重磅 | 2023 Q3 Web3区块链安全态势、反洗钱分析回顾以及加密行业重点监管政策总结

1 2023 Q3 Web3安全态势综述

据区块链安全审计公司Beosin旗下EagleEye平台监测，2023年第三季度Web3领域因黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失达到了 8 亿 8926 万美元。其中攻击事件 43 起，总损失金额约 5 亿 4016 万美元；钓鱼诈骗总损失金额约 6615 万美元；项目方Rug Pull事件 81 起，总损失约 2 亿 8296 万美元。

2023年第三季度的损失超过了2023年上半年的总和。2023年第一季度总损失约3.3亿美元，第二季度约3.33亿美元，而第三季度达到了 8 亿 8926 万美元。

从被攻击项目类型来看，DeFi依旧是被攻击频次最高的类型。29 起攻击事件发生在DeFi领域，占总事件数量的67.4%。损失金额最高的项目类型为公链。
从链平台类型来看，Ethereum上共损失 2.27 亿美元，居所有链平台损失的第一位。Ethereum上也发生了最多的安全事件，达到了 16 次。
从攻击手法来看，本季度共发生 9 次私钥泄露事件，造成损失达到了 2.23 亿美元，为损失金额最多的攻击类型。
从资金流向来看，有 3.6 亿美元（67%）还留在黑客地址。本季度仅有 10% 的被盗资金被追回。
从审计情‍‍况来看，经过审计和未经审计的项目大致比例相当，分别为 48.8% 和 46.5%。

2 攻击事件总览

43 起主要攻击事件造成损失 5 亿 4016 万美元
2023年第三季度，Beosin EagleEye平台共监测到 Web3 领域主要攻击事件 43 起，总损失金额达 5 亿 4016 万美元。其中损失金额超过 1 亿美元的安全事件共 1 起，损失在 1000 万美元 - 1 亿美元区间的事件共 7 起，100 万美元 - 1000 万美元区间的事件 9 起。
损失金额超过千万美元的攻击事件（按金额排序）：
● Mixin Network - 2 亿美元9 月 25 日，Mixin 官推称，Mixin Network 云服务商数据库遭到黑客攻击，导致主网部分资产丢失，涉及资金约 2 亿美元。
● Curve/ Vyper - 7300 万美元7 月 30 日，由于旧版本 Vyper 编译器中存在重入漏洞，导致多个 Curve 池被攻击，损失达 7300 万美元，事后约 5230 万美元已被黑客归还。
● CoinEx - 7000 万美元9 月 12 日，加密交易所 CoinEx 因私钥泄露导致热钱包被盗，涉及 211 条链，总损失达到了 7000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● Alphapo - 6000 万美元7 月 23 日，加密货币支付服务商 Alphapo 热钱包被盗，共损失 6000 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● Stake - 4130 万美元9 月 4 日，加密博彩平台 Stake 热钱包遭到黑客攻击，损失达 4130 万美元。该事件系朝鲜黑客组织 Lazarus 所为。
● CoinsPaid - 3730 万美元7 月 22 日，加密支付平台 CoinsPaid 遭到黑客攻击，3730 万美元的资产被盗。黑客花费了六个月时间跟踪和研究 CoinsPaid 的系统，尝试了各种形式的攻击，包括社会工程、DoS、暴力破解、钓鱼等。该事件系朝鲜黑客组织 Lazarus 所为。
● Fortress IO - 1500 万美元8 月 29 日，区块链基础设施 Fortress IO 因第三方云工具供应商遭到黑客攻击而损失 1500 万美元。
● Polynetwork - 1010 万美元7 月 2 日，跨链桥 PolyNetwork 因私钥泄露而遭到攻击，黑客获利达 1010 万美元。

3 被攻击项目类型

本季度损失最高的项目类型为公链，来自于 Mixin Network 被盗 2 亿美元事件。这一次安全事件就占了季度总损失金额的 37%。
43 次黑客攻击事件中，共有 29 起事件发生在DeFi领域，占比约 67.4%。这 29 次 DeFi 攻击事件共导致了 9823 万美元的损失，排在所有项目类型的第二位。
损失排名第三位的类型为支付平台。两起支付平台安全事件共损失了 9730 万美元（Alphapo 6000万美元、CoinsPaid 3730万美元）。
其他被攻击的项目类型还包括：交易所、博彩平台、基础设施、跨链桥、未开源合约。从类型上看，黑客瞄准了公链、支付平台、博彩这类资金量高的平台。

4 各链平台损失金额情况

Ethereum为损失金额最高、攻击事件最多的链
本季度 Ethereum 上共损失 2.27 亿美元，居所有链平台损失的第一位。Ethereum 上发生了最多的安全事件，达到了 16 次。
损失第二位为 Mixin Network，单次事件损失达到了 2 亿美元，居所有链平台损失的第二位。
Ethereum 和 Mixin 两条链的总金额达到了总损失的 79%。

按照事件数量排序，出现安全事件最多的5条公链分别是：Ethereum（16次）、BNB Chain（10次）、Arbitrum（3次）、BTC（2次）、Base（2次）。

5 攻击手法分析

9 次私钥泄露事件造成损失 2.23 亿美元
本季度共发生 9 次私钥泄露事件，造成损失达到了 2.23 亿美元，为损失金额最多的攻击类型。本季度共发生 1000 万美元以上的安全事件 8 起，其中有 5 起都来自于私钥泄露：CoinEx（7000万美元）、Alphapo（6000万美元）、Stake.com（4130万美元）、CoinsPaid（3730万美元）、Polynetwork（1010万美元）。
损失金额排第二的攻击类型为数据库攻击，损失达 2 亿美元，来自于 Mixin Network 事件。
损失金额排第三位的攻击类型为合约漏洞利用。22 次合约漏洞利用共造成损失约 9327 万美元。
按照漏洞细分，造成损失最多的为重入漏洞，合约漏洞事件里约有 82.8% 的损失金额来自重入漏洞。出现频次最高的为业务逻辑漏洞，22 次合约漏洞里出现了 13 次。

6 典型案例攻击手法分析

6.1 Exactly Protocol

2023年8月18日，Optimism 链的 DeFi 借贷协议 Exactly Protocol 遭受黑客攻击，黑客获利超 700 万美元。
漏洞分析
漏洞合约中的多个Market地址参数可被操控。攻击者通过传入恶意的Market合约地址，成功绕过permit检查，执行了恶意的deposit函数，窃取了用户的抵押品USDC并清算用户资产，最终实现了攻击者的盈利目的。安全建议
建议用作凭证代币的合约地址需要填加白名单功能，以免被恶意操控。

6.2 Vyper/Curve

7 月 31 日，以太坊编程语言 Vyper 发推表示，Vyper 0.2.15、0.2.16 和 0.3.0 版本有重入锁漏洞。Curve 表示，多个使用 Vyper 0.2.15 的稳定币池 (CRV/alETH/msETH/pETH) 遭到攻击，总损失达到了 7300 万美元，事后约 5230 万美元已被黑客归还。
漏洞分析
本次攻击主要是源于是Vyper 0.2.15的防重入锁失效，攻击者在调用相关流动性池子的remove_liquidity函数移除流动性时通过重入add_liquidity函数添加流动性，由于余额更新在重入进add_liquidity函数之前，导致价格计算出现错误。
安全建议
当前使用Vyper 0.2.15、0.2.16和0.3.0版本的重入锁均存在失效的问题，建议相关项目方进行自查。项目上线后，强烈建议项目方仍然关注第三方组件/依赖库的漏洞披露信息，及时规避安全风险。

6.3 Eralend

2023年7月25日，ZkSync链上Eralend借贷协议遭受攻击，损失约 340 万美元。
漏洞分析
本次攻击主要漏洞是价格预言只读重入，导致EraLend项目的ctoken合约借贷价值计算和清算价值计算不一致，借贷的数量高于偿还的数量，使得攻击者可以在借贷并清算后获利。攻击者重复利用多个合约进行上述操作，获得了大量的USDC。
安全建议
在依赖SyncSwap项目实时储备量作价格计算时应考虑只读重入场景，防止相关函数在同一笔交易中价格计算不一致的情况发生。

7 反洗钱典型事件分析回顾

7.1 Beosin KYT解析Stake.com被攻击安全事件

9月4日，区块链安全审计公司Beosin旗下Beosin EagleEye安全风险监控、预警与阻断平台监测显示，加密博彩平台Stake.com遭遇黑客攻击。
攻击发生后，Stake.com表示其ETH和BSC上热钱包发生未经授权的交易，正在进行调查，并将在钱包完全重新确保安全后尽快恢复存提款。 
据Beosin安全分析团队查看之后，发现本次事件主要原因为Stake项目私钥泄露，导致至少约4千万美元资产的损失。因此，我们使用Beosin KYT虚拟资产反洗钱合规和分析平台对该事件进行了反洗钱分析。事件跟踪 ETH链上资金流向

攻击发生后，在ETH链上，攻击者首先向0x3130662aece32F05753D00A7B95C0444150BCd3C地址发送6000ETH、3,900,000 枚USDC和9000,000枚DAI。
第二步：攻击者将DAI，USDC等Token兑换为ETH沉淀至如下4个地址，为后续资金分散混淆做准备
0xba36735021a9ccd7582ebc7f70164794154ff30e0x94f1b9b64e2932f6a2db338f616844400cd58e8a0x7d84d78bb9b6044a45fa08b7fe109f2c8648ab4e0xbda83686c90314cfbaaeb18db46723d83fdf0c83
第三步：攻击者将上述四个地址的资金分别分散发送至20余个地址，并且黑客为进一步提高提高追踪难度，同时在同级地址之间互相转账。
第四步：黑客将大部分资产分上百笔交易抵押进DEX:Thorchain 其余资产则通过1inch和SSwap兑换为USDT。
值得注意的是黑客将一小部分资金打入了Binance钱包。 Polygon链上资金流向

黑客在Polygon链上转移资金手法和在ETH链上转移资金手法如出一辙。
在Polygon链， 攻击者先向0xfe3f568d58919b14aff72bd3f14e6f55bec6c4e0地址分别发送3,250,000 枚MATIC、4,220,000 枚USDT、1,780,000枚USDC和70,000枚DAI。
第二步：攻击者将DAI，USDC等Token兑换为MATIC沉淀至如下4个地址，为后续资金分散混淆做准备：
0x32860a05c8c5d0580de0d7eab0d4b6456c397ce20xa2e898180d0bc3713025d8590615a832397a80320xa26213638f79f2ed98d474cbcb87551da909685e0xf835cc6c36e2ae500b33193a3fabaa2ba8a2d3dc
第三步：攻击者将上述四个地址的资金分别分散发送至20余个地址，并且黑客为进一步提高提高追踪难度，同时在同级地址之间互相转账。
第四步：黑客将分散的资产发起数百笔交易转入SquidRouter进行跨链。
BNB Chain链上资金流向

同ETH和Polygon，在BNB Chain链上，攻击者用Stake钱包向0x4464e91002c63a623a8a218bd5dd1f041b61ec04地址分别发送7,350,000枚BSC-USD、1,800,000枚USDC、1,300,000枚BUSD、300,000枚MATIC、12,000枚BNB、2,300枚ETH和40,000枚LINK。
第二步：将BNB chain上面的资产兑换为BNB沉淀至如下4个地址，为后续资金分散混淆做准备：
0xff29a52a538f1591235656f71135c24019bf82e50x95b6656838a1d852dd1313c659581f36b2afb2370xe03a1ae400fa54283d5a1c4f8b89d3ca74afbd620xbcedc4f3855148df3ea5423ce758bda9f51630aa
第三步：攻击者将上述四个地址的资金分别分散发送至20余个地址，并且黑客为进一步提高提高追踪难度，同时在同级地址之间互相转账。
第四步：黑客将分散的资产发起数百笔交易转入OKX DEX、BNB tokenhub进行跨链或兑换为BUSD继续进行资金混淆。
值得注意的是黑客将一小部分资金打入了OKX钱包 
9月5日，加密博彩平台Stake.com发布公告称，平台所有服务已恢复，所有货币的存提款都在即时处理。这次事件让Stake.com在以太坊上被盗1570万美元，也在BNB Chain和Polygon网络被盗价值2560万美元的加密资产。这个事件的教训使Stake.com加强了安全措施，包括加强私钥管理和采取额外的防护措施，以确保用户资产的安全。
同时，Beosin将继续致力于提供最先进的安全审计和风险监控解决方案，为加密资产的持有者和交易平台提供可靠的保障。这次事件向整个加密行业提出了警示，强调了安全性的重要性，并进一步推动了安全技术和合规措施的发展，以保护用户的数字资产免受潜在的威胁。

7.2 解析JPEX风波背后的资金流向

9月13日，香港证监会发布了一篇名为《有关不受规管的虚拟资产交易平台》的声明，表示虚拟资产交易平台JPEX未获得证监会牌照且JPEX没有向证监会申请牌照。次日，JPEX的社群发现JPEX平台的提币额度仅为1000USDT，而提币手续费高达999USDT，变相让用户无法出金。9月19日，香港证监会举行新闻发布会，指出JPEX平台交易已停止运作。
目前，该事件的调查仍在进行中。我们通过Beosin KYT对JPEX进行实体地址溯源，确定JPEX关联地址后，Beosin研究团队对资金进行了分析，以下是我们最新的分析情报。

JPEX 以太坊链上资金流向
JPEX平台在Ethereum链上的存款钱包地址为0x50c85e5587d5611cf5cdfba23640bc18b3571665，用户存入JPEX的资产会自动存入到该地址。而Ethereum链上的USDT资产，会转到出金钱包地址0x9528043B8Fc2a68380F1583C389a94dcd50d085e。
存款钱包地址0x50c8在9月19日凌晨1:37分完成转账后就未有任何资金转移记录，已停止资金进出超过24小时。
而USDT出金钱包地址0x9528在9月18日下午5点左右向FixedFloat交易所（无需KYC）的3个存款地址分别转入10万USDT，此后该地址也未有任何资金转移记录。Beosin KYT查询结果如下：

除了USDT，ETH还分布在JPEX的各个地址上，分布情况如下： 0x50c85e5587d5611cf5cdfba23640bc18b3571665：641枚0x31030a8C7E3c8fD0ba107e012d06f905CD080eD9：320枚0x87E1E7D3ee90715BCE8eA12Ef810363D73dc79FB：400枚0xcd19540f8d14bEbBb9885f841CA10F7bF5A71cAC：350枚0x22E70793915625909E28162C8a04ffe074A5Fc98：400枚0xd3528B66C3e3E6CF9C288ECC860C800D4CB12468：200枚
Beosin旗下C端的链上分析平台EagleEye追踪发现ETH以及USDT资金流向详情图如下图所示：

JPEX 比特币链上资金流向

比特币链上BTC分散在JPEX的各个地址上，分布情况如下：3LJVASCfNRm9DEmHYaRbWhiKVSg14JqarS：28枚32JWJvigxttRmfYYcXEsCFScibnVU3bD92：20枚381agNrmetRakEsfz9oD1XGvwgR9Q6y6fa：30枚3LhYzsTZadkXaf6qsYQoP65ynGiiDv5XGU：20枚3KBnBZTNGkbqEaQV6jb6oGxoiMHwmVLoGM：25枚3A6G8gkxY9zgkRCHorSLvcj49J6Cp5TVBx：33枚
Beosin旗下C端的链上分析平台EagleEye追踪BTC资金流向详情图如下图所示：

目前，JPEX未在公开社交平台正式回应此事。而整个加密社区对JPEX的做法表示谴责，不少投资者在JPEX之前的推文下留言要求降低手续费并开放提现额度。JPEX的做法也可能让他们面临证监会更严厉的调查。
在JPEX风波中，我们通过用Beosin KYT对链上数据的分析和解读，揭示了JPEX平台的资金流向，以及用户应该如何分析链上数据来提升资产安全。这一系列事件引起了广泛的关注和警惕，也提醒了用户保护自己资产的重要性。

8 被盗资产的资金流向分析

约 3.6 亿美元被盗资金还留在黑客地址
第三季度被盗的资金中，有 3.6 亿美元（67%）还留在黑客地址。共有 9927 万美元（18.4%）转入了混币器：917 万美元转入了 Tornado Cash；9010 万美元转入了其他混币器，如FixedFloat、Sinbad 等。
本季度有 5440 万美元的资产被追回，占比仅有 10%。和上半年相比，本季度资金追回的比例大幅减少。主要原因在于本季度朝鲜黑客组织 Lazarus 活动频繁，共盗取了 2.08 亿美元，而该黑客组织善于运用各种复杂的洗钱手段清洗盗取资金，基本没有返还的情况。

9 项目审计情况分析

经过审计和未经审计的项目大致比例相当，被攻击的43个项目中，经过审计和未经审计的项目大致比例相当，分别为 48.8% 和 46.5%。

在 22 次因为合约漏洞被攻击的项目中，没有审计过的项目占了 14 个（63.6%）。

10 Rug Pull 分析

81 起 Rug Pull 事件共损失 2.8 亿美元
2023年第三季度，共监测到项目方 Rug Pull 事件 81 起，涉及金额达 2.8 亿美元。

超过千万美元的 Rug Pull 事件包括：Multichain（2.1 亿美元）、Bald（2300 万美元）和 Pepe（1550 万美元）。
Rug Pull 事件主要分布在 Ethereum 链（42起）和 BNB Chain（33起）。本季度大热的 Base 链也发生了 4 起 Rug pull 事件。

11 2023 Q3 安全态势总结

和 2023 年前两个季度相比，第三季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升，达到了 8 亿 8926 万美元。第三季度损失的总金额比一二季度相加总和还要高，Web 3 安全领域形势依旧不容乐观。
本季度朝鲜黑客组织 Lazarus 活动频繁，四次攻击事件共盗取了超 2.08 亿美元，为本季度 Web3 安全领域的最大威胁。根据受攻击项目方 CoinsPaid 的调查结果，Lazarus 花了半年的时间试图渗透 CoinsPaid 系统并查找漏洞，期间尝试了包括社会工程、DoS、暴力破解、钓鱼等各种方式，最终通过一份虚假的工作邀请诱骗了一名员工下载恶意软件，从而盗取私钥。Lazarus擅长运用黑客攻击中最薄弱的环节——人，对各类资金量高的平台进行复杂的攻击。对于大型加密服务提供商而言，需要对此类攻击特别提高警惕，定期对员工进行安全培训，对高特权员工实施安全实践，针对基础设施和应用程序中的所有可疑活动建立监控和警报系统。
43 起攻击事件中，依然有 22 起来自合约漏洞利用。建议项目方在上线之前寻找专业的安全公司进行审计。
本季度项目方 Rug Pull 损失金额大幅增加，从项目方公告来看，“内部纠纷”、“不可抗力因素”等频繁出现。即便是资金量大、用户数量多的项目方也有 Rug Pull 的风险。建议用户做好风险管理，及时关注项目舆情动态。用户可以通过EagleEye平台查询项目安全信息和最新舆情，更安全地投资新项目。