ベオシン年次報告書：2023年Web3ブロックチェーンのセキュリティ態勢、AML分析

このレポートはBeosin、Elven、Footprint Analyticsが作成し、この章はBeosin Research TeamのMarioとTian WarriorのDonnyが執筆した

*スペースの都合上、この記事ではレポートのセキュリティ姿勢の部分のみを紹介しています。

序文

この調査レポートは、ブロックチェーンセキュリティアライアンスが主導し、アライアンスメンバーのBeosin、Web3 Little Law、Elvenが共同執筆しました。ブロックチェーン・セキュリティ・ダイナミクスと暗号産業における主要な規制政策を包括的に探求することを目的としています。世界のブロックチェーンセキュリティの現状を分析・評価することで、本レポートは現在直面しているセキュリティ上の課題と脅威を明らかにし、解決策とベストプラクティスを提供します。同時に、読者が規制環境のダイナミックな変化と起こりうる影響を理解できるよう、暗号業界の規制に関する政府や規制当局のスタンスや政策の方向性も検証します。

本レポートを通じて、読者はWeb3ブロックチェーンのセキュリティ態勢のダイナミックな進化と規制政策の核心点について、より包括的な理解を得ることができます。これは、読者がブロックチェーン領域が直面するセキュリティ上の課題を評価し、対処し、規制要件を遵守しながら業界の持続的な成長を推進するのに役立ちます。また、読者は本レポートから、セキュリティ対策、コンプライアンス要件、業界の方向性について有益な助言を得ることができ、この新たな領域において十分な情報に基づいた意思決定と行動をとることができる。ブロックチェーンのセキュリティと規制は、Web3時代の発展における重要課題である。綿密な調査と議論を通じて、これらの課題をよりよく理解し、対処することで、ブロックチェーン技術のセキュリティと持続可能な発展を促進することができます。

1.2023年におけるWeb3ブロックチェーンのセキュリティ態勢の概要

ブロックチェーンセキュリティ監査会社Beosinの一部であるEagleEyeプラットフォームによるモニタリングによると、2023年におけるハッキング、フィッシング詐欺、プロジェクトサイドのRug PullによるWeb3空間での損失総額は以下の通りです。2023年には20.2億ドル。攻撃は191件で、損失総額は約13億9700万ドル、プロジェクトサイドのラグ・プルは267件で、損失総額は約3億8800万ドル、フィッシング詐欺は約2億3800万ドルでした。

2023 年のハッキング、フィッシング詐欺、プロジェクト側のラグ・プルのインシデントはすべて、2022 年と比べて大幅に減少しました。2022年は、合計で53.9％という大幅な減少となりました。ハッキングインシデントの減少幅が最も大きく、2022年の36億ドルから2023年には13億9700万ドルとなり、約61.2％減少した。フィッシング詐欺の被害額は2022年から33.2パーセント減少し、ラグ・プルの被害額は2022年から8.8パーセント減少しました。

2023年に1億ドル以上の損失を出した攻撃は4件、1000万ドルから1億ドルの範囲の損失は17件でした。1,000万ドルから1億ドルの範囲の損失を被った17の攻撃。上位10位までのセキュリティインシデントの損失総額は約10億ドルで、年間攻撃総額の71.5%を占めています。

2023年に攻撃されたプロジェクトの種類は2022年よりも幅広く、DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレット、決済プラットフォーム、ゲームプラットフォーム、暗号ブローカー、インフラ、暗号管理者、開発ツール、MEVボット、TGボット、その他多数を含みます。


DeFiは攻撃頻度と損失額が最も高いプロジェクトタイプであり、130 DeFi攻撃により総額約4億800万ドルの損失が発生しています。

2023年に攻撃を受けたパブリックチェーンの種類はより頻繁に、複数のチェーンが盗まれるセキュリティインシデントが複数発生しました。 イーサリアムは依然として損失額が最も大きいパブリックチェーンで、イーサリアムに対する71件の攻撃により7億6600万ドルの損失が発生し、この年の損失総額の54.9%を占めました。54.9パーセント。

攻撃手法の観点からは、30件の秘密鍵漏洩イベントが合計約6億2700万ドルの損失をもたらし、損失総額の44.9%を占め、最も損失をもたらした攻撃手法でした。契約の脆弱性を悪用した攻撃が最も多く、191件の攻撃のうち99件、つまり51.8%が契約の脆弱性を悪用したものでした。

1年間に回収された盗難資金は約2億9500万ドル（約21.1%）で、2022年から大幅に増加しました。1年間に約3億3000万ドルの盗難資金がコインミキサーに送金され、盗難資金全体の23.6パーセントを占めました。

オンチェーンのハッキング、フィッシング詐欺、プロジェクトサイドのRug Pullsの額が大幅に減少したのとは異なり、2023年にはオフチェーンの暗号空間における犯罪額が大幅に増加しました。2023年、世界の暗号業界の犯罪額は656億8800万ドルという驚異的な額となり、2022年の137億6000万ドルから約377%増加しました。犯罪額の上位3種類は、オンラインギャンブル、マネーロンダリング、詐欺でした。

2023年2月2日 Web3 Eco トップ10セキュリティインシデント

2023年に1億ドル以上の損失を出した攻撃は、Mixin Network（2億ドル）、Euler Finance（1億9700万ドル）、Poloniex（1億2600万ドル）の4件でした。1億2600万ドル）、HTX & Heco Bridge（1億1000万ドル）。上位10位までのセキュリティインシデントの被害総額は約10億ドルで、年間攻撃総額の71.5％を占めています。

1位

Mixin Network

Losses: $200 million

Method of Attack: Cloud Service Provider Database Attack

Attacks: Cloud Service Provider Database Attack

Attacks: Cloud Service Provider Database Attacksstrong>

9月23日未明、Mixin Networkのクラウドプロバイダーデータベースがハッキングされ、メインネットワーク上のいくつかの資産（約2億ドル）が失われました。9月25日、Mixinの創設者はライブ放送で事件について公に説明し、被害を受けた資産は主にビットコインのコア資産であり、BOXとXINの資産は深刻には盗まれていないと述べました。被害は主にビットコインのコア資産で、BOXやXINなどの資産は深刻に盗まれておらず、攻撃の具体的な内容はまだ公表できない。br>

攻撃：契約の脆弱性 - ビジネスロジックの問題

3月13日、DeFi貸出プロトコルのEuler Financeが攻撃を受け、約1億9700万ドルの損失を被りました。この攻撃の根本的な原因は、コントラクトがユーザーが実際に保有しているトークンの数と、寄付が行われた後のユーザーの帳簿の健全性を適切にチェックしていなかったことでした。この事件で盗まれた資金はすべて攻撃者によって返却されている。

3位  Poloniex

損失額：1億2600万ドル

損失額：1億2600万ドル

攻撃方法。

攻撃：秘密鍵の漏洩/APT攻撃

11月10日、Sun Yuchen氏が所有する取引所Poloniexに関連するアドレスから大量の資産が転送され続け、盗まれた疑いが持たれました。その直後、孫氏とPoloniexはソーシャルメディア上の発表で盗難を確認した。Beosinのセキュリティチームが使用しているBeosin Trace追跡システムによると、Poloniexの盗まれた資産の総額は約1億2600万ドルでした。

第4位 HTX    Heco Bridge

損失額：1億1000万ドル

。攻撃：秘密鍵の漏洩

11月22日、孫玉晨の取引所HTXとクロスチェーンブリッジのHeco Bridgeがハッキングされ、1億1000万米ドルの総損失が発生しました。

No.5  Curve/ Vyper

Losses: $73 000,000

Attacks: contractual vulnerability - - $10,000,000

Attacks: contractual vulnerabilities - - $10,000,000

Attacks: contractual vulnerabilities - - - $10,000,000

Attacks: contractual vulnerabilitiesnbsp;- リエントリー

イーサリアムのプログラミング言語であるVyperは、7月31日未明に、Vyperのバージョン0.2.15、0.2.16、および 0.3.0 に脆弱性を持つリエントリーロックがあり、ネイティブETHが送金時にコールバックを呼び出せることと相まって、これらおよびETHグループのlpプールはリエントラント攻撃することができます。その後、Curveの公式Twitterの投稿によると、リエントラントロックの失敗により、Vyper 0.2.15 (alETH/msETH/pETH) を使用している多くのstablecoinプールが攻撃された。この事件の損失は約73 百万ドルに達した。

No.6  CoinEx

損失額：70 万ドル

攻撃方法：秘密鍵公開/APT攻撃

攻撃は9月に実施された。

9月12日、暗号取引所CoinEXは声明を発表し、風管理システムがプラットフォームの取引資産を一時的に保管するために使用されるホットウォレットからの不審な大量の引き出しを検知し、ETH、TRON、Polygonのトークン資産が主な対象で、総額約7000万ドルが盗まれたこの事件に対処するため、特別チームを立ち上げて初めて介入したと発表しました。

攻撃：秘密鍵漏えい/APT攻撃

BeosinのEagleEyeセキュリティリスク監視、早期警告、ブロックプラットフォームによると、Atomic Walletは6月上旬に攻撃されました。Beosinのチームによると、この攻撃は、チェーン上の既知の被害者から報告された情報に基づき、少なくとも6700万ドルの損害を与えたという。

第8位  Alphapo

損失額：60 000,000ドル

損失額：60 000,000ドル

損失額。p>

攻撃方法：秘密鍵公開/APT攻撃

7月23日、暗号通貨決済プロバイダーのAlphapoホットウォレットが盗まれ、損失総額は60 百万ドルに上った。この事件は北朝鮮のハッカー集団Lazarusによるものだとされています。nbsp;ビジネスロジックの問題

11月22日、DEXプロジェクトKyberSwapが攻撃され、総額約54.7 百万ドルの損失が発生しました。Kyber Networkによると、このハッキングはDeFi史上最も洗練されたもので、攻撃者は一連の正確なオンチェーンを実行する必要がありました。攻撃者は脆弱性を悪用するために一連の正確なオンチェーン操作を行う必要があった。

第10位  Stake.com

損失額：41.3 000ドル

攻撃手法：プライベート攻撃

攻撃：秘密鍵漏洩/APT攻撃

9月4日、暗号ゲームプラットフォームStake.comがハッカー攻撃を受けました。この攻撃を受け、Stake.comはETHとBSCのホットウォレットでの不正取引を調査しており、ウォレットの安全が完全に確保され次第、入出金を再開すると発表しました。インシデントは北朝鮮のハッキンググループLazarusによるものとされています。

3.攻撃されたプロジェクトの種類

2022年と比較すると、2023年にはより幅広い種類のプロジェクトが攻撃され、失われた金額はもはやいくつかの種類のプロジェクトに集中していません。DeFi、CEX、DEX、パブリックチェーン、クロスチェーンブリッジ、ウォレットなどの一般的なタイプに加え、2023年のハッキングは、決済プラットフォーム、ゲームプラットフォーム、暗号ブローカー、インフラ、暗号マネージャー、開発ツール、MEVボット、TGボット、その他多くのプロジェクトタイプで見られました。

2023年の191件の攻撃のうち、DeFiプロジェクトが130 を占めました。約68％）を占め、最も攻撃されたプロジェクトの種類となった。DeFi攻撃の損失総額は約4億800万ドルで、全損失額の29.2%を占め、損失額が最も大きいプロジェクトタイプでもありました。

損失額第2位はCEX（中央集権型取引所）で、9件の攻撃で2億7500万ドルの損失が発生しました。また、DEX（分散型取引所）タイプには16件の攻撃があり、損失総額は約8,568万ドルでした。これらを総合すると、2023年には取引所タイプのセキュリティインシデントが多発し、取引所のセキュリティはDeFiのセキュリティに次ぐ大きな課題となるようです。

3番目に損失額が大きいのはパブリックチェーンで、損失額は~2億800万ドルです。2億800万ドルは、主にMixin Networkの2億ドルの盗難によるものです。

2023年には、クロスチェーンブリッジの損失額は4位で、全損失額の約7%を占めています。そして2022年には、12件のクロスリンクブリッジのセキュリティインシデントにより、約18億9000万ドルの損失が発生し、この年の損失総額の52.5%を占めました。

2023年のクロスリンクブリッジのセキュリティインシデントの件数は大幅に減少しました。

5位は暗号決済プラットフォームで、2つのセキュリティインシデント（AlphapoとCoinsPaid）で合計約9730万ドルの被害があり、どちらのインシデントも北朝鮮のAPT組織であるLazarusを指弾しています。

2023年のクロスリンクブリッジのセキュリティインシデントの件数は、大幅に減少しました。4.チェーン別の損失額

2022年と比較すると、2023年に攻撃を受けたパブリックチェーンの種類は、より広範囲にわたっていました。侵害が複数のチェーンで発生したことが主な原因です。損失額の上位5位はイーサリアム、ミキシン、HECO、BNBチェーン、トロンで、攻撃回数の上位5位はBNBチェーン、イーサリアム、アービトラム、ポリゴン、オプティミズム、アバランチ（同率5位）だった。.

2022年時点でも、イーサリアムは最も損失額が大きいパブリックチェーンです。のイーサリアムへの攻撃により、7億6600万ドルの損失が発生し、この年の損失総額の54.9%を占めました。

ミキシンチェーンの損失額は2位で、1回のセキュリティインシデントで2億ドルの損失を出した。3位はHECOで、損失額は約9260万ドルだった。

BBNBチェーンに対する攻撃件数は76件に達し、全体の39.8%を占め、これは全チェーンの中で最も多い件数でした。BNBチェーンでの損失総額は約7,081万ドルで、インシデントの大部分（88％）は1 000万ドル未満が中心でした。

5.攻撃手法の分析

2022年と比較すると、2023年の攻撃手法はより多様化しており、特にデータベース攻撃、サプライチェーン攻撃、サードパーティサービスプロバイダー攻撃など、さまざまなWeb2攻撃が追加されています。データベース攻撃、サプライチェーン攻撃、サードパーティ・サービス・プロバイダー攻撃、中間者攻撃、DNS攻撃、フロントエンド攻撃など。

2023年には、30件の秘密鍵の漏洩が6億2700万ドルの損失を占め、全体の44%を占めました。2023年には、全体の44.9%を占め、最も大きな損失をもたらした攻撃方法です。より大きな損失をもたらした秘密鍵漏洩イベントは、Poloniex（1億2600万ドル）、HTX & Heco Bridge（1億1000万ドル）、CoinEx（7000 万ドル）、Atomic Wallet（6700万ドル）、Alphapo（6000 万ドル）でした。これらの事件のほとんどは、北朝鮮のAPTグループLazarusに関連していました。

契約の脆弱性を悪用した攻撃が最も多く、191件の攻撃のうち99件が契約の脆弱性を悪用したものでした。191件の攻撃のうち、99件が契約の脆弱性を悪用したもので、51.8%を占めています。契約上の脆弱性による損失総額は4億3,000万ドルで、これは2番目に多い損失額でした。

脆弱性の内訳では、最も頻度が高く、コストがかかるのはビジネスロジックの脆弱性で、契約上の脆弱性の約72.7%がビジネスロジックの脆弱性によるもので、総損失額は約3億1300万ドルでした。2番目にコストの高い契約の脆弱性はリエントリーで、13件のリエントリーの脆弱性が約9347万ドルの損失を引き起こしました。

6.典型的なケースの攻撃。操作分析

6.1  Euler Finance Security Incident

インシデントの概要

3月13日、イーサリアムチェーン上の融資プロジェクトであるEuler Financeは、フラッシュレンディング攻撃により1億9700万ドルの損失を被りました。

3月16日、オイラー財団はハッカーの逮捕と盗まれた資金の返還に役立つ情報に対して100万ドルの報奨金を提供しました。

3月17日、オイラー・ラボのマイケル・ベントレー最高経営責任者（CEO）は、オイラーは「常にセキュリティを意識したプロジェクトだった」とツイートした。2021年5月から2022年9月にかけて、オイラー・ファイナンスはHalborn、Solidified、ZK Labs、Certora、Sherlock、Omnisicaを含む6つのブロックチェーンセキュリティ企業による10回の監査を受けた。

3月18日から4月4日まで、攻撃者は次々と資金を返却し始めた。この間、攻撃者たちはオンチェーンメッセージで謝罪し、「他人の金、他人の仕事、他人の人生をめちゃくちゃにした」と述べ、許しを求めた。

4月4日、オイラー・ラボは、交渉が成功した後、攻撃者は盗まれた資金をすべて返却したとツイートした。とツイートした。

脆弱性分析

この攻撃では、EtokenコントラクトのdonateToReserves関数が、ユーザーが実際に保有しているトークンの数と、寄付後のユーザーの台帳の健全性を適切にチェックしていませんでした。

寄付後のユーザー元帳の健全な状態が清算条件を満たすと、貸し出し契約がトリガーされて清算されます。清算プロセスでは、eDAIとdDAIが清算契約に移されます。ただし、不良債権額が非常に大きいため、清算契約は清算のための最大割引を適用する。

清算が終了すると、清算契約には3億1093万eDAIと2億5931万dDAIがある。

この時点でユーザーの元帳は健全性を取り戻し、ユーザーは資金を引き出すことができる。引き出せる金額は、eDAIとdDAIの差額です。しかし、実際にはプールには3890万DAIしかないので、ユーザーはその金額しか引き出すことができません。

6.2 .Vyper/Curve Security Events

Summary of Events

7.1、Atomic 財布の盗難

BeosinのEagleEyeセキュリティリスク監視によると、BeosinのEagleEyeセキュリティリスク監視・早期警告・ブロックプラットフォームによると、Atomic Walletは今年の6月上旬に攻撃され、Beosinチームの統計によると、チェーン内の既知の被害者から報告された情報と合わせて、この攻撃による被害額は少なくとも約6700万ドルに上ります。

Beosinチームの分析によると、この盗難にはBTC、ETH、TRXを含む21のチェーンが関与しています。盗まれた資金は主にイーサチェーンに集中している。

イーサチェーンから盗まれた資金は、1万6262ETH相当の仮想通貨、つまり約3000万ドルであることが確認されている。

ウェーブフィールドチェーンウェーブフィールドチェーンから盗まれた資金は、25,133,587.3208 TRX相当の仮想通貨、つまり約1,700万ドルであることが確認されています。

BTCチェーンBTCチェーンは420.882BTC相当の仮想通貨、約1260万ドル相当の資金を盗んだことが知られています。

BSCチェーン BSCチェーンは、40.206266 BNB相当の仮想通貨の資金を盗んだことが知られています。

残りのチェーン XRP: 1,676,015 XRP、約84万ドル LTC: 2,839.873,689 LTC、約22万ドル DOGE: 800,575.673,69797 DOGE、約5万ドル

イーサチェーンから盗まれた金額が知られています。strong>方法に基づいて、イーサチェーン上でのマネーロンダリングの例を挙げます

ハッカーによる盗まれたお金の操作では、攻撃されたイーサチェーン上で主に2つの方法があります：

アバランチを使用してコントラクトを通じて分散させた後、チェーンをまたいでマネーロンダリングする

Beosinチームの分析によると、ハッカーは次のようにします。まず、ウォレット内の貴重なコインを一律にパブリックチェーンのメインコインと交換し、2つのコントラクトを通じてプールする。

コントラクトアドレスは、2層のトランジットを通じてETHをWETHにパックし、その後、ETHを分散させるために使用されるコントラクトにWETHを転送し、その後、最高5層のトランジットを通じてクロスブリッジのためにアバランチが使用するウォレットアドレスに転送し、コントラクトを使用して実行されず、アバランチの内部帳簿管理タイプのトランザクションに属するクロスチェーン操作を実行します。

Aggregation contract 1: