Przebój kinowy Beosin | Analiza krajobrazu bezpieczeństwa blockchaina Web3 w pierwszej połowie 2025 r.

Przebój kinowy Beosin | Analiza krajobrazu bezpieczeństwa blockchaina Web3 w pierwszej połowie 2025 r.
Odaily
Odaily
ETH-0,51%
SUI-1,51%
BNB+0,02%
BTC-0,18%
SOL-0,65%
TON+6,97%
TRX+0,06%
XRP+1,89%
DOGE+0,21%

*Ten raport został opracowany wspólnie przez Beosin i Footprint Analytics

1. Przegląd krajobrazu bezpieczeństwa blockchain Web3 w pierwszej połowie 2025 r.

Według Beosin Alert, łączne straty spowodowane przez włamania, oszustwa phishingowe i Rug Pull w dziedzinie Web3 w pierwszej połowie 2025 roku wyniosą około 2,138 miliarda dolarów. Wśród nich było 90 poważnych ataków, które przyniosły łączne straty w wysokości około 2,093 miliarda dolarów; Całkowite straty Rug Pull wyniosły około 3,2 miliona dolarów; Łączne straty w wyniku oszustw phishingowych wyniosły około 41,38 miliona dolarów.

Z perspektywy rodzajów atakowanych projektów, giełdy stały się typem projektów o największej wysokości strat. Sześć ataków na platformę wymiany spowodowało łącznie ponad 1,591 miliarda dolarów szkód, co stanowi 74,4% wszystkich strat spowodowanych atakami.

Pod względem wielkości strat każdego łańcucha, Ethereum jest nadal łańcuchem o najwyższej kwocie strat i największej liczbie zdarzeń związanych z atakami. 81 ataków na Ethereum spowodowało szkody w wysokości 1,739 miliarda dolarów, czyli 81,3% całkowitych strat. Sui straciła około 224 milionów dolarów z powodu incydentu z protokołem Cetus, zajmując drugie miejsce.

Jeśli chodzi o metody ataków, w pierwszej połowie roku odnotowano najczęstsze ataki wykorzystujące luki w zabezpieczeniach kontraktów, z łączną liczbą 63 ataków, które przyniosły straty w wysokości 408 milionów dolarów. Bybit był typem ataku o najwyższym odsetku strat z powodu 1,44 miliarda dolarów skradzionych z powodu luki w infrastrukturze portfela, co stanowiło 67,4% całkowitych strat spowodowanych atakiem.

Jeśli chodzi o przepływy funduszy, tylko niewielka część (około 238 milionów dolarów) skradzionych środków została zamrożona lub odzyskana w pierwszej połowie roku, a około 71,2% skradzionych środków nadal krąży w portfelach on-chain i nie wpłynęło na giełdy lub miksery.

2. Przegląd ataków w pierwszej połowie 2025 r.

90 poważnych ataków spowodowało łączne szkody w wysokości 2,093 miliarda dolarów

W pierwszej połowie 2025 roku Beosin Alert wykrył łącznie 90 poważnych ataków w przestrzeni Web3, które przyniosły łączne straty w wysokości 2,093 miliarda dolarów. Wśród nich były 2 incydenty bezpieczeństwa ze stratami przekraczającymi 100 milionów dolarów, 7 incydentów ze stratami w przedziale od 10 milionów do 100 milionów dolarów oraz 18 incydentów ze stratami w przedziale od 1 miliona do 10 milionów dolarów.

Ataki, których straty przekroczyły 10 milionów dolarów (w kolejności alfabetycznej):

● Bybit - 1,44 miliarda dolarów

Metoda ataku: Bezpieczny front-end portfela jest manipulowany Platforma łańcuchowa: Ethereum

21 lutego zaatakowana została giełda kryptowalut Bybit, a z jej portfela Safe multisig skradziono około 1,44 miliarda dolarów środków. Włamując się na serwery Safe, hakerzy umieścili złośliwy kod, który zastąpił normalne żądania transakcji, powodując, że sygnatariusz podpisał zmodyfikowaną transakcję bez jego wiedzy.

● Protokół Cetus - 224 miliony dolarów

Metoda ataku: podatność kontraktu Platforma łańcuchowa: Sui

W dniu 22 maja zaatakowany został protokół DEX Cetus w ekosystemie Sui, a jego luka w zabezpieczeniach wynikała z błędu implementacji operacji shift-left w kodzie biblioteki open-source. Następnie, we współpracy z Fundacją Sui i innymi projektami ekologicznymi, udało się zamrozić skradzione fundusze o wartości 162 milionów dolarów.

● Nobitex - 90 milionów dolarów

Metoda ataku: jeszcze niejasna Platforma łańcuchowa: wielołańcuchowa

18 czerwca Nobitex, największa giełda kryptowalut w Iranie, ogłosiła, że została zhakowana i straciła ponad 90 milionów dolarów, w tym różne kryptowaluty, takie jak BTC, ETH, Doge, XRP, SOL, TRX i TON. Proizraelska grupa o nazwie "Gonjeshke Darande" przyznała się do ataku i określiła go jako uderzenie w irańską infrastrukturę kryptograficzną.

● Phemex - 70 milionów dolarów

Metoda ataku: wyciek klucza prywatnego Platforma łańcuchowa: wielołańcuchowa

23 stycznia około 70 milionów dolarów w aktywach kryptograficznych zostało skradzionych z gorącego portfela Phemex, giełdy kryptowalut z siedzibą w Singapurze, obejmującej wiele aktywów kryptograficznych, takich jak ETH, SOL, BTC, BNB, USDT i inne.

● UPCX - 70 milionów dolarów

Metoda ataku: luka w zabezpieczeniach kontroli dostępu Platforma łańcuchowa: Ethereum

1 kwietnia UPCX stracił tokeny o wartości około 70 milionów dolarów z powodu nieautoryzowanego dostępu. Hakerzy zaktualizowali umowę ProxyAdmin UPCX, a następnie uruchomili funkcję, która pozwalała administratorom na wypłatę środków, co spowodowało przelanie środków z trzech różnych kont zarządzania.

● Infini - 49,5 miliona dolarów

Metoda ataku: luka w zarządzaniu uprawnieniami Platforma łańcuchowa: Ethereum

24 lutego 49,5 miliona dolarów zostało skradzione z Infini po tym, jak wewnętrzny deweloper ukradł fundusze, ulepszając umowę, nakłaniając zespół do potajemnego zachowania uprawnień do zarządzania kontraktem.

● Abracadabra Finance - 13 milionów dolarów

Metoda ataku: podatność kontraktu Platforma łańcuchowa: Ethereum

25 marca Abracadabra Finance, zdecentralizowany protokół pożyczkowy, stracił około 13 milionów dolarów, kradnąc około 6 262 ETH z powodu luki w umowie.

● Protokół Cork - 12 milionów dolarów

Metoda ataku: podatność kontraktu Platforma łańcuchowa: Ethereum

28 maja zaatakowany został Cork Protocol, protokół aktywów kotwiczących w łańcuchu Ether, a atakujący osiągnął zysk w wysokości 12 milionów dolarów dzięki logicznej luce w kontrakcie projektu (kluczowe parametry nie zostały zweryfikowane).

● BitoPro - 11,5 miliona dolarów

Metoda ataku: wyciek klucza prywatnego Platforma łańcuchowa: wielołańcuchowa

2 czerwca giełda kryptowalut BitoPro wydała komunikat potwierdzający atak, mówiąc, że jej gorący portfel został zaatakowany przez hakerów podczas niedawnej aktualizacji systemu portfela i transferu aktywów kryptograficznych, a nienormalny odpływ środków z wielu gorących portfeli on-chain wyniósł około 11,5 miliona dolarów.

3. Rodzaj projektu, który ma zostać zaatakowany

CEX to typ projektu o największej kwocie strat

Typem projektu, który przyniósł największe straty w pierwszej połowie roku, były scentralizowane giełdy, z sześcioma atakami na scentralizowane giełdy, które spowodowały łącznie ponad 1,591 miliarda dolarów strat, z czego największą stratą był Bybit, ze stratą około 1,44 miliarda dolarów. Reszta większych strat to Nobitex (około 90 milionów dolarów strat), Phemex (około 70 milionów dolarów strat), a Noones, BitoPro i Coinbase również zostały zaatakowane.

Drugim najczęściej atakowanym typem jest DeFi. Wśród nich około 224 miliony dolarów zostało skradzionych z Cetus Protocol, co stanowi 69,1% skradzionych środków w DeFi, a reszta projektów DeFi z większymi stratami to Abracadabra Finance (13 milionów dolarów), Cork Protocol (około 12 milionów dolarów), Resupply (około 9,6 miliona dolarów), zkLend (około 9,5 miliona dolarów), Ionic (około 8,8 miliona dolarów), Alex Protokół (około 8,37 miliona dolarów).

Ponadto w przestrzeni płatności kryptowalutowych wystąpiły 2 incydenty bezpieczeństwa, które przyniosły stratę w wysokości około 120 milionów dolarów, co plasuje się na trzecim miejscu wśród wszystkich typów projektów. Inne rodzaje projektów, które zostały zaatakowane, to: przeglądarki, kontrakty tokenów, mosty cross-chain, launchpady Memecoin itp.

4. Wielkość strat każdego łańcucha

Ethereum to łańcuch o największej liczbie strat i największej liczbie ataków

Podobnie jak w poprzednich latach, Ethereum jest nadal łańcuchem publicznym o największej kwocie strat. 81 ataków na Ethereum spowodowało szkody w wysokości 1,739 miliarda dolarów, czyli 81,3% całkowitych strat.

Drugim co do wielkości łańcuchem publicznym z największą liczbą ataków jest BNB Chain, z 33 atakami powodującymi łączne straty w wysokości około 42,53 miliona dolarów. BNB Chain ma dużą liczbę ataków on-chain i stosunkowo niewielkie straty, ale w porównaniu z tym samym okresem ubiegłego roku, liczba ataków i kwota strat znacznie wzrosła, a kwota strat wzrosła o 357%.

Arbitrum i Base zajęły odpowiednio trzecie i czwarte miejsce ze stratami w wysokości odpowiednio 21,2 mln USD i 13,05 mln USD. W porównaniu z analogicznym okresem ubiegłego roku liczba ataków na łańcuch Arbitrum wzrosła, ale ilość strat zmniejszyła się o 71,8%; Liczba ataków Base chain i kwota strat znacznie wzrosła, a kwota strat wzrosła o 294%.

5. Analiza metod ataku

70% ataków pochodzi z luk w zabezpieczeniach kontraktów

W pierwszej połowie roku miały miejsce 63 ataki na luki w zabezpieczeniach kontraktów, co spowodowało straty w wysokości 408 milionów dolarów, co jest największym rodzajem ataku, z wyjątkiem kradzieży Bybit z powodu luki w infrastrukturze portfela. W pierwszej połowie tego roku straty spowodowane naruszeniem klucza prywatnego były znacznie niższe niż w tym samym okresie ubiegłego roku, ale łączne straty nadal wyniosły ponad 102 miliony dolarów.

W podziale na luki w zabezpieczeniach umów, trzy największe luki w zabezpieczeniach, które spowodowały straty, to: luki w logice biznesowej (356 mln USD), błędy w algorytmach (21,37 mln USD) i luki w walidacji (12,7 mln USD). Trzy największe luki w zabezpieczeniach kontraktów to luki w logice biznesowej (45 razy), luki w kontroli dostępu (7 razy) i wady algorytmów (5 razy).

6. Analiza przepływu skradzionych środków

Tylko 11,1% skradzionych aktywów zostało zamrożonych i odzyskanych

Według analizy platformy przeciwdziałania praniu pieniędzy Beosin KYT, około 238 milionów dolarów skradzionych środków w pierwszej połowie 2025 roku zostało zamrożonych lub odzyskanych, co stanowi około 11,1%.

Około 97,89 miliona dolarów w skradzionych środkach zostało przelanych na giełdy, co stanowi około 4,6%. Łącznie 278 milionów dolarów (13,0%) trafiło do miksera: około 19,46 miliona dolarów trafiło do Tornado Cash; 259 milionów dolarów zostało przekazanych innym mikserom. W pierwszej połowie 2025 r. nastąpił znaczny wzrost skradzionych środków poprzez mieszanie monet i pranie pieniędzy w porównaniu z rokiem ubiegłym.

7. Podsumowanie sytuacji w zakresie bezpieczeństwa blockchaina Web3 w pierwszej połowie 2025 roku

W porównaniu z pierwszą połową 2024 r. łączne straty spowodowane przez hakerstwo, oszustwa phishingowe i Rug Pull w pierwszej połowie tego roku znacznie wzrosły, osiągając 2,138 mld USD. Liczba ataków i strat na giełdy i główne ekosystemy łańcucha publicznego rośnie jako całość, a sytuacja w dziedzinie bezpieczeństwa Web3 jest nadal bardzo poważna.

Najbardziej szkodliwym atakiem w pierwszej połowie roku była kradzież Bybit, która odpowiadała za około 67,4% strat. Z punktu widzenia typów projektów, ataki dotyczą całego obszaru Web3: giełd, DeFi, portfeli osobistych, infrastruktury, kontraktów tokenowych, platform płatniczych, przeglądarek, platform startowych Memecoin itp. Każdy właściciel projektu Web3 / indywidualny użytkownik musi zachować czujność w kwestii przechowywania kluczy prywatnych w trybie offline, korzystania z wielu podpisów, ostrożnego korzystania z usług stron trzecich oraz przeprowadzania regularnych aktualizacji uprawnień i szkoleń w zakresie bezpieczeństwa dla uprzywilejowanych pracowników.

Tylko niewielka część aktywów została zamrożona lub odzyskana w pierwszej połowie roku, co sugeruje, że globalne wysiłki regulacyjne i przeciwdziałanie praniu pieniędzy nadal wymagają wzmocnienia. W pierwszej połowie roku znacznie zmniejszył się odsetek skradzionych środków przekazywanych przez hakerów na giełdę, co jest związane ze wzmocnieniem przez giełdę przeciwdziałania praniu brudnych pieniędzy, szybką identyfikacją zachowań hakerskich oraz aktywną współpracą z organami ścigania i stronami projektu w celu zamrożenia środków i przeprowadzenia weryfikacji. Obecnie współpraca między giełdą a organami ścigania, stronami projektowymi i zespołami ds. bezpieczeństwa przyniosła oczywiste rezultaty, więc hakerzy są bardziej skłonni do próbowania wyboru różnych mikserów monet do prania funduszy.

Spośród 90 ataków przeprowadzonych w pierwszej połowie roku, 63 były nadal wykorzystywane przez luki w zabezpieczeniach kontraktów i zaleca się, aby zespół projektowy poszukał profesjonalnej firmy zajmującej się bezpieczeństwem, która przeprowadzi audyt przed uruchomieniem. Jako jedna z najwcześniejszych na świecie firm zajmujących się bezpieczeństwem blockchain zaangażowana w formalną weryfikację, Beosin koncentruje się na ekologicznym biznesie "bezpieczeństwo + zgodność" i założyła oddziały w ponad 10 krajach i regionach na całym świecie, obejmując "kompleksowe" produkty zgodności z blockchainem + usługi bezpieczeństwa, takie jak audyt bezpieczeństwa kodu przed uruchomieniem projektu, monitorowanie i blokowanie ryzyka bezpieczeństwa w czasie trwania projektu, odzyskiwanie po kradzieży, przeciwdziałanie praniu pieniędzy aktywów wirtualnych (AML) oraz ocena zgodności zgodnie z lokalnymi wymogami regulacyjnymi.

Pokaż oryginał
Odwiedź źródło
34,95 tys.
0
Treści na tej stronie są dostarczane przez strony trzecie. O ile nie zaznaczono inaczej, OKX nie jest autorem cytowanych artykułów i nie rości sobie żadnych praw autorskich do tych materiałów. Treść jest dostarczana wyłącznie w celach informacyjnych i nie reprezentuje poglądów OKX. Nie mają one na celu jakiejkolwiek rekomendacji i nie powinny być traktowane jako porada inwestycyjna lub zachęta do zakupu lub sprzedaży aktywów cyfrowych. Treści, w zakresie w jakim jest wykorzystywana generatywna sztuczna inteligencja do dostarczania podsumowań lub innych informacji, mogą być niedokładne lub niespójne. Przeczytaj podlinkowany artykuł, aby uzyskać więcej szczegółów i informacji. OKX nie ponosi odpowiedzialności za treści hostowane na stronach osób trzecich. Posiadanie aktywów cyfrowych, w tym stablecoinów i NFT, wiąże się z wysokim stopniem ryzyka i może podlegać znacznym wahaniom. Musisz dokładnie rozważyć, czy handel lub posiadanie aktywów cyfrowych jest dla Ciebie odpowiednie w świetle Twojej sytuacji finansowej.