：价格操纵2022 年 10 月 12 日，Solana 上的芒果协议遭到黑客攻击，损失约 1.16 亿美元。黑客使用两个账户和总计1000万USDT作为启动资金，以杠杆100+百万资产。这次攻击的主要原因是杠杆合约没有限制芒果可以开仓的头寸，允许攻击者提高芒果代币的价格以获取利润。油菜新品种。埃尔隆损失:113美元攻击类型:虚拟机的问题2022年6月5日，区块链网络Elrond遭到黑客攻击，黑客“获取”了近165万的EGLD，并通过去中心化交易所Maiar倾销，导致$EGLDs暴跌92%。Elrond发布了一份事后分析，称攻击者没有利用任何智能合约代码漏洞，问题出在虚拟机上。以前的错误已得到解决，几乎所有被盗资金都已恢复。任何来自已知漏洞的剩余缺失资金将由埃尔隆德基金会全额支付。10号。和谐损失：1亿美元 攻击类型：私钥泄露2022 年 6 月 24 日，Harmony 跨链桥遭到攻击，损失约 1 亿美元。Harmony的创始人表示，对Horizon的攻击不是由于智能合约漏洞，而是由于私钥泄露。尽管Harmony存储了加密的私钥，但攻击者解密了其中一些并签署了一些未经授权的交易。袭击发生后，Harmony立即停止了地平线桥，以防止进一步的交易。然后，它联系了联邦调查局和多个合作伙伴进行调查。尽管如此，黑客还是通过龙卷风现金清洗了被盗资金。7月27日，和谐发出补偿方案。06 即2022年全球Web3安全统计数据2.项目类型的攻击2022 年，12 起跨