Beosinin menestys | Web3-lohkoketjun tietoturvamaisema-analyysi vuoden 2025 ensimmäisellä puoliskolla

Beosinin menestys | Web3-lohkoketjun tietoturvamaisema-analyysi vuoden 2025 ensimmäisellä puoliskolla
Odaily
Odaily
ETH−0,51 %
SUI−1,51 %
BNB+0,02 %
BTC−0,18 %
SOL−0,65 %
TON+7,02 %
TRX+0,06 %
XRP+1,89 %
DOGE+0,21 %

*Tämän raportin ovat tuottaneet yhdessä Beosin ja Footprint Analytics

1. Yleiskatsaus Web3-lohkoketjun tietoturvamaisemaan vuoden 2025 ensimmäisellä puoliskolla

Beosin Alertin mukaan hakkerointien, tietojenkalasteluhuijausten ja Rug Pullin aiheuttamat kokonaistappiot Web3-kentällä vuoden 2025 ensimmäisellä puoliskolla ovat noin 2,138 miljardia dollaria. Niiden joukossa oli 90 suurta hyökkäystä, joiden kokonaistappiot olivat noin 2,093 miljardia dollaria; Rug Pullin kokonaistappiot olivat noin 3,2 miljoonaa dollaria; Tietojenkalasteluhuijausten kokonaistappio oli noin 41,38 miljoonaa dollaria.

Hyökkäyksen kohteena olevien projektityyppien näkökulmasta pörsseistä on tullut eniten tappioita aiheuttavia projekteja. Kuusi hyökkäystä pörssialustalle aiheuttivat yhteensä yli 1,591 miljardin dollarin vahingot, mikä on 74,4 % kaikista hyökkäystappioista.

Kunkin ketjun tappioiden määrällä mitattuna Ethereum on edelleen ketju, jolla on suurin tappiomäärä ja eniten hyökkäystapahtumia. Ethereumiin kohdistuneet 81 hyökkäystä aiheuttivat 1,739 miljardin dollarin vahingot eli 81,3 % kokonaistappioista. Sui menetti noin 224 miljoonaa dollaria Cetus-protokollan tapauksen vuoksi ja sijoittui toiseksi.

Hyökkäysmenetelmien osalta vuoden ensimmäisellä puoliskolla nähtiin yleisimmät hyökkäykset, joissa hyödynnettiin sopimushaavoittuvuuksia, yhteensä 63 hyökkäystä, jotka johtivat 408 miljoonan dollarin tappioihin. Bybit oli hyökkäystyyppi, jolla oli suurin tappioprosentti lompakon infrastruktuurin vian vuoksi varastetuista 1,44 miljardista dollarista, ja sen osuus hyökkäystappioiden kokonaismäärästä oli 67,4 prosenttia.

Rahavirtojen osalta vain pieni osa (noin 238 miljoonaa dollaria) varastetuista varoista jäädytettiin tai palautettiin vuoden ensimmäisellä puoliskolla, ja noin 71,2 % varastetuista varoista kiertää edelleen ketjun lompakoissa, eivätkä ne ole virranneet pörsseihin tai sekoittajiin.

2. Yleiskatsaus hyökkäyksiin vuoden 2025 ensimmäisellä puoliskolla

90 suurta hyökkäystä aiheuttivat yhteensä 2,093 miljardin dollarin vahingot

Vuoden 2025 ensimmäisellä puoliskolla Beosin Alert havaitsi Web3-tilassa yhteensä 90 suurta hyökkäystä, joiden kokonaistappiot olivat 2,093 miljardia dollaria. Niiden joukossa oli 2 turvallisuustapausta, joiden tappiot olivat yli 100 miljoonaa dollaria, 7 tapausta, joiden tappiot olivat 10–100 miljoonaa dollaria, ja 18 tapausta, joiden tappiot olivat 1–10 miljoonaa dollaria.

Hyökkäykset, joiden tappiot ovat yli 10 miljoonaa dollaria (aakkosjärjestyksessä):

● Bybit - 1,44 miljardia dollaria

Hyökkäysmenetelmä: Turvallisen lompakon käyttöliittymä on peukaloitu Ketjualusta: Ethereum

Helmikuun 21. päivänä kryptovaluuttapörssi Bybitiin hyökättiin, ja sen Safe multisig -lompakosta varastettiin noin 1,44 miljardia dollaria varoja. Hakkeroimalla Safen palvelimille hakkerit istuttivat haitallista koodia, joka korvasi normaalit tapahtumapyynnöt, jolloin allekirjoittaja allekirjoitti peukaloidun tapahtuman tietämättään.

● Cetus-protokolla - 224 miljoonaa dollaria

Hyökkäystapa: sopimushaavoittuvuus Ketjualusta: Sui

Toukokuun 22. päivänä Sui-ekosysteemin DEX Cetus -protokollaa vastaan hyökättiin, ja sen haavoittuvuus johtui avoimen lähdekoodin kirjastokoodin shift-left-toiminnon toteutusvirheestä. Myöhemmin Sui-säätiön ja muiden ekologisten projektien yhteistyöllä 162 miljoonan dollarin varastetut varat Suilta on onnistuneesti jäädytetty.

● Nobitex - 90 miljoonaa dollaria

Hyökkäysmenetelmä: ei vielä selvä Ketjualusta: moniketjuinen

Kesäkuun 18. päivänä Iranin suurin kryptopörssi Nobitex ilmoitti, että se oli hakkeroitu ja menettänyt yli 90 miljoonaa dollaria, joihin liittyi useita kryptovaluuttoja, kuten BTC, ETH, Doge, XRP, SOL, TRX ja TON. Israel-myönteinen ryhmä nimeltä "Gonjeshke Darande" on ottanut vastuun hyökkäyksestä ja luonnehtinut sitä iskuksi Iranin kryptoinfrastruktuuria vastaan.

● Phemex - 70 miljoonaa dollaria

Hyökkäystapa: yksityisen avaimen vuoto Ketjualusta: moniketjuinen

Tammikuun 23. päivänä noin 70 miljoonan dollarin arvosta kryptovaroja varastettiin Phemexin kuumasta lompakosta, singaporelaisesta kryptovaluuttapörssistä, joka sisälsi useita kryptovaroja, kuten ETH, SOL, BTC, BNB, USDT ja paljon muuta.

● UPCX - 70 miljoonaa dollaria

Hyökkäysmenetelmä: kulunvalvonnan haavoittuvuus Ketjualusta: Ethereum

Huhtikuun 1. päivänä UPCX menetti noin 70 miljoonan dollarin arvosta tokeneita luvattoman käytön vuoksi. Hakkerit päivittivät UPCX:n ProxyAdmin-sopimuksen ja suorittivat myöhemmin ominaisuuden, jonka avulla järjestelmänvalvojat voivat nostaa varoja, mikä johti varojen siirtämiseen kolmelta eri hallinnointitililtä.

● Infini - 49.5 miljoonaa dollaria

Hyökkäystapa: käyttöoikeuksien hallinnan haavoittuvuus Ketjualusta: Ethereum

Helmikuun 24. päivänä Infiniltä varastettiin 49,5 miljoonaa dollaria sen jälkeen, kun sisäinen kehittäjä varasti varoja päivittämällä sopimusta huijaamalla tiimin salaa säilyttämään sopimuksenhallintaoikeudet.

● Abracadabra Finance - 13 miljoonaa dollaria

Hyökkäysmenetelmä: sopimuksen haavoittuvuus Ketjualusta: Ethereum

Maaliskuun 25. päivänä hajautettu lainausprotokolla Abracadabra Finance menetti noin 13 miljoonaa dollaria varastamalla noin 6 262 ETH:ta sopimuksen porsaanreiän vuoksi.

● Corkin pöytäkirja - 12 miljoonaa dollaria

Hyökkäysmenetelmä: sopimuksen haavoittuvuus Ketjualusta: Ethereum

Toukokuun 28. päivänä hyökättiin Cork Protocoliin, Ether-ketjun ankkuriomaisuusprotokollaan, ja hyökkääjä teki 12 miljoonan dollarin voiton projektin sopimuksen loogisen haavoittuvuuden kautta (keskeisiä parametreja ei vahvistettu).

● BitoPro - 11.5 miljoonaa dollaria

Hyökkäystapa: yksityisen avaimen vuoto Ketjualusta: moniketjuinen

Kesäkuun 2. päivänä kryptopörssi BitoPro antoi ilmoituksen, jossa vahvistettiin hyökkäys ja sanottiin, että hakkerit hyökkäsivät sen kuumaan lompakkoon äskettäisen lompakkojärjestelmän päivityksen ja kryptovarojen siirron aikana, ja varojen epänormaali ulosvirtaus useista ketjun kuumista lompakoista oli noin 11,5 miljoonaa dollaria.

3. Hyökkäyksen kohteena olevan projektin tyyppi

CEX on projektityyppi, jolla on suurin tappio

Vuoden ensimmäisellä puoliskolla suurimmat tappiot aiheuttivat keskitetyt pörssit, joissa kuusi keskitettyihin pörsseihin kohdistunutta hyökkäystä aiheutti yhteensä yli 1,591 miljardin dollarin tappiot, joista suurin tappio oli Bybit, noin 1,44 miljardin dollarin tappiolla. Loput suuremmista tappioista olivat Nobitex (noin 90 miljoonan dollarin tappiot), Phemex (noin 70 miljoonan dollarin tappiot) ja myös Noones, BitoPro ja Coinbase joutuivat hyökkäyksen kohteeksi.

Toiseksi eniten hyökkäyksen kohteena oleva tyyppi on DeFi. Niistä noin 224 miljoonaa dollaria varastettiin Cetus Protocolilta, mikä on 69,1 % DeFin varastetuista varoista, ja muut DeFi-projektit, joilla oli suurempia tappioita, olivat Abracadabra Finance (13 miljoonaa dollaria), Cork Protocol (noin 12 miljoonaa dollaria), Resupply (noin 9,6 miljoonaa dollaria), zkLend (noin 9,5 miljoonaa dollaria), Ionic (noin 8,8 miljoonaa dollaria), Alex protokolla (noin 8,37 miljoonaa dollaria).

Lisäksi kryptomaksualalla tapahtui 2 tietoturvatapausta, joiden tappiot olivat noin 120 miljoonaa dollaria, mikä on kolmanneksi suurin kaikkien projektityyppien joukossa. Muita hyökkäyksen kohteeksi joutuneita projekteja ovat: selaimet, token-sopimukset, ketjujen väliset sillat, Memecoin-laukaisualustat jne.

4. Kunkin ketjun menetyksen määrä

Ethereum on ketju, jolla on eniten tappioita ja eniten hyökkäyksiä

Kuten aiempina vuosina, Ethereum on edelleen julkinen ketju, jolla on suurin tappio. Ethereumiin kohdistuneet 81 hyökkäystä aiheuttivat 1,739 miljardin dollarin vahingot eli 81,3 % kokonaistappioista.

Toiseksi eniten hyökkäyksiä tekevä julkinen ketju on BNB Chain, jossa 33 hyökkäystä aiheutti yhteensä noin 42,53 miljoonan dollarin tappiot. BNB Chainilla on paljon ketjun sisäisiä hyökkäyksiä ja suhteellisen pieniä tappioita, mutta viime vuoden vastaavaan ajanjaksoon verrattuna hyökkäysten määrä ja tappioiden määrä ovat kasvaneet merkittävästi ja tappioiden määrä on kasvanut 357 %.

Arbitrum ja Base sijoittuivat kolmanneksi ja neljänneksi 21,2 miljoonan dollarin ja 13,05 miljoonan dollarin tappioilla. Viime vuoden vastaavaan ajanjaksoon verrattuna Arbitrum-ketjuun kohdistuvien hyökkäysten määrä on kasvanut, mutta tappioiden määrä on vähentynyt 71,8 prosenttia; Perusketjuhyökkäysten määrä ja tappioiden määrä ovat kasvaneet merkittävästi, ja tappioiden määrä on kasvanut 294 %.

5. Hyökkäysmenetelmien analysointi

70 % hyökkäyksistä johtuu sopimushaavoittuvuuksista

Vuoden ensimmäisellä puoliskolla tehtiin 63 hyökkäystä sopimusten haavoittuvuuksia vastaan, mikä johti 408 miljoonan dollarin tappioihin, mikä on suurin hyökkäystyyppi lukuun ottamatta Bybitin varkautta lompakon infrastruktuurin puutteen vuoksi. Tämän vuoden ensimmäisellä puoliskolla yksityisen avaimen murron aiheuttamat tappiot olivat huomattavasti pienemmät kuin viime vuoden vastaavana aikana, mutta kokonaistappiot olivat silti yli 102 miljoonaa dollaria.

Sopimushaavoittuvuuksien mukaan jaoteltuna kolme suurinta tappioita aiheuttanutta haavoittuvuutta olivat: liiketoimintalogiikan haavoittuvuudet (356 miljoonaa dollaria), algoritmivirheet (21,37 miljoonaa dollaria) ja validointihaavoittuvuudet (12,7 miljoonaa dollaria). Kolme suurinta sopimushaavoittuvuutta olivat liiketoimintalogiikan haavoittuvuudet (45 kertaa), kulunvalvonnan haavoittuvuudet (7 kertaa) ja algoritmivirheet (5 kertaa).

6. Varastettujen varojen virran analysointi

Vain 11,1 % varastetuista varoista jäädytettiin ja saatiin takaisin

Beosin KYT:n rahanpesun vastaisen alustan analyysin mukaan noin 238 miljoonaa dollaria varastetuista varoista vuoden 2025 ensimmäisellä puoliskolla jäädytettiin tai palautettiin, mikä on noin 11,1 prosenttia.

Noin 97,89 miljoonaa dollaria varastettuja varoja siirrettiin pörsseihin, mikä on noin 4,6 prosenttia. Yhteensä 278 miljoonaa dollaria (13,0 %) meni mikserille: noin 19,46 miljoonaa dollaria meni Tornado Cashille; 259 miljoonaa dollaria siirrettiin muille sekoittajille. Vuoden 2025 ensimmäisellä puoliskolla kolikoiden sekoittamisen ja pesun kautta varastetut varat lisääntyivät merkittävästi viime vuoteen verrattuna.

7. Yhteenveto Web3-lohkoketjun turvallisuustilanteesta vuoden 2025 ensimmäisellä puoliskolla

Vuoden 2024 ensimmäiseen puoliskoon verrattuna hakkeroinnin, tietojenkalasteluhuijausten ja Rug Pullin aiheuttamat kokonaistappiot tämän vuoden ensimmäisellä puoliskolla ovat nousseet merkittävästi ja ovat nousseet 2,138 miljardiin dollariin. Hyökkäysten ja tappioiden määrä pörsseissä ja valtavirran julkisten ketjujen ekosysteemeissä kasvaa kokonaisuutena, ja tilanne Web3-tietoturva-alalla on edelleen erittäin vakava.

Ensimmäisen vuosipuoliskon vahingollisin hyökkäys oli Bybit-varkaus, jonka osuus menetyksestä oli noin 67,4 prosenttia. Projektityyppien näkökulmasta hyökkäykset ovat kaikkialla Web3-kentällä: pörssit, DeFi, henkilökohtaiset lompakot, infrastruktuuri, token-sopimukset, maksualustat, selaimet, Memecoin-käynnistysalustat jne. Jokaisen Web3-projektin omistajan/yksittäisen käyttäjän on oltava valppaana yksityisten avainten säilyttämisessä offline-tilassa, useiden allekirjoitusten käytössä, kolmannen osapuolen palveluiden varovaisessa käytössä sekä säännöllisten lupapäivitysten ja tietoturvakoulutuksen järjestämisessä etuoikeutetuille työntekijöille.

Vain pieni osa varoista jäädytettiin tai saatiin takaisin vuoden ensimmäisellä puoliskolla, mikä viittaa siihen, että maailmanlaajuisia sääntely- ja rahanpesun vastaisia toimia on vielä vahvistettava. Ensimmäisellä vuosipuoliskolla hakkereiden pörssiin siirtämien varastettujen varojen osuus laski merkittävästi, mikä liittyy pörssin rahanpesun torjunnan vahvistamiseen, hakkerointikäyttäytymisen oikea-aikaiseen tunnistamiseen sekä aktiiviseen yhteistyöhön lainvalvontaviranomaisten ja hankeosapuolten kanssa varojen jäädyttämiseksi ja todentamiseksi. Tällä hetkellä pörssin ja lainvalvontaviranomaisten, projektiosapuolten ja tietoturvatiimien välinen yhteistyö on saavuttanut selviä tuloksia, joten hakkerit yrittävät todennäköisemmin valita erilaisia kolikkosekoittimia rahanpesuun.

Vuoden ensimmäisellä puoliskolla tehdyistä 90 hyökkäyksestä 63:a hyödynnettiin edelleen sopimushaavoittuvuuksilla, ja on suositeltavaa, että projektitiimi etsii ammattimaisen tietoturvayrityksen suorittamaan auditoinnin ennen julkaisun aloittamista. Beosin on yksi maailman ensimmäisistä lohkoketjuturvallisuusyrityksistä, jotka harjoittavat virallista todentamista, ja se keskittyy "turvallisuus + vaatimustenmukaisuus" -ekologiseen liiketoimintaan ja on perustanut sivuliikkeitä yli 10 maahan ja alueelle ympäri maailmaa, jotka kattavat "yhden luukun" lohkoketjun vaatimustenmukaisuustuotteet + tietoturvapalvelut, kuten koodin tietoturvatarkastuksen ennen projektin käynnistämistä, tietoturvariskien seurannan ja eston projektin ajon aikana, varkauksien palauttamisen, virtuaaliomaisuuden rahanpesun torjunnan (AML) ja vaatimustenmukaisuuden arvioinnin paikallisten sääntelyvaatimusten mukaisesti.

Näytä alkuperäinen
Tällä sivulla näytettävä sisältö on kolmansien osapuolten tarjoamaa. Ellei toisin mainita, OKX ei ole lainatun artikkelin / lainattujen artikkelien kirjoittaja, eikä OKX väitä olevansa materiaalin tekijänoikeuksien haltija. Sisältö on tarkoitettu vain tiedoksi, eikä se edusta OKX:n näkemyksiä. Sitä ei ole tarkoitettu minkäänlaiseksi suositukseksi, eikä sitä tule pitää sijoitusneuvontana tai kehotuksena ostaa tai myydä digitaalisia varoja. Siltä osin kuin yhteenvetojen tai muiden tietojen tuottamiseen käytetään generatiivista tekoälyä, tällainen tekoälyn tuottama sisältö voi olla epätarkkaa tai epäjohdonmukaista. Lue aiheesta lisätietoa linkitetystä artikkelista. OKX ei ole vastuussa kolmansien osapuolten sivustojen sisällöstä. Digitaalisten varojen, kuten vakaakolikoiden ja NFT:iden, omistukseen liittyy suuri riski, ja niiden arvo voi vaihdella merkittävästi. Sinun tulee huolellisesti harkita, sopiiko digitaalisten varojen treidaus tai omistus sinulle taloudellisessa tilanteessasi.