SharkTeam: Báo cáo bảo mật Web3 Q1 2024

I. Tổng quan

Trong quý đầu tiên của năm 2024, các hành vi độc hại như tấn công của hacker, lừa đảo Rugpull và tấn công lừa đảo đã gây ra tổng thiệt hại 462 triệu USD, tăng khoảng 20,63% so với cùng kỳ năm ngoái so với quý đầu tiên của năm 2023 (khoảng 383 USD). triệu). Báo cáo này nhằm mục đích tổ chức và phân tích tình trạng bảo mật, các sự kiện lớn và xu hướng bảo mật của ngành Web3 toàn cầu trong quý 1 năm 2024, cung cấp cho độc giả những thông tin hữu ích và ý tưởng mới, đồng thời góp phần vào sự phát triển an toàn và lành mạnh của Web3.

2. Phân tích sự cố bảo mật

Theo dữ liệu từ nền tảng phân tích bảo mật trên chuỗi ChainAegis của SharkTeam, tổng cộng 280 sự cố bảo mật đã xảy ra trong lĩnh vực Web3 trong quý 1 năm 2024 (Hình 1), với tổng thiệt hại hơn 462 triệu đô la Mỹ (Hình 2) So với cùng kỳ năm ngoái, các sự cố an ninh Tần suất xảy ra sự kiện tăng khoảng 32,70% và số lượng tổn thất tăng khoảng 20,63%.

Hình 1: Tổng số sự cố bảo mật trong quý 1 năm 2024

Hình 2: Tổng thiệt hại về sự cố bảo mật trong quý 1 năm 2024

Tổng cộng có 60 vụ tấn công của hacker đã xảy ra trong Quý 1 năm 2024, tăng 140% so với Quý 1 năm 2023 và số tiền thiệt hại lên tới 385 triệu USD, chiếm 83% (Hình 3). ), tăng 6,35% so với cùng kỳ năm trước.

Tổng cộng có 127 trường hợp Kéo Thảm xảy ra, tăng 323,33% so với Quý 1 năm 2023 (30 trường hợp), nhưng số tiền thiệt hại giảm 59,44%, tổng trị giá 8,21 triệu USD, chiếm 2% tổng số tiền lỗ trong Quý 1. Tổng cộng có 93 cuộc tấn công lừa đảo đã xảy ra trong Quý 1, tăng so với cùng kỳ năm trước, với thiệt hại lên tới khoảng 68,66 triệu USD, chiếm khoảng 15%.

Hình 3: Số lượng tổn thất theo loại tấn công trong quý 1 năm 2024

Hình 4: Số lượng theo loại tấn công trong Q1 2024

Nhìn vào quý 1 theo tháng (Hình 5), khoản lỗ trong tháng 1 là nghiêm trọng nhất, vượt quá 250 triệu USD, cao hơn nhiều so với tháng 2 (71,42 triệu USD) và tháng 3 (140 triệu USD). Trong số đó, 88 sự cố an ninh xảy ra trong tháng 1, cao hơn một chút so với 72 sự cố trong tháng 2 và thấp hơn một chút so với 120 sự cố trong tháng 3. Có thể thấy, số tiền thiệt hại của một sự cố an ninh trong tháng 1 là cao nhất. Phương thức tấn công gây thiệt hại nghiêm trọng nhất trong tháng 1 là tấn công của hacker, với tổng cộng 20 vụ tấn công của hacker đã xảy ra, gây thiệt hại 217 triệu USD. Đồng thời, các cuộc tấn công lừa đảo cũng có tỷ lệ xảy ra cao trong tháng 1, với tổng số 39 cuộc tấn công lừa đảo, nhưng số tiền thiệt hại tương đối nhỏ, tổng cộng là 29,15 triệu USD. Tần suất chung của các sự cố an ninh và số lượng tổn thất trong tháng 2 ở mức thấp hơn so với tháng 1 và tháng 3.

Hình 5: Tổng quan về các sự cố bảo mật Web3 trong quý 1 năm 2024

2.1 Tin tặc tấn công

Tổng cộng có 60 cuộc tấn công của hacker đã xảy ra trong quý đầu tiên, với tổng thiệt hại là 385 triệu USD. Trong đó, tổn thất nghiêm trọng nhất là 217 triệu USD vào tháng 1. Nguyên nhân chính là do có 2 đợt lỗ vốn lớn trong tháng 1.

(1) Vào ngày 1 tháng 1 năm 2024, dự án cầu nối chuỗi chéo Orbit Chain đã bị tấn công mạng, dẫn đến vụ trộm tiền điện tử trị giá khoảng 81,5 triệu đô la Mỹ. Vụ việc liên quan đến 5 giao dịch riêng biệt, mỗi giao dịch hướng đến một địa chỉ ví khác nhau. Các dòng quỹ trái phép bao gồm 50 triệu USD tiền ổn định (bao gồm 30 triệu USDT, 10 triệu USD DAI và 10 triệu USDC), 231 wBTC trị giá khoảng 10 triệu USD và khoảng 21,5 triệu USD trị giá 9500 Ethereum.

(2) Vào ngày 31 tháng 1 năm 2024, bốn ví của người đồng sáng lập Ripple Chris Larsen đã bị tấn công và tổng cộng 237 triệu XRP đã bị đánh cắp, tương đương khoảng 112,5 triệu USD. Phân tích trên chuỗi của ChainAegis cho thấy số tiền bị đánh cắp đã được chuyển qua MEXC, Gate, Binance, Kraken, OKX, HTX, HitBTC, v.v. Đây là vụ trộm tiền điện tử lớn nhất tính đến thời điểm hiện tại vào năm 2024 và là vụ trộm tiền điện tử lớn thứ 20 cho đến nay trong thế giới tiền điện tử. Giá XRP đã giảm khoảng 4,4% trong 24 giờ sau vụ việc.

2.2 Kéo thảm & Lừa đảo

Như được hiển thị trong hình bên dưới (Hình 6), 29 sự cố Rugpull & Scam đã xảy ra vào tháng 1 và sau đó tăng dần theo từng tháng, với khoảng 63 sự cố xảy ra trong tháng 3; thiệt hại trong tháng 1 là khoảng 4,51 triệu USD và thiệt hại trong tháng 2 là xấp xỉ 1,49 triệu USD. Theo phân tích của ChainAegis, sự cố xảy ra chủ yếu ở các chuỗi chính thống Ethereum và BNB Chain, tần suất xảy ra sự cố Rug Pull trong dự án BNB Chain cao hơn nhiều so với Ethereum.

Ngoài ra, vào ngày 25 tháng 2, một Rugpull đã xảy ra trong RiskOnBlast, dự án GameFi của hệ sinh thái Blast. Theo phân tích của ChainAegis, địa chỉ 0x1EeB963133f657Ed3228d04b8CD9a13280EFC558 của RiskOnBlast đã huy động được tổng cộng 420 ETH từ ngày 22 đến ngày 24, trị giá khoảng 1,25 triệu USD. Sau đó, nó được chuyển đổi thành DAI và được chuyển sang các địa chỉ tiền gửi trao đổi như ChangeNOW, MEXC, Bybit, v.v. để lấy tiền mặt. ngoài. .

Hình 6: Tổng quan về Rugpull & Scam theo tháng trong quý 1 năm 2024

2.3 Tấn công lừa đảo

Như minh họa trong hình bên dưới (Hình 7), các cuộc tấn công lừa đảo xảy ra với tần suất cao nhất trong tháng 1, tổng cộng 39 trường hợp, gây thiệt hại khoảng 29,15 triệu USD; trong tháng 2, tần suất các cuộc tấn công lừa đảo là thấp nhất, với 21 trường hợp, gây ra thiệt hại khoảng 11,34 triệu USD. SharkTeam nhắc nhở mọi người rằng trong thị trường tăng giá, thị trường đang sôi động và có nhiều cơ hội airdrop nhưng mọi người nên cảnh giác hơn để tránh bị tấn công bởi các nhóm lừa đảo tích cực như Angel Drainer và Pink Drainer. khi chuyển nhượng và ủy quyền.

Hình 7: Tổng quan về lừa đảo theo tháng trong quý 1 năm 2024

3. Phân tích trường hợp điển hình

3.1 Lỗ hổng tính toán độ chính xác của hợp đồng

Vào ngày 30 tháng 1 năm 2024, MIM_SPELL bị tấn công cho vay nhanh và mất 6,5 triệu USD do lỗ hổng tính toán chính xác. Nguyên nhân của cuộc tấn công là do có lỗ hổng về độ chính xác của hợp đồng thông minh của dự án khi tính toán các biến khoản vay, khiến các biến chính co giãn và giá trị cơ sở bị thao túng và mất cân bằng, dẫn đến vấn đề khi tính toán tài sản thế chấp và khoản vay. số tiền và cuối cùng là cho vay quá mức mã thông báo MIM. Hàm vay và hàm trả nợ trong hợp đồng bị tấn công (0x7259e1520) đều sử dụng phương pháp làm tròn lên khi tính toán các biến co giãn và biến cơ sở.

Kẻ tấn công (0x87F58580) trước tiên đặt biến đàn hồi và biến cơ sở lần lượt là 0 và 97 bằng cách hoàn trả các khoản vay của người dùng khác.

Sau đó, hàm mượn và hàm trả nợ được gọi liên tục và số lượng tham số đều bằng 1. Khi hàm mượn được gọi lần đầu tiên, vì elastic=0, logic if ở trên sẽ được thực thi và trả về hàm add. Điều này dẫn đến co giãn = 1, cơ sở = 98.

Sau đó, kẻ tấn công (0x87F58580) gọi hàm mượn và chuyển vào 1. Vì elastic=1, logic else sẽ được thực thi và giá trị trả về được tính toán là 98. Theo cách này, khi quay lại hàm add, elastic=2 và biến cơ sở là 196.

Nhưng tại thời điểm này, kẻ tấn công (0x87F58580) gọi hàm trả nợ và chuyển vào 1. Vì elastic=2 nên logic else sẽ được thực thi. Biến đàn hồi được tính toán ban đầu là 1*2/98 = 0, nhưng do các bước sau của việc làm tròn lên, kết quả tính ra giá trị trả về là 1, để khi quay về hàm con, biến đàn hồi đổi về 1, biến cơ sở là 195.

Có thể thấy, sau vòng vay-trả nợ, biến đàn hồi không thay đổi và biến cơ sở tăng gần gấp đôi, lợi dụng lỗ hổng này, hacker thường xuyên lặp chức năng vay-trả nợ, cuối cùng gọi trả nợ lần nữa, cuối cùng tạo ra elastic=0 cơ sở = 120080183810681886665215049728.

Khi tỷ lệ giữa biến đàn hồi và biến Cơ sở mất cân bằng nghiêm trọng, kẻ tấn công (0x87F58580) có thể cho vay một lượng lớn mã thông báo MIM sau khi thêm một lượng tài sản thế chấp rất nhỏ để hoàn thành cuộc tấn công.

3.2 Cuộc tấn công lừa đảo DeGame và băng đảng lừa đảo Pink Drainer

Vào tháng 3 năm 2024, một người dùng Web3 đã vô tình nhấp vào liên kết lừa đảo được đăng bởi tài khoản chính thức của DeGame, tài khoản này đã bị đánh cắp và bị thua lỗ.

Sau đó, người dùng nhầm tưởng rằng DeGame đang lừa dối chính mình trong quá trình này nên đã tiết lộ vụ việc trên Twitter. Một nhóm KOL, giới truyền thông và một số lượng đáng kể người dùng tiếp tục lan truyền vụ việc mà không hề hay biết, điều này đã ảnh hưởng đến hình ảnh thương hiệu của DeGame và Danh tiếng của nền tảng đã có tác động lớn.

Sau sự việc, DeGame đã đưa ra một kế hoạch khẩn cấp nhằm giúp đỡ người dùng nạn nhân cố gắng lấy lại tài sản của mình.Câu chuyện về cuộc tấn công lừa đảo của DeGame đại khái như sau:

(1) Từ 4h00 đến 9h30 ngày 14/3, thông tin chính thức của DeGame Một người dùng báo cáo rằng anh ta đã mất khoảng 57 PufETH sau khi nhấp vào liên kết airdrop;

(2) Nhân viên vận hành Twitter chính thức của DeGame đã phát hiện ra liên kết lừa đảo trên nền tảng này sau 9:30 sáng và xóa nó. Đồng thời, DeGame đã đồng bộ hóa tin tức đến tất cả người dùng thông qua mạng xã hội và cộng đồng chính thức, đồng thời đưa ra thông báo nhắc nhở.

(3) Người dùng nạn nhân đã duyệt qua liên kết trang web lừa đảo và văn bản giải thích do kẻ tấn công đăng trong khoảng thời gian bất thường của tài khoản Twitter chính thức của DeGame. Anh ta đã vô tình tin rằng liên kết này thực sự được tổ chức bởi quan chức DeGame cùng với các bên dự án khác. hoạt động airdrop mã thông báo, sau khi nhấp vào liên kết và làm theo lời nhắc cài sẵn của kẻ tấn công, tài sản đã bị mất.

(4) Sau khi người dùng nhấp vào trang web lừa đảo để kết nối với ví, trang web sẽ tự động phát hiện xem có tài sản trong địa chỉ ví hay không. Nếu có tài sản, chữ ký giao dịch Phê duyệt Mã thông báo Cấp phép sẽ bật lên trực tiếp. Điều khác với chữ ký giao dịch thông thường là chữ ký này hoàn toàn không được tải lên chuỗi, hoàn toàn ẩn danh và có khả năng được sử dụng theo cách bất hợp pháp. Ngoài ra, người dùng không cần phải có sự ủy quyền trước để tương tác với hợp đồng ứng dụng bằng cách đính kèm chữ ký ủy quyền (Permit).

(5) Trong vụ trộm cắp này, hacker lừa đảo đã lấy được chữ ký giao dịch Phê duyệt mã thông báo cấp phép được người dùng bị đánh cắp ủy quyền đến địa chỉ hợp đồng lừa đảo 0xd560b5325d6669aab86f6d42e156133c534cde90 và gửi Giấy phép trong giao dịch tấn công để gọi Phê duyệt để nhận ủy quyền mã thông báo và sau đó chuyển số tiền bị đánh cắp .

(6) Nhà cung cấp công cụ lừa đảo là nhóm hacker lừa đảo Pink Drainer.Pink Drainer là một phần mềm độc hại dưới dạng dịch vụ (MaaS) cho phép kẻ tấn công nhanh chóng thiết lập các trang web độc hại và lấy thông tin thông qua phần mềm độc hại tài sản bất hợp pháp. Khoảng 25% số tiền bị đánh cắp trong giao dịch bị đánh cắp này đã được chuyển sang PinkDrainer: Wallet 2, đây là địa chỉ ví số 2 của nhóm lừa đảo PinkDrainer. Đây là địa chỉ tự động được kẻ thực hiện lừa đảo cấp cho PinkDrainer sau khi sử dụng công cụ lừa đảo của nhóm lừa đảo PinkDrainer được chia thành.

3.3 Rugpull hàng loạt dẫn đến số lượng sự kiện tăng đột biến

Sự gia tăng số lượng sự kiện Rugpull trong năm 2024 có liên quan chặt chẽ đến việc tạo hàng loạt token Rugpull theo hợp đồng với nhà máy RugPull. Nhóm nghiên cứu bảo mật SharkTeam đã tiến hành phân tích chi tiết về các sự kiện Rugpull này. Trong quá trình phân tích, chúng tôi nhận thấy rằng hợp đồng nhà máy Rugpull trên Chuỗi BNB đã bắt đầu hơn 70 Rugpull trong tháng qua. Các sự kiện Rugpull hàng loạt thường có các đặc điểm hành vi sau:

(1) Các mã thông báo này được tạo bởi hoạt động createToken của hợp đồng sản xuất mã thông báo. Trong hàm createToken, các tham số sau cần được chuyển vào khi tạo mã thông báo: tên mã thông báo, ký hiệu mã thông báo, độ chính xác, nguồn cung cấp, địa chỉ chủ sở hữu mã thông báo, địa chỉ hợp đồng nhà máy để tạo cặp mã thông báo và địa chỉ stablecoin BUSD-T. Trong số đó, hợp đồng nhà máy tạo cặp mã thông báo sử dụng hợp đồng nhà máy của PancakeSwap và mỗi mã thông báo có một địa chỉ chủ sở hữu khác nhau.

(2) Chủ sở hữu token sử dụng các địa chỉ khác để mua và bán token Rugpull theo đợt. Trong hoạt động mua và bán, tính thanh khoản của mã thông báo tăng đáng kể và giá tăng dần.

(3) Quảng cáo thông qua lừa đảo và các phương pháp khác để thu hút số lượng lớn người dùng mua. Khi tính thanh khoản tăng lên, giá mã thông báo sẽ tăng gấp đôi.

(4) Khi giá của token đạt đến một giá trị nhất định, chủ sở hữu token sẽ tham gia thị trường để bán và thực hiện Rugpull.

Đằng sau chuỗi hành vi này là một nhóm lừa đảo Web3 với sự phân công lao động rõ ràng, hình thành chuỗi ngành công nghiệp đen, chủ yếu liên quan đến thu thập điểm nóng, phát hành tiền tự động, giao dịch tự động, tuyên truyền sai sự thật, tấn công lừa đảo, thu hoạch Rugpull và các liên kết khác. Các token Rugpull giả được phát hành có liên quan chặt chẽ đến các sự kiện nóng trong ngành và rất khó hiểu và mang tính xúi giục. Người dùng cần luôn cảnh giác, duy trì lý trí và tránh thua lỗ.

4. Tóm tắt

Tổng thiệt hại do sự cố bảo mật gây ra trong quý 1 năm 2024 lên tới 462 triệu USD. Các yếu tố như giá tiền tệ tăng trong quý này có tác động nhất định đến tổng số tiền tăng lên, nhưng nhìn chung tình hình bảo mật Web3 không lạc quan . Các lỗ hổng logic hợp đồng thông minh, chuỗi công nghiệp đen Rugpull, các cuộc tấn công lừa đảo, v.v. là những nguyên nhân chính đe dọa tính bảo mật của tài sản được mã hóa của người dùng. Chúng tôi hy vọng rằng người dùng và dự án Web3 có thể nâng cao nhận thức về bảo mật của họ càng sớm càng tốt và giảm thiểu tổn thất.

Về chúng tôi

Tầm nhìn của SharkTeam là bảo vệ thế giới Web3. Nhóm bao gồm các chuyên gia bảo mật giàu kinh nghiệm và các nhà nghiên cứu cấp cao từ khắp nơi trên thế giới, những người thành thạo lý thuyết cơ bản về blockchain và hợp đồng thông minh. Nó cung cấp các dịch vụ bao gồm nhận dạng và ngăn chặn rủi ro, kiểm toán hợp đồng thông minh, KYT/AML, phân tích trên chuỗi, v.v. và đã tạo ra nền tảng chặn và nhận dạng rủi ro thông minh trên chuỗi ChainAegis, có thể chống lại Mối đe dọa liên tục nâng cao một cách hiệu quả (Nâng cao). Persistent Threat) trong thế giới Web3. , APT). Nó đã thiết lập mối quan hệ hợp tác lâu dài với những người chơi chủ chốt trong các lĩnh vực khác nhau của hệ sinh thái Web3, như Polkadot, Moonbeam, Polygon, Sui, OKX, imToken, Collab.Land, TinTinLand, v.v.

Trang web chính thức: https://www.sharkteam.org

Twitter: https://twitter.com/sharkteamorg

Điện tín: https://t.me/sharkteamorg

Bất hòa: https://discord.gg/jGH9xXCjDZ