Звіт про ландшафт безпеки Web3 та AML-аналіз за 2023 рік

Автори: Дослідницька група Beosin Маріо, Тянь Даксія Донні

Ця стаття є першою частиною «Ситуація з безпекою блокчейну Web3 2023, огляд аналізу AML та резюме ключових регуляторних політик у криптоіндустрії», яка показує лише частину звіту про ситуацію з безпекою, а регуляторну політику та інший вміст можна знайти в «2023 Global Web3 Industry Regulatory Policies and Event Observation».

Вступ

Цей дослідницький звіт, ініційований Blockchain Security Alliance і спільно створений членами альянсу Beosin, Web3 Law та Elven, має на меті всебічно обговорити глобальний ландшафт безпеки блокчейну та ключову регуляторну політику в криптоіндустрії у 2023 році. Завдяки аналізу та оцінці поточного стану безпеки блокчейну в усьому світі, звіт розкриє поточні виклики та загрози безпеці, а також надасть рішення та найкращі практики. У той же час у звіті також будуть розглянуті позиції та політичні вказівки урядів і регуляторів у регулюванні криптоіндустрії, щоб допомогти читачам зрозуміти динамічні зміни в нормативно-правовому середовищі та можливі наслідки.

Завдяки цьому звіту читачі зможуть отримати більш повне розуміння динамічної еволюції ландшафту безпеки Web3 Blockchain та основних висновків регуляторної політики. Це допоможе читачам оцінити та вирішити проблеми безпеки, з якими стикається простір Blockchain, а також сприятиме сталому розвитку галузі, дотримуючись нормативних вимог. Крім того, читачі також можуть отримати корисні поради зі звіту про заходи безпеки, вимоги відповідності та напрямок галузі, щоб допомогти їм приймати обґрунтовані рішення та дії в цій галузі, що розвивається. Безпека та регулювання блокчейну є ключовими питаннями розвитку ери Web3. Завдяки глибоким дослідженням і дискусіям ми можемо краще зрозуміти та відреагувати на ці виклики, а також сприяти безпеці та сталому розвитку технології Blockchain.

1, 2023 Огляд ландшафту безпеки блокчейну Web3

За даними платформи EagleEye, що займається аудитом безпеки блокчейну Beosin, загальні втрати в секторі Web3 через хакерські атаки, фішингові шахрайства та Rug Pull досягли 2,02 мільярда доларів у 2023 році. **Серед них було 191 атака із загальним збитком близько $1,397 млрд, 267 інцидентів із загальним збитком близько $388 млн та загальний збиток близько $238 млн від фішингових шахрайств.

**У 2023 році хакерські атаки, фішингові атаки та інциденти Rug Pull значно зменшилися порівняно з 2022 роком, із загальним зниженням на 53,9%. **Серед них найбільше впали хакерські атаки – з $3,6 млрд у 2022 році до $1,397 млрд у 2023 році, тобто зниження приблизно на 61,2%. Збитки від фішингового шахрайства зменшилися на 33,2% порівняно з 2022 роком, а втрати від Rug Pull зменшилися на 8,8% порівняно з 2022 роком.

У 2023 році буде 4 атаки зі збитками понад 100 млн доларів США, та 17 атак зі збитками в діапазоні від 10 млн доларів США до 100 млн доларів США. ** На 10 найбільших інцидентів безпеки припало приблизно 1 мільярд доларів США загальних збитків, що становить 71,5% від загальної кількості щорічних інцидентів атак. **

**Типи проєктів, атакованих у 2023 році, ширші, ніж у 2022 році, включаючи децентралізовані фінанси, CEX, DEX, публічні ланцюги, мости крос-чейн-взаємодії, гаманці, платіжні платформи, ігрові платформи, криптоброкерів, інфраструктуру, менеджери паролів, інструменти розробки, MEV-боти, боти TG та багато іншого. **Децентралізовані фінанси – це тип проекту з найвищою частотою атак і сумами збитків, з 130 атаками децентралізованих фінансів, що призвели до загальних збитків близько 408 мільйонів доларів США.

У 2023 році типи публічних мереж з атаками будуть частішими, і в кількох мережах буде викрадено кілька інцидентів безпеки. Ethereum продовжував залишатися найбільш збитковим публічним ланцюгом: 71 атака Ethereum завдала збитків на суму 766 мільйонів доларів, що становить 54,9% від загальних збитків за рік.

З точки зору методів атаки, 30 витоків приватних ключів завдали збитків на загальну суму близько 627 мільйонів доларів, що становить 44,9% від загальних втрат, що є найдорожчим методом атаки. Експлуатація вразливостей за контрактом є найчастішим методом атаки: 99 із 191 інциденту атак припадає на експлуатацію вразливостей за контрактом, що становить 51,8%.

**За рік було повернуто приблизно 295 мільйонів доларів США вкрадених коштів, що становить приблизно 21,1%, що значно більше, ніж у 2022 році. **Протягом року міксерам було переведено приблизно 330 мільйонів доларів США вкрадених коштів, що становить 23,6% від загальної кількості вкрадених коштів.

На відміну від ончейн-хакерських атак, фішингових шахрайств і значного падіння кількості Rug Pull, у 2023 році дані про криптозлочини поза мережею значно зростуть. У 2023 році глобальна злочинність у криптоіндустрії досягла приголомшливих 65,688 мільярда доларів, що приблизно на 377% більше, ніж 13,76 мільярда доларів у 2022 році. **Трьома основними видами злочинів, пов’язаних з грошима, є азартні ігри в Інтернеті, відмивання грошей та шахрайство. **

2. 10 найкращих подій безпеки в екосистемі Web3 у 2023 році

У 2023 році сталося чотири атаки, які втратили понад $100 млн: Mixin Network ($200 млн), Euler Finance ($197 млн), Poloniex ($126 млн) та HTX & Heco Bridge ($110 млн). На 10 найбільших інцидентів безпеки припало приблизно 1 мільярд доларів США загальних збитків, або 71,5% від загальної кількості щорічних інцидентів атак.

No.1MixinNetwork

Сума збитків: $200 млн

Метод атаки: атака на базу даних постачальника хмарних послуг

Рано вранці 23 вересня база даних постачальника хмарних послуг Mixin Network була зламана, що призвело до втрати частини активів в основній мережі, що призвело до втрати близько $200 млн. 25 вересня засновник Mixin публічно пояснив інцидент у прямому ефірі, заявивши, що пошкоджені активи були в основному основними активами Bitcoin, а такі активи, як BOX та XIN, не були серйозно вкрадені, а конкретна ситуація атаки не може бути розкрита.

No2****EulerFinance

Сума збитку: $197 млн

Метод атаки: вразливість контракту - проблема бізнес-логіки

13 березня протокол кредитування децентралізованих фінансів Euler Finance зазнав атаки, що призвело до збитків у розмірі близько $197 млн. Основна причина атаки полягає в тому, що контракт не перевіряє належним чином кількість токенів, якими фактично володіє користувач, і стан здоров’я реєстру користувача після пожертвування. Усі викрадені від інциденту кошти зловмисники повернули.

No3****Poloniex

Сума збитку: $126 млн

Метод атаки: витік приватного ключа / APT атака

10 листопада біржа Джастіна Сана Poloniex, пов’язана з Address, продовжувала передавати великі суми активів, підозрюваних у крадіжці. Відразу після цього Sun Yuchen і Poloniex опублікували оголошення на соціальних платформах, щоб підтвердити крадіжку. Згідно з відстеженням Beosin Security Team за допомогою Beosin Trace, було накопичено приблизно 126 мільйонів доларів вкрадених активів з Poloniex.

No4****HTX&HecoBridge

Сума збитків: $110 млн

Метод атаки: витік приватного ключа

22 листопада біржа Джастіна Сана HTX і Cross-Chain Interaction Bridge Heco Bridge були зламані, загальний збиток склав $110 млн, у тому числі $86,6 млн для Heco Bridge і близько $23,4 млн для HTX.

No5****Крива/Вайпер

Сума збитку: $73 млн

Метод атаки: контрактна вразливість-повторний вхід

Рано вранці 31 липня мова програмування Ethereum Vyper написала в Твіттері, що версії Vyper 0.2.15, 0.2.16 і 0.3.0 мають блокування та вразливості повторного входу, а також нативний ETH може налаштувати зворотний виклик під час передачі, в результаті чого кілька пулів LP цих і ETH груп можуть бути атаками повторного входу. Тоді в офіційному повідомленні Curve у Twitter йшлося про те, що багато пулів Stable Coin (alETH/msETH/pETH), які використовують Vyper 0.2.15, були атаковані через збій у блокуванні повторного входу. Збиток від цього інциденту становить близько $73 млн.

No.6CoinEx

Сума збитку: $70 млн

Метод атаки: витік приватного ключа / APT атака

12 вересня криптобіржа CoinEX опублікувала заяву, в якій говориться, що система контролю ризиків виявила підозрілу велику активність зняття коштів у гарячому гаманці, який використовується для тимчасового зберігання торгових активів платформи, і була створена спеціальна команда, яка вперше втрутилася, і інцидент в основному стосувався активів Token, таких як ETH, TRON і Polygon, з вкраденою сумою близько $70 млн.

No7****AtomicWallet

Сума збитків: $67 млн

Метод атаки: витік приватного ключа / APT атака

За даними платформи моніторингу ризиків безпеки EagleEye EagleEye, Atomic Wallet був атакований на початку червня, і, за словами команди Беосіна, збитки, завдані атакою, склали щонайменше близько 67 мільйонів доларів.

No8Alphapo

Сума збитку: $60 млн

Метод атаки: витік приватного ключа / APT атака

23 липня постачальник платіжних послуг Crypto Assets Alphapo Hot Wallet був викрадений, втративши загалом $60 млн. Інцидент був скоєний північнокорейським хакерським угрупованням Lazarus.

No.9KyberSwap

Сума збитку: $54,7 млн

Метод атаки: вразливість контракту - проблема бізнес-логіки

22 листопада DEX-проєкт KyberSwap зазнав атаки, що призвело до загальних збитків у розмірі близько $54,7 млн. Kyber Network заявила, що хакерська атака була однією з найскладніших в історії децентралізованих фінансів, і зловмисникам потрібно буде виконати низку точних операцій у мережі, щоб скористатися вразливістю.

No.10****Stake.com

Сума збитку: $41,3 млн

Метод атаки: витік приватного ключа / APT атака

4 вересня криптогемблінг-платформа Stake.com зазнала хакерської атаки. Після атаки Stake.com заявила, що несанкціоновані транзакції Hot Wallet відбулися в його ETH і BSC, що ведеться розслідування, і що депозити та зняття коштів будуть відновлені якомога швидше після того, як гаманець буде повністю відновлений. Інцидент був скоєний північнокорейським хакерським угрупованням Lazarus.

3. Тип проекту, який буде атаковано

Порівняно з 2022 роком, типи проєктів, які зазнали атак у 2023 році, є більш масштабними, а сума збитків більше не концентрується на певних типах проєктів. Крім поширених типів, таких як децентралізовані фінанси, CEX, DEX, публічні ланцюги, мости кросчейн-взаємодії, гаманці тощо, хакерські атаки у 2023 році також з’явилися на платіжні платформи, гральні платформи, криптоброкерів, інфраструктуру, менеджери паролів, інструменти розробки, MEV-боти, TG-боти та інші типи проєктів.

**Зі 191 атаки у 2023 році на проєкти децентралізованих фінансів припало 130 (близько 68%), що робить їх найбільш атакованим типом проєктів. **Загальна сума збитків від атак на децентралізовані фінанси становить близько $408 млн, що становить 29,2% від усіх збитків, а також це тип проекту з найбільшою сумою збитків.

На другому місці за втратами опинилася CEX (Centralized Exchange) із загальною сумою $275 млн збитків від 9 атак. КРІМ ТОГО, У TYPE DEX (DEX EXCHANGE) СТАЛОСЯ 16 АТАК ІЗ ЗАГАЛЬНИМ ЗБИТКОМ БЛИЗЬКО $85,68 МЛН. Загалом у 2023 році типи бірж матимуть часті інциденти безпеки, і безпека біржі є другою за величиною проблемою після безпеки децентралізованих фінансів.

Третьою за величиною втратою стала публічна мережа зі збитком близько 208 мільйонів доларів, в основному через крадіжку Mixin Network на 200 мільйонів доларів.

**У 2023 році втрати від крос-ланцюгової взаємодії посідають 4 місце, на них припадає близько 7% усіх втрат. **У 2022 році 12 інцидентів безпеки крос-чейн взаємодії завдали збитків на суму близько 1,89 мільярда доларів США, що склало 52,5% від загальних збитків того року. У 2023 році відбудеться значне скорочення інцидентів безпеки крос-ланцюгової взаємодії.

На п’ятому місці знаходиться платформа криптоплатежів із загальними втратами близько 97,3 мільйона доларів у 2 інцидентах безпеки (Alphapo та CoinsPaid), обидва з яких Хакер вказує на північнокорейську APT організацію Lazarus.

4. Сума втрат кожного ланцюга

**Порівняно з 2022 роком, типи публічних мереж з атаками у 2023 році також є більш широкими, в основному через численні витоки приватних ключів CEX у 2023 році зі збитками на кількох ланцюгах. **До п’ятірки лідерів за кількістю шкоди увійшли Ethereum, Mixin, HECO, BNB Chain, TRON; до п’ятірки лідерів за кількістю атак увійшли BNB Chain, Ethereum, Arbitrum, Polygon, Optimism та Avalanche (5-те місце).

Як і у 2022 році, Ethereum все ще залишається публічним ланцюгом із найбільшою сумою втрат. 71 атака на Ethereum завдала збитків на $766 млн, або 54,9% від загальних збитків за рік.

Мережа Mixin посіла друге місце за обсягом збитків – один інцидент безпеки зазнав збитків у розмірі $200 млн. На третьому місці опинилася HECO зі збитком близько $92,6 млн.

На BNB Chain було здійснено 76 атак, що становить 39,8% від загальної кількості атак, що є найбільшою кількістю атак серед усіх мережевих платформ. Загальний збиток на BNB Chain склав близько $70,81 млн, при цьому переважна більшість інцидентів (88%) була зосереджена нижче $1 млн.

5. Аналіз методів атаки

Порівняно з 2022 роком, методи атак у 2023 році є більш різноманітними, особливо додавши різноманітні методи атак Web2, зокрема: атаки на бази даних, атаки на ланцюжок поставок, атаки сторонніх постачальників послуг, атаки типу “людина посередині”, DNS-атаки, атаки на інтерфейс тощо. **

У 2023 році 30 витоків приватних ключів завдали збитків на загальну суму 627 мільйонів доларів, що становить 44,9% від загальних збитків, що робить їх найдорожчими методами атак. Злами Private Key, які спричинили великі збитки, були: Poloniex ($126 млн), HTX & Heco Bridge ($110 млн), CoinEx ($70 млн), Atomic Wallet ($67 млн) і Alphapo ($60 млн). ** Більшість цих подій пов’язані з Лазарем, північнокорейською групою APT. **

Експлуатація вразливостей за контрактом є найчастішим методом атаки: 99 із 191 інциденту атак припадає на експлуатацію вразливостей за контрактом, що становить 51,8%. Загальний збиток через порушення контракту склав $430 млн, що стало другою за величиною сумою збитків.

На вразливості бізнес-логіки припадає близько 72,7% збитків, спричинених вразливостями контрактів, що призвело до загальних збитків у розмірі близько $313 млн. Другою за величиною вразливістю контрактів був повторний вхід: 13 вразливостей повторного входу завдали збитків приблизно на 93,47 мільйона доларів США.

6. Аналіз методів атаки в типових випадках

6.1 Підсумок інциденту безпеки EulerFinance

13 березня кредитний проєкт Euler Finance у ланцюжку Ethereum зазнав атаки швидких позик, збитки якого досягли $197 млн.

16 березня Фонд Ейлера запропонував винагороду в розмірі 1 мільйона доларів за інформацію, яка може допомогти затримати Хакера та повернути вкрадені кошти.

17 березня Майкл Бентлі, генеральний директор Euler Labs, написав у Твіттері, що Euler «завжди був проектом, стурбованим безпекою». З травня 2021 року по вересень 2022 року Euler Finance 10 разів перевіряли 6 компаній, що займаються безпекою Blockchain, включаючи Halborn, Solidified, ZK Labs, Certora, Sherlock та Omnisica.

З 18 березня по 4 квітня зловмисники почали повертати кошти один за одним. У цей період зловмисник вибачався через повідомлення в мережі, заявляючи, що він «зіпсував чужі гроші, чужу роботу та життя інших людей», і попросив у всіх вибачення.

4 квітня Euler Labs написала у Twitter, що зловмисники повернули всі вкрадені кошти після успішних переговорів.

Аналіз вразливостей

Під час цієї атаки функція donateToReserves контракту Etoken не перевіряла належним чином кількість токенів, якими фактично володіє користувач, і стан здоров’я реєстру користувача після пожертвування. Зловмисник скористався цією вразливістю та пожертвував 100 мільйонів eDAI, тоді як насправді зловмисник поставив лише 30 мільйонів DAI.

Оскільки стан здоров’я реєстру користувача відповідає умовам ліквідації після дарування, кредитний договір ініціюється для ліквідації. У процесі ліквідації eDAI та dDAI передаються до ліквідаційного контракту. Однак, у зв’язку з дуже великою кількістю проблемної заборгованості, в ліквідаційному договорі буде застосована максимальна знижка на ліквідацію. На кінець ліквідації ліквідаційний договір має 310,93 млн eDAI та 259,31 млн dDAI.

На цьому етапі стан здоров’я реєстру користувача відновлено, і користувач може виводити кошти. Сума, яку можна зняти, є різницею між eDAI та dDAI. Але насправді в пулі всього 38,9 млн DAI, тому користувачі можуть вивести тільки цю суму.

6.2Події безпеки Vyper/Curve

Підсумок події

31 липня мова програмування Ethereum Vyper написала у Твіттері, що версії Vyper 0.2.15, 0.2.16 та 0.3.0 мають блокування та вразливості повторного входу. Curve заявила, що кілька пулів Stable Coin (CRV/alETH/msETH/pETH) з використанням Vyper 0.2.15 були атаковані, загальні збитки склали 73 мільйони доларів, а близько 52,3 мільйона доларів пізніше були повернуті Хакером.

Аналіз вразливостей

Ця атака в основному викликана збоєм блокування проти повторного входу Vyper 0.2.15, зловмисник додав функцію Liquidity by re-entrancy add_liquidity під час виклику функції видалення_liquidity відповідного пулу ліквідності для видалення ліквідності, оскільки оновлення балансу передує функції re-entrant add_liquidity, що призводить до помилки в розрахунку ціни.

7. Аналіз та огляд типових подій AML

7.1 Чохол для крадіжки гаманця AtomicWallet

За даними платформи моніторингу ризиків безпеки EagleEye Beosin, раннього попередження та блокування, Atomic Wallet був атакований на початку червня цього року, і, за словами команди Beosin, збитки, завдані атакою, склали щонайменше близько 67 мільйонів доларів.

Згідно з аналізом команди Beosin, ланцюжок, який брав участь у крадіжці, наразі включає загалом 21 ланцюг, включаючи BTC, ETH та TRX. Вкрадені кошти в основному зосереджені в ланцюжку Ethereum. Де:

Ланцюжок Ethereum ідентифікував Vitual Money на суму 16 262 ETH, що становить близько 30 мільйонів доларів.

ВІДОМО, ЩО МЕРЕЖА TRON CHAINTRON ВКРАЛА КОШТИ В 251335387.3208 TRX ВАРТІСТЮ VITUAL MONEY, БЛИЗЬКО 17 МІЛЬЙОНІВ ДОЛАРІВ.

BTC Chain Відомі вкрадені кошти мережі BTC становлять 420,882 BTC Vitual Money, що еквівалентно 12,6 мільйона доларів.

BSC Chain Відомо, що BSC Chain вкрала кошти на суму 40,206266 BNB Vitual Money.

Решта ланцюжка XRP: 1676015 XRP, близько $840 000 LTC: 2839.873689 LTC, близько $220,000 DOGE: 800575.67369797 DOGE, близько $50,000

Розглянемо приклад відмивання грошей у ланцюжку Ethereum

В операції хакера над вкраденими грошима є два основних способи атаки на Ethereum:

Міжланцюгова взаємодія AvalancheВідмивання грошей після розбіжності за контрактами

Згідно з аналізом команди Beosin, Хакер спочатку обміняє цінні монети в Гаманці на основну валюту публічного ланцюжка, а потім забере їх за допомогою двох контрактів.

Пакет адрес контракту ETH у WETH через дворівневу передачу, а потім передати WETH контракту, який використовується для розбіжності ETH, і передати його на WalletAddress Avalanche для Cross Bridge через п’ять рівнів обміну для операцій крос-ланцюгової взаємодії, крос-чейн взаємодії, яка не здійснюється за допомогою контракту та належить до внутрішнього типу бухгалтерських транзакцій Avalanche.

Діаграма зв’язку Ethereum виглядає наступним чином:

Договір про конвергенцію 1:

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Всього було задіяно 3357 0201 ETH

Своп на WETH та перехід на контракт 0x3c3ed2597b140f31241281523952e936037cbed3

Детальна карта маршруту краденого виглядає наступним чином:

Контракт на конвергенцію 2:0x7417b428f597648d1472945ff434c395cca73245 залучив загалом 3009,8874 ETH

Хакер перейшов на WETH і перейшов на контракт 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

Детальна карта маршруту краденого виглядає наступним чином:

Два контракти на конвергенцію підтверджуються узгодженням джерела комісії, а деякі не мають прихованої адреси транзакції. Шлях комісії наступний:

Крім того, у ланцюжку Ethereum хакер також відмиває гроші через різні протоколи та біржі мостів крос-ланцюгової взаємодії, і ця частина наразі враховується як 9896 ETH, і ця частина буде зібрана через множинну адресу агрегації.

Загалом існує багато каналів HackerMoney Laundering, в основному через різні біржові рахунки для відмивання грошей, а також є прямий приплив коштів у мостові контракти Cross-Chain Interaction.

8. Аналіз руху коштів викрадених активів

Приблизно 723 мільйони доларів США з викрадених коштів за весь 2023 рік залишилися в HackerAddress (включаючи перекази через крос-чейн взаємодію та дисперсії за кількома адресами), що становить 51,8% від загальної кількості вкрадених коштів. Цього року Hacker більш схильний використовувати кілька крос-чейн взаємодій для відмивання грошей і розподіляти вкрадені кошти по багатьох адресах, ніж минулого року. Збільшення кількості адрес та складність шляхів відмивання грошей, безсумнівно, ускладнили розслідування для сторін проекту та регуляторів.

Було повернуто близько $295 млн вкрадених коштів, що становить близько 21,1%. У 2022 році вдалося повернути лише 8% коштів. Повернення вкрадених коштів у 2023 році значно краще, ніж у 2022 році, причому більшість припадає на прибутки за домовленістю в мережі.

Приблизно $330 млн вкрадених коштів було переведено на мікшери протягом року (приблизно $71,16 млн на Tornado Cash і ще $259 млн на інші мікшерні платформи), що становить 23,6% від загальної кількості вкрадених коштів. Це суттєве зниження порівняно з 38,7% минулого року. З того часу, як у серпні 2022 року OFAC США наклав санкції на Tornado Cash, сума вкрадених коштів, переведених на Tornado Cash, значно знизилася, і була замінена збільшенням використання інших мікшерних платформ, таких як Sinbad, FixedFloat тощо. У листопаді 2023 року Міністерство закордонних справ США додало Синдбада до свого списку санкцій, назвавши його «головним засобом відмивання грошей північнокорейської організації Lazarus».

Крім того, на біржу було переведено невелику кількість вкрадених коштів ($12,79 млн), а невелику кількість вкрадених коштів ($10,9 млн) заморозили.

9. Аналіз аудиту проекту

Зі 191 атаки 79 не пройшли аудит, а 101 – аудит. Частка аудійованих проектів цього року дещо вища, ніж минулого року (частка аудійованих/неаудійованих проєктів минулого року була приблизно однаковою).

**Уразливості контрактів склали 47 з 79 неаудованих проектів (59,5%). Це говорить про те, що проекти, які не пройшли аудит, з більшою ймовірністю матимуть потенційні ризики для безпеки. ** Для порівняння, 51 (50,5%) зі 101 перевіреного проекту мали інциденти вразливості контрактів. Це свідчить про те, що аудит може певною мірою підвищити безпеку проєкту.

Однак через відсутність усталених нормативних стандартів на ринку Web3 якість аудитів була нерівномірною, а представлені кінцеві результати далеко не виправдали очікувань. Для того, щоб ефективно забезпечити безпеку активів, рекомендується знайти професійну охоронну компанію для проведення аудиту перед запуском проекту. **

10. Аналіз RugPull

У 2023 році платформа EagleEye від Beosin відстежуватиме загалом 267 інцидентів Rug Pull в екосистемі Web3 загальною сумою близько 388 мільйонів доларів, що приблизно на 8,7% менше, ніж у 2022 році.

З точки зору вартості, 233 (87%) із 267 інцидентів Rug Pull коштували менше 1 мільйона доларів, що приблизно стільки ж, скільки було у 2022 році. Всього було задіяно 4 проекти на суму понад 10 млн доларів США, серед яких Multichain (210 млн доларів США), Fintoch (31,6 млн доларів США), BALD (23 млн доларів США) та PEPE (15,5 млн доларів США).

На проєкти Rug Pull на BNB Chain та Ethereum припало 92,3% від загальної кількості, 159 та 81 відповідно. Невелика кількість подій Rug Pull також відбулася в інших публічних мережах, включаючи: Arbitrum, BASE, Sui, zkSync тощо.

11, 2023 Дані про злочинність у світовій криптоіндустрії

У 2023 році глобальна злочинність у криптоіндустрії досягла приголомшливих 65,688 мільярда доларів, що приблизно на 377% більше, ніж 13,76 мільярда доларів у 2022 році. У той час як кількість хакерських атак у ланцюжку значно знизилася, злочинність в інших сферах криптоактивів значно зросла. Найбільше зростання припало на азартні ігри в Інтернеті – 54,9 мільярда доларів. На черзі – відмивання грошей (близько $4 млрд), шахрайство (близько $2,05 млрд), фінансові піраміди (близько $1,43 млрд) та хакерські атаки (близько $1,39 млрд).

З удосконаленням глобальної системи регулювання криптовалют і поглибленням боротьби зі злочинами, пов’язаними з криптоактивами, глобальна поліція розкриє низку великих справ на сотні мільйонів доларів у 2023 році. Ось огляд деяких типових випадків:

No1У липні 2023 року поліція Китаю Хубей розкрила “першу в країні справу про вітуальні гроші”, пов’язану з 400 мільярдами юанів (близько 54,9 мільярда доларів США). У цій справі про азартні ігри в Інтернеті було задіяно понад 50 000 осіб, сервер знаходився за межами Китаю, а головний винуватець Цю Мумоу та інші були відправлені до суду відповідно до закону.

No2 У серпні 2023 року влада Сінгапуру розслідувала найбільшу в історії справу про відмивання грошей, пов’язану з відмиванням грошей на суму 2,8 мільярда сінгапурських доларів, відмивання грошей переважно через Vitual Money.

No3 У березні 2023 року поліція китайського провінції Цзянсу порушила публічне звинувачення у справі про шахрайство Ubank «Торгівля криптовалютою», пов’язане зі схемою піраміди з обсягом торгів понад 10 мільярдів юанів (близько 1,4 мільярда доларів США).

No4У грудні 2023 року, згідно із заявою прокуратури США у Східному окрузі Нью-Йорка, співзасновник біржі Vitual Money Bitzlato визнав себе винним за звинуваченнями у відмиванні грошей на суму 700 мільйонів доларів.

No5 У липні 2023 року федеральна поліція Бразилії ліквідувала два злочинні угруповання, які займаються торгівлею наркотиками, перерахувавши загалом понад 417 мільйонів доларів і надавши послуги з відмивання грошей через криптоактиви.

No6 У лютому 2023 року засновнику Forsage було пред’явлено звинувачення у нібито 340 мільйонах доларів у схемі Понці з децентралізованими фінансами, згідно з обвинувальним висновком американського штату Орегон.

No7 У листопаді 2023 року поліція штату Хімачал-Прадеш, Індія, заарештувала 18 осіб у справі про шахрайство з криптоактивами на суму 300 мільйонів доларів.

No8 У серпні 2023 року поліція Ізраїлю висунула звинувачення бізнесмену Моше Хогегу та його партнерам в обмані інвесторів на 290 мільйонів доларів у криптоактивах.

No9 У червні 2023 року поліція Таїланду розкрила підозрювану справу про шахрайство з криптовалютою, яка може включати понад 10 мільярдів батів (близько 288 мільйонів доларів).

No10 У жовтні 2023 року JPEX, платформу для торгівлі віртуальними активами в Гонконзі, Китай, підозрювали у шахрайстві, і поліція заарештувала загалом 66 осіб на суму близько 1,6 мільярда гонконгських доларів (близько 205 мільйонів доларів США).

2023 рік – це рік сплеску справ про злочини у сфері криптоактивів. Часте виникнення шахрайства та фінансових пірамід також означає, що ймовірність того, що звичайні користувачі постраждають від втрати активів, значно зросла. Тому необхідно терміново посилити регулювання індустрії криптоактивів. Ми бачимо, що цього року світові регулятори доклали багато зусиль для регулювання криптоактивів, але попереду ще довгий шлях від повної, безпечної та позитивної екосистеми. **

12. Підсумки ландшафту безпеки блокчейну Web3 у 2023 році

У 2023 році кількість хакерських атак у мережі, фішингових шахрайств та інцидентів Rug Pull на стороні проєкту значно зменшилася порівняно з 2022 роком. Хакерські атаки втратили 61,3%, а найдорожчий спосіб атаки змінився з минулорічного контрактного експлойта на витік приватного ключа цього року. До основних причин такого зсуву можна віднести:

1. Після минулорічної нестримної хакерської активності, цього року вся екосистема Web3 приділила більше уваги безпеці, від учасників проєкту до охоронних компаній доклала зусиль у різних аспектах, таких як моніторинг у ланцюжку в режимі реального часу, більше уваги до аудиту безпеки та активне навчання на минулих інцидентах вразливостей контрактів. Це ускладнило розкрадання коштів через лазівки в контрактах, ніж це було минулого року. **

2. Посилення глобального регулювання та вдосконалення технології AML. Можна побачити, що у 2023 році було повернуто 21,1% викрадених коштів, що значно краще, ніж у 2022 році. ** У зв’язку з тим, що такі платформи, як Tornado Cash, Sinbad та інші, потрапили під санкції Сполучених Штатів, шлях відмивання грошей для хакера також ускладнюється. У той же час ми також бачили новини про арешт Хакера місцевою поліцією, що має певний стримуючий ефект для Хакера. **

3. Вплив ведмежого ринку криптовалют на початку року. Очікувані вигоди від крадіжки активів у Web3-проєктів зменшуються, послаблюючи активність хакерів. Це також призвело до того, що Hacker більше не обмежується атаками на такі типи, як децентралізовані фінанси, крос-чейн взаємодія, біржі тощо, а звертається до платіжних платформ, ігрових платформ, криптоброкерів, інфраструктури, менеджерів паролів, інструментів розробки, MEV-ботів, TG-ботів та інших типів.

На відміну від різкого зниження активності хакерів у мережі, значно зросла більш прихована злочинна діяльність поза мережею, така як азартні ігри в Інтернеті, відмивання грошей, фінансові піраміди тощо. Через анонімність криптоактивів усі види злочинної діяльності більш схильні використовувати криптоактиви для транзакцій. Однак було б односторонньо пов’язувати збільшення випадків злочинів, пов’язаних із Vitual Money, виключно анонімністю та неадекватним регулюванням криптоактивів. **Першопричиною є зростання глобальної злочинної активності, і Vitual Money забезпечує відносно прихований канал фінансування цієї злочинної діяльності, який важко відстежити. ** У 2023 році значне уповільнення темпів зростання світової економіки та низка невизначеностей у політичному середовищі сприяли сплеску глобальної злочинної активності. ** Всупереч цим економічним очікуванням, очікується, що глобальна злочинна активність залишатиметься високою у 2024 році, що стане серйозним випробуванням для правоохоронних органів та регуляторів у всьому світі. **