區塊鏈:2023年上半年Web3區塊鏈安全態勢、反洗錢分析回顧以及加密行業重點監管政策總結

*本報告由Beosin、SUSS NiFT、LegalDAO、Footprint Analytics、Biteye、ShellBoxes聯合出品。

前言

隨著全球數字化進程的不斷加速，區塊鏈技術作為一種新興的去中心化交易方式，正逐漸成為數字經濟的核心基礎設施之一。然而，隨著區塊鏈應用場景的不斷拓展，其面臨的安全風險也在逐步增加。在這樣一個背景下，了解Web3區塊鏈安全態勢及加密行業監管政策，成為保障區塊鏈應用安全和穩定的必要措施之一。本研究報告由區塊鏈安全公司Beosin和SUSS NiFT聯合發起的區塊鏈生態安全聯盟共同創作，圍繞2023年上半年全球區塊鏈安全態勢、Web3熱點事件及加密行業重點監管政策等，進行深入分析和總結，旨在為讀者提供有價值的參考和啟示，助力區塊鏈技術的安全健康發展。

本章作者：Beosin 研究團隊Mario、Donny

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測，2023年上半年Web3領域因黑客攻擊、釣魚詐騙和項目方Rug Pull造成的總損失達到了 6 億 5561 萬美元。其中攻擊事件 108 起，總損失金額約 4 億 7143 萬美元；釣魚詐騙總損失金額約 1.08 億美元；項目方Rug Pull事件 110 起，總損失約 7587 萬美元。

Web3領域黑客攻擊事件的總損失金額較去年有了大幅度下降。2022年上半年攻擊總損失約 19.1 億美元，2022年下半年約 16.9 億美元，而2023上半年該數值下降到了 4.7 億美元。

從被攻擊項目類型來看，DeFi依舊是被攻擊頻次最高、損失金額最多的類型。85 次 DeFi 安全事件總損失金額達到了 2.92 億美元，占總損失金額的 62%。

從鏈平臺類型來看，75.6% 的損失金額來自 Ethereum，約 3.56 億美元，居所有鏈平臺的第一位。

從攻擊手法來看

（按根本原因進行統計），最頻發、造成損失最多的攻擊手法為合約漏洞利用。60次合約漏洞事件造成損失2.64億美元，占所有損失金額的56%。

從資金流向來看，約有2.15億美元的被盜資產得以追?回，占所有被盜資產的45.5%。另外約有 1.13 億美元的被盜資產轉入了Tornado Cash和其他混幣器。

美國SEC在2022年對加密貨幣領域的打擊行動中賺取140億美元:金色財經報道，隨著美國證券交易委員會(SEC)繼續加大對加密貨幣領域一些最大企業的打擊力度，包括對Coinbase和Binance提起訴訟，它從執法工作中獲益匪淺。根據2022財年的年度報告，監管機構在此期間產生了141億美元的收入，比2021年的122億美元增加了19億美元。根據該文件，這些資產大部分來自SEC執法行動中沒收的收入，根據SEC從11月發布的新聞稿，在2022財年，這些資產比上一年增加了9%，因為該機構帶來了2022年760次執法行動。[2023/6/14 21:35:14]

從審計情況來看，被攻擊的項目中，約有49%的項目沒有經過審計。

與黑客攻擊事件較2022年下降的趨勢相反的是，對普通用戶而言，釣魚詐騙和項目方Rug Pull事件在2023年上半年更加頻發。據不完全統計，這兩類事件涉及總金額達到了至少 1.84 億美元。由于釣魚門檻技術的降低（例如可以通過一些渠道向釣魚團伙購買惡意工具包，賺取利潤后進行分成），導致2023年上半年釣魚詐騙事件大幅增加，成為威脅 Web3 用戶安全的主要原因。

2 攻擊事件總覽

108 起攻擊事件造成損失 4 億 7143 萬美元

2023年上半年，Beosin EagleEye安全風險監控、預警與阻斷平臺共監測到Web3領域主要攻擊事件 108 起，總損失金額達 4 億 7143 萬美元。其中損失金額超過 1 億美元的安全事件共 1 起，損失在 1000 萬美元 - 1 億美元區間的事件共 7 起，100 萬美元 - 1000 萬美元區間的事件 23 起。

損失金額超過千萬美元的攻擊事件（按金額排序）：

● Euler Finance - 1.97 億美元

3月13日，DeFi 協議 Euler Finance 遭到攻擊，損失達到了 1.97 億美元。4月4日，Euler Labs在推特上表示，經過成功協商，攻擊者已歸還了所有盜取資金。

● Atomic Wallet - 6700 萬美元

6 月 3 日，多名 Atomic Wallet 用戶在社交媒體發文稱自己的錢包資產被盜，統計發現被盜金額至少達到了6700萬美元。黑客已將被盜資金通過混幣平臺Sinbad進行了清洗，被攻擊原因仍在調查中。

● MEV attack - 2500 萬美元

報告：2022年Q2非以太坊生態NFT項目的募資總額超過以太坊上NFT項目18億美元:金色財經消息，DoveMetrics聯合Messari發布2022年上半年加密貨幣募資報告，該報告涉及Web3、DeFi、CeFi、基礎設施和NFT。報告中指出2022年第二季度，非以太坊生態NFT項目的募資總額超過以太坊上NFT項目18億美元；游戲NFT垂直領域在上半年籌集的資金是其他任何NFT垂直領域的四倍多；71%的DAO項目融資處于種子輪階段；DeFi在6月份募資6.24億美元，是過去6個月中任何月份的2倍多；Cefi在今年前六個月，獲得了103億美元的融資，所有融資中一半是在種子輪階段。[2022/8/3 2:55:42]

4月3日，多個MEV機器人遭受惡意三明治攻擊，總共損失約2500萬美元。

● Bitrue - 2400 萬美元

4月14日，加密交易所 Bitrue 熱錢包遭受攻擊，損失達 2400 萬美元。

● FPG - 2000 萬美元

6月11日，加密貨幣經紀公司 Floating Point Group (FPG）遭到網絡攻擊，損失約 2000 萬美元的加密貨幣。

● GDAC - 1300 萬美元

4月9日，韓國加密貨幣交易所 GDAC 遭到黑客攻擊，損失近1300萬美元。

● Yearn Finance - 1150 萬美元

4月13日，Yearn Finance的yusdt合約遭受黑客攻擊，黑客獲利超1000萬美元。

● MyAlgo Wallet - 1120 萬美元

2月，MyAlgo錢包遭到中間人攻擊，損失達 1120 萬美元。

3 被攻擊項目類型

85 次 DeFi 安全事件造成 2.92 億美元損失

2023年上半年，DeFi類型項目共發生 85 次安全事件，占總事件數量的 78.7% 。DeFi總損失金額達到了 2.92 億美元，占總損失金額的 62% 。DeFi為被攻擊頻次最高、損失金額最多的項目類型。

85 次 DeFi 安全事件里，有 51 起安全事件都源自于合約漏洞利用，損失達 2.49 億美元，占DeFi損失總金額的 85%。

錢包攻擊事件帶來了約 7820 萬美元的損失，金額占所有項目類型的第二位。其中Atomic Wallet攻擊事件至少損失了 6700 萬美元，MyAlgo錢包攻擊事件損失為 1120 萬美元。

俄羅斯能源供應商將于2022年首次推出由區塊鏈驅動的銷售平臺:8月18日消息，主要由國家經營的俄羅斯能源公司Yantarenergosbyt將推出一個利用區塊鏈技術的能源購買平臺，目前正在尋求私營部門的幫助以實施其計劃。Yantarenergosbyt將為中標者提供約65.1萬美元的預算以完成平臺創建過程，并將于9月20日宣布其首選投標人。據悉，該平臺將自動向新的電力零售市場注冊新客戶，創建由智能合約驅動的能源供應合同，并向能源行業監督機構轉達信息。該平臺的設計方式還將允許運營商使用智能電表來監測和自動計算參與轉讓和存儲過程的參與者的成本和付款，并向客戶發出由區塊鏈驅動的數字發票。新平臺計劃于2022年12月30日或之前在葉卡捷琳堡市及其周邊地區，以及加里寧格勒地區推出。

Yantarenergosbyt是能源巨頭Rosseti的子公司，俄羅斯聯邦國有資產管理機構（經濟發展部的一個部門）擁有該公司88%的股份。（Cryptonews ）[2021/8/18 22:20:58]

排名第三的項目類型為交易所，損失約 5014 萬美元。交易所攻擊事件在2022年全年數據里損失排名也是第三位，今年延續了攻擊頻發趨勢。

跨鏈橋項目在2022年損失金額排名第一（18.9 億美元），而在2023年上半年損失大幅下降到了 138 萬美元。

4 各鏈平臺損失金額情況

75.6% 的損失金額來自 Ethereum

2023年上半年，Ethereum鏈上共發生主要攻擊事件27起，損失金額約為 3.56 億美元。Ethereum鏈上損失金額居所有鏈平臺的第一位，占比約75.6% 。

BNB Chain上監測到了最多的攻擊事件，達到了 58 起，攻擊事件總數占所有事件的 53.7% 。BNB Chain上發生的58次攻擊事件里，有40個被攻擊項目都未經審計。

Arbitrum鏈上共發生7次攻擊事件，造成損失約 1671 萬美元，安全事件損失金額和數量與2022年相比有所增加（Arbitrum在整個2022年只發生過兩次主要的安全事件）。

2022年Solana鏈上損失金額排所有公鏈的第三位，而在2023年上半年并未監測到主要攻擊事件。

貨幣市場預測英國央行將在2022年9月前加息至0.25%:貨幣市場預測英國央行將在2022年9月前加息至0.25%。 （金十）[2021/5/12 21:55:20]

5 攻擊手法分析

合約漏洞利用最頻發、損失金額最多

*說明：多種攻擊手法并存時，以根本原因為準進行分類。信息不足或項目方未公布原因的攻擊事件分類至"暫不清晰“

2023年上半年，攻擊原因最頻發、造成損失最多的攻擊手法為合約漏洞利用。60 次合約漏洞事件造成損失 2.64 億美元，占所有損失金額的 56%。

約有 1 億美元的安全事件攻擊手法暫不清晰，其中包括 Atomic Wallet 錢包被盜 6700 萬美元、加密貨幣經紀公司 FPG 被攻擊 2000 萬美元等事件。此類事件涉及金額大，影響用戶眾多。建議此類項目方在進行事件原因調查的同時，應積極和第三方安全公司進行合作，及時公布調查結果，采取必要的修復措施，對用戶資產安全肩負起責任。

另外，還有 7 次私鑰泄露事件造成了約 2767 萬美元的損失。在2022年，私鑰泄露損失也是居所有攻擊類型的第三位。私鑰泄露事件一直持續威脅著項目方安全。從一些事件披露來看，加強核心成員的職業道德和安全意識管理尤為重要。

按照漏洞類型細分，造成損失最多的前三名分別是業務邏輯缺陷、權限問題和重入。36 次業務邏輯漏洞共造成了約 2.39 億美元的損失，占所有因合約漏洞攻擊損失的 90% 。此類漏洞是開發者最容易遺漏的問題，被攻擊后造成的損失往往較大，有 9 起事件的損失金額都超過了 100 萬美元。建議項目方尋找富有經驗的專業審計公司進行審計。

6 典型案例攻擊手法分析

6.1 Euler Finance安全事件

3月13日，Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊，損失達到了 1.97 億美元。

3月16日，Euler基金會懸賞100萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。

3月17日，Euler Labs首席執行官Michael Bentley發推文表示，Euler“一直是一個安全意識強的項目”。從2021年5月至2022年9月，Euler Finance接受了Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等6家區塊鏈安全公司的10次審計。

現場 | DIGIBUILD聯合創始人：2026年后將見證區塊鏈行業成熟:據cointime.com現場報道，今日在2018西雅圖區塊鏈大會上，DIGIBUILD聯合創始人兼首席執行官Robert Salvador表示，區塊鏈可以通過釋放資金，降低交易成本，加快流程和提供安全性和信任使企業受益。 Salvador預測，2018年到2020年，整個行業將繼續推出加密用例，進行更多的案例研究和早期采用；2021年到2025年，早期采用者和標準活動將提供更大的清晰度，并最大限度地減少不確定性，這將推動廣泛的采用; 2026年及以后將見證區塊鏈行業的成熟，區塊鏈將被廣泛采用并被視為供應鏈和生態系統的一個組成部分。[2018/8/22]

從3月18日開始至4月4日，攻擊者開始陸續返還資金。期間攻擊者通過鏈上信息進行道歉，稱自己“攪亂了別人的錢，別人的工作，別人的生活”并請求大家的原諒。

4月4日，Euler Labs在推特上表示，經過成功協商，攻擊者已歸還了所有盜取資金。

漏洞分析：復盤Euler Finance 2億美元被盜案的來龍去脈，本次事件帶給我們哪些啟示？

6.2 BonqDAO安全事件

漏洞分析：開年最大黑客事件，損失8800萬美元，加密協議BonqDAO被攻擊事件分析

6.3 Platypus Financ

e安全事件

2月17日，Avalanche平臺的Platypus Finance因函數檢查機制問題遭到攻擊，損失約850萬美元。然而攻擊者并沒有在合約中實現提現功能，導致攻擊收益存放在攻擊合約內無法提取。

2月23日，Platypus表示，已經聯系了Binance并確認了黑客身份，并表示將至少向用戶償還63%的資金。

2月26日，法國國家警察已經逮捕并傳喚了兩名攻擊Platypus的嫌疑人。

漏洞分析：閃電貸攻擊如何防范？Avalanche鏈上Platypus項目損失850萬美元攻擊事件分析

6.4 Yearn Finance 安全事件

2023年4月13日，Yearn Finance的yusdt合約遭受黑客閃電貸攻擊，黑客獲利超1000萬美元。yUSDT 疑似在 1000 多天前部署時便被錯誤配置，錯誤地使用了 Fulcrum iUSDC 部署，而不是 Fulcrum iUSDT。

5月26日，Yearn攻擊者已將 4134 枚ETH轉入Tornado Cash。

漏洞分析：被盜超1000萬美元，Yearn Finance如何被黑客“盯上”？

7 反洗錢典型事件分析回顧

據區塊鏈安全審計公司Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，Atomic Wallet于今年6月初遭攻擊，據Beosin團隊統計，綜合鏈上已知的受害人報案信息，此次攻擊造成的損失至少約6700萬美元。

我們將深入探討這起黑客盜竊案的資金清洗細節，并使用Beosin KYT虛擬資產反洗錢合規和分析平臺，對黑客的洗錢套路進行追蹤和分析。

事件綜述

根據Beosin團隊分析，此次被盜事件截止目前涉及的鏈包括BTC、ETH、TRX在內總共21條鏈。被盜資金主要集中在以太坊鏈。其中：

以太坊鏈

已查出被盜資金為16262個ETH價值的虛擬貨幣，約3000萬美元。

波場鏈

波場鏈已知被盜資金為251335387.3208個TRX價值的虛擬貨幣，約1700萬美元。

BTC鏈

BTC鏈已知被盜資金為420.882個BTC價值的虛擬貨幣，折合1260萬美元。

BSC鏈

BSC鏈已知被盜資金為40.206266個BNB價值的虛擬貨幣。

其余鏈

XRP：1676015個XRP，約84萬美元

LTC：2839.873689個LTC，約22萬美元

DOGE：800575.67369797個DOGE，約5萬美元

以太坊

在黑客對贓款的操作中，以太坊被攻擊鏈路上有兩種主要的方式：

1、通過合約進行發散后利用Avalanche跨鏈洗錢

根據Beosin團隊分析，黑客會首先將錢包中有價值的幣統一換成公鏈的主幣，再通過兩個合約來進行匯集。

該合約地址會通過兩層中轉將ETH打包成WETH，再將WETH轉入用于將ETH發散的合約，通過最高5層中轉轉入Avalanche 用于Cross Bridge的錢包地址中進行跨鏈操作，該跨鏈不使用合約進行，屬于Avalanche的內部記賬式交易類型。

以太坊鏈路簡圖如下：

全文閱讀：一場涉及至少6000萬美元的錢包被盜案，Beosin KYT帶你拆穿黑客洗錢套路

8 被盜資產的資金流向分析

45.5% 的被盜資產得以追回

2023年上半年，Beosin KYT虛擬資產反洗錢合規和分析平臺顯示，約有2.15億美元的被盜資產得以追回，占所有被盜資產的45.5%。而在2022年，僅有8%的被盜資產被追回。2023年資金追回的機會大幅提升。除了與黑客談判追回以外，依靠安全公司、執法機構、社區力量合力追回的案例也在增加。另外，全球監管體系的完善和執法力度的加大，也對黑客行為起到了警戒作用。

約有 1.13 億美元的被盜資產轉入了混幣器。其中轉入Tornado Cash 約 4538 萬美元，其他混幣平臺約 6814 萬美元。自 2022 年 8 月 Tornado Cash受到美國 OFAC 制裁后，黑客使用Tornado Cash進行混幣的總金額大幅減少，而其他混幣平臺的使用率明顯增加，如 FixedFloat、Sinbad 等。

9 項目審計情況分析

審計和未審計項目比例大致相當，在108個被攻擊項目中，經過審計的項目為 51 個，未經審計的項目為 53 個，比例大致相當。該比例與2022年情況也大體一致。

在經過審計的51個項目里，有31個項目（60%）被攻擊原因來自合約漏洞利用。該比例高于去年的 45 %，整個審計市場的質量依舊不容樂觀。建議項目方一定要尋找專業的安全公司進行審計。

10 Rug Pull 分析

110 起 Rug Pull 事件卷走 7587 萬美元

2023年上半年，Web3領域共監測到主要Rug Pull事件 110 起，涉及金額約 7587 萬美元。

從金額來看，14起（12.7%）Rug Pull事件金額在100萬美元之上，10萬至100萬美元區間的事件共41起（37.3%），10萬美元以下的事件共55起（50%）。

涉及金額最大的Rug Pull事件為 Fintoch 項目，該項目卷走了約 3160 萬美元的資產。

從鏈平臺來看，BNB Chain上發生了80起Rug Pull事件，涉及金額5337萬美元，遠遠高于其他的公鏈。

2023上半年安全態勢總結

總體而言，Web3領域黑客攻擊事件的總損失金額較2022年有了大幅度下降。2022年上半年攻擊總損失約 19.1 億美元，2022年下半年約 16.9 億美元，而2023上半年該數值下降到了 4.7 億美元，并且其中約有 2.15 億美元的被盜資產得以追回。黑客攻擊呈現大幅放緩趨勢，促成這一現象的主要原因有：全球監管體系的逐步完善、執法力度的加大、項目方安全意識的提升、混幣器Tornado Cash被制裁、AML反洗錢技術和程序的完善等。另外，也出現了依靠社區力量，通過鏈下情報對黑客身份進行定位并迫使黑客返還的案例。

即便黑客攻擊大幅放緩，合約安全問題依舊不能忽略。2023年上半年，最頻發、造成損失最多的攻擊手法為合約漏洞利用。60次合約漏洞事件造成了2.64億美元的損失，其中絕大多數被利用的漏洞是業務邏輯問題。一些較為復雜的業務邏輯漏洞，需要經驗豐富的專業審計公司才能發現。Beosin審計團隊會對每一次黑客攻擊事件都會進行深入分析（推特@BeosinAlert)，確保將其中總結出的經驗和技術應用到項目審計過程中，以應對實際可能發生的黑客攻擊。

與黑客攻擊事件下降的趨勢相反的是，針對普通用戶的釣魚詐騙更加頻發。上半年出現了以Venom Drainer為代表的一系列錢包Drainer團伙，他們開發惡意工具包后進行售賣，購買者成功釣魚獲利后再與之進行分成。此類釣魚詐騙波及用戶面廣，單是Venom Drainer這一個團伙就產生了至少 1.5 萬個受害者。對于普通用戶而言，最好能夠經常關注安全公司的提醒，系統性地學習一些防釣魚防被盜知識，也可以安裝一些防釣魚插件、交易預執行工具等進行提醒（但不能完全依賴工具，加強自身安全意識永遠是第一位的）。

Beosin

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：區塊鏈ANCSINEOS區塊鏈dapp開發一個多少錢Phoenix Defi Financebusiness-credit-alliance-chainDEOS

火星幣