以太坊價格 以太坊價格
Ctrl+D 以太坊價格
ads
首頁 > 狗狗幣 > Info

比特幣:2023年第二季度Web3.0行業安全報告發布

Author:

Time:1900/1/1 0:00:00

總結

黑客等惡意行為者在2023年第二季度從Web3.0行業中榨取了3.1億美元的價值。

該數字與第一季度的3.2億美元損失接近,比2022年第二季度的7.45億美元損失下降了58%。

CertiK總共發現了212起安全事件,這也就意味著第二季度每起事件的平均損失為148萬美元。這一數字比第一季度每起事件的平均損失156萬美元略有下降。

98起退出騙局從投資者那里偷走了7,035萬美元,比第一季度退出騙局造成的3,100萬美元的損失增加了一倍多。

54起閃電貸攻擊及預言機操縱事件使攻擊者賺取了2,375萬美元。這比第一季度的52起預言機操縱總損失2.22億美元大幅下降了。當然,上個季度由于Euler Finance損失數額巨大,僅這一漏洞就占據了上一季度總金額的85%。

此外,行業內正在發生一些“鏈下”大事件:美國證券交易委員會對虛擬貨幣兩個最大交易所提出指控;而世界上最大的資產管理公司提交了一份比特幣ETF的申請。

加密貨幣2022年度收官:不斷“爆雷”的幣圈 觸頂之后都是下坡:12月31日消息,加密貨幣去年有多瘋狂,在今年就有多慘重。加密資產在去年底迎來高光,不斷創下新高,但進入2022年后,在接連發生LUNA幣歸零、加密基金三箭資本破產以及近期的加密平臺FTX挪用資金等負面事件的影響下,整個加密市場單日腰斬的情況也偶有發生。幣圈龍頭比特幣全年累跌65%,高低極差超過3萬美元,是今年波動性最大的資產之一。而被寄予厚望的以太坊表現更遜,全年收跌近70%。[2022/12/31 22:17:58]

同時,CertiK安全研究人員還發現了主要區塊鏈協議和應用中的一些重大漏洞,包括Sui驗證器節點和ZenGo的MPC錢包中的安全風險。

部分數據展示

簡介

2023年第二季度Web3.0領域記錄的總損失為313,566,528美元,與上一季度幾乎相同,與去年同期相比下降了58%。每起事故的平均損失也出現了輕微下滑。 

加勒比地區島國圣尼擬于2023年將BCH定為法定貨幣:11月20日消息,據外媒報道,加勒比海地區島國圣基茨和尼維斯宣布擬于2023年3月之前將比特幣現金(BCH)變成其境內的官方支付方式。該國總理TerranceMicheal Drew還透露,圣尼官方愿意參與比特幣現金挖礦。Terrance認為,加密貨幣代表著“未來的機會”,一旦監管機構保證消費者將獲得最大程度的保護,該計劃就會生效。(CryptPotato)[2022/11/20 22:09:24]

縱觀第二季度,預言機操縱事件數量明顯下降,而退出騙局的總損失卻有所上升,表明惡意行為者采用的戰術已發生了變化。

隨著行業的發展,像針對MEV機器人的攻擊和在Sui區塊鏈上發現“倉鼠輪”安全威脅這樣的案例,印證了持續深度鉆研安全、先發制人和持續保持警惕的重要性。每克服一個挑戰,我們就離更安全的Web3.0空間更近一步。

查看報告獲取更多細節內容及數據。

MEV機器人被惡意利用

ETH本周創下2022年最大單日交易平臺流出量紀錄:金色財經報道,以太坊市場本周出現了2022年最大單日交易平臺流出量。數據顯示,有超過18萬枚ETH在單日內從主流交易平臺流出,如果以2,750美元平均價格計算,規模接近5億美元。[2022/3/20 14:07:12]

4月初,MEV機器人在以太坊的16964664區塊被黑客利用。一名惡意驗證者替換了數筆MEV交易,導致約2538萬美元損失。這一事件是迄今為止針對MEV機器人的最大攻擊。

該事件是在以太坊區塊16964664中發生的,有8個MEV交易被惡意驗證者利用。這個驗證者成立于2023年3月15日,由外部地址(EOA)0x687A9建立,并一直設法滲透到防止搶先交易的Flashbot中。

然而,MEV-boost-relay中的一個漏洞使惡意驗證器可以重新進行捆綁交易,攔截MEV機器人部分夾層策略,特別是反向交易。由于上述漏洞,驗證者看到了詳細的交易信息。有了這些詳細的交易信息,惡意驗證者可以建立他們自己的區塊,并在最初的MEV機器人交易之前插入他們的前置交易。

谷燕西:比特幣在2021年會有大幅增長:12月1日消息,美國力研咨詢公司創始人谷燕西在朋友圈中表示,比特幣的這次創新高同上一次有本質的不同。這次主要是美國金融和商業機構的開始認可:灰度和Microstrategy的大幅買入,CME比特幣期貨持倉量成為最高,PayPal開始向其用戶提供比特幣的買賣服務,Fidelity提供比特幣的托管服務,OCC明確表明聯邦銀行可以向加密數字貨幣公司提供合法的服務,這些因素都表明在美國市場中比特幣正在成為一個主流的資產種類。此外,Libra最早可能在明年1月推出,也是比特幣的利好消息。交易市場中的比特幣期權持倉情況也表明市場預期比特幣在2021年會有大幅增長。[2020/12/1 22:41:21]

總的來說,這個惡意驗證器成功地從5個MEV機器人中竊取了大約2500萬美元,這也是目前為止CertiK發現的MEV機器人損失金額最大的事件之一。在過去的12個月里,只有6個MEV機器人的漏洞被發現,而僅本次事件就占了總損失2750萬美元的92%。

惡意驗證者利用MEV-boost-relay漏洞,通過提交一個無效但正確簽名的區塊開始攻擊。在看到區塊內的交易后,驗證者可以重新捆綁它們,以從MEV機器人那里索取資產。該漏洞已于后續被修補。

加密游戲Axie Infinity將于2021年前推出原生治理代幣:基于以太坊的加密游戲Axie Infinity自2018年2月推出以來已經吸引了7000多名代幣持有者,以及4500多名活躍的市場參與者。最近,它以4570枚ETH的交易量位列NFT游戲第11位。玩家目前可以通過游戲獲得“Small Love Potion”(SLP)實用型代幣,該代幣可用于生稱新的Axies。SLP目前的交易價格為0.046美元,24小時交易量為38200美元。最近Axie Infinity用戶的激增歸因于對項目即將到來的治理代幣的預期。近期,該游戲的聯合創始人Jeff Zirlin在推特上宣布將在2021年前推出一款原生治理代幣。(Cointelegraph)[2020/8/21]

更多關于MEV機器人及三明治攻擊的內容,請查看報告獲取。

Atomic Wallet被黑

今年6月初,5000多名Atomic Wallet用戶遭遇了本季度最大的安全事件,損失超1億美元。起初,Atomic Wallet表示不到1%的月活用戶成為此次事件的受害者,后來改成不到0.1%。如此規模的攻擊和巨大損失凸顯了錢包應用中安全漏洞的嚴重性。

攻擊者以用戶私鑰為目標,獲得對他們資產的完全控制。在獲取密鑰后,他們能夠將資產轉移到自己的錢包地址,清空受害者的賬戶。

散戶報告的損失金額大小不一,其中最高達到795萬美元。五名金額最大的散戶受害者的累計損失高達1700萬美元。

為了挽回損失,Atomic Wallet公開向攻擊者提出了一個提議,他們承諾放棄10%的被盜資金,以換取90%被盜的代幣。然而,根據Lazarus Group的歷史記錄,加上被盜資金已開始被清洗,追回資金的希望非常渺茫。

更多關于Atomic Wallet以及“幕后黑手”的分析,請查看報告獲取。

Sui“倉鼠輪”新型漏洞

此前,CertiK團隊于Sui區塊鏈發現了一系列拒絕服務漏洞。在這些漏洞中,一種新型且具有嚴重影響力的漏洞格外引人注目。該漏洞可導致Sui網絡節點無法處理新的交易,效果等同于整個網絡完全關閉。CertiK因發現該重大安全漏洞,獲得了Sui 50萬美元漏洞賞金。美國業內權威媒體CoinDesk對該事件進行了報道,隨后各大媒體也緊隨其報道發布了相關新聞。

該安全漏洞被形象地稱為“倉鼠輪”:其獨特的攻擊方式與目前已知的攻擊不同,攻擊者只需提交一個大約100字節的載荷,就能觸發 Sui 驗證節點中的一個無限循環,使其不能響應新的交易。

此外,攻擊帶來的損害在網絡重啟后仍能持續,并且能在 Sui 網絡中自動傳播,讓所有節點如倉鼠在輪上無休止地奔跑一樣無法處理新的交易。因此我們將這種獨特的攻擊類型稱為“倉鼠輪”攻擊。

發現該漏洞后,CertiK通過Sui的漏洞賞金計劃向Sui進行了報告。Sui也第一時間進行了有效回應,確認了該漏洞的嚴重性,并在主網啟動前積極采取了相應措施對問題進行了修復。除了修復此特定的漏洞外,Sui還實施了預防性的緩解措施,以減少該漏洞可能造成的潛在損害。

為了感謝CertiK團隊負責地披露,Sui向CertiK團隊頒發了50萬美元獎金。

詳情請點擊《Sui最新漏洞“倉鼠輪”,技術細節與深入分析》

基于MPC錢包的服務器級別漏洞

多方計算(MPC)是一種加密方法,允許多個參與者對其輸入的函數進行計算,同時保護這些輸入的隱私。其目標是確保這些輸入不與任何第三方共享。該技術有多種應用,包括保護隱私的數據挖掘、安全拍賣、金融服務、安全的多方機器學習,以及安全的密碼和機密共享。

CertiK的Skyfall團隊在對目前流行的多方計算(MPC)錢包ZenGo進行預防性安全分析的過程中,發現該錢包的安全架構存在一個嚴重漏洞,它被稱為“設備分叉攻擊”。攻擊者可以利用它繞過ZenGo現有的安全防護措施,從而有機會控制用戶的資金。該攻擊的關鍵是利用API中的漏洞來創建一個新的設備密鑰,從而欺騙ZenGo服務器將它視為真實用戶的設備。

依據負責披露原則,Skyfall團隊迅速向ZenGo報告了此漏洞。在認識到問題的嚴重性后,ZenGo的安全團隊迅速采取行動進行修復。為了防止攻擊的可能性,該漏洞已在服務器的API層面上得到修復,因此無需對客戶端代碼進行更新。

在漏洞修復完成后,ZenGo公開承認了這些發現,并感謝CertiK在加強其基于MPC錢包的安全性和可信度方面發揮的重要作用。

“多方計算具有廣闊的前景,在Web3.0領域有許多重要的應用。雖然MPC技術減少了單點故障帶來的風險,但MPC解決方案的實施會給加密貨幣錢包設計帶來新的復雜情況。這種復雜性會導致新的安全風險,說明全面的審計和監控方法是必不可少的。”    —— 李康教授,CertiK首席安全官

點擊獲取完整報告

CertiK中文社區

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags:MEVSUI比特幣CERTMEVR價格suip幣哪里買比特幣是什么時候發行的certik幣價

狗狗幣
C20:最新發現:BRC-20交易并不適用BTC-UTXO標簽模型

作者:Jason Jiang,歐科云鏈在Web3世界,鏈上活動所產生的數據直接對應著價值流動,掌握鏈上數據就能發現更多Alpha.

1900/1/1 0:00:00
Celsius:Cellframe Network 因閃電貸操控池子比例遭受攻擊事件分析

根據 Numen 鏈上監控,2023年6月1日10點7分55秒(UTC+8),Cellframe Network(@cellframenet)在 Binance Smart Chain 上因為流.

1900/1/1 0:00:00
STA:BTC 生態重點項目大盤點

BTC生態已經持續火熱兩個月了,但隨著ORDI的回調,許多人開始擔心這波BTC生態的熱潮已經結束了.

1900/1/1 0:00:00
區塊鏈:育碧將推出鏈游 傳統游戲公司的鏈游做得怎樣了?

金色財經記者 Jessy近日,著名3A游戲公司育碧宣布其將在Oasys 區塊鏈上推出鏈游 Champions Tactics。根據目前該游戲只發布的游戲先導預告片.

1900/1/1 0:00:00
ENG:“立儲”還是“接燙手山芋” 幣安這次攤上事了?

6月5日,彭博一則消息引發市場熱議,Richard Teng或將替代趙長鵬出任幣安CEO;隨后,彭博爆出幣安和趙長鵬被SEC起訴,更是直接誘發加密市場暴跌,幣安面臨的監管危機已然不言而喻.

1900/1/1 0:00:00
區塊鏈:大盤點:香港現在已有哪些涉Web3企業

作者:金色財經,lklbar6月1日《適用于虛擬資產交易平臺營運者的指引》正式生效。香港證監會表示,歡迎已準備好遵守證監會標準的虛擬資產交易平臺營運者申領牌照.

1900/1/1 0:00:00
ads