Laporan Lanskap Keamanan Web3 dan Analisis AML 2023

Penulis: Tim Peneliti Beosin Mario, Tian Daxia Donny

Artikel ini adalah bagian pertama dari “Situasi Keamanan Blockchain Web3 2023, Tinjauan Analisis AML dan Ringkasan Kebijakan Peraturan Utama dalam Industri Crypto”, hanya menunjukkan bagian situasi keamanan dari laporan, dan kebijakan peraturan serta konten lainnya dapat ditemukan di “Kebijakan Peraturan Industri Aset Virtual Web3 Global 2023 dan Pengamatan Acara”.

Pendahuluan

Diprakarsai oleh Blockchain Security Alliance dan dibuat bersama oleh anggota Alliance Beosin, Web3 Law, dan Elven, laporan penelitian ini bertujuan untuk membahas secara komprehensif lanskap keamanan Blockchain global dan kebijakan peraturan utama dalam industri crypto pada tahun 2023. Melalui analisis dan penilaian keadaan keamanan Blockchain saat ini di seluruh dunia, laporan ini akan mengungkapkan tantangan dan ancaman keamanan saat ini dan memberikan solusi dan praktik terbaik. Pada saat yang sama, laporan ini juga akan memeriksa posisi dan panduan kebijakan pemerintah dan regulator dalam regulasi industri crypto untuk membantu pembaca memahami perubahan dinamis dalam lingkungan peraturan dan dampak yang mungkin terjadi.

Melalui laporan ini, pembaca akan dapat memperoleh pemahaman yang lebih komprehensif tentang evolusi dinamis lanskap keamanan Blockchain Web3 dan inti dari kebijakan peraturan. Ini akan membantu pembaca menilai dan mengatasi tantangan keamanan yang dihadapi ruang Blockchain, dan mempromosikan pengembangan industri yang berkelanjutan sambil mematuhi persyaratan peraturan. Selain itu, pembaca juga bisa mendapatkan saran bermanfaat dari laporan tentang langkah-langkah keamanan, persyaratan kepatuhan, dan arah industri untuk membantu mereka membuat keputusan dan tindakan berdasarkan informasi di bidang yang sedang berkembang ini. Keamanan dan regulasi Blockchain adalah masalah utama dalam pengembangan era Web3. Melalui penelitian dan diskusi mendalam, kita dapat lebih memahami dan menanggapi tantangan ini dan mempromosikan keamanan dan pengembangan teknologi Blockchain yang berkelanjutan.

1, 2023 Ikhtisar Lanskap Keamanan Blockchain Web3

Menurut platform EagleEye perusahaan audit keamanan Blockchain Beosin, total kerugian di sektor Web3 karena serangan Hacker, penipuan phishing, dan Rug Pull mencapai $2.02 miliar pada tahun 2023. ** Di antara mereka, ada 191 serangan dengan total kerugian sekitar $ 1,397 miliar, 267 insiden Rug Pull dengan total kerugian sekitar $ 388 juta, dan total kerugian sekitar $ 238 juta dari penipuan phishing.

**Pada tahun 2023, serangan Hacker, penipuan phishing, dan insiden Rug Pull semuanya menurun secara signifikan dibandingkan tahun 2022, dengan total penurunan sebesar 53,9%. **Di antara mereka, serangan Hacker turun paling banyak, dari $3.6 miliar pada tahun 2022 menjadi $1.397 miliar pada tahun 2023, turun sekitar 61.2%. Kerugian penipuan phishing menurun sebesar 33,2% dibandingkan tahun 2022, dan kerugian Rug Pull menurun sebesar 8,8% dibandingkan tahun 2022.

Pada tahun 2023, akan ada 4 serangan dengan kerugian lebih dari 100 juta dolar AS, dan 17 serangan dengan kerugian di kisaran 10 juta dolar AS hingga 100 juta dolar AS. ** 10 insiden keamanan teratas menyumbang sekitar $ 1 miliar dalam total kerugian, terhitung 71,5% dari total insiden serangan tahunan. **

**Jenis proyek yang diserang pada tahun 2023 lebih luas daripada tahun 2022, termasuk Keuangan Terdesentralisasi, CEX, DEX, rantai publik, jembatan Interaksi Lintas Rantai, Dompet, platform pembayaran, platform game, broker kripto, infrastruktur, pengelola kata sandi, alat pengembangan, bot MEV, bot TG, dan banyak lagi. ** Keuangan Terdesentralisasi adalah jenis proyek dengan frekuensi serangan dan jumlah kerugian tertinggi, dengan 130 serangan Keuangan Terdesentralisasi menyebabkan total kerugian sekitar $ 408 juta.

Pada tahun 2023, jenis rantai publik dengan serangan akan lebih sering, dan akan ada beberapa insiden keamanan yang dicuri di beberapa rantai. Ethereum terus menjadi rantai publik yang paling merugi, dengan 71 serangan Ethereum menyebabkan kerugian $ 766 juta, terhitung 54,9% dari total kerugian untuk tahun ini.

Dari perspektif metode serangan, 30 kebocoran kunci pribadi menyebabkan total kerugian sekitar $627 juta, terhitung 44,9% dari total kerugian, yang merupakan metode serangan paling mahal. Eksploitasi kerentanan kontrak adalah metode serangan yang paling sering, dengan 99 dari 191 insiden serangan berasal dari eksploitasi kerentanan kontrak, terhitung 51,8%.

**Sekitar $295 juta dana curian ditemukan untuk tahun ini, terhitung sekitar 21,1%, peningkatan yang signifikan dari tahun 2022. Sekitar $330 juta dana curian ditransfer ke mixer sepanjang tahun, terhitung 23,6% dari total dana curian.

Tidak seperti serangan Hacker on-chain, penipuan phishing, dan penurunan signifikan dalam jumlah Rug Pull, data kejahatan kripto off-chain akan meningkat secara signifikan pada tahun 2023. Pada tahun 2023, kejahatan industri kripto global mencapai $65,688 miliar yang mengejutkan, naik sekitar 377% dari $13,76 miliar pada tahun 2022. ** Tiga jenis kejahatan teratas yang melibatkan uang adalah perjudian online, Pencucian Uang dan penipuan. **

2. 10 Acara Keamanan Teratas di Ekosistem Web3 pada tahun 2023

Pada tahun 2023, ada empat serangan yang kehilangan lebih dari $100 juta: Mixin Network ($200 juta), Euler Finance ($197 juta), Poloniex ($126 juta), dan HTX & Heco Bridge ($110 juta). 10 insiden keamanan teratas menyumbang sekitar $ 1 miliar dalam total kerugian, atau 71,5% dari total insiden serangan tahunan.

No.1MixinNetwork

Jumlah kerugian: $200 juta

** Metode serangan: serangan database penyedia layanan cloud **

Pada pagi hari tanggal 23 September, database penyedia layanan cloud Mixin Network diretas, mengakibatkan hilangnya beberapa aset di Jaringan Utama, yang melibatkan sekitar $ 200 juta. Pada tanggal 25 September, pendiri Mixin secara terbuka menjelaskan insiden tersebut dalam siaran langsung, mengatakan bahwa aset yang rusak terutama adalah aset inti Bitcoin, dan aset seperti BOX dan XIN tidak dicuri secara serius, dan situasi serangan spesifik tidak dapat diungkapkan.

No.2****EulerFinance

Jumlah kerugian: $197 juta

** Metode serangan: kerentanan kontrak - masalah logika bisnis **

Pada 13 Maret, protokol pinjaman Keuangan Terdesentralisasi Euler Finance diserang, menyebabkan kerugian sekitar $ 197 juta. Akar penyebab serangan adalah bahwa kontrak tidak memeriksa dengan benar jumlah Token yang sebenarnya dipegang oleh pengguna dan status kesehatan buku besar pengguna setelah donasi. Semua dana curian dari insiden tersebut telah dikembalikan oleh para penyerang.

No.3****Poloniex

Jumlah kerugian: $126 juta

** Metode serangan: Kebocoran kunci pribadi / serangan APT **

Pada 10 November, pertukaran Justin Sun dengan Alamat terkait Poloniex terus mentransfer aset dalam jumlah besar, yang diduga dicuri. Segera setelah itu, Sun Yuchen dan Poloniex mengeluarkan pengumuman di platform sosial untuk mengkonfirmasi pencurian tersebut. Menurut pelacakan Tim Keamanan Beosin menggunakan Beosin Trace, sekitar $ 126 juta aset curian dari Poloniex telah terakumulasi.

No.4****HTX&HecoBridge

Jumlah kerugian: $110 juta

Metode serangan: Kebocoran kunci pribadi

Pada tanggal 22 November, pertukaran Justin Sun HTX dan Cross-Chain Interaction Bridge Heco Bridge diretas, dengan total kerugian $ 110 juta, termasuk $ 86,6 juta untuk Heco Bridge dan sekitar $ 23,4 juta untuk HTX.

No.5****Kurva/Vyper

Jumlah kerugian: $73 juta

** Metode serangan: kontrak, kerentanan-re-entrant **

Pada pagi hari tanggal 31 Juli, bahasa pemrograman Ethereum Vyper tweeted bahwa versi Vyper 0.2.15, 0.2.16 dan 0.3.0 memiliki kunci dan kerentanan reentrant, ditambah ETH asli dapat menyesuaikan callback saat mentransfer, menghasilkan beberapa kumpulan lp ini dan grup ETH dapat menjadi serangan re-entrancy. Kemudian posting Twitter resmi Curve mengatakan bahwa banyak kumpulan Stable Coin (alETH / msETH / pETH) menggunakan Vyper 0.2.15 diserang karena kegagalan dalam kunci reentrant. Kerugian dari insiden ini adalah sekitar $ 73 juta.

No.6CoinEx

Jumlah kerugian: $70 juta

** Metode serangan: Kebocoran kunci pribadi / serangan APT **

Pada 12 September, pertukaran crypto CoinEX mengeluarkan pernyataan yang mengatakan bahwa sistem pengendalian risiko mendeteksi aktivitas penarikan besar yang mencurigakan di dompet panas yang digunakan untuk menyimpan sementara aset perdagangan platform, dan tim khusus dibentuk untuk campur tangan pada pertama kalinya, dan insiden tersebut terutama melibatkan aset Token seperti ETH, TRON, dan Polygon, dengan jumlah curian sekitar $ 70 juta.

No.7****Dompet Atom

Jumlah kerugian: $67 juta

** Metode serangan: Kebocoran kunci pribadi / serangan APT **

Menurut pemantauan risiko keamanan EagleEye Beosin, peringatan dini dan platform pemblokiran, Atomic Wallet diserang pada awal Juni, dan menurut tim Beosin, kerusakan yang disebabkan oleh serangan itu setidaknya sekitar $ 67 juta.

No.8Alphapo

Jumlah kerugian: $60 juta

** Metode serangan: Kebocoran kunci pribadi / serangan APT **

Pada 23 Juli, penyedia layanan pembayaran Crypto Assets Alphapo Hot Wallet dicuri, kehilangan total $ 60 juta. Insiden itu dilakukan oleh Lazarus, kelompok Hacker Korea Utara.

No.9KyberSwap

Jumlah kerugian: $54.7 juta

** Metode serangan: kerentanan kontrak - masalah logika bisnis **

Pada 22 November, proyek DEX KyberSwap diserang, menyebabkan total kerugian sekitar $54,7 juta. Kyber Network mengatakan serangan Hacker adalah salah satu yang paling canggih dalam sejarah Keuangan Terdesentralisasi, dan penyerang perlu melakukan serangkaian operasi on-chain yang tepat untuk mengeksploitasi kerentanan.

No.10****Stake.com

Jumlah kerugian: $41.3 juta

** Metode serangan: Kebocoran kunci pribadi / serangan APT **

Pada tanggal 4 September, platform perjudian crypto Stake.com terkena serangan Hacker. Setelah serangan itu, Stake.com menyatakan bahwa transaksi tidak sah Hot Wallet terjadi pada ETH dan BSC, bahwa penyelidikan sedang berlangsung, dan bahwa setoran dan penarikan akan dilanjutkan sesegera mungkin setelah Dompet sepenuhnya diamankan kembali. Insiden itu dilakukan oleh Lazarus, kelompok Hacker Korea Utara.

3. Jenis proyek yang akan diserang

Dibandingkan tahun 2022, jenis proyek yang diserang pada tahun 2023 lebih luas, dan jumlah kerugian tidak lagi terkonsentrasi pada jenis proyek tertentu. Selain jenis umum seperti Keuangan Terdesentralisasi, CEX, DEX, rantai publik, jembatan Interaksi Lintas Rantai, Dompet, dll., Serangan peretas pada tahun 2023 juga muncul di platform pembayaran, platform perjudian, pialang kripto, infrastruktur, pengelola kata sandi, alat pengembangan, bot MEV, bot TG, dan jenis proyek lainnya.

**Dari 191 serangan pada tahun 2023, proyek Keuangan Terdesentralisasi menyumbang 130 (sekitar 68%), menjadikannya jenis proyek yang paling banyak diserang. ** Jumlah total kerugian serangan Keuangan Terdesentralisasi adalah sekitar $ 408 juta, terhitung 29,2% dari semua kerugian, dan ini juga merupakan jenis proyek dengan jumlah kerugian tertinggi.

Di tempat kedua dalam hal kerugian adalah CEX (Centralized Exchange), dengan total kerugian $ 275 juta dari 9 serangan. SELAIN ITU, 16 SERANGAN TERJADI DI TYPE DEX (DEX EXCHANGE), DENGAN TOTAL KERUGIAN SEKITAR $ 85,68 JUTA. Secara keseluruhan, jenis pertukaran akan sering mengalami insiden keamanan pada tahun 2023, dan keamanan pertukaran adalah tantangan terbesar kedua setelah keamanan Keuangan Terdesentralisasi.

Kerugian terbesar ketiga adalah rantai publik, dengan kerugian sekitar $ 208 juta, terutama dari pencurian Mixin Network senilai $ 200 juta.

**Pada tahun 2023, kerugian Interaksi Lintas Rantai menempati peringkat ke-4, terhitung sekitar 7% dari semua kerugian. **Pada tahun 2022, 12 insiden keamanan interaksi lintas rantai menyebabkan kerugian sekitar $1,89 miliar, terhitung 52,5% dari total kerugian tahun itu. Pada tahun 2023, akan ada pengurangan yang signifikan dalam insiden keamanan Cross-Chain Interaction.

Di tempat kelima adalah platform pembayaran crypto, dengan total kerugian sekitar $ 97,3 juta dalam 2 insiden keamanan (Alphapo dan CoinsPaid), yang keduanya Hacker menunjuk ke organisasi APT Korea Utara Lazarus.

4. Jumlah kerugian setiap rantai

**Dibandingkan dengan tahun 2022, jenis rantai publik dengan serangan pada tahun 2023 juga lebih luas, terutama karena beberapa kebocoran kunci pribadi CEX pada tahun 2023, dengan kerugian pada beberapa rantai. **Lima teratas berdasarkan jumlah kerusakan adalah Ethereum, Mixin, HECO, BNB Chain, TRON; lima teratas berdasarkan jumlah serangan adalah BNB Chain, Ethereum, Arbitrum, Polygon, Optimism, dan Avalanche (terikat untuk ke-5).

Seperti pada tahun 2022, Ethereum masih menjadi rantai publik dengan jumlah kerugian tertinggi. 71 serangan terhadap Ethereum menyebabkan kerusakan $ 766 juta, atau 54,9% dari total kerugian untuk tahun ini.

Rantai Mixin berada di peringkat kedua dalam hal kerugian, dengan kerugian insiden keamanan tunggal sebesar $ 200 juta. Di tempat ketiga adalah HECO, dengan kerugian sekitar $ 92,6 juta.

Ada 76 serangan terhadap BNB Chain, terhitung 39,8% dari total jumlah serangan, jumlah serangan tertinggi dari platform rantai mana pun. Total kerugian pada BNB Chain adalah sekitar $ 70,81 juta, dengan sebagian besar insiden (88%) terkonsentrasi di bawah $ 1 juta.

5. Analisis metode serangan

Dibandingkan dengan tahun 2022, metode serangan di tahun 2023 lebih beragam, terutama menambahkan berbagai metode serangan Web2, termasuk: serangan database, serangan rantai pasokan, serangan penyedia layanan pihak ketiga, serangan man-in-the-middle, serangan DNS, serangan front-end, dll. **

Pada tahun 2023, 30 pelanggaran kunci pribadi menyebabkan total kerugian $627 juta, terhitung 44.9% dari total kerugian, menjadikannya metode serangan paling mahal. Pelanggaran Private Key yang menyebabkan kerugian besar adalah: Poloniex ($ 126 juta), HTX &; Heco Bridge ($ 110 juta), CoinEx ($ 70 juta), Atomic Wallet ($ 67 juta), dan Alphapo ($ 60 juta). **Sebagian besar peristiwa ini terkait dengan Lazarus, sebuah kelompok APT Korea Utara. **

Eksploitasi kerentanan kontrak adalah metode serangan yang paling sering, dengan 99 dari 191 insiden serangan berasal dari eksploitasi kerentanan kontrak, terhitung 51,8%. Total kerugian akibat pelanggaran kontrak adalah $ 430 juta, yang merupakan jumlah kerugian terbesar kedua.

Kerentanan logika bisnis menyumbang sekitar 72,7% dari kerugian yang disebabkan oleh kerentanan kontrak, menghasilkan total kerugian sekitar $ 313 juta. Kerentanan kontrak terbesar kedua adalah re-entrancy, dengan 13 kerentanan re-entrancy menyebabkan kerugian sekitar $ 93,47 juta.

6. Analisis metode serangan dalam kasus-kasus khas

6.1 Ringkasan Peristiwa Insiden Keamanan EulerFinance

Pada 13 Maret, Euler Finance, sebuah proyek pinjaman pada rantai Ethereum, diserang oleh pinjaman kilat, dengan kerugian mencapai $ 197 juta.

Pada tanggal 16 Maret, Euler Foundation menawarkan hadiah $ 1 juta untuk informasi yang dapat membantu menangkap Hacker dan mengembalikan dana curian.

Pada 17 Maret, Michael Bentley, CEO Euler Labs, tweeted bahwa Euler “selalu menjadi proyek yang sadar keamanan.” Dari Mei 2021 hingga September 2022, Euler Finance diaudit 10 kali oleh 6 perusahaan keamanan Blockchain, termasuk Halborn, Solidified, ZK Labs, Certora, Sherlock, dan Omnisica.

Dari 18 Maret hingga 4 April, penyerang mulai mengembalikan dana satu demi satu. Selama periode ini, penyerang meminta maaf melalui pesan berantai, mengatakan bahwa dia telah “mengacaukan uang orang lain, pekerjaan orang lain, dan kehidupan orang lain” dan meminta pengampunan semua orang.

Pada tanggal 4 April, Euler Labs tweeted bahwa penyerang telah mengembalikan semua dana curian setelah negosiasi yang sukses.

Analisis Kerentanan

Dalam serangan ini, fungsi donateToReserves dari kontrak Etoken tidak memeriksa dengan benar jumlah Token yang sebenarnya dipegang oleh pengguna dan status kesehatan buku besar pengguna setelah donasi. Seorang penyerang mengeksploitasi kerentanan ini dan menyumbangkan 100 juta eDAI, padahal sebenarnya penyerang hanya mempertaruhkan 30 juta DAI.

Karena status kesehatan buku besar pengguna memenuhi kondisi likuidasi setelah donasi, kontrak pinjaman dipicu untuk dilikuidasi. Selama proses likuidasi, eDAI dan dDAI ditransfer ke kontrak likuidasi. Namun, karena jumlah kredit macet yang sangat besar, kontrak likuidasi akan menerapkan diskon maksimum untuk likuidasi. Pada akhir likuidasi, kontrak likuidasi memiliki 310,93 juta eDAI dan 259,31 juta dDAI.

Pada titik ini, status kesehatan buku besar pengguna telah dipulihkan, dan pengguna dapat menarik dana. Jumlah yang dapat ditarik adalah selisih antara eDAI dan dDAI. Tetapi sebenarnya hanya ada 38,9 juta DAI di kumpulan, sehingga pengguna hanya dapat menarik jumlah ini.

6.2Acara Keamanan Vyper/Kurva

Ringkasan Acara

Pada tanggal 31 Juli, bahasa pemrograman Ethereum Vyper tweeted bahwa versi Vyper 0.2.15, 0.2.16 dan 0.3.0 memiliki kunci dan kerentanan reentrant. Curve mengatakan bahwa beberapa kumpulan Stable Coin (CRV / alETH / msETH / pETH) menggunakan Vyper 0.2.15 diserang, dengan total kerugian sebesar $ 73 juta, dan sekitar $ 52,3 juta kemudian dikembalikan oleh Hacker.

Analisis Kerentanan

Serangan ini terutama disebabkan oleh kegagalan kunci anti-reentrant Vyper 0.2.15, penyerang menambahkan Likuiditas dengan fungsi re-entrancy add_liquidity saat memanggil fungsi remove_liquidity dari kumpulan Likuiditas yang relevan untuk menghapus Likuiditas, karena pembaruan saldo mendahului fungsi add_liquidity yang masuk kembali, yang mengakibatkan kesalahan dalam perhitungan harga.

7. Analisis dan peninjauan peristiwa AML yang khas

7.1 Kasus Pencurian Dompet AtomicWallet

Menurut pemantauan risiko keamanan EagleEye Beosin, peringatan dini dan platform pemblokiran, Atomic Wallet diserang pada awal Juni tahun ini, dan menurut tim Beosin, kerusakan yang disebabkan oleh serangan itu setidaknya sekitar $ 67 juta.

Menurut analisis tim Beosin, rantai yang terlibat dalam pencurian sejauh ini mencakup total 21 rantai, termasuk BTC, ETH, dan TRX. Dana yang dicuri terutama terkonsentrasi pada rantai Ethereum. Mana:

Rantai Ethereum telah mengidentifikasi Uang Vitual senilai 16.262 ETH, sekitar $ 30 juta.

TRON CHAINTRON CHAIN DIKETAHUI TELAH MENCURI DANA DI 251335387.3208 TRX SENILAI VITUAL MONEY, SEKITAR $17 JUTA.

Rantai BTC Dana curian yang diketahui dari rantai BTC adalah Uang Vitual senilai 420.882 BTC, setara dengan $ 12.6 juta.

BSC Chain The BSC Chain diketahui telah mencuri dana sebesar 40.206266 BNB senilai Vitual Money.

Sisa rantai XRP: 1676015 XRP, sekitar $ 840.000 LTC: 2839.873689 LTC, sekitar $ 220.000 DOGE: 800575.67369797 DOGE, sekitar $ 50.000

Mari kita ambil contoh Pencucian Uang pada rantai Ethereum

Dalam operasi Hacker pada uang curian, ada dua cara utama Ethereum diserang:

Longsor Interaksi Lintas RantaiPencucian Uang setelah divergensi melalui kontrak

Menurut analisis tim Beosin, Peretas pertama-tama akan menukar koin berharga di Dompet dengan mata uang utama rantai publik, dan kemudian mengumpulkannya melalui dua kontrak.

Paket Alamat kontrak ETH ke WETH melalui transit dua lapis, dan kemudian mentransfer WETH ke kontrak yang digunakan untuk menyimpang ETH, dan mentransfernya ke WalletAddress Avalanche untuk Cross Bridge melalui hingga lima lapisan pertukaran untuk operasi Interaksi Lintas Rantai, Interaksi Lintas Rantai yang tidak dilakukan menggunakan kontrak dan termasuk dalam jenis transaksi pembukuan internal Avalanche.

Diagram tautan Ethereum adalah sebagai berikut:

Kontrak Konvergensi 1:

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Sebanyak 3357,0201 ETH terlibat

Tukar ke WETH dan transfer ke 0x3c3ed2597b140f31241281523952e936037cbed3 kontrak

Peta rinci rute barang curian adalah sebagai berikut:

Kontrak Konvergensi 2:0x7417b428f597648d1472945ff434c395cca73245 melibatkan total 3009,8874 ETH

Hacker dikonversi ke WETH dan ditransfer ke kontrak 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

Peta rinci rute barang curian adalah sebagai berikut:

Dua kontrak konvergensi dikonfirmasi dengan menyetujui sumber biaya, dan beberapa tidak memiliki Alamat transaksi yang disembunyikan. Jalur biaya adalah sebagai berikut:

Selain itu, pada rantai Ethereum, Hacker juga Pencucian Uang melalui berbagai protokol dan pertukaran jembatan Interaksi Lintas Rantai, dan bagian ini saat ini dihitung sebagai 9896 ETH, dan bagian ini akan dikumpulkan melalui beberapa Alamat agregasi.

Di seluruh acara, ada banyak saluran Pencucian Uang Hacker, terutama melalui berbagai akun pertukaran untuk Pencucian Uang, dan ada juga arus masuk langsung ke kontrak jembatan Interaksi Lintas Rantai.

8. Analisis aliran dana aset curian

Sekitar $723 juta dari dana curian untuk semua tahun 2023 tetap berada di HackerAddress (termasuk transfer melalui Interaksi Lintas Rantai dan dispersi di beberapa Alamat), terhitung 51.8% dari total dana curian. Tahun ini, Hacker lebih cenderung menggunakan beberapa interaksi lintas rantai untuk Pencucian Uang dan menyebarkan dana curian di banyak Alamat daripada tahun lalu. Peningkatan alamat dan kompleksitas jalur pencucian uang tidak diragukan lagi telah meningkatkan kesulitan investigasi bagi pihak proyek dan regulator.

Sekitar $ 295 juta dana curian ditemukan, terhitung sekitar 21,1%. Pada tahun 2022, hanya 8% dana yang pulih. Pemulihan dana curian pada tahun 2023 secara signifikan lebih baik daripada tahun 2022, dengan mayoritas berasal dari pengembalian yang dinegosiasikan secara on-chain.

Sekitar $ 330 juta dana curian ditransfer ke mixer sepanjang tahun (sekitar $ 71,16 juta ke Tornado Cash dan $ 259 juta lainnya ke platform pencampuran lainnya), terhitung 23,6% dari total dana curian. Ini adalah penurunan yang signifikan dari 38,7% tahun lalu. Sejak OFAC AS menyetujui Tornado Cash pada Agustus 2022, jumlah dana curian yang ditransfer ke Tornado Cash telah turun secara signifikan, dan telah digantikan oleh peningkatan penggunaan platform pencampuran lainnya, seperti Sinbad, FixedFloat, dll. Pada November 2023, OFAC A.S. menambahkan Sinbad ke daftar sanksinya, menyebutnya “kendaraan pencucian uang utama organisasi Lazarus Korea Utara.”

Selain itu, sejumlah kecil dana curian ($12,79 juta) ditransfer ke bursa, dan sejumlah kecil dana curian ($10,9 juta) dibekukan.

9. Analisis audit proyek

Dari 191 serangan, 79 tidak diaudit dan 101 diaudit. Proporsi proyek yang diaudit tahun ini sedikit lebih tinggi dari tahun lalu (proporsi proyek yang diaudit / tidak diaudit tahun lalu kira-kira sama).

**Kerentanan kontrak menyumbang 47 dari 79 proyek yang tidak diaudit (59,5%). Ini menunjukkan bahwa proyek yang belum diaudit lebih cenderung memiliki potensi risiko keamanan. Sebagai perbandingan, 51 (50,5%) dari 101 proyek yang diaudit memiliki insiden kerentanan kontrak. Ini menunjukkan bahwa audit dapat meningkatkan keamanan proyek sampai batas tertentu.

Namun, karena kurangnya standar normatif yang mapan di pasar Web3, kualitas audit tidak merata, dan hasil akhir yang disajikan jauh dari harapan. Untuk memastikan keamanan aset secara efektif, Anda disarankan untuk mencari perusahaan keamanan profesional untuk melakukan audit sebelum proyek diluncurkan. **

10. Analisis RugPull

Pada tahun 2023, platform EagleEye Beosin akan memantau total 267 insiden Rug Pull di ekosistem Web3, dengan jumlah total sekitar $388 juta, turun sekitar 8,7% dari tahun 2022.

Dalam hal nilai, 233 (87%) dari 267 insiden Rug Pull berada di bawah $1 juta, yang kira-kira sama dengan tahun 2022. Sebanyak 4 proyek dengan jumlah lebih dari 10 juta dolar AS terlibat, termasuk Multichain (210 juta dolar AS), Fintoch (31,6 juta dolar AS), BALD (23 juta dolar AS), dan PEPE (15,5 juta dolar AS).

Proyek Rug Pull di BNB Chain dan Ethereum menyumbang 92,3% dari total, dengan masing-masing 159 dan 81. Sejumlah kecil peristiwa Rug Pull juga terjadi pada rantai publik lainnya, termasuk: Arbitrum, BASE, Sui, zkSync, dll.

11, 2023 Data Kejahatan Industri Kripto Global

Pada tahun 2023, kejahatan industri kripto global mencapai $65,688 miliar yang mengejutkan, naik sekitar 377% dari $13,76 miliar pada tahun 2022. Sementara jumlah serangan peretasan on-chain telah menurun secara signifikan, kejahatan di area lain dari Aset Crypto telah meningkat secara signifikan. Peningkatan terbesar adalah perjudian online, dengan $ 54,9 miliar terlibat. Baris berikutnya adalah Pencucian Uang (sekitar $ 4 miliar), penipuan (sekitar $ 2,05 miliar), skema piramida (sekitar $ 1,43 miliar), dan serangan Hacker (sekitar $ 1,39 miliar).

Dengan peningkatan sistem regulasi kripto global dan pendalaman tindakan keras terhadap kejahatan Aset Kripto, polisi global akan menyelesaikan sejumlah kasus besar yang melibatkan ratusan juta dolar pada tahun 2023. Berikut adalah ulasan dari beberapa kasus umum:

No.1Pada Juli 2023, polisi Hubei China memecahkan “kasus Vitual Money pertama” negara itu, yang melibatkan 400 miliar yuan (sekitar 54,9 miliar dolar AS). Lebih dari 50.000 orang terlibat dalam kasus perjudian online ini, servernya berlokasi di luar China, dan pelaku utamanya Qiu Moumou dan yang lainnya telah dikirim untuk diadili sesuai dengan hukum.

No.2 Pada Agustus 2023, pihak berwenang Singapura menyelidiki kasus Pencucian Uang terbesar yang pernah ada, yang melibatkan S$2.8 miliar, Pencucian Uang terutama melalui Vitual Money.

No.3 Pada Maret 2023, polisi di Jiangsu, China, mengajukan penuntutan publik terhadap penipuan “Perdagangan Mata Uang Kripto” Ubank, yang melibatkan skema piramida dengan volume perdagangan lebih dari 10 miliar yuan (sekitar 1,4 miliar dolar AS).

No.4Pada Desember 2023, menurut pernyataan dari Kantor Kejaksaan AS untuk Distrik Timur New York, salah satu pendiri pertukaran Uang Vitual Bitzlato mengaku bersalah atas tuduhan Pencucian Uang $700 juta.

No.5 Pada Juli 2023, Polisi Federal Brasil membongkar dua geng kriminal perdagangan narkoba, mentransfer total lebih dari $417 juta dan menyediakan layanan pencucian uang melalui aset kripto.

No.6 Pada Februari 2023, pendiri Forsage didakwa atas dugaan $340 juta dalam Skema Ponzi Keuangan Terdesentralisasi, menurut dakwaan dari negara bagian Oregon, AS.

No.7 Pada November 2023, polisi di Himachal Pradesh, India, menangkap 18 orang dalam penipuan Aset Kripto senilai $300 juta.

No.8 Pada Agustus 2023, polisi Israel mendakwa pengusaha Moshe Hogeg dan mitranya karena menipu investor sebesar $290 juta dalam Aset Kripto.

No.9 Pada Juni 2023, polisi Thailand memecahkan dugaan kasus penipuan cryptocurrency, yang mungkin melibatkan lebih dari 10 miliar baht (sekitar $288 juta).

No.10 Pada Oktober 2023, JPEX, platform perdagangan aset virtual di Hong Kong, Cina, dicurigai melakukan penipuan, dan polisi menangkap total 66 orang, melibatkan sekitar HK$1,6 miliar (sekitar US$205 juta).

Tahun 2023 merupakan tahun lonjakan kasus kejahatan Aset Kripto. Sering terjadinya penipuan dan skema piramida juga berarti bahwa kemungkinan pengguna biasa menderita kerugian aset telah sangat meningkat. Oleh karena itu, sangat mendesak untuk memperkuat regulasi industri Aset Kripto. Kita dapat melihat bahwa regulator global telah melakukan banyak upaya untuk mengatur Aset Kripto tahun ini, tetapi masih ada jalan panjang untuk pergi dari ekosistem yang lengkap, aman dan positif. **

12. Ringkasan Lanskap Keamanan Blockchain Web3 pada tahun 2023

Pada tahun 2023, serangan Hacker on-chain, penipuan phishing, dan insiden Rug Pull di sisi proyek semuanya menurun secara signifikan dibandingkan dengan tahun 2022. Serangan peretas kehilangan 61,3%, dan modus operandi serangan paling mahal berubah dari eksploitasi kontrak tahun lalu menjadi kebocoran kunci pribadi tahun ini. Alasan utama pergeseran ini meliputi:

1. Setelah aktivitas Hacker merajalela tahun lalu, tahun ini seluruh ekosistem Web3 lebih memperhatikan keamanan, dari pihak proyek hingga perusahaan keamanan telah melakukan upaya dalam berbagai aspek, seperti pemantauan on-chain real-time, lebih memperhatikan audit keamanan, dan secara aktif belajar dari insiden eksploitasi kerentanan kontrak masa lalu. Ini membuat lebih sulit untuk mencuri dana melalui celah kontrak daripada tahun lalu. **

2. Memperkuat regulasi global dan meningkatkan teknologi AML. Dapat dilihat bahwa 21,1% dari dana yang dicuri ditemukan pada tahun 2023, yang secara signifikan lebih baik daripada tahun 2022. ** Dengan platform pencampuran seperti Tornado Cash, Sinbad, dan lainnya yang disetujui oleh Amerika Serikat, jalur Pencucian Uang untuk Hacker juga menjadi rumit. Pada saat yang sama, kami juga telah melihat berita tentang Hacker yang ditangkap oleh polisi setempat, yang memiliki efek jera tertentu pada Hacker. **

3. Dampak Pasar Beruang kripto di awal tahun. Hacker manfaat yang diharapkan dari dapat mencuri aset dari proyek Web3 menurun, melemahkan aktivitas Hacker. Hal ini juga menyebabkan Hacker tidak lagi terbatas pada jenis serangan seperti Keuangan Terdesentralisasi, Interaksi Lintas Rantai, pertukaran, dll., Tetapi beralih ke platform pembayaran, platform game, broker kripto, infrastruktur, pengelola kata sandi, alat pengembangan, bot MEV, bot TG, dan jenis lainnya.

Berbeda dengan penurunan tajam dalam aktivitas Hacker on-chain, kegiatan kriminal off-chain yang lebih terselubung seperti perjudian online, Pencucian Uang, skema piramida, dll telah meningkat secara signifikan. Karena Anonimitas Aset Kripto, semua jenis kegiatan kriminal lebih cenderung menggunakan Aset Kripto untuk transaksi. Namun, akan sepihak untuk mengaitkan peningkatan kasus kejahatan Uang Vitual semata-mata karena Anonimitas dan regulasi Aset Kripto yang tidak memadai. ** Akar penyebabnya adalah peningkatan aktivitas kriminal global, dan Vitual Money menyediakan saluran pendanaan yang relatif tersembunyi dan sulit dilacak untuk kegiatan kriminal ini. **Pada tahun 2023, perlambatan signifikan dalam pertumbuhan ekonomi global dan sejumlah ketidakpastian dalam lingkungan politik telah berkontribusi pada lonjakan aktivitas kriminal global. **Terhadap ekspektasi ekonomi ini, aktivitas kriminal global diperkirakan akan tetap tinggi pada tahun 2024, menimbulkan ujian berat bagi lembaga penegak hukum dan regulator di seluruh dunia. **