Beosin年报：2023 Web3区块链安全态势、反洗钱分析

本报告由Beosin、Elven、Footprint Analytics联合出品，本章作者：Beosin 研究团队Mario、田大侠Donny

*因篇幅有限，本篇内容仅展示报告安全态势部分，我们将在后续发布监管政策等内容。

前言

本研究报告由区块链安全联盟发起，由联盟成员Beosin、Web3小律、Elven共同创作，旨在全面探讨2023年全球区块链安全态势和加密行业的重点监管政策。通过对全球区块链安全现状的分析和评估，报告将揭示当前面临的安全挑战和威胁，并提供解决方案和最佳实践。同时，报告还将审视各国政府和监管机构在加密行业监管方面的立场和政策导向，以帮助读者了解监管环境的动态变化和可能的影响。

通过这份报告，读者将能够更全面地了解Web3区块链安全态势的动态演变和监管政策的核心要点。这将有助于读者评估和应对区块链领域所面临的安全挑战，并在遵守监管要求的前提下推动行业的可持续发展。此外，读者还可以从报告中获得有关安全措施、合规性要求和行业发展方向的有益建议，以帮助他们在这一新兴领域中做出明智的决策和行动。区块链安全和监管是Web3时代发展的关键问题。通过深入研究和探讨，我们可以更好地理解和应对这些挑战，推动区块链技术的安全性和可持续发展。

1、2023 年度Web3区块链安全态势综述

据区块链安全审计公司 Beosin 旗下 EagleEye 平台监测，2023 年 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了20.2 亿美元。其中攻击事件 191 起，总损失金额约 13.97 亿美元；项目方 Rug Pull 事件 267 起，总损失约 3.88 亿美元；钓鱼诈骗总损失金额约 2.38 亿美元。

2023年，黑客攻击、钓鱼诈骗和项目方 Rug Pull 事件均较2022 年有了显著下降，总金额降幅达到了 53.9%。其中黑客攻击事件降幅最大，从 2022 年的 36 亿美元降到了 2023 的 13.97 亿美元，下降了约 61.2%。钓鱼诈骗损失较 2022 年下降了 33.2%，Rug Pull 损失较 2022 年下降了 8.8%。

2023 年共发生损失过亿美元的攻击事件 4 起，损失在 1000 万美元至1亿美元区间的攻击事件 17 起。前 10 大安全事件总损失金额约为 10 亿美元，占到了年度攻击事件总金额的 71.5%。

2023 年被攻击的项目类型较 2022 年相比更加广泛，包括 DeFi、CEX、DEX、公链、跨链桥、钱包、支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种类型。DeFi 为被攻击频次和损失金额最高的项目类型，130 次 DeFi 攻击共造成损失约 4.08 亿美元。

2023 年发生攻击事件的公链类型更加频繁，出现多起在多条链上被盗的安全事件。Ethereum 依旧是损失金额最高的公链，71 次 Ethereum 上的攻击事件造成了 7.66 亿美元的损失，占到了全年总损失的54.9%。

从攻击手法来看，30 次私钥泄露事件共造成约 6.27 亿美元的损失，占总损失的 44.9%，是造成损失最多的攻击方式。合约漏洞利用是出现频次最高的攻击方式，191 起攻击事件里，有 99 次来自于合约漏洞利用，占比达到了 51.8%。

全年约 2.95 亿美元的被盗资金被追回，占比约 21.1%，较 2022 年有了大幅提升。全年约有 3.3 亿美元的被盗资金转入了混币器，占总被盗资金的 23.6%。

和链上黑客攻击、钓鱼诈骗和项目方 Rug Pull 金额显著下降不同的是，2023 年链下加密领域犯罪数据大幅增加。2023年，全球加密行业犯罪金额达到了惊人的 656.88 亿美元，较 2022 年的 137.6 亿美元上涨了约 377%。涉及金额排在前三位的犯罪类型分别为网赌、洗钱和诈骗。

2、2023 Web3生态十大安全事件

2023 年共发生损失过亿的攻击事件 4 起：Mixin Network（2 亿美元）、Euler Finance（1.97 亿美元）、Poloniex（1.26 亿美元） 和 HTX & Heco Bridge（1.1 亿美元）。前 10 大安全事件总损失金额约为 10 亿美元，占到了年度攻击事件总金额的 71.5%。

No.1  Mixin Network

损失金额：2 亿美元

攻击方式：云服务商数据库攻击

9 月 23 日凌晨， Mixin Network 云服务商数据库遭到黑客攻击，导致主网部分资产丢失，涉及资金约 2 亿美元。9 月 25 日，Mixin 创始人在直播中对此次事件公开进行解释称，此次受损资产以比特币核心资产为主，BOX 和 XIN 等资产并未出现严重被盗情况，具体的攻击情况尚不能透露。

No.2  Euler Finance

损失金额：1.97 亿美元

攻击方式：合约漏洞 - 业务逻辑问题

3 月 13 日，DeFi 借贷协议 Euler Finance 遭到攻击，损失约 1.97 亿美元。攻击的根本原因在于合约未对用户实际持有的代币数量和捐赠之后用户的账本的健康状态进行正确的检查。该事件的所有被盗资金已全被攻击者返还。

No.3  Poloniex

损失金额：1.26 亿美元

攻击方式：私钥泄露/ APT 攻击

11 月 10 日，孙宇晨旗下交易所 Poloniex 相关地址持续转出大额资产，疑似被盗。紧接着，孙宇晨以及 Poloniex 在社交平台发布公告证实了被盗事件。根据Beosin安全团队使用Beosin Trace追踪统计，Poloniex 被盗资产累计约 1.26 亿美元。

No.4  HTX & Heco Bridge

损失金额：1.1 亿美元

攻击方式：私钥泄露

11 月 22 日，孙宇晨旗下交易所 HTX 及跨链桥 Heco Bridge 遭到黑客攻击，总计损失达 1.1 亿美元，其中 Heco Bridge 损失 8660 万美元，HTX 损失约 2340 万美元。

No.5  Curve/ Vyper

损失金额：7300 万美元

攻击方式：合约漏洞 - 重入

7 月 31 日凌晨以太坊编程语言 Vyper 发推表示，Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁有漏洞，加上原生的ETH可以在转账时调callback，导致这几个和ETH组的lp池子可以被重入攻击。接着Curve官方推特发文表示，由于重入锁出现故障，许多使用 Vyper 0.2.15 的稳定币池 (alETH/msETH/pETH) 遭到攻击。本次事件损失金额约 7300 万美元。

No.6  CoinEx

损失金额：7000 万美元

攻击方式：私钥泄露/ APT 攻击

9 月 12 日，加密交易所 CoinEX 发布声明称风控系统检测到用于临时存储平台交易资产的热钱包出现可疑的大额提现活动，已第一时间成立特别小组介入处理，本次事件中主要涉及 ETH、TRON、Polygon等代币资产，被盗金额约 7000 万美元。

No.7  Atomic Wallet

损失金额：6700 万美元

攻击方式：私钥泄露/ APT 攻击

Beosin旗下EagleEye 安全风险监控、预警与阻断平台监测显示，Atomic Wallet 于 6 月初遭攻击，据 Beosin 团队统计，综合链上已知的受害人报案信息，此次攻击造成的损失至少约 6700 万美元。

No.8  Alphapo

损失金额：6000 万美元

攻击方式：私钥泄露/ APT 攻击

7 月 23 日，加密货币支付服务商 Alphapo 热钱包被盗，共损失 6000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。

No.9  KyberSwap

损失金额：5470 万美元

攻击方式：合约漏洞 - 业务逻辑问题

11 月 22 日，DEX 项目 KyberSwap 遭到攻击，共造成约 5470 万美元损失。Kyber Network 表示，本次黑客攻击是 DeFi 历史上最复杂的攻击之一，攻击者需要执行一系列精确的链上操作才能利用该漏洞。

No.10  Stake.com

损失金额：4130 万美元

攻击方式：私钥泄露/ APT 攻击

9 月 4 日，加密博彩平台 Stake.com 遭遇黑客攻击。攻击发生后，Stake.com表示其 ETH 和 BSC 上热钱包发生未经授权的交易，正在进行调查，并将在钱包完全重新确保安全后尽快恢复存提款。该事件系朝鲜黑客组织 Lazarus 所为。

3、被攻击项目类型

和 2022 年相比，2023 年被攻击的项目类型更加广泛，损失金额也不再集中于某几种项目类型上。除了DeFi、CEX、DEX、公链、跨链桥、钱包等常见类型外，2023 年黑客攻击事件还出现在支付平台、博彩平台、加密经纪商、基础设施、密码管理器、开发工具、MEV 机器人、TG 机器人等多种项目类型上。

2023 年的 191 起攻击事件里，DeFi 项目占了 130 次（约 68%），是被攻击次数最多的项目类型。DeFi 攻击总损失金额约 4.08 亿美元，占所有损失金额的 29.2%，也是损失金额最多的项目类型。

损失金额排在第 2 位的是 CEX（中心化交易所），9 次攻击共造成 2.75 亿美元的损失。另外，还有 16 次攻击事件发生在 DEX（去中心化交易所）类型，共损失约 8568 万美元。综合看来，交易所类型在 2023 年安全事件频发，交易所安全是继 DeFi 安全之后的第二大挑战。

损失金额排在第 3 位的是公链，损失金额约为2.08 亿美元，主要来自于 Mixin Network 被盗 2 亿美元事件。

2023年，跨链桥损失金额排在第 4 位，约占所有损失金额的 7%。而在 2022 年，12 次跨链桥安全事件共造成了约 18.9 亿美元损失，占到了当年总损失金额的 52.5%。2023 年跨链桥安全事件显著减少。

排在第 5 位的是加密支付平台，2 起安全事件（Alphapo 和 CoinsPaid）共损失约 9730 万美元，这两起事件幕后黑客均指向朝鲜  APT 组织 Lazarus。

4、各链损失金额情况

和 2022 年相比，2023 年发生攻击事件的公链类型也更加广泛，主要源自于 2023 发生了多起 CEX 私钥泄露事件，在多条链上均有损失。按损失金额排名前五的分别是 Ethereum、Mixin、HECO、BNB Chain、TRON；按攻击事件次数排名前五的分别是 BNB Chain、Ethereum、Arbitrum、Polygon、Optimism 和 Avalanche（并列第5）。

和 2022 年相同的是，Ethereum 依旧是损失金额最高的公链。71 次Ethereum 上的攻击事件造成了 7.66 亿美元的损失，占到了全年总损失的 54.9%。

Mixin 链损失排在第 2 位，单次安全事件损失达到了 2 亿美元。第三位的是 HECO，损失约为 9260 万美元。

BNB Chain上的攻击事件达到了 76 次，占总攻击事件数量的 39.8%，是所有链平台中攻击事件次数最多的。BNB Chain 上总损失约为 7081 万美元，绝大多数事件（88%）集中在 100 万美元以下。

5、攻击手法分析

和 2022 年相比，2023 年的攻击方式更加多样化，尤其增加了多种 Web2 的攻击方式，包括：数据库攻击、供应链攻击、第三方服务商攻击、中间人攻击、DNS 攻击、前端攻击等。

2023年，30 次私钥泄露事件共造成 6.27 亿美元的损失，占总损失的 44.9%，是造成损失最多的攻击方式。造成较大损失的私钥泄露事件有：Poloniex（1.26 亿美元）、HTX & Heco Bridge（1.1 亿美元）、CoinEx（7000 万美元）、Atomic Wallet（6700万美元）、Alphapo（6000 万美元）。其中大部分事件和朝鲜 APT 组织 Lazarus 相关。

合约漏洞利用是出现频次最高的攻击方式，191 起攻击事件里，有99 次来自于合约漏洞利用，占比达到了 51.8%。合约漏洞造成的总损失为 4.3 亿美元，排在损失金额的第二位。

按照漏洞细分，出现频次最高、造成损失最多的为业务逻辑漏洞，合约漏洞事件里约有 72.7% 的损失金额来自业务逻辑漏洞，共造成损失约 3.13 亿美元。损失金额排名第二的合约漏洞为重入，13 次重入漏洞造成了约 9347 万美元的损失。

6、典型案例攻击手法分析

6.1  Euler Finance 安全事件

事件概要

3月13日，Ethereum 链上的借贷项目 Euler Finance 遭到闪电贷攻击，损失达到了 1.97 亿美元。

3月16日，Euler基金会悬赏100万美元以征集对逮捕黑客以及返还盗取资金有帮助的信息。

3月17日，Euler Labs首席执行官Michael Bentley发推文表示，Euler“一直是一个安全意识强的项目”。从2021年5月至2022年9月，Euler Finance接受了Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等6家区块链安全公司的10次审计。

从3月18日开始至4月4日，攻击者开始陆续返还资金。期间攻击者通过链上信息进行道歉，称自己“搅乱了别人的钱，别人的工作，别人的生活”并请求大家的原谅。

4月4日，Euler Labs在推特上表示，经过成功协商，攻击者已归还了所有盗取资金。

漏洞分析

在本次攻击中，Etoken合约的donateToReserves函数没有正确检查用户实际持有的代币数量和捐赠后用户账本的健康状态。攻击者利用这个漏洞，捐赠了1亿个eDAI，而实际上攻击者只质押了3000万个DAI。

由于捐赠后，用户账本的健康状态符合清算条件，借贷合约被触发清算。清算过程中，eDAI和dDAI会被转移到清算合约。但是，由于坏账额度非常大，清算合约会应用最大折扣进行清算。清算结束后，清算合约拥有310.93M个eDAI和259.31M个dDAI。

此时，用户账本的健康状态已恢复，用户可以提取资金。可提取的金额是eDAI和dDAI的差值。但池子中实际上只有3890万DAI，所以用户只能提取这部分金额。

6.2 Vyper/Curve 安全事件

事件概要