Cenário de segurança Web3 2023 e relatório de análise de AML

Autores: Beosin Research Team Mario, Tian Daxia Donny

Este artigo é a primeira parte do “2023 Web3 Blockchain Security Situation, AML Analysis Review and Summary of Key Regulatory Policies in the Crypto Industry”, mostrando apenas a parte da situação de segurança do relatório, e as políticas regulatórias e outros conteúdos podem ser encontrados no “2023 Global Web3 Virtual Asset Industry Regulatory Policies and Event Observation”.

Introdução

Iniciado pela Blockchain Security Alliance e cocriado pelos membros da Alliance Beosin, Web3 Law e Elven, este relatório de pesquisa visa discutir de forma abrangente o cenário global de segurança Blockchain e as principais políticas regulatórias na indústria cripto em 2023. Através de uma análise e avaliação do estado atual da segurança Blockchain em todo o mundo, o relatório revelará os desafios e ameaças de segurança atuais e fornecerá soluções e melhores práticas. Ao mesmo tempo, o relatório também examinará as posições e orientações políticas de governos e reguladores na regulamentação da indústria cripto para ajudar os leitores a entender as mudanças dinâmicas no ambiente regulatório e os possíveis impactos.

Através deste relatório, os leitores serão capazes de obter uma compreensão mais abrangente da evolução dinâmica do cenário de segurança Web3 Blockchain e as principais conclusões das políticas regulatórias. Isso ajudará os leitores a avaliar e abordar os desafios de segurança enfrentados pelo espaço Blockchain e promover o desenvolvimento sustentável da indústria, cumprindo os requisitos regulamentares. Além disso, os leitores também podem obter conselhos úteis do relatório sobre medidas de segurança, requisitos de conformidade e a direção da indústria para ajudá-los a tomar decisões e ações informadas neste campo emergente. A segurança e a regulamentação do blockchain são questões-chave no desenvolvimento da era Web3. Através de pesquisa e discussão aprofundadas, podemos entender melhor e responder a esses desafios e promover a segurança e o desenvolvimento sustentável da tecnologia Blockchain.

1, 2023 Web3 Visão Geral do Cenário de Segurança Blockchain

De acordo com a plataforma EagleEye da empresa de auditoria de segurança Blockchain Beosin, a perda total no setor Web3 devido a ataques Hacker, golpes de phishing e Rug Pull atingiu US$ 2,02 bilhões em 2023. **Entre eles, houve 191 ataques com uma perda total de cerca de US $ 1,397 bilhão, 267 incidentes de Rug Pull com uma perda total de cerca de US $ 388 milhões e uma perda total de cerca de US $ 238 milhões de golpes de phishing.

**Em 2023, os ataques de hackers, golpes de phishing e incidentes de Rug Pull diminuíram significativamente em comparação com 2022, com uma diminuição total de 53,9%. **Entre eles, os ataques de hackers foram os que mais caíram, de US$ 3,6 bilhões em 2022 para US$ 1,397 bilhão em 2023, uma queda de cerca de 61,2%. As perdas por fraude de phishing diminuíram 33,2% em comparação com 2022 e as perdas com Rug Pull diminuíram 8,8% em comparação com 2022.

Em 2023, serão 4 ataques com perdas superiores a 100 milhões de dólares, e 17 ataques com perdas na faixa dos 10 milhões de dólares a 100 milhões de dólares. **Os 10 principais incidentes de segurança foram responsáveis por aproximadamente US$ 1 bilhão em perdas totais, representando 71,5% do total anual de incidentes de ataque. **

**Os tipos de projetos atacados em 2023 são mais extensos do que em 2022, incluindo Finanças Descentralizadas, CEX, DEX, cadeias públicas, pontes de interação entre cadeias, carteiras, plataformas de pagamento, plataformas de jogos, corretoras de criptomoedas, infraestrutura, gerenciadores de senhas, ferramentas de desenvolvimento, bots MEV, bots TG e muito mais. **Finanças Descentralizadas é o tipo de projeto com a maior frequência de ataques e montantes de perdas, com 130 ataques de Finanças Descentralizadas causando uma perda total de cerca de US $ 408 milhões.

Em 2023, os tipos de cadeias públicas com ataques serão mais frequentes e haverá vários incidentes de segurança roubados em várias cadeias. O Ethereum continuou a ser a cadeia pública mais deficitária, com 71 ataques Ethereum causando US$ 766 milhões em perdas, representando 54,9% do total de perdas no ano.

Do ponto de vista dos métodos de ataque, 30 vazamentos de chaves privadas causaram um total de cerca de US$ 627 milhões em perdas, representando 44,9% das perdas totais, que é o método de ataque mais caro. A exploração de vulnerabilidade contratual é o método de ataque mais frequente, com 99 dos 191 incidentes de ataque provenientes da exploração de vulnerabilidade contratual, representando 51,8%.

**Aproximadamente US$ 295 milhões em fundos roubados foram recuperados no ano, representando aproximadamente 21,1%, um aumento significativo em relação a 2022. **Aproximadamente US$ 330 milhões de fundos roubados foram transferidos para misturadores ao longo do ano, representando 23,6% do total de fundos roubados.

Ao contrário dos ataques de hackers on-chain, golpes de phishing e uma queda significativa na quantidade de Rug Pull, os dados de crimes cripto off-chain aumentarão significativamente em 2023. Em 2023, o crime global da indústria cripto atingiu impressionantes US$ 65,688 bilhões, um aumento de cerca de 377% em relação aos US$ 13,76 bilhões de 2022. **Os três principais tipos de crimes envolvendo dinheiro são jogos de azar online, lavagem de dinheiro e fraude. **

2. Top 10 Eventos de Segurança no Ecossistema Web3 em 2023

Em 2023, houve quatro ataques que perderam mais de US$ 100 milhões: Mixin Network (US$ 200 milhões), Euler Finance (US$ 197 milhões), Poloniex (US$ 126 milhões) e HTX & Heco Bridge (US$ 110 milhões). Os 10 principais incidentes de segurança representaram aproximadamente US$ 1 bilhão em perdas totais, ou 71,5% do total de incidentes de ataque anuais.

No.1MixinNetwork

Valor da perda: $200 milhões

Método de ataque: ataque ao banco de dados do provedor de serviços em nuvem

Na madrugada de 23 de setembro, o banco de dados do provedor de serviços em nuvem da Mixin Network foi hackeado, resultando na perda de alguns ativos na Mainnet, envolvendo cerca de US$ 200 milhões. Em 25 de setembro, o fundador da Mixin explicou publicamente o incidente em uma transmissão ao vivo, dizendo que os ativos danificados eram principalmente ativos centrais do Bitcoin, e ativos como BOX e XIN não foram seriamente roubados, e a situação específica de ataque não pôde ser divulgada.

No.2****EulerFinance

Valor da perda: $197 milhões

Método de ataque: vulnerabilidade do contrato - problema de lógica de negócios

Em 13 de março, o protocolo de empréstimo de Finanças Descentralizadas Euler Finance foi atacado, causando um prejuízo de cerca de US$ 197 milhões. A causa raiz do ataque é que o contrato não verifica corretamente o número de Tokens realmente detidos pelo usuário e o status de saúde do livro razão do usuário após a doação. Todos os fundos roubados do incidente foram devolvidos pelos atacantes.

No.3****Poloniex

Valor da perda: $126 milhões

Método de ataque: Vazamento de chave privada / ataque APT

Em 10 de novembro, a corretora Poloniex de Justin Sun continuou a transferir grandes quantidades de ativos, suspeitos de serem roubados. Imediatamente depois, Sun Yuchen e Poloniex emitiram um anúncio nas redes sociais para confirmar o roubo. De acordo com o rastreamento da Beosin Security Team usando o Beosin Trace, aproximadamente US$ 126 milhões em ativos roubados da Poloniex foram acumulados.

No.4****HTX&HecoBridge

Valor da perda: $110 milhões

Método de ataque: Fuga de chave privada

Em 22 de novembro, a exchange HTX de Justin Sun e a Cross-Chain Interaction Bridge Heco Bridge foram hackeadas, com um prejuízo total de US$ 110 milhões, incluindo US$ 86,6 milhões para a Heco Bridge e cerca de US$ 23,4 milhões para a HTX.

No.5****Curva/Vyper

Valor da perda: $73 milhões

Método de ataque: vulnerabilidade contratual-reentrante

Na madrugada de 31 de julho, a linguagem de programação Ethereum Vyper tuitou que as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper têm bloqueios e vulnerabilidades de reentrante, além de que o ETH nativo pode ajustar o retorno de chamada durante a transferência, resultando em vários pools lp desses e grupos ETH podem ser ataques de re-entrância. Em seguida, o post oficial da Curve no Twitter disse que muitos pools de moedas estáveis (alETH/msETH/pETH) usando Vyper 0.2.15 foram atacados devido a uma falha no bloqueio de reentrante. O prejuízo deste incidente é de cerca de US$ 73 milhões.

No.6CoinEx

Valor da perda: $70 milhões

Método de ataque: Vazamento de chave privada / ataque APT

Em 12 de setembro, a exchange de criptomoedas CoinEX emitiu um comunicado dizendo que o sistema de controle de risco detetou uma grande atividade suspeita de retirada na carteira quente usada para armazenar temporariamente os ativos de negociação da plataforma, e uma equipe especial foi criada para intervir na primeira vez, e o incidente envolveu principalmente ativos de token como ETH, TRON e Polygon, com uma quantia roubada de cerca de US$ 70 milhões.

No.7****AtomicWallet

Valor da perda: $67 milhões

Método de ataque: Vazamento de chave privada / ataque APT

De acordo com a plataforma de monitoramento, alerta precoce e bloqueio de risco de segurança EagleEye da Beosin, a Atomic Wallet foi atacada no início de junho e, de acordo com a equipe de Beosin, o dano causado pelo ataque foi de pelo menos cerca de US$ 67 milhões.

No.8Alphapo

Valor da perda: $60 milhões

Método de ataque: Vazamento de chave privada / ataque APT

Em 23 de julho, o provedor de serviços de pagamento CryptoAssets Alphapo Hot Wallet foi roubado, perdendo um total de US$ 60 milhões. O incidente foi perpetrado por Lazarus, um grupo de hackers norte-coreano.

No.9KyberSwap

Valor da perda: $54.7 milhões

Método de ataque: vulnerabilidade do contrato - problema de lógica de negócios

Em 22 de novembro, o projeto DEX KyberSwap foi atacado, causando uma perda total de cerca de US$ 54,7 milhões. A Kyber Network disse que o ataque Hacker foi um dos mais sofisticados da história das Finanças Descentralizadas, e os atacantes precisariam realizar uma série de operações on-chain precisas para explorar a vulnerabilidade.

No.10****Stake.com

Valor da perda: $41.3 milhões

Método de ataque: Vazamento de chave privada / ataque APT

Em 4 de setembro, a plataforma de apostas cripto Stake.com foi atingida por um ataque Hacker. Após o ataque, a Stake.com afirmou que transações não autorizadas ocorreram em seu ETH e BSC, que uma investigação estava em andamento e que os depósitos e saques seriam retomados assim que possível depois que a Carteira fosse totalmente reprotegida. O incidente foi perpetrado por Lazarus, um grupo de hackers norte-coreano.

3. O tipo de projeto a ser atacado

Em comparação com 2022, os tipos de projetos atacados em 2023 são mais extensos e o montante de perdas já não está concentrado em determinados tipos de projetos. Além de tipos comuns como Finanças Descentralizadas, CEX, DEX, cadeias públicas, pontes de interação entre cadeias, carteiras, etc., os ataques Hacker em 2023 também apareceram em plataformas de pagamento, plataformas de jogo, corretoras de criptomoedas, infraestrutura, gerenciadores de senhas, ferramentas de desenvolvimento, bots MEV, bots TG e outros tipos de projetos.

**Dos 191 ataques em 2023, os projetos de Finanças Descentralizadas representaram 130 (cerca de 68%), tornando-os o tipo de projeto mais atacado. **O valor total de perda de ataques de Finanças Descentralizadas é de cerca de US $ 408 milhões, representando 29,2% de todas as perdas, e também é o tipo de projeto com a maior quantidade de perdas.

Em segundo lugar em termos de perdas ficou a CEX (Centralized Exchange), com um total de US$ 275 milhões em perdas de 9 ataques. ALÉM DISSO, 16 ATAQUES OCORRERAM NO TIPO DEX (DEX EXCHANGE), COM UMA PERDA TOTAL DE CERCA DE US$ 85,68 MILHÕES. No geral, os tipos de câmbio terão incidentes de segurança frequentes em 2023, e a segurança da exchange é o segundo maior desafio depois da segurança das Finanças Descentralizadas.

A terceira maior perda foi a cadeia pública, com um prejuízo de cerca de US $ 208 milhões, principalmente do roubo de US $ 200 milhões da Mixin Network.

**Em 2023, as perdas de Cross-Chain Interaction ficaram em 4º lugar, representando cerca de 7% de todas as perdas. **Em 2022, 12 incidentes de segurança de interação entre cadeias causaram cerca de US$ 1,89 bilhão em perdas, representando 52,5% do total de perdas naquele ano. Em 2023, haverá uma redução significativa nos incidentes de segurança de interação entre cadeias.

Em quinto lugar está a plataforma de pagamento cripto, com uma perda total de cerca de US$ 97,3 milhões em 2 incidentes de segurança (Alphapo e CoinsPaid), ambos apontados pela organização norte-coreana APT Lazarus.

4. A quantidade de perda de cada cadeia

**Em comparação com 2022, os tipos de cadeias públicas com ataques em 2023 também são mais extensos, principalmente devido a vários vazamentos de chaves privadas CEX em 2023, com perdas em várias cadeias. **Os cinco primeiros em quantidade de dano são Ethereum, Mixin, HECO, BNB Chain, TRON, os cinco primeiros em número de ataques são BNB Chain, Ethereum, Arbitrum, Polygon, Optimism e Avalanche (empatados em 5º).

Como em 2022, o Ethereum ainda é a cadeia pública com a maior quantidade de perdas. Os 71 ataques ao Ethereum causaram US$ 766 milhões em danos, ou 54,9% do total de perdas no ano.

A cadeia Mixin ficou em segundo lugar em termos de perdas, com uma única perda de incidente de segurança de US$ 200 milhões. Em terceiro lugar ficou a HECO, com um prejuízo de cerca de US$ 92,6 milhões.

Foram 76 ataques à BNB Chain, representando 39,8% do total de ataques, o maior número de ataques de qualquer plataforma em cadeia. A perda total na BNB Chain foi de cerca de US$ 70,81 milhões, com a grande maioria dos incidentes (88%) concentrada abaixo de US$ 1 milhão.

5. Análise de métodos de ataque

Em comparação com 2022, os métodos de ataque em 2023 são mais diversos, especialmente adicionando uma variedade de métodos de ataque Web2, incluindo: ataques de banco de dados, ataques à cadeia de suprimentos, ataques de provedores de serviços terceirizados, ataques man-in-the-middle, ataques DNS, ataques front-end, etc. **

Em 2023, 30 violações de chaves privadas causaram um total de US$ 627 milhões em perdas, representando 44,9% das perdas totais, tornando-as os métodos de ataque mais caros. As violações de chave privada que causaram grandes perdas foram: Poloniex (US$ 126 milhões), HTX & Heco Bridge (US$ 110 milhões), CoinEx (US$ 70 milhões), Atomic Wallet (US$ 67 milhões) e Alphapo (US$ 60 milhões). **A maioria destes eventos está relacionada com Lazarus, um grupo norte-coreano APT. **

A exploração de vulnerabilidade contratual é o método de ataque mais frequente, com 99 dos 191 incidentes de ataque provenientes da exploração de vulnerabilidade contratual, representando 51,8%. A perda total devido à quebra do contrato foi de US$ 430 milhões, que foi o segundo maior valor de perda.

As vulnerabilidades da lógica de negócios representam cerca de 72,7% das perdas causadas por vulnerabilidades de contrato, resultando em uma perda total de cerca de US$ 313 milhões. A segunda maior vulnerabilidade de contrato foi a reentrancy, com 13 vulnerabilidades de re-entrancy causando aproximadamente US$ 93,47 milhões em perdas.

6. Análise de métodos de ataque em casos típicos

6.1 Resumo do Evento de Incidente de Segurança EulerFinance

Em 13 de março, a Euler Finance, um projeto de empréstimo na cadeia Ethereum, foi atacada por um empréstimo relâmpago, com perdas que chegaram a US$ 197 milhões.

Em 16 de março, a Fundação Euler ofereceu uma recompensa de US$ 1 milhão por informações que poderiam ajudar a prender Hacker e devolver fundos roubados.

Em 17 de março, Michael Bentley, CEO da Euler Labs, tuitou que Euler “sempre foi um projeto consciente da segurança”. De maio de 2021 a setembro de 2022, a Euler Finance foi auditada 10 vezes por 6 empresas de segurança Blockchain, incluindo Halborn, Solidified, ZK Labs, Certora, Sherlock e Omnisica.

De 18 de março a 4 de abril, os atacantes começaram a devolver fundos um após o outro. Durante este período, o atacante pediu desculpas através de mensagens on-chain, dizendo que tinha “bagunçado o dinheiro de outras pessoas, os empregos de outras pessoas e a vida de outras pessoas” e pediu perdão a todos.

Em 4 de abril, a Euler Labs tuitou que os atacantes devolveram todos os fundos roubados após uma negociação bem-sucedida.

Análise de Vulnerabilidade

Neste ataque, a função donateToReserves do contrato Etoken não verificou corretamente o número de Tokens realmente detidos pelo usuário e o status de saúde do livro razão do usuário após a doação. Um invasor explorou essa vulnerabilidade e doou 100 milhões de eDAI, quando na verdade o invasor apostou apenas 30 milhões de DAI.

Uma vez que o estado de saúde do livro razão do usuário atende às condições de liquidação após a doação, o contrato de empréstimo é acionado para liquidação. Durante o processo de liquidação, o eDAI e o dDAI são transferidos para o contrato de liquidação. No entanto, devido ao montante muito elevado de dívidas incobráveis, o contrato de liquidação aplicará o desconto máximo para liquidação. No final da liquidação, o contrato de liquidação tem 310,93M eDAI e 259,31M dDAI.

Neste ponto, o status de integridade do livro razão do usuário foi restaurado, e o usuário pode retirar fundos. O montante que pode ser retirado é a diferença entre eDAI e dDAI. Mas, na verdade, há apenas 38,9 milhões de DAI no pool, então os usuários só podem retirar esse montante.

6.2Eventos de Segurança Vyper/Curve

Resumo do Evento

Em 31 de julho, a linguagem de programação Ethereum Vyper tuitou que as versões 0.2.15, 0.2.16 e 0.3.0 do Vyper têm bloqueios e vulnerabilidades reentrantes. A Curve disse que vários pools de moedas estáveis (CRV/alETH/msETH/pETH) usando Vyper 0.2.15 foram atacados, com perdas totais no valor de US$ 73 milhões, e cerca de US$ 52,3 milhões foram posteriormente devolvidos pela Hacker.

Análise de Vulnerabilidade

Este ataque é causado principalmente pela falha do bloqueio anti-reentrante do Vyper 0.2.15, o invasor adicionou a Liquidez pela função add_liquidity re-entrancy ao chamar a função remove_liquidity do pool de Liquidez relevante para remover a Liquidez, porque a atualização do saldo precede a função add_liquidity do reentrante, resultando em um erro no cálculo do preço.

7. Análise e revisão de eventos típicos de LMA

7.1 Caixa roubada da carteira AtomicWallet

De acordo com a plataforma de monitoramento, alerta precoce e bloqueio de risco de segurança EagleEye da Beosin, a Atomic Wallet foi atacada no início de junho deste ano e, de acordo com a equipe de Beosin, os danos causados pelo ataque foram de pelo menos US$ 67 milhões.

De acordo com a análise da equipe Beosin, a cadeia envolvida no roubo até agora inclui um total de 21 cadeias, incluindo BTC, ETH e TRX. Os fundos roubados estão concentrados principalmente na cadeia Ethereum. Em que:

A cadeia Ethereum identificou 16.262 ETH no valor de Vitual Money, cerca de US$ 30 milhões.

TRON CHAINTRON CHAIN É CONHECIDO POR TER ROUBADO FUNDOS EM 251335387.3208 TRX VALE DINHEIRO VITUAL, CERCA DE US $ 17 MILHÕES.

Cadeia BTC Os fundos roubados conhecidos da cadeia BTC são 420.882 BTC no valor de Vitual Money, equivalente a US$ 12,6 milhões.

Cadeia BSC A cadeia BSC é conhecida por ter roubado fundos de 40,206266 BNB no valor de Vitual Money.

O resto da cadeia XRP: 1676015 XRP, cerca de US $ 840.000 LTC: 2839.873689 LTC, cerca de US $ 220.000 DOGE: 800575.67369797 DOGE, cerca de US $ 50.000

Vamos dar um exemplo de lavagem de dinheiro na cadeia Ethereum

Na operação do Hacker sobre o dinheiro roubado, existem duas maneiras principais de o Ethereum ser atacado:

Avalanche Cross-Chain InteractionLavagem de dinheiro após divergência através de contratos

De acordo com a análise da equipe Beosin, o Hacker primeiro trocará as moedas valiosas na Carteira pela moeda principal da cadeia pública e, em seguida, as coletará por meio de dois contratos.

O endereço do contrato empacota ETH no WETH através do trânsito de duas camadas e, em seguida, transfere o WETH para o contrato usado para divergir o ETH e transfere-o para o WalletAddress for Cross Bridge da Avalanche através de até cinco camadas de intercâmbio para operações de interação entre cadeias, interação entre cadeias, que não é realizada usando um contrato e pertence ao tipo de transação contábil interna da Avalanche.

O diagrama de link Ethereum é o seguinte:

Contrato de convergência 1:

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Um total de 3357.0201 ETH estiveram envolvidos

Troque para WETH e transfira para contrato 0x3c3ed2597b140f31241281523952e936037cbed3

O mapa detalhado da rota das mercadorias roubadas é o seguinte:

O Contrato de Convergência 2:0x7417b428f597648d1472945ff434c395cca73245 envolveu um total de 3009,8874 ETH

Hacker convertido para WETH e transferido para contrato 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

O mapa detalhado da rota das mercadorias roubadas é o seguinte:

Os dois contratos de convergência são confirmados por acordo sobre a fonte da taxa, e alguns não têm nenhum endereço de transação oculto. A trajetória da taxa é a seguinte:

Além disso, na cadeia Ethereum, o Hacker também Lavagem de Dinheiro através de vários protocolos e trocas de ponte de Interação entre Cadeias, e esta parte é atualmente contada como 9896 ETH, e esta parte será coletada através de vários endereços de agregação.

Em todo o evento, existem muitos canais de Lavagem de Dinheiro Hacker, principalmente através de várias contas de câmbio para Lavagem de Dinheiro, e também há entradas diretas em contratos ponte de Interação entre Cadeias.

8. Análise do fluxo de fundos de bens roubados

Aproximadamente US$ 723 milhões dos fundos roubados durante todo o ano de 2023 permaneceram no HackerAddress (incluindo transferências por meio de interação entre cadeias e dispersões em vários endereços), representando 51,8% do total de fundos roubados. Este ano, o Hacker está mais inclinado a usar várias interações entre cadeias para lavagem de dinheiro e espalhar os fundos roubados em muitos endereços do que no ano passado. O aumento dos endereços e a complexidade dos caminhos de lavagem de dinheiro aumentaram, sem dúvida, a dificuldade de investigação para as partes do projeto e os reguladores.

Cerca de US$ 295 milhões em fundos roubados foram recuperados, representando cerca de 21,1%. Em 2022, apenas 8% dos recursos foram recuperados. A recuperação de fundos roubados em 2023 é significativamente melhor do que em 2022, com a maioria vindo de retornos negociados on-chain.

Aproximadamente US$ 330 milhões de fundos roubados foram transferidos para misturadores ao longo do ano (aproximadamente US$ 71,16 milhões para a Tornado Cash e outros US$ 259 milhões para outras plataformas de mistura), representando 23,6% do total de fundos roubados. Trata-se de uma diminuição significativa em relação aos 38,7% do ano passado. Desde que o OFAC dos EUA sancionou o Tornado Cash em agosto de 2022, a quantidade de fundos roubados transferidos para o Tornado Cash caiu significativamente e foi substituída por um aumento no uso de outras plataformas de mistura, como Sinbad, FixedFloat, etc. Em novembro de 2023, o OFAC dos EUA adicionou Sinbad à sua lista de sanções, chamando-o de “o principal veículo de lavagem de dinheiro da organização norte-coreana Lazarus”.

Além disso, um pequeno número de fundos roubados (US$ 12,79 milhões) foi transferido para a bolsa, e um pequeno número de fundos roubados (US$ 10,9 milhões) foi congelado.

9. Análise da auditoria do projeto

Dos 191 ataques, 79 não foram auditados e 101 foram auditados. A proporção de projetos auditados este ano é ligeiramente mais elevada do que no ano passado (a percentagem de projetos auditados/não auditados no ano passado foi aproximadamente a mesma).

**As vulnerabilidades contratuais representaram 47 dos 79 projetos não auditados (59,5%). Isto sugere que os projetos que não foram auditados têm maior probabilidade de apresentar potenciais riscos de segurança. **Em comparação, 51 (50,5%) dos 101 projetos auditados tiveram incidentes de vulnerabilidade contratual. Isto mostra que as auditorias podem, em certa medida, melhorar a segurança do projeto.

No entanto, devido à falta de padrões normativos bem estabelecidos no mercado Web3, a qualidade das auditorias tem sido desigual, e os resultados finais apresentados ficaram muito aquém das expectativas. A fim de garantir efetivamente a segurança dos ativos, recomenda-se que você encontre uma empresa de segurança profissional para realizar uma auditoria antes do lançamento do projeto. **

10. Análise RugPull

Em 2023, a plataforma EagleEye da Beosin monitorará um total de 267 incidentes de Rug Pull no ecossistema Web3, com um montante total de cerca de US$ 388 milhões, uma diminuição de cerca de 8,7% em relação a 2022.

Em termos de valor, 233 (87%) dos 267 incidentes de Rug Pull foram inferiores a US$ 1 milhão, o que é aproximadamente o mesmo que em 2022. Um total de 4 projetos com um montante superior a 10 milhões de dólares americanos estiveram envolvidos, incluindo Multichain (210 milhões de dólares americanos), Fintoch (31,6 milhões de dólares americanos), BALD (23 milhões de dólares americanos) e PEPE (15,5 milhões de dólares americanos).

Os projetos Rug Pull no BNB Chain e Ethereum representaram 92,3% do total, com 159 e 81, respectivamente. Um pequeno número de eventos Rug Pull também ocorreram em outras cadeias públicas, incluindo: Arbitrum, BASE, Sui, zkSync, etc.

11, 2023 Dados de Crime da Indústria Global de Criptomoedas

Em 2023, o crime global da indústria cripto atingiu impressionantes US$ 65,688 bilhões, um aumento de cerca de 377% em relação aos US$ 13,76 bilhões de 2022. Embora a quantidade de ataques de hackers on-chain tenha caído significativamente, o crime em outras áreas de criptoativos aumentou significativamente. O maior aumento foi o jogo online, com US$ 54,9 bilhões envolvidos. Seguem-se a lavagem de dinheiro (cerca de 4 mil milhões de dólares), a fraude (cerca de 2,05 mil milhões de dólares), os esquemas de pirâmide (cerca de 1,43 mil milhões de dólares) e os ataques de piratas informáticos (cerca de 1,39 mil milhões de dólares).

Com a melhoria do sistema regulatório global de criptomoedas e o aprofundamento da repressão aos crimes de criptoativos, a polícia global resolverá uma série de grandes casos envolvendo centenas de milhões de dólares em 2023. Aqui está uma revisão de alguns casos típicos:

1º Em julho de 2023, a polícia chinesa de Hubei denunciou o “primeiro caso Vitual Money” do país, envolvendo 400 bilhões de yuans (cerca de US$ 54,9 bilhões). Mais de 50.000 pessoas estiveram envolvidas neste caso de jogo online, o servidor foi localizado fora da China, e o principal culpado Qiu Moumou e outros foram enviados para julgamento de acordo com a lei.

Nº 2 Em agosto de 2023, as autoridades de Singapura investigaram o maior caso de Lavagem de Dinheiro de todos os tempos, envolvendo S$ 2,8 bilhões, Lavagem de Dinheiro principalmente através da Vitual Money.

Nº 3 Em março de 2023, a polícia de Jiangsu, na China, entrou com uma ação pública contra o golpe “Cryptocurrency Trading” do Ubank, envolvendo um esquema de pirâmide com um volume de negociação de mais de 10 bilhões de yuans (cerca de 1,4 bilhão de dólares americanos).

No.4Em dezembro de 2023, de acordo com um comunicado da Procuradoria dos EUA para o Distrito Leste de Nova York, o cofundador da corretora de dinheiro Vitual Bitzlato se declarou culpado de US$ 700 milhões em acusações de lavagem de dinheiro.

Nº 5 Em julho de 2023, a Polícia Federal brasileira desmantelou duas fações criminosas de tráfico de drogas, transferindo um total de mais de US$ 417 milhões e prestando serviços de lavagem de dinheiro por meio de criptoativos.

Nº 6 Em fevereiro de 2023, o fundador da Forsage foi indiciado por supostos US$ 340 milhões em Esquema Ponzi de Finanças Descentralizadas, de acordo com uma acusação do estado americano de Oregon.

Nº 7 Em novembro de 2023, a polícia de Himachal Pradesh, na Índia, prendeu 18 pessoas em um golpe de US$ 300 milhões em criptoativos.

Nº 8 Em agosto de 2023, a polícia israelense acusou o empresário Moshe Hogeg e seus parceiros de fraudar investidores de US$ 290 milhões em criptoativos.

Nº 9 Em junho de 2023, a polícia tailandesa descobriu um caso suspeito de fraude em criptomoedas, que pode envolver mais de 10 bilhões de baht (cerca de US$ 288 milhões).

Nº 10 Em outubro de 2023, a JPEX, uma plataforma de negociação de ativos virtuais em Hong Kong, na China, foi suspeita de fraude, e a polícia prendeu um total de 66 pessoas, envolvendo cerca de HK$ 1,6 bilhão (cerca de US$ 205 milhões).

2023 é um ano de um aumento nos casos de crimes de criptoativos. A ocorrência frequente de fraudes e esquemas de pirâmide também significa que a probabilidade de os utilizadores comuns sofrerem perdas de ativos aumentou consideravelmente. Portanto, é urgente fortalecer a regulamentação da indústria de Criptoativos. Podemos ver que os reguladores globais fizeram muitos esforços para regular os criptoativos este ano, mas ainda há um longo caminho a percorrer a partir de um ecossistema completo, seguro e positivo. **

12. Resumo do Cenário de Segurança Blockchain Web3 em 2023

Em 2023, os ataques de hackers on-chain, golpes de phishing e incidentes de Rug Pull do lado do projeto diminuíram significativamente em comparação com 2022. Os ataques de hackers perderam 61,3%, e o modus operandi de ataque mais caro mudou da exploração de contrato do ano passado para o vazamento de chave privada deste ano. As principais razões para esta mudança incluem:

1. Após a atividade desenfreada de Hacker no ano passado, este ano todo o ecossistema Web3 prestou mais atenção à segurança, desde as partes do projeto até as empresas de segurança fizeram esforços em vários aspetos, como monitoramento on-chain em tempo real, mais atenção às auditorias de segurança e aprendendo ativamente com incidentes de exploração de vulnerabilidade de contratos anteriores. Isso tornou mais difícil roubar fundos por meio de brechas contratuais do que no ano passado. **

2. Reforçar a regulamentação global e melhorar a tecnologia de combate ao branqueamento de capitais. Verifica-se que 21,1% dos fundos roubados foram recuperados em 2023, o que é significativamente melhor do que em 2022. **Com plataformas mistas como Tornado Cash, Sinbad e outras sendo sancionadas pelos Estados Unidos, o caminho da lavagem de dinheiro para Hacker também está se tornando complicado. Ao mesmo tempo, também vimos notícias de Hacker sendo preso pela polícia local, o que tem um certo efeito dissuasor sobre Hacker. **

3. O impacto do cripto Bear Market no início do ano. Hacker os benefícios esperados de ser capaz de roubar ativos de projetos Web3 diminui, enfraquecendo a atividade Hacker. Isso também fez com que o Hacker não se limitasse mais a atacar tipos como Finanças Descentralizadas, Interação entre Cadeias, exchanges, etc., mas se voltasse para plataformas de pagamento, plataformas de jogos, corretoras de criptomoedas, infraestrutura, gerenciadores de senhas, ferramentas de desenvolvimento, bots MEV, bots TG e outros tipos.

Ao contrário da diminuição acentuada da atividade de pirataria em cadeia, as atividades criminosas mais encobertas fora da cadeia, como os jogos de apostas em linha, o branqueamento de capitais, os esquemas de pirâmide, etc., aumentaram significativamente. Devido ao anonimato dos criptoativos, todos os tipos de atividades criminosas estão mais inclinados a usar criptoativos para transações. No entanto, seria unilateral atribuir o aumento de casos de crimes de Vitual Money apenas ao anonimato e à regulamentação inadequada dos criptoativos. **A causa principal é o aumento da atividade criminosa global, e o Vitual Money fornece um canal de financiamento relativamente oculto e difícil de rastrear para essas atividades criminosas. **Em 2023, um abrandamento significativo do crescimento económico mundial e uma série de incertezas no ambiente político contribuíram para o aumento da atividade criminosa a nível mundial. **Contra essa expectativa econômica, espera-se que a atividade criminosa global permaneça alta em 2024, representando um teste severo para as agências de aplicação da lei e reguladores em todo o mundo. **