Web3安全报告

BEOSIN 022 全球Web32022年安报告全 &加密法规遵从性的研究 保护 区块链ECOSYSTEM 内容 即2022年全球Web3安全统计数据01 1.十大安全事故202204 2.类型的攻击项目07 3.损失由链08 4.攻击类型09 5.审计分析11 6.偷来的基金流11 7.地毯拉在202212 II.2022年加密犯罪、金融风险和监管 13 1.全球加密和犯罪统计数据情况下 13 2.从金融监管反应产生风险 14 3.在不同的国家和法规遵从性地区 16 4.2023年全球监管和政策前景 25 3安全指南Web3用户26 1.私钥和种子短语26 2.网络钓鱼网站27 四、北信2023区块链安全行业总结好吧28 Beosin安全产品29 对区块链安全联盟30 关于Beosin30 关于LegalDAO30关 于Buidler刀30关于碳足迹分析30 联系我们31 前言 随着区块链行业在2022年迎来新的发展时期，各种安全风险也不断显现。接二连三的区块链安全事件高发，对区块链行业构成了严峻的挑战。 从Beosin在2022年的统计数据来看，多个项目遭到黑客攻击，巨大的经济损失严重影响了区块链生态系统的安全稳定。 在监管合规方面，完善和建立区块链行业相关体系还有很长的路要走，迫切需要相关部门的介入和行业从业者的有效推动。当前区块链行业发展趋势总体上是积极的，未来发展潜力可期，但同样重要的是要认识到，混乱的安全形势和多方面的安全挑战迫切需要加强区块链安全监管和合规。 在这份“2022年全球Web3安全报告和加密监管合规性研究”中，我们将回顾前10大安全事件，并在第一节中从多个维度分析全球Web3安全统计数据。第二部分将介绍全球加密犯罪统计数据、重大金融事件以及不同国家或地区的监管合规情况。在第三部分中，将为web3用户提供安全指南和解决方案。最后一部分是Beosin对区块链安全行业的2023年展望。 保护 区块链ECOSYSTEM 我。 2022 全球Web3安全统计数据 参与者: Beosin研究团队——马里奥,唐尼 数据来源（截至2022年12月20日）： https://www.footprint.network/@Beosin/Footprint-Beosin-2022-Report 即2022年全球Web3安全统计数据 2022年，BeosinEagleEye监测了Web3领域超过167次重大攻击，所有类型的攻击造成的总损失约为36亿美元，比2021年增加了47.4%。其中，10起安全事件在一次攻击中损失超过1亿美元，21起安全事件的损失从1000万美元到1亿美元不等。 按项目类型划分，12起跨链桥事件共造成约18.9亿元损失，在所有项目类型中排名第一。DeFi类型的协议被攻击了113次，约占攻击总数的67.6%，使其成为最常被攻击的项目类型。 2022年共有20个公共区块链发生重大安全事件，损失金额排名前三的是以太坊、BNB链和Solana;攻击次数最多的前三名是BNB链，以太坊和Solana。 全年漏洞利用的频率和损失均排名最高，在87次漏洞利用中损失了14.58亿美元。 在2022年监测的167次重大攻击中，经审计和未经审计的协议约占50/50，分别为51.5%和48.5%。 2022年，大约13.96亿美元的被盗资金存入了TornadoCash，占所有攻击中损失资金的38.7%。全年仅追回了8%的被盗资金，即约 2.89亿美元。 01 即2022年全球Web3安全统计数据 2022年，全球加密犯罪总额为137.6亿美元（不包括金融犯罪），其中洗钱占73.3亿美元，攻击/漏洞利用36亿美元，金字塔计划达到10 亿美元，诈骗为8.3亿美元。 在2022年的骗局中，243起地毯拉动涉及总额为4.25亿美元（不包括4.4亿美元的FTX事件）。大约86.4%的项目资金在$1k-$1M之间。 02 即2022年全球Web3安全统计数据 全球TVL在2022年大幅萎缩，年底TVL较年初的峰值下降了约80%。市场受到以三箭资本、TerraLuna和FTX为代表的一系列黑天鹅事件的严重影响。 尽管全球加密市值大幅萎缩，但2022年区块链的整体犯罪数字仍达到137亿美元，与2021年相比，攻击数量显着增加。过去的2022年对于全球区块链安全来说总体上是艰难的一年，2023年将对安全行业提出更高、更紧迫的要求。打击猖獗的黑客行为，加快建立全球监管体系，并带来技术突破以解决现有的行业缺陷-这些将是2023年需要考虑和紧急解决的关键问题。 03 I.2022年全球Web3安全统计数据 1.2022年十大安全事故 一号门将。浪人网络 损失:624美元攻击类型:社会工程 2022年3月29日，AxieInfinity侧链Ronin遭到攻击，大约6.24亿美元的加密货币被盗。黑客使用被盗的私钥伪造提款凭据，这至少需要五个验证者，最终攻击者设法控制了五个验证者来窃取资金。 根据调查，黑客通过社会工程向SkyMavis的工程师发送了一封虚假的录取通知书，该文件允许黑客入侵Ronin的系统。袭击发生后，被盗资产被发送到多个地址，并通过TornadoCash分批洗钱。5月20日，浪人袭击者将最后一批资金转移到龙卷风现金，所有资产都被清洗。6月28日，浪人号在推特上宣布重新开业。 北信安全团队对此类跨链桥项目给出了以下建议：1.注意验证人的安全性;2、当相关业务中签名服务下线时，应及时更新策略关闭相应的服务模块，并丢弃相应的签名地址;3.在多签名验证中，多重签名服务应在逻辑上相互隔离，签名内容应独立验证;4、项目业主应实时监控资金异常情况。 二氧化氮。二元同步通信令牌中心(BNB链) 损失：5.6亿美元攻击类型：区块链漏洞 2022年10月7日，BNB链的跨链桥代币中心遭到黑客攻击。黑客首先通过调用区块高度21955968合约来支付100BNB注册为Relayer，然后从BNBChain的TokenHub合约中获得了总计200万BNB。黑客随后在BNBChain的借贷协议Venus上质押了其中的90万个BNB，并借出了6250万的BUSD，5000万的USDT和3500万的USDC。 Beosin安全团队发现，由于BSCTokenHub使用了特殊的预编译合约来验证IAVL 执行跨链交易验证时的树。该实现易受攻击，允许攻击者伪造任意消息。 10月24日，币安创始人赵长鹏表示，在执法部门的帮助下，攻击者的身份范围已经缩小。此外，CZ表示，币安能够冻结约80%至90%的被盗资金，实际损失在1亿美元左右。 04 即2022年全球Web3安全统计数据 3号。 损失：4.4亿美元攻击类型：疑似拉拉 2022年11月15日，在FTX宣布破产后不久，FTX被宣布遭到黑客攻击。大约 4.4亿美元被盗。管理员向官方电报组发送了一条消息，指出破产的平台已被黑客入侵，所有应用程序都是恶意软件。管理员建议用户删除该应用程序，不要访问该网站或打开其应用程序，因为这可能包含特洛伊木马。还有很多未知数，很多人认为这很可能是内幕操作。 4号。虫洞 损失：3.26亿美元攻击类型：合约漏洞-验证问题 2022年2月3日，虫洞遭到黑客攻击，造成约3.26亿美元的损失。Beosin安全团队的分析发现，黑客利用了Wormhole合约中的签名验证漏洞，该漏洞允许黑客伪造sysvar帐户以铸造wETH。该漏洞已在Solana1.9.4中修补，并且在最终上线之前仍需经过审查过程，黑客利用此漏洞攻击仍在使用Solana1.8合约的合约。 攻击发生后，Wormhole宣布已恢复其跨链桥资金并重新上线。加密投资基金JumpCrypto于2月4日宣布，已投资120，000以太币来弥补事件的 损失，以支持虫洞的持续增长。 排名第五。游牧桥 损失:190美元几百万攻击类型：合约漏洞-验证问题 2022年8月2日，跨链桥协议Nomad遭到大规模黑客攻击，涉及500多个黑客地址，造成1.9亿美元的损失。北信安全团队分析交易 ，发现项目业主错误地添加了0x000...000作为可接受的根，导致判决成立，从而允许攻击者提取合约中的资金。 因此，任何攻击者都可以简单地复制第一个被黑客入侵的交易并将其替换为未使用的攻击地址，然后单击以通过Etherscan发送以窃取资金。此外，由于是副本合约容易受到攻击，其所有相应的与BridgeRouter相关的DApp都受到影响，因此被盗资金表现出多代币性质。 8月3日，Nomad发布了一份说明，呼吁白帽黑客归还被盗资金。截至8月15日，该项目已收回3700万美元。 六号。豆茎 损失:182美元攻击类型:Flashloan 2022年4月17日，算法稳定币项目Beanstalk农场遭受闪购攻击，协议失败 1.82亿美元，攻击者获利8000万美元。袭击发生后不久，攻击者将全部8000万美元转移到TornadoCash。 攻击者在攻击前一天发起了一项提案，该提案将从Beanstalk协议合同中提取资金。黑客通过闪贷获得了大量资金储备，然后反复交换。对该提案的最后表决最终获得通过。针对此次事件，北信安全团队建议：1、用于投票的资金应在合约中锁定一定时间，避免使用账户当前资金余额统计票数;2、项目业主和社区应注意所有提案，如有恶意提案，建议放弃提案;3.考虑禁止合约地址投票。 05 即2022年全球Web3安全统计数据 No7。Wintermute 损失：1.6亿美元攻击类型：私钥泄露 2022年9月20日，Wintermute在DeFi黑客攻击中损失了1.6亿美元。Beosin安全团队的分析发现，攻击者经常利用0x0000000fe6a...用于调用0x00000000ae34的0x178979ae函数的地址...将资金转移到攻击者的合同中。通过反编译合约，发现调用0x178979ae函数需要权限检查，通过查询函数确认0x0000000fe6a地址已经设置了CommonAdmin权限，并且该地址在攻击前与合约有正常的交互，因此可以确认0x0000000fe6a私钥被泄露。 9月21日，Wintermute确认它在6月份使用了亵渎和内部工具创建钱包地址，并且亵渎工具存在私钥爆裂的风险。 No8。芒果市场 损失：1.16亿美元攻击类型：价格操纵 2022年10月12日，Solana上的芒果协议遭到黑客攻击，损失约1.16亿美元。黑客使用两个账户和总计1000万USDT作为启动资金，以杠杆100+百万资产。这次攻击的主要原因是杠杆合约没有限制芒果可以开仓的头寸，允许攻击者提高芒果代币的价格以获取利润。 油菜新品种。埃尔隆 损失:113美元攻击类型:虚拟机的问题 2022年6月5日，区块链网络Elrond遭到黑客攻击，黑客“获取”了近165万的EGLD，并通过去中心化交易所Maiar倾销，导致$EGLDs暴跌92%。 Elrond发布了一份事后分析，称攻击者没有利用任何智能合约代码漏洞，问题出在虚拟机上。以前的错误已得到解决，几乎所有被盗资金都已恢复。任何来自已知漏洞的剩余缺失资金将由埃尔隆德基金会全额支付。 10号。和谐 损失：1亿美元攻击类型：私钥泄露 2022年6月24日，Harmony跨链桥遭到攻击，损失约1亿美元。Harmony的创始人表示，对Horizon的攻击不是由于智能合约漏洞，而是由于私钥泄露。尽管Harmony存储了加密的私钥，但攻击者解密了其中一些并签署了一些未经授权的交易。 袭击发生后，Harmony立即停止了地平线桥，以防止进一步的交易。然后，它联系了联邦调查局和多个合作伙伴进行调查。尽管如此，黑客还 是通过龙卷风现金清洗了被盗资金。7月27日，和谐发出补偿方案。 06 即2022年全球Web3安全统计数据 2.项目类型的攻击 2022年，12起跨链