Informe sobre el panorama de la seguridad Web3 y el análisis de la lucha contra el blanqueo de capitales de 2023

Autores: Beosin Research Team Mario, Tian Daxia Donny

Este artículo es la primera parte de la “Situación de seguridad de la cadena de bloques Web3 de 2023, revisión del análisis AML y resumen de las políticas regulatorias clave en la industria de las criptomonedas”, que solo muestra la parte de la situación de seguridad del informe, y las políticas regulatorias y otros contenidos se pueden encontrar en las “Políticas regulatorias y observación de eventos de la industria global de activos virtuales Web3 de 2023”.

Introducción

Iniciado por la Blockchain Security Alliance y cocreado por los miembros de la Alianza Beosin, Web3 Law y Elven, este informe de investigación tiene como objetivo discutir de manera exhaustiva el panorama global de seguridad de Blockchain y las políticas regulatorias clave en la industria de las criptomonedas en 2023. A través de un análisis y evaluación del estado actual de la seguridad de Blockchain en todo el mundo, el informe revelará los desafíos y amenazas de seguridad actuales y proporcionará soluciones y mejores prácticas. Al mismo tiempo, el informe también examinará las posiciones y la orientación política de los gobiernos y los reguladores en la regulación de la industria de las criptomonedas para ayudar a los lectores a comprender los cambios dinámicos en el entorno regulatorio y los posibles impactos.

A través de este informe, los lectores podrán obtener una comprensión más completa de la evolución dinámica del panorama de seguridad de la cadena de bloques Web3 y las principales conclusiones de las políticas regulatorias. Esto ayudará a los lectores a evaluar y abordar los desafíos de seguridad que enfrenta el espacio Blockchain, y promoverá el desarrollo sostenible de la industria al tiempo que cumple con los requisitos reglamentarios. Además, los lectores también pueden obtener consejos útiles del informe sobre las medidas de seguridad, los requisitos de cumplimiento y la dirección de la industria para ayudarlos a tomar decisiones y acciones informadas en este campo emergente. La seguridad y la regulación de la cadena de bloques son cuestiones clave en el desarrollo de la era Web3. A través de la investigación y el debate en profundidad, podemos comprender y responder mejor a estos desafíos y promover la seguridad y el desarrollo sostenible de la tecnología Blockchain.

1, 2023 Descripción general del panorama de seguridad de la cadena de bloques Web3

Según la plataforma EagleEye de la firma de auditoría de seguridad Blockchain Beosin, la pérdida total en el sector Web3 debido a los ataques de piratas informáticos, las estafas de phishing y el Rug Pull alcanzó los USD 2.02 mil millones en 2023. ** Entre ellos, hubo 191 ataques con una pérdida total de alrededor de 1.397 millones de dólares, 267 incidentes de Rug Pull con una pérdida total de alrededor de 388 millones de dólares y una pérdida total de alrededor de 238 millones de dólares por estafas de phishing.

**En 2023, los ataques de piratas informáticos, las estafas de phishing y los incidentes de Rug Pull disminuyeron significativamente en comparación con 2022, con una disminución total del 53,9%. **Entre ellos, los ataques de hackers fueron los que más cayeron, de 3.600 millones de dólares en 2022 a 1.397 millones de dólares en 2023, lo que supone un descenso de alrededor del 61,2%. Las pérdidas por fraude de phishing disminuyeron un 33,2% en comparación con 2022, y las pérdidas por Rug Pull disminuyeron un 8,8% en comparación con 2022.

En 2023, habrá 4 ataques con pérdidas de más de 100 millones de dólares estadounidenses, y 17 ataques con pérdidas en el rango de 10 millones de dólares estadounidenses a 100 millones de dólares estadounidenses. ** Los 10 principales incidentes de seguridad representaron aproximadamente 1.000 millones de dólares en pérdidas totales, lo que representa el 71,5% del total anual de incidentes de ataque. **

**Los tipos de proyectos atacados en 2023 son más extensos que en 2022, incluidas las finanzas descentralizadas, CEX, DEX, cadenas públicas, puentes de interacción entre cadenas, billeteras, plataformas de pago, plataformas de juegos, corredores de criptomonedas, infraestructura, administradores de contraseñas, herramientas de desarrollo, bots MEV, bots TG y muchos más. ** Las finanzas descentralizadas son el tipo de proyecto con la mayor frecuencia de ataques y cantidades de pérdidas, con 130 ataques de finanzas descentralizadas que causan una pérdida total de alrededor de 408 millones de dólares.

En 2023, los tipos de cadenas públicas con ataques serán más frecuentes, y habrá múltiples incidentes de seguridad robados a través de múltiples cadenas. Ethereum siguió siendo la cadena pública con más pérdidas, con 71 ataques de Ethereum que causaron 766 millones de dólares en pérdidas, lo que representa el 54.9% de las pérdidas totales del año.

Desde el punto de vista de los métodos de ataque, 30 filtraciones de claves privadas causaron un total de unos 627 millones de dólares en pérdidas, lo que representa el 44,9% de las pérdidas totales, que es el método de ataque más costoso. La explotación de vulnerabilidades contractuales es el método de ataque más frecuente, ya que 99 de los 191 incidentes de ataque provienen de la explotación de vulnerabilidades contractuales, lo que representa el 51,8%.

** Se recuperaron aproximadamente $295 millones en fondos robados durante el año, lo que representa aproximadamente el 21.1%, un aumento significativo con respecto a 2022. **Aproximadamente $330 millones de fondos robados fueron transferidos a mezcladores a lo largo del año, lo que representa el 23.6% del total de fondos robados.

A diferencia de los ataques de piratas informáticos en la cadena, las estafas de phishing y una caída significativa en la cantidad de Rug Pull, los datos de delitos criptográficos fuera de la cadena aumentarán significativamente en 2023. En 2023, la delincuencia mundial de la industria de las criptomonedas alcanzó la asombrosa cifra de 65.688 millones de dólares, un 377% más que los 13.760 millones de dólares de 2022. ** Los tres principales tipos de delitos relacionados con el dinero son los juegos de azar en línea, el lavado de dinero y el fraude. **

2. Los 10 principales eventos de seguridad en el ecosistema Web3 en 2023

En 2023, hubo cuatro ataques que perdieron más de 100 millones de dólares: Mixin Network (200 millones de dólares), Euler Finance (197 millones de dólares), Poloniex (126 millones de dólares) y HTX & Heco Bridge (110 millones de dólares). Los 10 principales incidentes de seguridad representaron aproximadamente 1.000 millones de dólares en pérdidas totales, o el 71,5% del total anual de incidentes de ataque.

No.1MixinNetwork

Monto de la pérdida: $200 millones

Método de ataque: ataque a la base de datos del proveedor de servicios en la nube

En la madrugada del 23 de septiembre, la base de datos del proveedor de servicios en la nube Mixin Network fue hackeada, lo que resultó en la pérdida de algunos activos en la red principal, lo que involucró alrededor de USD 200 millones. El 25 de septiembre, el fundador de Mixin explicó públicamente el incidente en una transmisión en vivo, diciendo que los activos dañados eran principalmente activos centrales de Bitcoin, y activos como BOX y XIN no fueron robados gravemente, y la situación específica del ataque no pudo ser revelada.

No.2****EulerFinance

Monto de la pérdida: $197 millones

Método de ataque: vulnerabilidad del contrato - problema de lógica de negocio

El 13 de marzo, el protocolo de préstamos de finanzas descentralizadas Euler Finance fue atacado, causando una pérdida de unos 197 millones de dólares. La causa principal del ataque es que el contrato no verifica adecuadamente la cantidad de tokens que realmente posee el usuario y el estado de salud del libro mayor del usuario después de la donación. Todos los fondos robados del incidente han sido devueltos por los atacantes.

No.3****Poloniex

Monto de la pérdida: $126 millones

Método de ataque: fuga de clave privada / ataque APT

El 10 de noviembre, el exchange de Justin Sun, Poloniex, continuó transfiriendo grandes cantidades de activos, sospechosos de haber sido robados. Inmediatamente después, Sun Yuchen y Poloniex emitieron un anuncio en las redes sociales para confirmar el robo. Según el seguimiento del equipo de seguridad de Beosin utilizando Beosin Trace, se han acumulado aproximadamente 126 millones de dólares en activos robados de Poloniex.

No.4****HTX&HecoBridge

Monto de la pérdida: $110 millones

Método de ataque: Fuga de clave privada

El 22 de noviembre, el exchange HTX de Justin Sun y el puente de interacción entre cadenas Heco Bridge fueron hackeados, con una pérdida total de USD 110 millones, incluidos USD 86.6 millones para Heco Bridge y alrededor de USD 23.4 millones para HTX.

No.5****Curva/Vyper

Monto de la pérdida: $73 millones

Método de ataque: contrato de vulnerabilidad-reentrante

En la madrugada del 31 de julio, el lenguaje de programación de Ethereum, Vyper, tuiteó que las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper tienen bloqueos y vulnerabilidades de reentrada, además de que el ETH nativo puede ajustar la devolución de llamada al transferir, lo que resulta en varios grupos de lp de estos y ETH grupos pueden ser ataques de reentrada. Luego, la publicación oficial de Twitter de Curve dijo que muchos grupos de monedas estables (alETH/msETH/pETH) que usaban Vyper 0.2.15 fueron atacados debido a una falla en el bloqueo de reentrada. La pérdida de este incidente es de unos 73 millones de dólares.

No.6CoinEx

Monto de la pérdida: $70 millones

Método de ataque: fuga de clave privada / ataque APT

El 12 de septiembre, el exchange de criptomonedas CoinEX emitió un comunicado diciendo que el sistema de control de riesgos detectó una gran actividad sospechosa de retiro en la billetera caliente utilizada para almacenar temporalmente los activos comerciales de la plataforma, y se estableció un equipo especial para intervenir la primera vez, y el incidente involucró principalmente activos de tokens como ETH, TRON y Polygon, con una cantidad robada de alrededor de USD 70 millones.

No.7****AtomicWallet

Monto de la pérdida: $67 millones

Método de ataque: fuga de clave privada / ataque APT

Según la plataforma de monitoreo de riesgos de seguridad, alerta temprana y bloqueo EagleEye de Beosin, Atomic Wallet fue atacada a principios de junio y, según el equipo de Beosin, el daño causado por el ataque fue de al menos unos 67 millones de dólares.

No.8Alphapo

Monto de la pérdida: $60 millones

Método de ataque: fuga de clave privada / ataque APT

El 23 de julio, el proveedor de servicios de pago de criptoactivos Alphapo Hot Wallet fue robado, perdiendo un total de USD 60 millones. El incidente fue perpetrado por Lazarus, un grupo de hackers norcoreanos.

No.9KyberSwap

Monto de la pérdida: $54.7 millones

Método de ataque: vulnerabilidad del contrato - problema de lógica de negocio

El 22 de noviembre, el proyecto DEX KyberSwap fue atacado, causando una pérdida total de unos 54,7 millones de dólares. Kyber Network dijo que el ataque de piratas informáticos fue uno de los más sofisticados en la historia de las finanzas descentralizadas, y que los atacantes tendrían que realizar una serie de operaciones precisas en la cadena para explotar la vulnerabilidad.

No.10****Stake.com

Monto de la pérdida: $41.3 millones

Método de ataque: fuga de clave privada / ataque APT

El 4 de septiembre, la plataforma de apuestas criptográficas Stake.com fue golpeada por un ataque de piratas informáticos. A raíz del ataque, Stake.com declaró que las transacciones no autorizadas de Hot Wallet ocurrieron en su ETH y BSC, que se estaba llevando a cabo una investigación y que los depósitos y retiros se reanudarían lo antes posible después de que la billetera estuviera completamente asegurada. El incidente fue perpetrado por Lazarus, un grupo de hackers norcoreanos.

3. El tipo de proyecto a atacar

En comparación con 2022, los tipos de proyectos atacados en 2023 son más extensos y la cantidad de pérdidas ya no se concentra en ciertos tipos de proyectos. Además de los tipos comunes como las finanzas descentralizadas, CEX, DEX, las cadenas públicas, los puentes de interacción entre cadenas, los monederos, etc., los ataques de hackers en 2023 también aparecieron en plataformas de pago, plataformas de juego, corredores de criptomonedas, infraestructura, gestores de contraseñas, herramientas de desarrollo, bots MEV, bots TG y otros tipos de proyectos.

**De los 191 ataques en 2023, los proyectos de finanzas descentralizadas representaron 130 (alrededor del 68%), lo que los convierte en el tipo de proyecto más atacado. ** El monto total de pérdidas de los ataques de finanzas descentralizadas es de aproximadamente 408 millones de dólares, lo que representa el 29.2% de todas las pérdidas, y también es el tipo de proyecto con la mayor cantidad de pérdidas.

En segundo lugar en términos de pérdidas se ubicó CEX (Centralized Exchange), con un total de 275 millones de dólares en pérdidas por 9 ataques. ADEMÁS, SE PRODUJERON 16 ATAQUES EN EL TYPE DEX (DEX EXCHANGE), CON UNA PÉRDIDA TOTAL DE UNOS 85,68 MILLONES DE DÓLARES. En general, los tipos de exchange tendrán frecuentes incidentes de seguridad en 2023, y la seguridad de los exchanges es el segundo mayor desafío después de la seguridad de las finanzas descentralizadas.

La tercera pérdida más grande fue la cadena pública, con una pérdida de alrededor de 208 millones de dólares, principalmente por el robo de 200 millones de dólares de Mixin Network.

**En 2023, las pérdidas por interacción entre cadenas ocupan el 4º lugar, representando alrededor del 7% de todas las pérdidas. **En 2022, 12 incidentes de seguridad de interacción entre cadenas causaron alrededor de USD 1.89 mil millones en pérdidas, lo que representa el 52.5% de las pérdidas totales de ese año. En 2023, habrá una reducción significativa en los incidentes de seguridad de interacción entre cadenas.

En quinto lugar se encuentra la plataforma de pagos criptográficos, con una pérdida total de unos 97,3 millones de dólares en 2 incidentes de seguridad (Alphapo y CoinsPaid), ambos señalados por Hacker a la organización norcoreana de APT Lazarus.

4. La cantidad de pérdida de cada cadena

**En comparación con 2022, los tipos de cadenas públicas con ataques en 2023 también son más extensos, principalmente debido a múltiples fugas de claves privadas CEX en 2023, con pérdidas en múltiples cadenas. ** Los cinco primeros por cantidad de daño son Ethereum, Mixin, HECO, BNB Chain, TRON; los cinco primeros por número de ataques son BNB Chain, Ethereum, Arbitrum, Polygon, Optimism y Avalanche (empatados en el quinto lugar).

Al igual que en 2022, Ethereum sigue siendo la cadena pública con la mayor cantidad de pérdidas. Los 71 ataques a Ethereum causaron 766 millones de dólares en daños, o el 54,9% de las pérdidas totales del año.

La cadena Mixin ocupó el segundo lugar en términos de pérdidas, con una sola pérdida por incidente de seguridad de 200 millones de dólares. En tercer lugar se ubicó HECO, con una pérdida de unos 92,6 millones de dólares.

Hubo 76 ataques a BNB Chain, lo que representa el 39,8% del número total de ataques, el mayor número de ataques de cualquier plataforma de cadena. La pérdida total en BNB Chain fue de unos 70,81 millones de dólares, y la gran mayoría de los incidentes (88%) se concentraron por debajo de 1 millón de dólares.

5. Análisis de los métodos de ataque

En comparación con 2022, los métodos de ataque en 2023 son más diversos, especialmente añadiendo una variedad de métodos de ataque Web2, que incluyen: ataques a bases de datos, ataques a la cadena de suministro, ataques a proveedores de servicios de terceros, ataques de intermediario, ataques de DNS, ataques de front-end, etc. **

En 2023, 30 brechas de claves privadas causaron un total de 627 millones de dólares en pérdidas, lo que representa el 44,9% de las pérdidas totales, lo que las convierte en los métodos de ataque más costosos. Las violaciones de claves privadas que causaron grandes pérdidas fueron: Poloniex (126 millones de dólares), HTX y Heco Bridge (110 millones de dólares), CoinEx (70 millones de dólares), Atomic Wallet (67 millones de dólares) y Alphapo (60 millones de dólares). ** La mayoría de estos eventos están relacionados con Lazarus, un grupo APT de Corea del Norte. **

La explotación de vulnerabilidades contractuales es el método de ataque más frecuente, ya que 99 de los 191 incidentes de ataque provienen de la explotación de vulnerabilidades contractuales, lo que representa el 51,8%. La pérdida total debido al incumplimiento del contrato fue de 430 millones de dólares, que fue la segunda pérdida más grande.

Las vulnerabilidades de la lógica empresarial representan alrededor del 72,7% de las pérdidas causadas por las vulnerabilidades de los contratos, lo que supone una pérdida total de unos 313 millones de dólares. La segunda mayor vulnerabilidad de los contratos fue la reentrada, con 13 vulnerabilidades de reentrada que causaron aproximadamente 93,47 millones de dólares en pérdidas.

6. Análisis de los métodos de ataque en casos típicos

6.1 Resumen del evento del incidente de seguridad de EulerFinance

El 13 de marzo, Euler Finance, un proyecto de préstamos en la cadena Ethereum, fue atacado por un préstamo flash, con pérdidas que alcanzaron los 197 millones de dólares.

El 16 de marzo, la Fundación Euler ofreció una recompensa de 1 millón de dólares por información que pudiera ayudar a detener a Hacker y devolver los fondos robados.

El 17 de marzo, Michael Bentley, director ejecutivo de Euler Labs, tuiteó que Euler “siempre ha sido un proyecto consciente de la seguridad”. De mayo de 2021 a septiembre de 2022, Euler Finance fue auditada 10 veces por 6 empresas de seguridad de Blockchain, incluidas Halborn, Solidified, ZK Labs, Certora, Sherlock y Omnisica.

Del 18 de marzo al 4 de abril, los atacantes comenzaron a devolver los fondos uno tras otro. Durante este período, el atacante se disculpó a través de mensajes en cadena, diciendo que había “arruinado el dinero de otras personas, los trabajos de otras personas y la vida de otras personas” y pidió perdón a todos.

El 4 de abril, Euler Labs tuiteó que los atacantes habían devuelto todos los fondos robados después de una negociación exitosa.

Análisis de vulnerabilidades

En este ataque, la función donateToReserves del contrato de Etoken no comprobó correctamente el número de tokens que realmente tenía el usuario y el estado de salud del libro mayor del usuario después de la donación. Un atacante aprovechó esta vulnerabilidad y donó 100 millones de eDAI, cuando en realidad el atacante solo apostó 30 millones de DAI.

Dado que el estado de mantenimiento del libro mayor del usuario cumple con las condiciones de liquidación después de la donación, el contrato de préstamo se activa para liquidar. Durante el proceso de liquidación, eDAI y dDAI se transfieren al contrato de liquidación. Sin embargo, debido a la gran cantidad de deudas incobrables, el contrato de liquidación aplicará el descuento máximo para la liquidación. Al final de la liquidación, el contrato de liquidación tiene 310,93 millones de eDAI y 259,31 millones de dDAI.

En este punto, se ha restaurado el estado de salud del libro mayor del usuario y el usuario puede retirar fondos. La cantidad que se puede retirar es la diferencia entre eDAI y dDAI. Pero en realidad solo hay 38,9 millones de DAI en el grupo, por lo que los usuarios solo pueden retirar esta cantidad.

6.2Eventos de seguridad de Vyper/Curve

Resumen del evento

El 31 de julio, el lenguaje de programación de Ethereum, Vyper, tuiteó que las versiones 0.2.15, 0.2.16 y 0.3.0 de Vyper tienen bloqueos y vulnerabilidades de reentrada. Curve dijo que varios grupos de monedas estables (CRV / alETH / msETH / pETH) que usaban Vyper 0.2.15 fueron atacados, con pérdidas totales que ascendieron a USD 73 millones, y alrededor de USD 52.3 millones fueron devueltos más tarde por Hacker.

Análisis de vulnerabilidades

Este ataque es causado principalmente por la falla del bloqueo anti-reentrante de Vyper 0.2.15, el atacante agregó la Liquidez mediante la función add_liquidity de reentrada al llamar a la función remove_liquidity del pool de liquidez relevante para eliminar la liquidez, porque la actualización del saldo precede a la función add_liquidity reentrante, lo que resulta en un error en el cálculo del precio.

7. Análisis y revisión de eventos típicos de AML

7.1 Estuche robado de billetera AtomicWallet

Según la plataforma de monitoreo de riesgos de seguridad, alerta temprana y bloqueo EagleEye de Beosin, Atomic Wallet fue atacada a principios de junio de este año y, según el equipo de Beosin, el daño causado por el ataque fue de al menos 67 millones de dólares.

Según el análisis del equipo de Beosin, la cadena involucrada en el robo hasta ahora incluye un total de 21 cadenas, incluidas BTC, ETH y TRX. Los fondos robados se concentran principalmente en la cadena Ethereum. Dónde:

La cadena Ethereum ha identificado 16.262 ETH de Vitual Money, unos 30 millones de dólares.

SE SABE QUE TRON CHAINTRON CHAIN HA ROBADO FONDOS EN 251335387.3208 TRX POR VALOR DE DINERO VIRTUAL, ALREDEDOR DE $ 17 MILLONES.

BTC Cadena Los fondos robados conocidos de la cadena BTC son 420.882 BTC de Dinero Vitual, equivalentes a 12,6 millones de dólares.

BSC Chain Se sabe que The BSC Chain ha robado fondos por valor de 40,206266 BNB de Vitual Money.

El resto de la cadena XRP: 1676015 XRP, unos 840.000 dólares LTC: 2839,873689 LTC, unos 220.000 dólares DOGE: 800575,67369797 DOGE, unos 50.000 dólares

Tomemos un ejemplo de Lavado de Dinero en la cadena Ethereum

En la operación del Hacker sobre el dinero robado, hay dos formas principales de atacar a Ethereum:

Avalanche Cross-Chain InteractionLavado de dinero después de la divergencia a través de contratos

Según el análisis del equipo de Beosin, el Hacker primero intercambiará las valiosas monedas en la Billetera por la moneda principal de la cadena pública y luego las recogerá a través de dos contratos.

El paquete de direcciones del contrato ETH en WETH a través del tránsito de dos capas, y luego transfiere WETH al contrato utilizado para divergir ETH, y lo transfiere a la WalletAddress de Avalanche para Cross Bridge a través de hasta cinco capas de intercambio para operaciones de interacción entre cadenas, interacción entre cadenas que no se lleva a cabo mediante un contrato y pertenece al tipo de transacción de contabilidad interna de Avalanche.

El diagrama de enlaces de Ethereum es el siguiente:

Contrato de Convergencia 1:

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Un total de 3357.0201 ETH estuvieron involucradas

Cambiar a WETH y transferir a contrato 0x3c3ed2597b140f31241281523952e936037cbed3

El mapa detallado de la ruta de las mercancías robadas es el siguiente:

El Contrato de Convergencia 2:0x7417b428f597648d1472945ff434c395cca73245 involucró un total de 3009.8874 ETH

Hacker convertido a WETH y transferido a contrato 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

El mapa detallado de la ruta de las mercancías robadas es el siguiente:

Los dos contratos de convergencia se confirman acordando la fuente de la tarifa, y algunos no tienen oculta la dirección de la transacción. La ruta de la tarifa es la siguiente:

Además, en la cadena Ethereum, Hacker también Lavado de dinero a través de varios protocolos e intercambios de puente de interacción entre cadenas, y esta parte se cuenta actualmente como 9896 ETH, y esta parte se recopilará a través de múltiples direcciones de agregación.

En todo el evento, hay muchos canales de HackerMoney Laundering, principalmente a través de varias cuentas de intercambio para Money Laundering, y también hay entradas directas en contratos puente de Cross-Chain Interaction.

8. Análisis del flujo de fondos de activos robados

Aproximadamente USD 723 millones de los fondos robados para todo 2023 permanecieron en HackerAddress (incluidas las transferencias a través de la interacción entre cadenas y las dispersiones a través de múltiples direcciones), lo que representa el 51.8% del total de fondos robados. Este año, Hacker está más inclinado a utilizar múltiples interacciones entre cadenas para el lavado de dinero y distribuir los fondos robados en muchas direcciones que el año pasado. El aumento de las direcciones y la complejidad de las vías de blanqueo de capitales han aumentado, sin duda, la dificultad de la investigación para las partes del proyecto y los reguladores.

Se recuperaron alrededor de 295 millones de dólares en fondos robados, lo que representa alrededor del 21,1%. En 2022, solo se recuperó el 8% de los fondos. La recuperación de fondos robados en 2023 es significativamente mejor que en 2022, y la mayoría proviene de devoluciones negociadas en cadena.

Aproximadamente 330 millones de dólares de fondos robados se transfirieron a mezcladores a lo largo del año (aproximadamente 71,16 millones de dólares a Tornado Cash y otros 259 millones de dólares a otras plataformas de mezclas), lo que representa el 23,6% del total de fondos robados. Se trata de un descenso significativo con respecto al 38,7% del año pasado. Desde que la OFAC de EE. UU. sancionó a Tornado Cash en agosto de 2022, la cantidad de fondos robados transferidos a Tornado Cash ha disminuido significativamente y ha sido reemplazada por un aumento en el uso de otras plataformas de mezcla, como Simbad, FixedFloat, etc. En noviembre de 2023, la OFAC de Estados Unidos agregó a Simbad a su lista de sanciones, calificándolo como “el principal vehículo de lavado de dinero de la organización norcoreana Lazarus”.

Además, se transfirió al exchange un pequeño número de fondos robados (12,79 millones de dólares) y se congeló un pequeño número de fondos robados (10,9 millones de dólares).

9. Análisis de la auditoría del proyecto

De los 191 ataques, 79 no fueron auditados y 101 sí lo fueron. La proporción de proyectos auditados este año es ligeramente superior a la del año pasado (la proporción de proyectos auditados y no auditados el año pasado fue aproximadamente la misma).

**Las vulnerabilidades contractuales representaron 47 de los 79 proyectos no auditados (59,5%). Esto sugiere que los proyectos que no han sido auditados tienen más probabilidades de tener riesgos potenciales de seguridad. **En comparación, 51 (50,5%) de los 101 proyectos auditados tuvieron incidentes de vulnerabilidad de contratos. Esto demuestra que las auditorías pueden mejorar la seguridad del proyecto hasta cierto punto.

Sin embargo, debido a la falta de normas normativas bien establecidas en el mercado de la Web3, la calidad de las auditorías ha sido desigual y los resultados finales presentados han estado muy por debajo de las expectativas. Para garantizar eficazmente la seguridad de los activos, se recomienda que busque una empresa de seguridad profesional para realizar una auditoría antes de que se lance el proyecto. **

10. Análisis de RugPull

En 2023, la plataforma EagleEye de Beosin monitorizará un total de 267 incidentes de Rug Pull en el ecosistema Web3, con un importe total de unos 388 millones de dólares, lo que supone un descenso de alrededor del 8,7% con respecto a 2022.

En términos de valor, 233 (87%) de los 267 incidentes de Rug Pull fueron de menos de 1 millón de dólares, que es aproximadamente lo mismo que en 2022. Participaron un total de 4 proyectos con un monto de más de 10 millones de dólares, entre ellos Multichain (210 millones de dólares), Fintoch (31,6 millones de dólares), BALD (23 millones de dólares) y PEPE (15,5 millones de dólares).

Los proyectos de Rug Pull en BNB Chain y Ethereum representaron el 92,3% del total, con 159 y 81 respectivamente. También se ha producido un pequeño número de eventos de Rug Pull en otras cadenas públicas, entre ellas: Arbitrum, BASE, Sui, zkSync, etc.

11, 2023 Datos globales de delitos de la industria de las criptomonedas

En 2023, la delincuencia mundial de la industria de las criptomonedas alcanzó la asombrosa cifra de 65.688 millones de dólares, un 377% más que los 13.760 millones de dólares de 2022. Si bien la cantidad de ataques de piratería en cadena ha disminuido significativamente, la delincuencia en otras áreas de los criptoactivos ha aumentado significativamente. El mayor aumento fue el de los juegos de azar en línea, con 54.900 millones de dólares involucrados. Los siguientes en la lista son el lavado de dinero (alrededor de $ 4 mil millones), el fraude (alrededor de $ 2.05 mil millones), los esquemas piramidales (alrededor de $ 1.43 mil millones) y los ataques de piratas informáticos (alrededor de $ 1.39 mil millones).

Con la mejora del sistema global de regulación de las criptomonedas y la profundización de la represión de los delitos de criptoactivos, la policía mundial resolverá una serie de grandes casos que involucran cientos de millones de dólares en 2023. A continuación, un repaso de algunos casos típicos:

No.1En julio de 2023, la policía china de Hubei resolvió el “primer caso de dinero natural” del país, que involucraba 400 mil millones de yuanes (alrededor de 54,9 mil millones de dólares estadounidenses). Más de 50,000 personas estuvieron involucradas en este caso de juego en línea, el servidor estaba ubicado fuera de China y el principal culpable, Qiu Moumou, y otros han sido enviados a juicio de acuerdo con la ley.

No.2 En agosto de 2023, las autoridades de Singapur investigaron el caso de lavado de dinero más grande de la historia, que involucra 2.8 mil millones de dólares singapurenses, lavado de dinero principalmente a través de Vitual Money.

No.3 En marzo de 2023, la policía de Jiangsu, China, presentó una acusación pública contra la estafa “Cryptocurrency Trading” de Ubank, que involucra un esquema piramidal con un volumen de operaciones de más de 10 mil millones de yuanes (alrededor de 1.4 mil millones de dólares estadounidenses).

No.4En diciembre de 2023, según un comunicado de la Oficina del Fiscal de los Estados Unidos para el Distrito Este de Nueva York, el cofundador de la bolsa de divisas Vitual Bitzlato se declaró culpable de cargos de lavado de dinero por 700 millones de dólares.

No.5 En julio de 2023, la Policía Federal de Brasil desmanteló dos bandas criminales de narcotraficantes, transfiriendo un total de más de 417 millones de dólares y brindando servicios de lavado de dinero a través de criptoactivos.

No.6 En febrero de 2023, el fundador de Forsage fue acusado de presuntos 340 millones de dólares en un esquema Ponzi de finanzas descentralizadas, según una acusación del estado estadounidense de Oregón.

No.7 En noviembre de 2023, la policía de Himachal Pradesh, India, arrestó a 18 personas en una estafa de criptoactivos de USD 300 millones.

No.8 En agosto de 2023, la policía israelí acusó al empresario Moshe Hogeg y a sus socios de defraudar a los inversores por 290 millones de dólares en criptoactivos.

No.9 En junio de 2023, la policía tailandesa resolvió un presunto caso de fraude de criptomonedas, que puede involucrar más de 10 mil millones de baht (alrededor de USD 288 millones).

No.10 En octubre de 2023, JPEX, una plataforma de comercio de activos virtuales en Hong Kong, China, fue sospechosa de fraude, y la policía arrestó a un total de 66 personas, lo que involucró alrededor de HK $ 1.6 mil millones (alrededor de US $ 205 millones).

2023 es un año de aumento de los casos de delitos relacionados con los criptoactivos. La frecuente ocurrencia de fraudes y esquemas piramidales también significa que la probabilidad de que los usuarios comunes sufran pérdidas de activos ha aumentado considerablemente. Por lo tanto, es urgente fortalecer la regulación de la industria de los Criptoactivos. Podemos ver que los reguladores globales han hecho muchos esfuerzos para regular los criptoactivos este año, pero todavía queda un largo camino por recorrer desde un ecosistema completo, seguro y positivo. **

12. Resumen del panorama de seguridad de la cadena de bloques Web3 en 2023

En 2023, los ataques de piratas informáticos en cadena, las estafas de phishing y los incidentes de Rug Pull en el lado del proyecto han disminuido significativamente en comparación con 2022. Los ataques de piratas informáticos perdieron un 61,3%, y el modus operandi de ataque más costoso cambió del exploit de contrato del año pasado a la fuga de clave privada de este año. Las principales razones de este cambio incluyen:

1. Después de la actividad desenfrenada de los hackers del año pasado, este año todo el ecosistema Web3 ha prestado más atención a la seguridad, desde las partes del proyecto hasta las empresas de seguridad, que se han esforzado en varios aspectos, como la supervisión en cadena en tiempo real, más atención a las auditorías de seguridad y el aprendizaje activo de los incidentes de explotación de vulnerabilidades de contratos anteriores. Esto ha hecho que sea más difícil robar fondos a través de lagunas contractuales que el año pasado. **

2. Fortalecimiento de la regulación global y mejora de la tecnología AML. Se puede ver que el 21,1% de los fondos robados se recuperaron en 2023, lo que es significativamente mejor que en 2022. ** Con plataformas de mezcla como Tornado Cash, Simbad y otras sancionadas por los Estados Unidos, el camino del lavado de dinero para Hacker también se está complicando. Al mismo tiempo, también hemos visto noticias de que Hacker ha sido arrestado por la policía local, lo que tiene un cierto efecto disuasorio sobre Hacker. **

3. El impacto del mercado bajista de criptomonedas a principios de año. Los beneficios esperados de poder robar activos de proyectos Web3 disminuyen, lo que debilita la actividad de los piratas informáticos. Esto también ha llevado a que Hacker ya no se limite a atacar tipos como las finanzas descentralizadas, la interacción entre cadenas, los intercambios, etc., sino que recurra a plataformas de pago, plataformas de juegos, corredores de criptomonedas, infraestructura, administradores de contraseñas, herramientas de desarrollo, bots MEV, bots TG y otros tipos.

A diferencia de la fuerte disminución de la actividad de los hackers en la cadena, las actividades delictivas más encubiertas fuera de la cadena, como los juegos de azar en línea, el lavado de dinero, los esquemas piramidales, etc., han aumentado significativamente. Debido al anonimato de los criptoactivos, todo tipo de actividades delictivas son más propensas a utilizar los criptoactivos para las transacciones. Sin embargo, sería unilateral atribuir el aumento de los casos de delitos de Dinero Vitual únicamente al anonimato y a la inadecuada regulación de los Criptoactivos. ** La causa principal es el aumento de la actividad delictiva global, y Vitual Money proporciona un canal de financiación relativamente oculto y difícil de rastrear para estas actividades delictivas. **En 2023, una desaceleración significativa del crecimiento económico mundial y una serie de incertidumbres en el entorno político han contribuido al aumento de la actividad delictiva mundial. **Frente a esta expectativa económica, se espera que la actividad delictiva mundial siga siendo alta en 2024, lo que supone una dura prueba para los organismos encargados de hacer cumplir la ley y los reguladores de todo el mundo. **