Blockchain Security Alliance Q3 2022 Blockchain Security Report

Blockchain Security Alliance Q3 2022 Rapport sur la sécurité de la blockchain

1 Présentation de la sécurité de la blockchain au troisième trimestre 2022

Un total de 37 exploits majeurs ont été surveillés, avec une perte totale d’environ 405 millions de dollars

Au troisième trimestre 2022, Beosin EagleEye a surveillé plus de 37 attaques majeures dans l’espace Web3, avec des pertes totales d’environ 405 millions de dollars, en baisse d’environ 43,6 % par rapport à 718,34 millions de dollars au deuxième trimestre 2022 et une diminution de 59,6 % par rapport à la perte de 1 002,58 millions de dollars en T3 2021.

De janvier à septembre 2022, les actifs perdus dans l’espace Web3 en raison d’attaques ont totalisé 2 317,91 millions de dollars.

Q sur/sur croissances Q

Au niveau de chaque mois, Le mois de juillet a vu une diminution significative des attaques, ce qui en fait le moins grand nombre de pertes depuis 2022. L’activité des pirates a considérablement augmenté en août et septembre.

En termes de types de projets, 92% du montant perdu provenait des ponts inter-chaînes et des protocoles DeFi. 22 des 37 attaques ont eu lieu dans l’espace DeFi.

En termes de TVL, après une forte baisse des TVL de mai à juin, la tendance des TVL de chaque chaîne tend à se stabiliser ce trimestre. La fin juillet et le début août ont montré une légère tendance à la hausse de TVL, qui a également été la période avec le plus grand nombre d’attaques et le plus grand nombre de pertes au cours de ce trimestre.

En termes de chaînes, le montant des pertes sur Ethereum a atteint 374,28 millions de dollars ce trimestre, représentant 92% des pertes totales. La chaîne la plus fréquemment attaquée était BNB Chain, qui a atteint 16 fois.

En termes de types d’attaques, 92% du montant des pertes ont été causés par des exploits de vulnérabilité de contrat et des compromis de clé privée.

En termes de flux de fonds, environ 204,2 millions de dollars des fonds volés ont été versés à Tornado Cash, ce qui représente environ 50,4 % des fonds volés au cours du trimestre. Seuls 4 % environ des fonds volés ont été récupérés au cours du trimestre.

En matière de vérification, seuls 40 % des projets rekt ont été audités.

2 Aperçu des exploits

Les attaques globales ont diminué au T3 par rapport au T2

Au troisième trimestre 2022, 37 attaques majeures ont été surveillées dans l’espace Web3, avec une perte totale d’environ 405 millions de dollars. Il y a eu deux attaques avec des pertes de 100 millions de dollars ou plus, trois attaques avec des pertes de 10 millions de dollars ou plus et 14 attaques avec des pertes de 1 million de dollars ou plus. Les incidents de sécurité avec plus de 100 millions de dollars de pertes ont été Pont nomade (190 millions de dollars) et Mute d’Hiver (160 millions de dollars).

Montant des pertes au T3 par projet
Montant des pertes au T3 par projet

Août 2022 a été le mois le plus actif pour les pirates au cours du trimestre, avec des pertes d’environ 210,62 millions de dollars. Les pertes totales dues aux attaques de juillet se sont élevées à 30,05 millions de dollars, ce qui en fait le montant le plus bas de pertes en un mois depuis 2022.

Montant et nombre de pertes mensuelles au troisième trimestre
Montant et nombre de pertes mensuelles au troisième trimestre

3 Types de projets rekt

Les ponts inter-chaînes et les projets DeFi représentent 92% du montant des pertes

Montant et nombre de pertes au T3 par catégorie
Montant et nombre de pertes au T3 par catégorie

Au troisième trimestre de 2022, trois attaques de ponts inter-chaînes ont entraîné une perte totale d’environ 190,25 millions de dollars; 22 attaques dans l’espace DeFi ont entraîné une perte totale de 186,79 millions de dollars. Environ 92% du montant des pertes d’attaque provenaient du pont inter-chaînes et des protocoles DeFi.

En septembre 2022, il y avait eu 10 incidents majeurs de sécurité des ponts inter-chaînes en 2022, avec plus de 1,4 milliard de dollars de pertes. Les ponts inter-chaînes ont été la zone la plus touchée par les attaques en 2022.

En plus des ponts inter-chaînes et des protocoles DeFi, d’autres types de projets attaqués ce trimestre comprenaient les NFT, les échanges, les DAO, les portefeuilles et les robots MEV, ce qui rend leurs types globaux plus diversifiés qu’au trimestre précédent.

4 Montant des pertes par chaîne

Les pertes sur Ethereum s’élèvent à 374,3 millions de dollars

Montant et nombre de pertes au troisième trimestre par chaîne
Montant et nombre de pertes au troisième trimestre par chaîne

12 attaques majeures ont eu lieu sur Ethereum ce trimestre, avec une perte totale de 374,28 millions de dollars, se classant au premier rang parmi toutes les chaînes. Solana a perdu 18,37 millions de dollars à cause de 3 exploits.

Les chaînes avec des attaques majeures au cours de deux trimestres consécutifs incluent Ethereum, BNB Chain, Fantom et Avalanche.

BNB Chain a vu le plus d’attaques, avec 16 exploits, et leurs projets correspondants ne sont pas audités. Le montant d’argent impliqué dans ces 16 exploits est relativement faible, avec 14 incidents impliquant une seule perte de moins de 500 000 $.

Après avoir connu une forte baisse de TVL de mai à juin, la tendance de TVL à travers les chaînes s’est stabilisée ce trimestre. TVL a montré une légère tendance à la hausse dans la période de fin juillet à début août, qui était également la période avec le plus d’attaques et de pertes ce trimestre. Le marché de la cryptographie a généralement légèrement baissé en septembre. Après la fusion d’Ethereum le 15 septembre, l’Ethereum TVL a connu une légère baisse continue.

Chaîne TVL
Chaîne TVL

5 Analyse des types d’attaques

92 % du montant perdu a été causé par des exploits de vulnérabilité de contrat et la compromission de clé privée

Montant et nombre de pertes Q3 par type d'attaque
Montant et nombre de pertes Q3 par type d’attaque

Au troisième trimestre, les exploits contractuels sont restés le type d’attaque le plus courant. Environ 15 attaques sont des exploits de vulnérabilité de contrat, représentant 40,5 % du nombre total. Les pertes totales dues aux vulnérabilités des contrats se sont élevées à 201,6 millions de dollars, soit 50,9 % des pertes totales.

Les quatre compromis de clé privée ce trimestre ont entraîné des pertes d’environ 167,24 millions de dollars, le deuxième plus grand montant de pertes après les exploits de vulnérabilité des contrats.

Par rapport au trimestre précédent, les types d’attaques de ce trimestre étaient plus diversifiés. Les nouveaux types d’attaques apparus ce trimestre incluent le détournement de BGP, la mauvaise configuration et les attaques de la chaîne d’approvisionnement.

Part de marché du montant des pertes au troisième trimestre par type d'attaque
Part de marché du montant des pertes au troisième trimestre par type d’attaque
Part de marché du nombre de Q3 par type d'attaque
Part de marché du nombre de Q3 par type d’attaque

Par vulnérabilités contractuelles, les principales vulnérabilités exploitées ce trimestre incluent : les problèmes de validation, la réentrance, les problèmes d’autorisation, la logique ou les fonctions commerciales mal conçues et les vulnérabilités de débordement. Ces vulnérabilités sont toutes détectables et corrigibles pendant la phase d’audit.

Montant des pertes au troisième trimestre et nombre par vulnérabilités contractuelles
Montant des pertes au troisième trimestre et nombre par vulnérabilités contractuelles

6 Récapitulatif des incidents de sécurité typiques

6.1 Incident de 190 millions de dollars du pont Nomad

Le 2 août, Nomad Bridge, une plate-forme inter-chaînes qui prend en charge les transferts d’actifs entre Ethereum, Moonbeam, Avalanche, Evmos et Milkomeda, a subi un piratage massif qui a coûté 190 millions de dollars au projet.

6.2 Incident du portefeuille de pente sur Solana

Le 3 août, un incident de vol de portefeuille Slope à grande échelle s’est produit à Solana, avec des pertes estimées à environ 6 millions de dollars.

6.3 Incident de compromission de la clé privée Wintermute

Le 20 septembre, le fabricant de crypto-marché Wintermute a été attaqué avec une perte de 160 millions de dollars en raison d’un compromis de clé privée.

7 Analyse des flux de fonds

Environ 204,2 millions de dollars de fonds volés ont été versés à Tornado Cash

Le 8 août, l’Office of Foreign Assets Control (OFAC) du Département du Trésor américain a sanctionné Tornado Cash, interdisant aux particuliers ou aux organisations américaines d’interagir avec lui. Au troisième trimestre de 2022, environ 204,2 millions de dollars de fonds volés ont encore été versés à Tornado Cash, ce qui représente 50,4 % des fonds volés au cours de ce trimestre, ce qui est inférieur à celui du deuxième trimestre.

Environ 182,3 millions de dollars des fonds volés sont restés dans l’adresse du pirate comme solde. Certains fonds volés ont été transférés vers des adresses sur d’autres chaînes, et cette partie est toujours considérée comme le solde de l’adresse du pirate.

Environ 16,6 millions de dollars d’actifs ont été récupérés grâce à des négociations en chaîne et à des retours non sollicités de pirates informatiques. Au troisième trimestre 2022, seuls 4 % environ des fonds volés ont été récupérés, un pourcentage bien inférieur à celui du deuxième trimestre.

Environ 1,92 million de dollars d’actifs volés ont été transférés sur des bourses telles que Binance et FixedFloat. De tels incidents impliquaient généralement un petit nombre d’actifs (généralement entre 10 000 $ et 100 000 $), et les pirates ont transféré les fonds volés aux bourses immédiatement après l’attaque, ce qui a empêché les projets de contacter les bourses à temps pour geler les fonds.

Flux de fonds du T3
Flux de fonds du T3

8 Analyse d’audit de projet

Seuls 40% des projets ont été audités

En 2022, le pourcentage de projets rekt audités était de : 70 % au premier trimestre, 52 % au deuxième trimestre et 40 % au troisième trimestre. Le pourcentage de projets rekt non audités montre une tendance à la hausse de trimestre en trimestre.

Si audité - compter
Que ce soit audité – compter
Si audité – montant
Si audité – montant

De tous les projets rekt, les projets audités ont perdu un total de 375,48 millions de dollars, et les projets non audités ont perdu environ 29,56 millions de dollars en attaques. À première vue, il pourrait sembler que les audits n’ont pas servi à protéger le fonctionnement sûr des projets. Cependant, une analyse plus approfondie montre que la plupart de ces projets audités ont été attaqués par des problèmes de niveau non contractuel tels que la compromission de clé privée, les attaques de la chaîne d’approvisionnement, les attaques DNS, le détournement de BGP et la mauvaise configuration. Parmi les projets non audités, 85 % ont été causés par des vulnérabilités contractuelles ou des attaques de prêts flash.

On peut voir que les audits professionnels sont toujours efficaces pour sécuriser le projet au niveau du contrat dans une certaine mesure. Cependant, le fonctionnement sûr d’un protocole nécessite également un bon travail de contrôle des risques hors ligne, de conservation de la clé privée, d’alerte aux attaques de sécurité réseau traditionnelles et d’utilisation prudente des composants tiers. Bien sûr, dans ce trimestre, il y a aussi des vulnérabilités qui auraient dû être découvertes lors de la phase d’audit mais qui n’ont pas été présentées dans le rapport d’audit, il est donc recommandé que le projet recherche une société de sécurité professionnelle pour mener l’audit.

La source de données

Téléchargez le rapport complet :

À propos de Blockchain Security Alliance

La Blockchain Security Alliance a été lancée par plusieurs unités d’horizons industriels divers, notamment des institutions universitaires, des sociétés de sécurité blockchain, des associations industrielles, des fournisseurs de services fintech, etc. Le premier groupe du conseil de l’alliance comprend Beosin, SUSS NiFT, NUS AIDF, BAS, FOMO Pay, Onchain Custodian, Semisand, Coinhako, ParityBit et Huawei Cloud. Les membres actuels sont : Huobi University, Moledao, Least Authority, PlanckX, Coding Girls, Coinlive, Footprint Analytics, Web3Drive et Digital Treasures Center. Les membres de la Security Alliance travailleront et coopéreront ensemble pour sécuriser en permanence l’écosystème mondial de la blockchain avec leurs propres atouts techniques. Le Conseil de l’Alliance invite également davantage de personnes dans les domaines liés à la blockchain à rejoindre et à défendre conjointement la sécurité de l’écosystème de la blockchain.

Enregistrement d’alliance

https://forms.gle/pb3NaUgS3a2Sswnc8

Contact

Télégramme:@kristenbeosin, @Web3Donny

Courriel : market@beosin.com

Membre de l’Alliance – Beosin

Beosin est une société leader mondiale de sécurité blockchain basée à Singapour avec plus de 100 experts en sécurité dans la vérification formelle et la sécurité blockchain. Avec la mission de « Sécuriser l’écosystème Web3.0 », Beosin fournit des produits et services de sécurité blockchain intégrés, y compris l’audit de sécurité du code, la surveillance des risques, l’alerte et le blocage pour les projets, la conformité de sécurité KYT & KYC et la récupération des actifs volés. Beosin a actuellement fourni des services de sécurité à plus de 2 000 entreprises blockchain dans le monde, audité plus de 2 500 contrats intelligents et protégé plus de 500 milliards de dollars d’actifs pour ses clients.

Membre de l’Alliance – Analyse de l’empreinte

Footprint Analytics est un outil permettant de découvrir et de visualiser des données sur la blockchain, y compris les données NFT et GameFi. Il collecte, analyse et nettoie actuellement les données de 18 chaînes et permet aux utilisateurs de créer des graphiques et des tableaux de bord sans code à l’aide d’une interface glisser-déposer ainsi qu’avec SQL ou Python.

Le rapport sur la sécurité de la blockchain post Blockchain Security Alliance Q3 2022 est apparu en premier sur CryptoSlate.