【#區(qū)塊鏈# #Beosin年報:2023 Web3區(qū)塊鏈安全態(tài)勢、反洗錢分析回顧以及加密行業(yè)重點監(jiān)管政策總結(jié)#】
本報告由Beosin�、Elven、Footprint Analytics聯(lián)合出品�,本章作者:Beosin 研究團(tuán)隊Mario��、田大俠Donny
*因篇幅有限���,本篇內(nèi)容僅展示報告安全態(tài)勢部分�,我們將在后續(xù)發(fā)布監(jiān)管政策等內(nèi)容�����。
前言
本研究報告由區(qū)塊鏈安全聯(lián)盟發(fā)起�,由聯(lián)盟成員Beosin��、Web3小律�����、Elven共同創(chuàng)作,旨在全面探討2023年全球區(qū)塊鏈安全態(tài)勢和加密行業(yè)的重點監(jiān)管政策�����。通過對全球區(qū)塊鏈安全現(xiàn)狀的分析和評估���,報告將揭示當(dāng)前面臨的安全挑戰(zhàn)和威脅�,并提供解決方案和最佳實踐��。同時���,報告還將審視各國政府和監(jiān)管機(jī)構(gòu)在加密行業(yè)監(jiān)管方面的立場和政策導(dǎo)向,以幫助讀者了解監(jiān)管環(huán)境的動態(tài)變化和可能的影響�����。
通過這份報告���,讀者將能夠更全面地了解Web3區(qū)塊鏈安全態(tài)勢的動態(tài)演變和監(jiān)管政策的核心要點����。這將有助于讀者評估和應(yīng)對區(qū)塊鏈領(lǐng)域所面臨的安全挑戰(zhàn)���,并在遵守監(jiān)管要求的前提下推動行業(yè)的可持續(xù)發(fā)展�。此外,讀者還可以從報告中獲得有關(guān)安全措施��、合規(guī)性要求和行業(yè)發(fā)展方向的有益建議���,以幫助他們在這一新興領(lǐng)域中做出明智的決策和行動����。區(qū)塊鏈安全和監(jiān)管是Web3時代發(fā)展的關(guān)鍵問題。通過深入研究和探討�����,我們可以更好地理解和應(yīng)對這些挑戰(zhàn)����,推動區(qū)塊鏈技術(shù)的安全性和可持續(xù)發(fā)展��。
1����、2023 年度Web3區(qū)塊鏈安全態(tài)勢綜述
據(jù)區(qū)塊鏈安全審計公司 Beosin 旗下 EagleEye 平臺監(jiān)測,2023 年 Web3 領(lǐng)域因黑客攻擊��、釣魚詐騙和項目方 Rug Pull 造成的總損失達(dá)到了 20.2 億美元。其中攻擊事件 191 起�,總損失金額約 13.97 億美元�����;項目方 Rug Pull 事件 267 起����,總損失約 3.88 億美元�����;釣魚詐騙總損失金額約 2.38 億美元�。
2023年,黑客攻擊���、釣魚詐騙和項目方 Rug Pull 事件均較 2022 年有了顯著下降�����,總金額降幅達(dá)到了 53.9%�����。其中黑客攻擊事件降幅最大��,從 2022 年的 36 億美元降到了 2023 的 13.97 億美元����,下降了約 61.2%��。釣魚詐騙損失較 2022 年下降了 33.2%,Rug Pull 損失較 2022 年下降了 8.8%。
2023 年共發(fā)生損失過億美元的攻擊事件 4 起���,損失在 1000?萬美元至1億美元區(qū)間的攻擊事件 17 起。前 10?大安全事件總損失金額約為 10?億美元��,占到了年度攻擊事件總金額的 71.5%����。
2023 年被攻擊的項目類型較 2022 年相比更加廣泛,包括 DeFi�、CEX、DEX�、公鏈、跨鏈橋�����、錢包�����、支付平臺���、博彩平臺、加密經(jīng)紀(jì)商�����、基礎(chǔ)設(shè)施����、密碼管理器、開發(fā)工具���、MEV 機(jī)器人�����、TG 機(jī)器人等多種類型��。DeFi 為被攻擊頻次和損失金額最高的項目類型�,130?次 DeFi 攻擊共造成損失約 4.08 億美元��。
2023 年發(fā)生攻擊事件的公鏈類型更加頻繁����,出現(xiàn)多起在多條鏈上被盜的安全事件。Ethereum 依舊是損失金額最高的公鏈�����,71 次 Ethereum 上的攻擊事件造成了 7.66 億美元的損失,占到了全年總損失的 54.9%�����。
從攻擊手法來看�,30?次私鑰泄露事件共造成約 6.27 億美元的損失,占總損失的 44.9%��,是造成損失最多的攻擊方式����。合約漏洞利用是出現(xiàn)頻次最高的攻擊方式,191 起攻擊事件里���,有 99 次來自于合約漏洞利用�����,占比達(dá)到了 51.8%���。
全年約 2.95 億美元的被盜資金被追回,占比約 21.1%���,較 2022 年有了大幅提升�����。全年約有 3.3 億美元的被盜資金轉(zhuǎn)入了混幣器��,占總被盜資金的 23.6%�����。
和鏈上黑客攻擊���、釣魚詐騙和項目方 Rug Pull 金額顯著下降不同的是,2023 年鏈下加密領(lǐng)域犯罪數(shù)據(jù)大幅增加���。2023年���,全球加密行業(yè)犯罪金額達(dá)到了驚人的 656.88 億美元,較 2022 年的 137.6 億美元上漲了約 377%���。涉及金額排在前三位的犯罪類型分別為網(wǎng)賭��、洗錢和詐騙����。
2����、2023?Web3生態(tài)十大安全事件
2023 年共發(fā)生損失過億的攻擊事件 4 起:Mixin Network(2 億美元)��、Euler Finance(1.97 億美元)��、Poloniex(1.26 億美元)?和 HTX & Heco Bridge(1.1 億美元)�����。前 10?大安全事件總損失金額約為 10?億美元,占到了年度攻擊事件總金額的 71.5%�����。
No.1??Mixin?Network
損失金額:2 億美元
攻擊方式:云服務(wù)商數(shù)據(jù)庫攻擊
9 月 23 日凌晨�, Mixin Network 云服務(wù)商數(shù)據(jù)庫遭到黑客攻擊,導(dǎo)致主網(wǎng)部分資產(chǎn)丟失��,涉及資金約 2 億美元����。9 月 25 日,Mixin 創(chuàng)始人在直播中對此次事件公開進(jìn)行解釋稱���,此次受損資產(chǎn)以比特幣核心資產(chǎn)為主�,BOX 和 XIN 等資產(chǎn)并未出現(xiàn)嚴(yán)重被盜情況,具體的攻擊情況尚不能透露�����。
No.2??Euler?Finance
損失金額:1.97 億美元
攻擊方式:合約漏洞?-?業(yè)務(wù)邏輯問題
3 月 13 日��,DeFi 借貸協(xié)議 Euler Finance 遭到攻擊�,損失約 1.97 億美元。攻擊的根本原因在于合約未對用戶實際持有的代幣數(shù)量和捐贈之后用戶的賬本的健康狀態(tài)進(jìn)行正確的檢查�����。該事件的所有被盜資金已全被攻擊者返還��。
No.3??Poloniex
損失金額:1.26 億美元
攻擊方式:私鑰泄露/ APT 攻擊
11 月 10 日���,孫宇晨旗下交易所 Poloniex 相關(guān)地址持續(xù)轉(zhuǎn)出大額資產(chǎn)��,疑似被盜�����。緊接著���,孫宇晨以及 Poloniex 在社交平臺發(fā)布公告證實了被盜事件。根據(jù)Beosin安全團(tuán)隊使用Beosin Trace追蹤統(tǒng)計,Poloniex 被盜資產(chǎn)累計約 1.26 億美元�。
No.4??HTX?&?Heco?Bridge
損失金額:1.1 億美元
攻擊方式:私鑰泄露
11 月 22 日,孫宇晨旗下交易所 HTX 及跨鏈橋 Heco Bridge 遭到黑客攻擊�,總計損失達(dá) 1.1 億美元,其中 Heco Bridge 損失 8660?萬美元���,HTX 損失約 2340?萬美元����。
No.5??Curve/?Vyper
損失金額:7300?萬美元
攻擊方式:合約漏洞?-?重入
7 月 31 日凌晨以太坊編程語言 Vyper 發(fā)推表示��,Vyper 0.2.15�、0.2.16 和?0.3.0?版本有重入鎖有漏洞���,加上原生的ETH可以在轉(zhuǎn)賬時調(diào)callback��,導(dǎo)致這幾個和ETH組的lp池子可以被重入攻擊�。接著Curve官方推特發(fā)文表示�����,由于重入鎖出現(xiàn)故障�����,許多使用 Vyper 0.2.15 的穩(wěn)定幣池?(alETH/msETH/pETH)?遭到攻擊。本次事件損失金額約 7300?萬美元���。
No.6??CoinEx
損失金額:7000?萬美元
攻擊方式:私鑰泄露/ APT 攻擊
9 月 12 日�,加密交易所 CoinEX 發(fā)布聲明稱風(fēng)控系統(tǒng)檢測到用于臨時存儲平臺交易資產(chǎn)的熱錢包出現(xiàn)可疑的大額提現(xiàn)活動�,已第一時間成立特別小組介入處理,本次事件中主要涉及 ETH�����、TRON���、Polygon等代幣資產(chǎn)���,被盜金額約 7000 萬美元。
No.7??Atomic?Wallet
損失金額:6700?萬美元
攻擊方式:私鑰泄露/ APT 攻擊
Beosin旗下EagleEye 安全風(fēng)險監(jiān)控��、預(yù)警與阻斷平臺監(jiān)測顯示���,Atomic Wallet 于 6 月初遭攻擊�����,據(jù) Beosin 團(tuán)隊統(tǒng)計����,綜合鏈上已知的受害人報案信息,此次攻擊造成的損失至少約 6700?萬美元����。
No.8??Alphapo
損失金額:6000?萬美元
攻擊方式:私鑰泄露/ APT 攻擊
7 月 23 日,加密貨幣支付服務(wù)商 Alphapo 熱錢包被盜��,共損失 6000?萬美元�。該事件系朝鮮黑客組織 Lazarus 所為。
No.9??KyberSwap
損失金額:5470?萬美元
攻擊方式:合約漏洞?-?業(yè)務(wù)邏輯問題
11 月 22 日���,DEX 項目 KyberSwap 遭到攻擊,共造成約 5470?萬美元損失�。Kyber Network 表示,本次黑客攻擊是 DeFi 歷史上最復(fù)雜的攻擊之一����,攻擊者需要執(zhí)行一系列精確的鏈上操作才能利用該漏洞。
No.10??Stake.com
損失金額:4130?萬美元
攻擊方式:私鑰泄露/ APT 攻擊
9 月 4 日�,加密博彩平臺 Stake.com 遭遇黑客攻擊。攻擊發(fā)生后����,Stake.com表示其 ETH 和 BSC 上熱錢包發(fā)生未經(jīng)授權(quán)的交易����,正在進(jìn)行調(diào)查���,并將在錢包完全重新確保安全后盡快恢復(fù)存提款���。該事件系朝鮮黑客組織 Lazarus 所為。
3�、被攻擊項目類型
和 2022 年相比,2023 年被攻擊的項目類型更加廣泛�����,損失金額也不再集中于某幾種項目類型上�。除了DeFi、CEX�、DEX、公鏈����、跨鏈橋、錢包等常見類型外�����,2023 年黑客攻擊事件還出現(xiàn)在支付平臺、博彩平臺�����、加密經(jīng)紀(jì)商�、基礎(chǔ)設(shè)施、密碼管理器�����、開發(fā)工具��、MEV 機(jī)器人�、TG 機(jī)器人等多種項目類型上。
2023 年的 191 起攻擊事件里���,DeFi 項目占了 130?次(約 68%),是被攻擊次數(shù)最多的項目類型�����。DeFi 攻擊總損失金額約 4.08 億美元��,占所有損失金額的 29.2%,也是損失金額最多的項目類型�����。
損失金額排在第 2 位的是 CEX(中心化交易所)�,9 次攻擊共造成 2.75 億美元的損失。另外�����,還有 16 次攻擊事件發(fā)生在 DEX(去中心化交易所)類型���,共損失約 8568 萬美元����。綜合看來�����,交易所類型在 2023 年安全事件頻發(fā)��,交易所安全是繼 DeFi 安全之后的第二大挑戰(zhàn)����。
損失金額排在第 3 位的是公鏈��,損失金額約為 2.08 億美元��,主要來自于 Mixin Network 被盜 2 億美元事件����。
2023年�����,跨鏈橋損失金額排在第 4 位�����,約占所有損失金額的 7%��。而在 2022 年�����,12 次跨鏈橋安全事件共造成了約 18.9 億美元損失��,占到了當(dāng)年總損失金額的 52.5%���。2023 年跨鏈橋安全事件顯著減少����。
排在第 5 位的是加密支付平臺�����,2 起安全事件(Alphapo 和 CoinsPaid)共損失約 9730?萬美元����,這兩起事件幕后黑客均指向朝鮮? APT 組織 Lazarus。
4�����、各鏈損失金額情況
和 2022 年相比�����,2023 年發(fā)生攻擊事件的公鏈類型也更加廣泛��,主要源自于 2023 發(fā)生了多起 CEX 私鑰泄露事件�����,在多條鏈上均有損失。按損失金額排名前五的分別是 Ethereum����、Mixin、HECO��、BNB Chain���、TRON��;按攻擊事件次數(shù)排名前五的分別是 BNB Chain�����、Ethereum���、Arbitrum、Polygon�����、Optimism 和 Avalanche(并列第5)�����。
和 2022 年相同的是,Ethereum 依舊是損失金額最高的公鏈���。71 次 Ethereum 上的攻擊事件造成了 7.66 億美元的損失,占到了全年總損失的 54.9%����。
Mixin 鏈損失排在第 2 位,單次安全事件損失達(dá)到了 2 億美元�����。第三位的是 HECO�����,損失約為 9260?萬美元���。
BNB Chain上的攻擊事件達(dá)到了 76 次�����,占總攻擊事件數(shù)量的 39.8%��,是所有鏈平臺中攻擊事件次數(shù)最多的����。BNB Chain 上總損失約為 7081 萬美元,絕大多數(shù)事件(88%)集中在 100?萬美元以下���。
5���、攻擊手法分析
和 2022 年相比,2023 年的攻擊方式更加多樣化��,尤其增加了多種 Web2 的攻擊方式�,包括:數(shù)據(jù)庫攻擊、供應(yīng)鏈攻擊�、第三方服務(wù)商攻擊、中間人攻擊���、DNS 攻擊�����、前端攻擊等�����。
2023年�,30?次私鑰泄露事件共造成 6.27 億美元的損失,占總損失的 44.9%��,是造成損失最多的攻擊方式�。造成較大損失的私鑰泄露事件有:Poloniex(1.26 億美元)、HTX & Heco Bridge(1.1 億美元)��、CoinEx(7000?萬美元)�����、Atomic Wallet(6700萬美元)��、Alphapo(6000?萬美元)����。其中大部分事件和朝鮮 APT 組織 Lazarus 相關(guān)�����。
合約漏洞利用是出現(xiàn)頻次最高的攻擊方式��,191 起攻擊事件里��,有 99 次來自于合約漏洞利用��,占比達(dá)到了 51.8%。合約漏洞造成的總損失為 4.3 億美元�,排在損失金額的第二位。
按照漏洞細(xì)分��,出現(xiàn)頻次最高����、造成損失最多的為業(yè)務(wù)邏輯漏洞,合約漏洞事件里約有 72.7%?的損失金額來自業(yè)務(wù)邏輯漏洞�,共造成損失約 3.13 億美元。損失金額排名第二的合約漏洞為重入���,13 次重入漏洞造成了約 9347 萬美元的損失��。
6����、典型案例攻擊手法分析
6.1??Euler?Finance 安全事件
事件概要
3月13日�����,Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊���,損失達(dá)到了 1.97 億美元����。
3月16日,Euler基金會懸賞100萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息��。
3月17日���,Euler Labs首席執(zhí)行官Michael Bentley發(fā)推文表示�,Euler“一直是一個安全意識強(qiáng)的項目”�����。從2021年5月至2022年9月���,Euler Finance接受了Halborn、Solidified����、ZK Labs、Certora����、Sherlock和Omnisica等6家區(qū)塊鏈安全公司的10次審計。
從3月18日開始至4月4日�����,攻擊者開始陸續(xù)返還資金。期間攻擊者通過鏈上信息進(jìn)行道歉�,稱自己“攪亂了別人的錢,別人的工作����,別人的生活”并請求大家的原諒。
4月4日����,Euler Labs在推特上表示,經(jīng)過成功協(xié)商�,攻擊者已歸還了所有盜取資金。
漏洞分析
在本次攻擊中�,Etoken合約的donateToReserves函數(shù)沒有正確檢查用戶實際持有的代幣數(shù)量和捐贈后用戶賬本的健康狀態(tài)。攻擊者利用這個漏洞��,捐贈了1億個eDAI�����,而實際上攻擊者只質(zhì)押了3000萬個DAI����。
由于捐贈后���,用戶賬本的健康狀態(tài)符合清算條件,借貸合約被觸發(fā)清算��。清算過程中�����,eDAI和dDAI會被轉(zhuǎn)移到清算合約�。但是,由于壞賬額度非常大�����,清算合約會應(yīng)用最大折扣進(jìn)行清算�。清算結(jié)束后��,清算合約擁有310.93M個eDAI和259.31M個dDAI��。
此時���,用戶賬本的健康狀態(tài)已恢復(fù)���,用戶可以提取資金�?���?商崛〉慕痤~是eDAI和dDAI的差值。但池子中實際上只有3890萬DAI�����,所以用戶只能提取這部分金額�。
6.2?Vyper/Curve 安全事件
事件概要
7 月 31 日,以太坊編程語言 Vyper 發(fā)推表示�����,Vyper 0.2.15��、0.2.16 和?0.3.0?版本有重入鎖有漏洞����。Curve 表示,多個使用 Vyper 0.2.15 的穩(wěn)定幣池?(CRV/alETH/msETH/pETH)?遭到攻擊����,總損失達(dá)到了 7300?萬美元,事后約 5230?萬美元已被黑客歸還。
漏洞分析
本次攻擊主要是源于是Vyper 0.2.15的防重入鎖失效���,攻擊者在調(diào)用相關(guān)流動性池子的remove_liquidity函數(shù)移除流動性時通過重入add_liquidity函數(shù)添加流動性��,由于余額更新在重入進(jìn)add_liquidity函數(shù)之前���,導(dǎo)致價格計算出現(xiàn)錯誤。
7���、反洗錢典型事件分析回顧
7.1?Atomic?Wallet錢包被盜案
據(jù)Beosin旗下EagleEye安全風(fēng)險監(jiān)控��、預(yù)警與阻斷平臺監(jiān)測顯示���,Atomic Wallet于今年6月初遭攻擊,據(jù)Beosin團(tuán)隊統(tǒng)計���,綜合鏈上已知的受害人報案信息��,此次攻擊造成的損失至少約6700萬美元。
根據(jù)Beosin團(tuán)隊分析���,此次被盜事件截止目前涉及的鏈包括BTC�����、ETH��、TRX在內(nèi)總共21條鏈��。被盜資金主要集中在以太坊鏈����。其中:
以太坊鏈已查出被盜資金為16262個ETH價值的虛擬貨幣,約3000萬美元���。
波場鏈波場鏈已知被盜資金為251335387.3208個TRX價值的虛擬貨幣�,約1700萬美元�。
BTC鏈BTC鏈已知被盜資金為420.882個BTC價值的虛擬貨幣,折合1260萬美元����。
BSC鏈BSC鏈已知被盜資金為40.206266個BNB價值的虛擬貨幣。
其余鏈XRP:1676015個XRP����,約84萬美元LTC:2839.873689個LTC,約22萬美元DOGE:800575.67369797個DOGE����,約5萬美元
我們根據(jù)以太坊鏈上的洗錢方式舉例
在黑客對贓款的操作中����,以太坊被攻擊鏈路上有兩種主要的方式:
通過合約進(jìn)行發(fā)散后利用Avalanche跨鏈洗錢
根據(jù)Beosin團(tuán)隊分析���,黑客會首先將錢包中有價值的幣統(tǒng)一換成公鏈的主幣��,再通過兩個合約來進(jìn)行匯集��。
該合約地址會通過兩層中轉(zhuǎn)將ETH打包成WETH�,再將WETH轉(zhuǎn)入用于將ETH發(fā)散的合約���,通過最高5層中轉(zhuǎn)轉(zhuǎn)入Avalanche 用于Cross Bridge的錢包地址中進(jìn)行跨鏈操作�����,該跨鏈不使用合約進(jìn)行�����,屬于Avalanche的內(nèi)部記賬式交易類型���。
以太坊鏈路簡圖如下:
匯聚合約1:
0xe07e2153542eb4b768b4d73081143c90d25f1d58涉案共計3357.0201個ETH
換成WETH后轉(zhuǎn)入合約0x3c3ed2597b140f31241281523952e936037cbed3
銷贓路線詳細(xì)圖如下所示:
匯聚合約2:0x7417b428f597648d1472945ff434c395cca73245涉案共計3009.8874個ETH
黑客換成WETH后轉(zhuǎn)入合約0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0
銷贓路線詳細(xì)圖如下所示:
兩個匯聚合約通過同意手續(xù)費來源確認(rèn),部分沒有交易行為地址隱藏���。手續(xù)費路徑如下:
此外����,在以太坊鏈上�����,黑客還通過各種跨鏈橋協(xié)議以及交易所洗錢����,這一部分目前統(tǒng)計涉案金額為9896 ETH,這一部分會通過多個歸集地址進(jìn)行歸集����。
整個事件中,黑客洗錢渠道多����,主要通過各類交易所賬戶進(jìn)行洗錢,同時也有直接流入跨鏈橋合約的情況����。其它鏈上的資金流向分析可點擊查閱:一場涉及至少6000萬美元的錢包被盜案����,BeosinKYT帶你拆穿黑客洗錢套路
其它反洗錢案例分析:
1 Stake.com被攻擊損失4000萬美元��,Beosin KYT/AML帶你追蹤被盜資金流向
2 Beosin KYT解析JPEX風(fēng)波背后的資金流向����,用戶如何分析鏈上數(shù)據(jù)提升資產(chǎn)安全?
3 Poly Network被攻擊后續(xù)��,Beosin KYT/AML帶你追蹤被盜資金流向���,解鎖黑客更多套路
4 一場3160 萬美元的Rug Pull��?Beosin KYT帶你追蹤資金動向�����,教你識破高收益的騙局陷阱����!
8�����、被盜資產(chǎn)的資金流向分析
2023 年全年被盜的資金中,約有 7.23 億美元還保留在黑客地址(包括通過跨鏈轉(zhuǎn)出和分散到多個地址的情況)���,占總被盜資金的 51.8%。與去年相比���,今年黑客更傾向于用多次跨鏈進(jìn)行洗錢����,并將被盜資金分散到很多地址上�����。地址增加��、洗錢路徑變復(fù)雜���,這無疑為項目方和監(jiān)管機(jī)構(gòu)增加了調(diào)查難度�。
約 2.95 億美元的被盜資金被追回��,占比約 21.1%�����。而在 2022 年,追回的資金僅為 8 %�����。2023 年被盜資金追回的情況明顯優(yōu)于 2022 年���,大部分來自于鏈上談判返還����。
全年約有 3.3 億美元的被盜資金轉(zhuǎn)入了混幣器(約 7116 萬美元轉(zhuǎn)入Tornado Cash�����,另外 2.59 億美元轉(zhuǎn)入其他混幣平臺)����,占總被盜資金的 23.6%。該比例較去年的 38.7%?有著顯著下降��。自 2022 年 8 月美國 OFAC 制裁 Tornado Cash 以來�,被盜資金轉(zhuǎn)入 Tornado Cash 的金額有了大幅降低,取而代之的是其他混幣平臺使用量的增加�,如 Sinbad, FixedFloat 等。2023 年 11 月,美國 OFAC 又將 Sinbad 列入了制裁名單��,稱其為“朝鮮Lazarus 組織的主要洗錢工具”�����。
此外�,還有少部分被盜資金(1279 萬美元)轉(zhuǎn)入了交易所,另外也有少部分被盜資金(1090?萬美元)遭到了凍結(jié)�。
9���、項目審計情況分析
191 起攻擊事件里��,有 79 起事件的項目方?jīng)]有經(jīng)過審計��,101 起事件的項目方經(jīng)過了審計�����。本年度經(jīng)過審計的項目方比例略高于去年(去年經(jīng)過審計/未經(jīng)審計的項目比例大致相當(dāng))�����。
79個沒有經(jīng)過審計的項目中��,合約漏洞事件占了47起(59.5%)��。這表明��,沒有經(jīng)過審計的項目更容易存在潛在的安全風(fēng)險�。相比之下,101個經(jīng)過審計的項目中��,合約漏洞事件占了51起(50.5%)���。這顯示出審計在一定程度上能夠提高項目的安全性�����。
然而�����,由于Web3市場缺乏完善的規(guī)范標(biāo)準(zhǔn)�,導(dǎo)致審計質(zhì)量參差不齊��,最終呈現(xiàn)的結(jié)果遠(yuǎn)未達(dá)到預(yù)期�。為了有效保障資產(chǎn)安全,建議項目在上線之前務(wù)必尋找專業(yè)的安全公司進(jìn)行審計�����。Beosin 作為一家全球領(lǐng)先的區(qū)塊鏈安全公司,致力于Web3生態(tài)的安全發(fā)展����,已審計智能合約和公鏈主網(wǎng)超3000份,包括PancakeSwap�、Ronin Network、OKCSwap等����。Beosin作為一家可信賴的區(qū)塊鏈安全公司,可以為項目方提供卓越的安全審計服務(wù)�。
10�、Rug?Pull?分析
2023年,Beosin旗下EagleEye 平臺共監(jiān)測到 Web3 生態(tài) Rug Pull 事件 267 起��,總涉及金額約為 3.88 億美元��,較 2022 年下降約 8.7%�。
從金額上看,267 起 Rug Pull 事件中���,233 起?(87%)事件金額都在 100?萬美元以下���,該比例和 2022 年大致相當(dāng)�。涉及金額在千萬美元以上的共 4 個項目����,包括Multichain(2.1 億美元)、Fintoch(3160?萬美元)���、BALD(2300?萬美元)�、PEPE(1550?萬美元)�����。
BNB Chain 和 Ethereum 上的 Rug Pull 項目占到了總數(shù)量的 92.3%����,分別為 159 起和 81 起。其他公鏈也發(fā)生過小數(shù)量的 Rug Pull 事件�����,包括:Arbitrum����、BASE��、Sui�����、zkSync 等���。
11、2023全球加密行業(yè)犯罪數(shù)據(jù)
2023年�����,全球加密行業(yè)犯罪金額達(dá)到了驚人的 656.88 億美元��,較 2022 年的 137.6 億美元上漲了約 377%����。雖然鏈上黑客攻擊金額大幅下降��,加密貨幣其他領(lǐng)域的犯罪案件卻大幅增加�。增幅排名第一的為網(wǎng)賭,涉及金額達(dá)到了 549 億美元�����。排在后面的分別為洗錢(約 40?億美元)、詐騙(約 20.5 億美元)��、傳銷(約 14.3 億美元)�����、黑客攻擊(約 13.9 億美元)���。
隨著全球加密監(jiān)管體系的完善和對加密貨幣犯罪打擊的深入���,2023年全球警方累計破獲多起涉及金額上億美元的大案件。以下是一些典型案件回顧:
No.1 ? 2023年7月��,中國湖北警方偵破全國「虛擬貨幣第一案」��,涉案流水達(dá) 4000?億人民幣(約合 549 億美元)�。這起網(wǎng)絡(luò)賭博案涉案人員超過 5 萬人,服務(wù)器設(shè)在中國境外���,主犯邱某某等人已被依法送審�����。
No.2 2023年8月��,新加坡當(dāng)局查處有史以來最大的洗錢案件����,涉案金額達(dá)到了 28 億新元,洗錢方式主要通過虛擬貨幣��。
No.3 2023年3月��,中國江蘇警方對Ubank“炒幣”騙局提起公訴�,涉及傳銷交易量超100億人民幣(約合 14 億美元)。
No.4 ?2023年12月���,根據(jù)美國紐約東區(qū)檢察官辦公室的一份聲明�����,虛擬貨幣交易所Bitzlato聯(lián)合創(chuàng)始人承認(rèn)了7億美元洗錢罪指控����。
No.5 2023年7月�,巴西聯(lián)邦警察局搗毀兩個販毒犯罪團(tuán)伙�,共轉(zhuǎn)移超 4.17 億美元并通過加密資產(chǎn)提供洗錢服務(wù)。
No.6 2023年2月�,根據(jù)美國俄勒岡州的一份起訴書���,F(xiàn)orsage 的創(chuàng)始人因涉嫌 3.4 億美元的 DeFi 龐氏騙局而被起訴。
No.7 2023年11月�����,印度喜馬偕爾邦警方在涉案 3 億美元的加密貨幣詐騙案中逮捕了 18 人�。
No.8 2023年8月,以色列警方指控商人Moshe Hogeg及其合伙人詐騙投資者達(dá) 2.9 億美元的加密貨幣��。
No.9 2023年6月���,泰國警方破獲一起涉嫌加密幣詐騙案件���,涉案金額或超過 100?億泰銖(約 2.88 億美元)。
No.10 2023年10月�,中國香港虛擬資產(chǎn)交易平臺JPEX涉嫌詐騙,警方累計逮捕 66 人����,涉案金額約 16 億港元(約 2.05 億美元)。
2023 年是加密貨幣犯罪案件激增的一年�。詐騙、傳銷案件的頻繁出現(xiàn)也意味著普通用戶受到資產(chǎn)損失的概率大大增加��。因此,加強(qiáng)對加密貨幣行業(yè)的監(jiān)管迫在眉睫�����。我們可以看到���,全球監(jiān)管機(jī)構(gòu)今年已經(jīng)對加密貨幣監(jiān)管已經(jīng)做出了不少努力�����,但距離一個完善����、安全�����、正向發(fā)展的生態(tài)仍然有很長的路要走���。
12��、2023?年Web3區(qū)塊鏈安全態(tài)勢總結(jié)
2023 年�,鏈上黑客攻擊活動、釣魚詐騙�、項目方 Rug Pull 事件均較 2022 年有了明顯的下降����。黑客攻擊損失金額降幅達(dá)到了 61.3%,損失最高的攻擊手法也從去年的合約漏洞利用轉(zhuǎn)變?yōu)榱私衲甑乃借€泄露��。造成這一轉(zhuǎn)變的主要原因包括:
1. ?在去年猖獗的黑客活動之后����,今年整個Web3生態(tài)更加注重安全性,從項目方到安全公司都在各個方面做出了努力����,如實時鏈上監(jiān)控、更加注重安全審計���、從過往合約漏洞利用事件中積極汲取經(jīng)驗���。這導(dǎo)致通過合約漏洞盜取資金比去年變得困難。
2. ?全球監(jiān)管的加強(qiáng)和反洗錢技術(shù)的完善����。可以看到,2023 年有 21.1%?的被盜資金得以追回����,大幅優(yōu)于 2022 年。隨著Tornado Cash�、Sinbad等混幣平臺遭到美國制裁,黑客的洗錢路徑也在變得復(fù)雜�。同時,我們也看到有黑客被當(dāng)?shù)鼐酱兜男侣?����,這些都對黑客產(chǎn)生了一定的威懾力�����。
3. ?年初加密熊市的影響����。黑客從Web3項目能夠盜取資產(chǎn)的預(yù)期收益下降,從而減弱了黑客活動��。這也導(dǎo)致黑客不再局限于攻擊DeFi�、跨鏈橋、交易所等類型����,而是轉(zhuǎn)向支付平臺�����、博彩平臺、加密經(jīng)紀(jì)商�、基礎(chǔ)設(shè)施、密碼管理器���、開發(fā)工具��、MEV 機(jī)器人�、TG 機(jī)器人等多種類型�。
與鏈上黑客活動大幅減少不同的是,鏈下更為隱蔽的犯罪活動大幅增加���,如網(wǎng)賭�、洗錢���、傳銷詐騙等���。由于加密貨幣的匿名性,各類犯罪活動更加傾向于使用加密貨幣進(jìn)行交易。但是����,如果僅僅將虛擬貨幣犯罪案件的增加歸因于加密貨幣的匿名性和監(jiān)管不足,那是片面的����。根本原因還是在于全球犯罪活動的增加,而虛擬貨幣為這些犯罪活動提供了一個較為隱蔽和難追蹤的資金渠道����。2023年,全球經(jīng)濟(jì)增速大幅放緩�,政治環(huán)境面臨諸多不穩(wěn)定因素,這些都在一定程度上促成了全球犯罪活動的激增�。在這樣的經(jīng)濟(jì)預(yù)期之下,預(yù)計 2024 年全球犯罪活動將持續(xù)處于高位���,這對全球執(zhí)法機(jī)構(gòu)和監(jiān)管部門提出了嚴(yán)峻的考驗�。
區(qū)塊鏈?zhǔn)澜?/a>
