2024年Web3Blockchain安全態(tài)勢(shì)年報(bào)

2024年12月31日 19:35

前言

本研究報(bào)告由Blockchain安全聯(lián)盟發(fā)起，由聯(lián)盟成員Beosin、FootprintAnalytics共同創(chuàng)作，旨在全面探討2024年全球Blockchain安全態(tài)勢(shì)發(fā)展。通過(guò)對(duì)全球Blockchain安全現(xiàn)狀的分析和評(píng)估，報(bào)告將揭示當(dāng)前面臨的安全挑戰(zhàn)和威脅，并提供解決方案和最佳實(shí)踐。

通過(guò)這份報(bào)告，讀者將能夠更全面地了解Web3Blockchain安全態(tài)勢(shì)的動(dòng)態(tài)演變。這將有助于讀者評(píng)估和應(yīng)對(duì)Blockchain領(lǐng)域所面臨的安全挑戰(zhàn)。此外，讀者還可以從報(bào)告中獲得有關(guān)安全措施和行業(yè)發(fā)展方向的有益建議，以幫助他們?cè)谶@一新興領(lǐng)域中做出明智的決策和行動(dòng)。Blockchain安全和監(jiān)管是Web3時(shí)代發(fā)展的關(guān)鍵問(wèn)題。通過(guò)深入研究和探討，我們可以更好地理解和應(yīng)對(duì)這些挑戰(zhàn)，推動(dòng)Blockchain技術(shù)的安全性和可持續(xù)發(fā)展。

1、2024年Web3Blockchain安全態(tài)勢(shì)綜述

2024年，黑客攻擊、釣魚詐騙金額較2023年均有明顯上升，其中釣魚詐騙相比2023年激增140.66%。項(xiàng)目方RugPull事件的損失金額顯著下降，下降了約61.94%。

2024年DeFi項(xiàng)目攻擊事件75次，是被攻擊次數(shù)最多（約50.70%）的項(xiàng)目類型。DeFi攻擊總損失金額約3.90億美元，約占所有損失金額的15.50%，是損失金額第4多的項(xiàng)目類型。

Ethereum、BNBChain、Arbitrum、Others、Base、Solana：

Bitcoin網(wǎng)絡(luò)損失排在第2位，單次安全事件損失達(dá)到了2.38億美元。第三位的是Arbitrum，總損失約為1.14億美元。

5、攻擊手法分析

2024年的攻擊方式非常多樣化，除常見的合約漏洞攻擊外，還有多種攻擊方式，包括：供應(yīng)鏈攻擊、第三方服務(wù)商攻擊、中間人攻擊、DNS攻擊、前端攻擊等。

6、反*洗*錢典型事件分析6.1 Polter Finance安全事件事件概要

2024年11月17日，據(jù)BeosinAlert監(jiān)控預(yù)警發(fā)現(xiàn)FTM鏈上借貸協(xié)議PolterFinance遭受攻擊，攻擊者通過(guò)閃電貸操縱項(xiàng)目合約中Tokens價(jià)格進(jìn)行獲利。漏洞與資金分析

本次事件被攻擊的LendingPool合約(0xd47ae558623638f676c1e38dad71b53054f54273)使用0x6808b5ce79d44e89883c5393b487c4296abb69fe作為預(yù)言機(jī)，該預(yù)言機(jī)使用的是近期部署的喂價(jià)合約（0x80663edff11e99e8e0b34cb9c3e1ff32e82a80fe）。這個(gè)喂價(jià)合約使用可被攻擊者用于閃電貸的uniswapV2_pair（0xEc71）合約中的Tokens儲(chǔ)備來(lái)計(jì)算價(jià)格，因此該合約存在價(jià)格操縱攻擊漏洞。

攻擊者利用閃電貸虛假推高$BOOTokens價(jià)值，借出其它加密資產(chǎn)。隨后，被盜資金被攻擊者轉(zhuǎn)換成FTMTokens，然后跨鏈到ETH鏈，將所有資金都存放在ETH鏈上。以下是ARB鏈和ETH鏈上的資金流動(dòng)過(guò)程示意圖：

6.2BitForex安全事件事件概要

2024年2月23日，知名鏈上偵探ZachXBT通過(guò)其分析工具披露，BitForex的熱錢包出現(xiàn)了約5650萬(wàn)美元的資金流出，并且在這一過(guò)程中，平臺(tái)暫停了提款服務(wù)。資金分析

Beosin安全團(tuán)隊(duì)通過(guò)Trace對(duì)BitForex事件進(jìn)行了深入追蹤分析：

Ethereum

Bitforex交易所在2024年2月24日6:11(UTC+8)開始陸續(xù)將40,771USDT、258,700USDC、148.01ETH和471,405TRB轉(zhuǎn)入Ethereum跑路地址（0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f）。

隨后在北京時(shí)間8月9日跑路地址將除了TRB以外的Tokens（包括147.9ETH、40,771USDT和258,700USDC）全部轉(zhuǎn)回Bitforex交易所賬戶（0xcce7300829f49b8f2e4aee6123b12da64662a8b8）。

接著在北京時(shí)間11月9日至11月10日跑路地址通過(guò)7筆交易將355,000TRB轉(zhuǎn)入四個(gè)不同的OKX交易所用戶地址：

0x274c481bf400c2abfd2b5e648a0056ef34970b0a

0x45798ca76a589647acc21040c50562dcc33cf6bf

0x712d2fd67fe65510c5fad49d5a9181514d94183d

0xe8ec263ad9ee6947bf773837a2c86dff3a737bba

隨后跑路地址地址將剩余全部116,414.93TRB轉(zhuǎn)入一個(gè)中轉(zhuǎn)地址（0xbb217bd37c6bf76c6d9a50fefc21caa8e2f2e82e）后由該地址分兩筆將全部TRB轉(zhuǎn)入了兩個(gè)不同的幣安交易所用戶：

0x431c916ef45e660dae7cd7184e3226a72fa50c0c

0xe7b1fb77baaa3bba9326af2af3cd5857256519df

Polygon

北京時(shí)間2月24日Bitforex交易所提幣99,000MATIC、20,300USDT和1,700USDC至POL鏈地址：0xdcacd7eb6692b816b6957f8898c1c4b63d1fc01f。

其中99000MATIC于8月9日轉(zhuǎn)入地址0xcce7300829f49b8f2e4aee6123b12da64662a8b8至今沉淀，其余USDT和USDCTokens至今沉淀。

Bitcoin

2月24日開始陸續(xù)有16個(gè)Bitforex地址將共計(jì)5.7BTC轉(zhuǎn)入BTC鏈地址3DbbF7yxCR7ni94ANrRkfV12rJoxrmo1o2。該地址于8月9日將5.7BTC全部轉(zhuǎn)回Bitforex交易所地址：11dxPFQ8K9pJefffHE4HUwb2aprzLUqxz。

7、被盜資產(chǎn)的資金流向分析

2024年全年被盜的資金中，約有13.12億美元還保留在黑客地址（包括通過(guò)跨鏈轉(zhuǎn)出和分散到多個(gè)地址的情況），占總被盜資金的52.20%。與去年相比，今年黑客更傾向于用多次跨鏈進(jìn)行*洗*錢，并將被盜資金分散到很多地址上，而非直接使用混幣器。地址增加、*洗*錢路徑變復(fù)雜，這無(wú)疑為項(xiàng)目方和監(jiān)管機(jī)構(gòu)增加了調(diào)查難度。

42個(gè)沒(méi)有經(jīng)過(guò)審計(jì)的項(xiàng)目中，合約漏洞事件占了30起（約71.43%）。這表明，沒(méi)有經(jīng)過(guò)審計(jì)的項(xiàng)目更容易存在潛在的安全風(fēng)險(xiǎn)。相比之下，78個(gè)經(jīng)過(guò)審計(jì)的項(xiàng)目中，合約漏洞事件占了49起（約62.82%）。這顯示出審計(jì)在一定程度上能夠提高項(xiàng)目的安全性。

然而，由于Web3市場(chǎng)缺乏完善的規(guī)范標(biāo)準(zhǔn)，導(dǎo)致審計(jì)質(zhì)量參差不齊，最終呈現(xiàn)的結(jié)果遠(yuǎn)未達(dá)到預(yù)期。為了有效保障資產(chǎn)安全，建議項(xiàng)目在上線之前務(wù)必尋找專業(yè)的安全公司進(jìn)行審計(jì)。

9、Rug Pull 分析

2024年，BeosinAlert平臺(tái)共監(jiān)測(cè)到Web3生態(tài)主要RugPull事件68起，總涉及金額約為1.48億美元，較2023年的3.88億美元有大幅下降。

從金額上看，68起RugPull事件中，涉及金額在百萬(wàn)美元以上的共9個(gè)項(xiàng)目，分別為EssenceFinance（2000萬(wàn)美元），ShidoGlobal（240萬(wàn)美元），ETHTrustFund（220萬(wàn)美元），Nexera（180萬(wàn)美元），GrandBase（170萬(wàn)美元），SAGAToken（160萬(wàn)美元），OrdiZK（140萬(wàn)美元），MangoFarmSOL（129萬(wàn)美元）和RiskOnBlast（125萬(wàn)美元），損失金額共3364萬(wàn)美元，占所有RugPull事件損失金額的22.73%。

Ethereum和BNBChain上的RugPull項(xiàng)目占到了總數(shù)量的82.35%，分別為24起和32起，Scroll上發(fā)生了1起超過(guò)2000萬(wàn)美元的RugPull。其它公鏈發(fā)生過(guò)小數(shù)量的RugPull事件，包括：Polygon、BASE、Solana等。

10、2024Web3Blockchain安全態(tài)勢(shì)總結(jié)

2024年，鏈上黑客攻擊活動(dòng)、項(xiàng)目方RugPull事件次數(shù)均較2023年有了明顯下降，但損失金額仍在增加，并且釣魚攻擊更加猖獗。損失最高的攻擊手法依然為私鑰泄露。造成這一轉(zhuǎn)變的主要原因包括：

在去年猖獗的黑客活動(dòng)之后，今年整個(gè)Web3生態(tài)更加注重安全性，從項(xiàng)目方到安全公司都在各個(gè)方面做出了努力，如實(shí)時(shí)鏈上監(jiān)控、更加注重安全審計(jì)、從過(guò)往合約漏洞利用事件中積極汲取經(jīng)驗(yàn)，導(dǎo)致黑客通過(guò)合約漏洞盜取資金比去年變得困難。然而，項(xiàng)目方還需在私鑰保管與項(xiàng)目運(yùn)營(yíng)安全方面加強(qiáng)安全意識(shí)。

隨著加密市場(chǎng)與傳統(tǒng)市場(chǎng)的融合，黑客不再局限于攻擊DeFi、跨鏈橋、交易所等類型，而是轉(zhuǎn)向攻擊支付平臺(tái)、博彩平臺(tái)、加密經(jīng)紀(jì)商、基礎(chǔ)設(shè)施、密碼管理器、開發(fā)工具、MEV機(jī)器人、TG機(jī)器人等多種目標(biāo)。

2024-2025年，加密市場(chǎng)進(jìn)入牛市，鏈上資金活躍，在一定程度上將吸引更多的黑客攻擊。此外，各地區(qū)針對(duì)加密資產(chǎn)的監(jiān)管政策在逐漸完善，以打擊各類使用加密資產(chǎn)進(jìn)行的犯罪活動(dòng)。在這樣的趨勢(shì)下，預(yù)計(jì)2025年黑客攻擊活動(dòng)將持續(xù)處于高位，全球執(zhí)法機(jī)構(gòu)和監(jiān)管部門依然面臨嚴(yán)峻的挑戰(zhàn)。