Beosin重磅 | 2024年Q3 Web3区块链安全态势、反洗钱分析回顾

本章作者：Beosin 研究团队Eaton

1、2024年上半年 Web3区块链安全态势综述

据 Beosin Alert 监控及预警显示，2024 年Q3 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了7.3亿美元。其中主要攻击事件23起，总损失金额约4.3亿美元；项目方 Rug Pull 事件3起，总损失约424万美元；钓鱼诈骗总损失金额约2.95亿美元。

2024年Q3钓鱼造成的损失大幅上涨，攻击与Rug Pull相比上半年持续下降。

从被攻击项目类型来看，损失最高的项目类型为 CEX，3次针对 CEX 的攻击共造成了约 2.97 亿美元的损失，约占所有攻击损失金额的 40.6%。

从各链损失金额来看，Ethereum 依旧为损失金额最高、攻击事件最多的链。21 次 Ethereum 上的攻击与钓鱼事件造成了3.48亿美元的损失，约占总损失的 47.6%。

从攻击手法来看，Q3 共发生 5 次私钥泄露事件，造成损失达到了 3.05 亿美元，约占总攻击损失金额的41.7%，是占比最高的攻击类型。

从资金流向来看，仅约有1690万美元被盗资金被冻结或追回。绝大部分（约78.9%）被盗资金仍存储在攻击

者的链上地址。

从审计情‍‍况来看，被攻击的项目中，经过审计的项目方比例有所增加。

2、被攻击项目类型

CEX 为损失金额最高的项目类型

2024年Q3 ，损失最高的项目类型为 CEX，3次针对 CEX 的攻击共造成了约 2.97 亿美元的损失，占所有攻击损失金额的 40.6%。CEX 安全事件虽然次数不多，但每次被盗金额都巨大，凸显了当前交易所生态的安全态势不容乐观。

紧随其后损失排在第二位的受害者类型为用户钱包。8次针对用户钱包的钓鱼与社会工程学攻击对普通用户造成了约2.95亿美元的损失，占比约 40.3%。和 2024年上半年相比，Q3针对普通用户的攻击和造成的损失有了大幅增加。

23起黑客攻击事件中，共有12起事件发生在 DeFi 领域，占比约 52.1%，是攻击次数最多的项目类型，这12次 DeFi 攻击事件共导致了超过4560万美元的损失，排在所有项目类型的第四位。

其他被攻击的项目类型还包括：基础设施、代币等。其中针对公链及跨链桥的攻击造成的损失金额达8500万美元，排在所有项目类型的第三位。

‍3、各链损失金额情况

Ethereum为损失金额最高、攻击事件最多的链和2024上半年相同的是，在Q3，Ethereum 依旧是损失金额最高的公链。21次Ethereum上的攻击与钓鱼事件造成了3.48亿美元的损失，占到了总损失的47.6%。

损失金额排名第二的公链为 BTC，共计损失 2.38亿美元，约占总损失的32.5%。BTC 损失金额来自于一次针对某巨鲸地址的社会工程学攻击。

损失金额排名第三的公链为 Luna（6500万美元），攻击者利用了 ibc-hooks 超时回调中的重入漏洞对Luna进行了攻击。

按照安全事件数量排名，前两名分别为 Ethereum（21次）、BNB Chain（4次）。各链生态的安全事件数量较上半年有所下降。‍‍‍‍‍

4、攻击手法分析

约41.7%的损失金额来自私钥泄露事件

2024年Q3，共发生5次私钥泄露事件，造成损失达到了3.05亿美元，约占总攻击损失金额的 41.7%。和上半年相同，私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有：WazirX（2.3亿美元）、BingX（4500万美元）、Indodax（2200万美元）。

损失金额排名第二的攻击手法为社会工程学攻击，1次社会工程学攻击造成损失2.38亿美元。

23起攻击事件中，有18起来自合约漏洞利用，占比约78%。合约漏洞利用总损失达 1.28 亿美元，排名第三。

按照漏洞细分，造成损失前三名的漏洞分别为：重入漏洞（9346万美元）、业务逻辑漏洞（约209万美元）、校验漏洞（1001万美元）。出现次数最高的漏洞为业务逻辑漏洞，18起合约漏洞攻击中有7次是业务逻辑漏洞。

5、反洗钱典型事件分析回顾

5.1 Beosin Trace对LI.FI事件进行追踪分析

7月16日，据Beosin Alert监控预警发现跨链协议LI.FI遭受攻击，攻击者利用项目合约中存在的call注入漏洞，盗取授权给合约的用户资产。

LI.FI项目合约存在一个depositToGasZipERC20函数，可将指定代币兑换为平台币并存入GasZip合约，但是在兑换逻辑处的代码未对call调用的数据进行限制，导致攻击者可利用此函数进行call注入攻击，提取走给合约授权用户的资产。

本次事件除了call注入的合约漏洞外，还有一点值得注意，即Diamond模式下，Facet合约的配置问题。进一步分析发现，GasZipFacet合约是在被攻击的5天前部署，并在被攻击前十多个小时由项目的多签管理员在LI.FI主合约进行注册的。

所以，通过这次事件可以发现，对于Diamond这类可升级模式，新增功能合约的安全性也需要得到高度重视。

Beosin Trace对被盗资金进行追踪发现，损失金额包括633.59万USDT、319.19万USDC、16.95万DAI，约1000万美元。

Beosin Trace: 被盗资金流向

5.2 印度交易所WazirX被盗2.35亿美元事件分析

7月18日，据Beosin Alert监控预警发现印度交易所WazirX被攻击，攻击者获取到交易所多签钱包管理员的签名数据，修改钱包的逻辑合约，让钱包执行错误的逻辑，来盗取资产，涉及资金超2.3亿美元。

Beosin Trace对被盗资金进行追踪，被盗资金部分的流线图，目前来看，黑客已经将部分资金转移进入Changenow与Binance交易所，其中0xf92949ab576ac2f8dc9e4650e73db083f1f9cd9f为黑客在Binance的充币地址。

Beosin Trace: 被盗资金流向图

另一方面，黑客向地址0x35fe…745CA转移8010亿枚SHIB，价值高达1402万美元，进行分批抛售。

6、被盗资产的资金流向分析

据 Beosin KYT 反洗钱平台分析显示，2024 年Q3 被盗的资金中，仅有1690万美元被盗资金被冻结或追回。该比例较上半年年显著下降。

约有 5.77 亿美元（约78.9%）的被盗资金还保留在黑客地址。随着全球监管机构反洗钱力度的加大，黑客清洗赃款变得更加困难，因此相当一部分黑客选择暂时将盗取资金保留在链上地址。

约有 1.02 亿美元的被盗资金转入了各交易所，占比约13.9%，该比例高于2024上半年。

共有 3471.3 万美元（5.4%）转入了混币器。和上半年相比，2024年Q3通过混币器清洗的被盗资金再次大幅减少。

7、项目审计情况分析

经过审计的项目方比例有所增加

2024年Q3 ，23起攻击事件里，有4起事件的项目方没有经过审计，16起事件的项目方经过了审计。经过审计的项目方比例高于上半年，这表明整个 Web3 行业项目方对安全的重视程度有所提高。

4个没有经过审计的项目中，合约漏洞事件占了3起（75%）。16个经过审计的项目中，合约漏洞事件占了11起（68.75%）。两者整体比例大致相当。和上半年相比，2024年整体安全审计质量有所下滑。

8、2024年上半年 Web3区块链安全态势总结

和2023年同期相比，2024年Q3因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失略有下降，达到了7.3亿美元（ 2023 年Q3 这一数字为8.89亿美元）。2024 年Q3币价下跌等因素对总金额的减少有一定的影响，但总体而言，Web3 安全领域形势依旧不容乐观。

和上半年相同，2024 Q3造成危害最大的攻击类型依旧为私钥泄露。约41.7% 的损失金额来自私钥泄露事件。从项目类型来看，私钥泄露事件遍布于Web3各个领域：游戏平台、代币合约、个人钱包、基础设施、交易所等。各个Web3项目方/个人用户都需要提高警惕，离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。

Q3仅有5.4%的被盗资产转入了各类混币器，另外有78.9%的资产还保留在黑客地址，这进一步说明了黑客清洗赃款难度的增加。

Q3依旧有13.9%的被盗资金转入了各交易所，这需要交易所及时识别黑客行为，积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果，相信未来会有更多被盗资金能够追回。

Q3的23起攻击事件中，依然有18起来自合约漏洞利用，建议项目方在上线前寻求专业的安全公司进行审计。