Báo cáo phân tích AML và bối cảnh bảo mật Web3 năm 2023

Tác giả: Nhóm nghiên cứu Beosin Mario, Tian Daxia Donny

Bài viết này là phần đầu tiên của “Tình hình bảo mật Blockchain Web3 năm 2023, Đánh giá phân tích AML và Tóm tắt các chính sách pháp lý quan trọng trong ngành công nghiệp tiền điện tử”, chỉ hiển thị phần tình hình bảo mật của báo cáo và các chính sách quy định và nội dung khác có thể được tìm thấy trong “Chính sách quy định và quan sát sự kiện ngành tài sản ảo Web3 toàn cầu năm 2023”.

Giới thiệu

Được khởi xướng bởi Liên minh bảo mật Blockchain và được đồng sáng tạo bởi các thành viên Liên minh Beosin, Web3 Law và Elven, báo cáo nghiên cứu này nhằm mục đích thảo luận toàn diện về bối cảnh bảo mật Blockchain toàn cầu và các chính sách pháp lý quan trọng trong ngành công nghiệp tiền điện tử vào năm 2023. Thông qua phân tích và đánh giá tình trạng bảo mật Blockchain hiện tại trên toàn thế giới, báo cáo sẽ tiết lộ những thách thức và mối đe dọa bảo mật hiện tại và đưa ra các giải pháp và thực tiễn tốt nhất. Đồng thời, báo cáo cũng sẽ xem xét các vị trí và hướng dẫn chính sách của các chính phủ và cơ quan quản lý trong quy định của ngành công nghiệp tiền điện tử để giúp người đọc hiểu được những thay đổi năng động trong môi trường pháp lý và các tác động có thể xảy ra.

Thông qua báo cáo này, độc giả sẽ có thể hiểu toàn diện hơn về sự phát triển năng động của bối cảnh bảo mật Web3 Blockchain và những điểm cốt lõi của các chính sách pháp lý. Điều này sẽ giúp người đọc đánh giá và giải quyết các thách thức bảo mật mà không gian Blockchain phải đối mặt và thúc đẩy sự phát triển bền vững của ngành trong khi tuân thủ các yêu cầu quy định. Ngoài ra, độc giả cũng có thể nhận được lời khuyên hữu ích từ báo cáo về các biện pháp bảo mật, yêu cầu tuân thủ và định hướng của ngành để giúp họ đưa ra quyết định và hành động sáng suốt trong lĩnh vực mới nổi này. Bảo mật và quy định Blockchain là những vấn đề chính trong sự phát triển của kỷ nguyên Web3. Thông qua nghiên cứu và thảo luận chuyên sâu, chúng ta có thể hiểu rõ hơn và ứng phó với những thách thức này và thúc đẩy tính bảo mật và phát triển bền vững của công nghệ Blockchain.

1, Tổng quan về toàn cảnh bảo mật Blockchain Web3 năm 2023

Theo nền tảng EagleEye của công ty kiểm toán bảo mật Blockchain Beosin, tổng thiệt hại trong lĩnh vực Web3 do các cuộc tấn công của hacker, lừa đảo và Rug Pull đạt 2,02 tỷ USD vào năm 2023. ** Trong số đó, có 191 cuộc tấn công với tổng thiệt hại khoảng 1,397 tỷ đô la, 267 sự cố Rug Pull với tổng thiệt hại khoảng 388 triệu đô la và tổng thiệt hại khoảng 238 triệu đô la từ các trò gian lận lừa đảo.

**Trong năm 2023, các cuộc tấn công của hacker, lừa đảo và sự cố Rug Pull đều giảm đáng kể so với năm 2022, với tổng mức giảm 53,9%. ** Trong số đó, các cuộc tấn công của Hacker giảm mạnh nhất, từ 3,6 tỷ USD vào năm 2022 xuống còn 1,397 tỷ USD vào năm 2023, giảm khoảng 61,2%. Tổn thất gian lận lừa đảo giảm 33,2% so với năm 2022 và tổn thất Rug Pull giảm 8,8% so với năm 2022.

Trong năm 2023, sẽ có 4 cuộc tấn công với thiệt hại hơn 100 triệu đô la Mỹ và 17 cuộc tấn công với thiệt hại trong khoảng từ 10 triệu đô la Mỹ đến 100 triệu đô la Mỹ. ** 10 sự cố bảo mật hàng đầu chiếm khoảng 1 tỷ đô la trong tổng thiệt hại, chiếm 71,5% tổng số sự cố tấn công hàng năm. **

**Các loại dự án bị tấn công vào năm 2023 mở rộng hơn so với năm 2022, bao gồm Tài chính phi tập trung, CEX, DEX, chuỗi công khai, cầu nối tương tác chuỗi chéo, Ví, nền tảng thanh toán, nền tảng trò chơi, môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và nhiều hơn nữa. ** Tài chính phi tập trung là loại dự án có tần suất tấn công và tổn thất cao nhất, với 130 cuộc tấn công Tài chính phi tập trung gây thiệt hại tổng cộng khoảng 408 triệu đô la.

Vào năm 2023, các loại chuỗi công khai với các cuộc tấn công sẽ thường xuyên hơn và sẽ có nhiều sự cố bảo mật bị đánh cắp trên nhiều chuỗi. Ethereum tiếp tục là chuỗi công khai thua lỗ nhiều nhất, với 71 cuộc tấn công Ethereum gây thiệt hại 766 triệu đô la, chiếm 54,9% tổng thiệt hại trong năm.

Từ góc độ phương thức tấn công, 30 vụ rò rỉ khóa riêng gây ra tổng thiệt hại khoảng 627 triệu USD, chiếm 44,9% tổng thiệt hại, đây là phương thức tấn công tốn kém nhất. Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất, với 99/191 sự cố tấn công đến từ khai thác lỗ hổng hợp đồng, chiếm 51,8%.

** Khoảng 295 triệu đô la tiền bị đánh cắp đã được thu hồi trong năm, chiếm khoảng 21,1%, tăng đáng kể so với năm 2022. ** Khoảng 330 triệu đô la tiền bị đánh cắp đã được chuyển đến các máy trộn trong suốt cả năm, chiếm 23,6% tổng số tiền bị đánh cắp.

Không giống như các cuộc tấn công Hacker trên chuỗi, lừa đảo và giảm đáng kể số lượng Rug Pull, dữ liệu tội phạm tiền điện tử ngoài chuỗi sẽ tăng đáng kể vào năm 2023. Năm 2023, tội phạm ngành công nghiệp tiền điện tử toàn cầu đạt mức đáng kinh ngạc 65,688 tỷ USD, tăng khoảng 377% so với 13,76 tỷ USD vào năm 2022. ** Ba loại tội phạm hàng đầu liên quan đến tiền là cờ bạc trực tuyến, rửa tiền và gian lận. **

2. 10 sự kiện bảo mật hàng đầu trong hệ sinh thái Web3 năm 2023

Trong năm 2023, có bốn cuộc tấn công gây thiệt hại hơn 100 triệu USD: Mixin Network (200 triệu USD), Euler Finance (197 triệu USD), Poloniex (126 triệu USD) và HTX &Heco Bridge (110 triệu USD). 10 sự cố bảo mật hàng đầu chiếm khoảng 1 tỷ đô la trong tổng thiệt hại, tương đương 71,5% tổng số sự cố tấn công hàng năm.

No.1MixinNetwork

Số tiền thiệt hại: 200 triệu USD

**Phương thức tấn công: tấn công cơ sở dữ liệu nhà cung cấp dịch vụ đám mây **

Vào sáng sớm ngày 23/9, cơ sở dữ liệu nhà cung cấp dịch vụ đám mây Mixin Network đã bị tấn công, dẫn đến mất một số tài sản trên Mainnet, liên quan đến khoảng 200 triệu USD. Vào ngày 25 tháng 9, người sáng lập Mixin đã công khai giải thích vụ việc trong một chương trình phát sóng trực tiếp, nói rằng các tài sản bị thiệt hại chủ yếu là tài sản cốt lõi của Bitcoin và các tài sản như BOX và XIN không bị đánh cắp nghiêm trọng và tình hình tấn công cụ thể không thể được tiết lộ.

No.2****EulerTài chính

Số tiền thiệt hại: 197 triệu USD

**Phương thức tấn công: lỗ hổng hợp đồng - vấn đề logic nghiệp vụ **

Vào ngày 13 tháng 3, giao thức cho vay tài chính phi tập trung Euler Finance đã bị tấn công, gây thiệt hại khoảng 197 triệu đô la. Nguyên nhân sâu xa của cuộc tấn công là hợp đồng không kiểm tra đúng số lượng Token thực sự do người dùng nắm giữ và tình trạng sức khỏe của sổ cái của người dùng sau khi quyên góp. Tất cả số tiền bị đánh cắp từ vụ việc đã được những kẻ tấn công trả lại.

Số 3****Poloniex

Số tiền thiệt hại: 126 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT

Ngày 10/11, sàn giao dịch Poloniex của Justin Sun tiếp tục chuyển một lượng lớn tài sản, nghi bị đánh cắp. Ngay sau đó, Sun Yuchen và Poloniex đã đưa ra một thông báo trên các nền tảng xã hội để xác nhận hành vi trộm cắp. Theo theo dõi của Nhóm bảo mật Beosin bằng cách sử dụng Beosin Trace, khoảng 126 triệu đô la tài sản bị đánh cắp từ Poloniex đã được tích lũy.

Số 4****HTX&HecoBridge

Số tiền thiệt hại: 110 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng

Vào ngày 22 tháng 11, sàn giao dịch HTX và Cross-Chain Interaction Bridge Heco Bridge của Justin Sun đã bị tấn công, với tổng thiệt hại 110 triệu USD, bao gồm 86,6 triệu USD cho Heco Bridge và khoảng 23,4 triệu USD cho HTX.

No.5****Đường cong/Vyper

Số tiền thiệt hại: 73 triệu USD

Phương thức tấn công: hợp đồng vulnerability-re-entrant

Vào sáng sớm ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 có khóa và lỗ hổng reentrant, cộng với ETH gốc có thể điều chỉnh callback khi chuyển, dẫn đến một số nhóm lp của các nhóm này và ETH có thể là các cuộc tấn công lại. Sau đó, bài đăng trên Twitter chính thức của Curve nói rằng nhiều nhóm Stable Coin (alETH / msETH / pETH) sử dụng Vyper 0.2.15 đã bị tấn công do lỗi trong khóa reentrant. Thiệt hại từ vụ việc này là khoảng 73 triệu USD.

No.6CoinEx

**Số tiền thiệt hại: 70 triệu đô la **

Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT

Vào ngày 12 tháng 9, sàn giao dịch tiền điện tử CoinEX đã đưa ra một tuyên bố nói rằng hệ thống kiểm soát rủi ro đã phát hiện một hoạt động rút tiền lớn đáng ngờ trong ví nóng được sử dụng để lưu trữ tạm thời các tài sản giao dịch của nền tảng và một nhóm đặc biệt đã được thành lập để can thiệp lần đầu tiên và vụ việc chủ yếu liên quan đến các tài sản Token như ETH, TRON và Polygon, với số tiền bị đánh cắp khoảng 70 triệu đô la.

No.7****AtomicWallet

Số tiền thiệt hại: 67 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT

Theo nền tảng giám sát rủi ro bảo mật, cảnh báo sớm và chặn EagleEye của Beosin, Atomic Wallet đã bị tấn công vào đầu tháng 6 và theo nhóm của Beosin, thiệt hại do cuộc tấn công gây ra ít nhất là khoảng 67 triệu USD.

Số 8Alphapo

Số tiền thiệt hại: 60 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT

Vào ngày 23 tháng 7, nhà cung cấp dịch vụ thanh toán Crypto Assets Alphapo Hot Wallet đã bị đánh cắp, mất tổng cộng 60 triệu đô la. Vụ việc được thực hiện bởi Lazarus, một nhóm hacker Bắc Triều Tiên.

Số 9KyberSwap

**Số tiền thiệt hại: 54,7 triệu đô la **

**Phương thức tấn công: lỗ hổng hợp đồng - vấn đề logic nghiệp vụ **

Ngày 22/11, dự án DEX KyberSwap bị tấn công, gây thiệt hại tổng cộng khoảng 54,7 triệu USD. Kyber Network cho biết cuộc tấn công Hacker là một trong những cuộc tấn công tinh vi nhất trong lịch sử Tài chính phi tập trung và những kẻ tấn công sẽ cần thực hiện một loạt các hoạt động trên chuỗi chính xác để khai thác lỗ hổng.

Số 10****Stake.com

Số tiền thiệt hại: 41,3 triệu USD

Phương thức tấn công: Rò rỉ khóa riêng / Tấn công APT

Vào ngày 4 tháng 9, nền tảng cờ bạc tiền điện tử Stake.com đã bị tấn công bởi một hacker. Sau cuộc tấn công, Stake.com tuyên bố rằng các giao dịch trái phép Hot Wallet đã xảy ra trên ETH và BSC của nó, một cuộc điều tra đang được tiến hành và tiền gửi và rút tiền sẽ được tiếp tục càng sớm càng tốt sau khi Ví được bảo mật hoàn toàn. Vụ việc được thực hiện bởi Lazarus, một nhóm hacker Bắc Triều Tiên.

3. Loại dự án bị tấn công

So với năm 2022, các loại dự án bị tấn công trong năm 2023 rộng rãi hơn, và mức thiệt hại không còn tập trung ở một số loại dự án nhất định. Ngoài các loại phổ biến như Tài chính phi tập trung, CEX, DEX, chuỗi công khai, cầu tương tác chuỗi chéo, Ví, v.v., các cuộc tấn công của hacker vào năm 2023 cũng xuất hiện trên các nền tảng thanh toán, nền tảng cờ bạc, môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và các loại dự án khác.

**Trong số 191 cuộc tấn công vào năm 2023, các dự án Tài chính phi tập trung chiếm 130 (khoảng 68%), khiến chúng trở thành loại dự án bị tấn công nhiều nhất. **Tổng thiệt hại của các cuộc tấn công Tài chính phi tập trung là khoảng 408 triệu đô la, chiếm 29,2% tổng số tổn thất và đây cũng là loại dự án có số tiền tổn thất cao nhất.

Ở vị trí thứ hai về tổn thất là CEX (Sàn giao dịch tập trung), với tổng thiệt hại 275 triệu đô la từ 9 cuộc tấn công. NGOÀI RA, 16 CUỘC TẤN CÔNG ĐÃ XẢY RA TRONG TYPE DEX (DEX EXCHANGE), VỚI TỔNG THIỆT HẠI KHOẢNG 85,68 TRIỆU USD. Nhìn chung, các loại sàn giao dịch sẽ có sự cố bảo mật thường xuyên vào năm 2023 và bảo mật sàn giao dịch là thách thức lớn thứ hai sau bảo mật Tài chính phi tập trung.

Thiệt hại lớn thứ ba là chuỗi công khai, với khoản lỗ khoảng 208 triệu đô la, chủ yếu từ vụ trộm 200 triệu đô la của Mixin Network.

**Trong năm 2023, tổn thất Tương tác chuỗi chéo đứng thứ 4, chiếm khoảng 7% tổng tổn thất. **Trong năm 2022, 12 sự cố bảo mật tương tác xuyên chuỗi gây thiệt hại khoảng 1,89 tỷ USD, chiếm 52,5% tổng thiệt hại trong năm đó. Vào năm 2023, sẽ giảm đáng kể các sự cố bảo mật Tương tác chuỗi chéo.

Ở vị trí thứ năm là nền tảng thanh toán tiền điện tử, với tổng thiệt hại khoảng 97,3 triệu đô la trong 2 sự cố bảo mật (Alphapo và CoinsPaid), cả hai đều được Hacker chỉ ra cho tổ chức APT Bắc Triều Tiên Lazarus.

4. Số tiền tổn thất của mỗi chuỗi

**So với năm 2022, các loại chuỗi công khai bị tấn công vào năm 2023 cũng rộng rãi hơn, chủ yếu là do nhiều vụ rò rỉ khóa riêng CEX vào năm 2023, với tổn thất trên nhiều chuỗi. ** Năm người đứng đầu theo số lượng thiệt hại là Ethereum, Mixin, HECO, BNB Chain, TRON; năm cuộc tấn công hàng đầu theo số lượng là BNB Chain, Ethereum, Arbitrum, Polygon, Optimism và Avalanche (đồng hạng 5).

Như năm 2022, Ethereum vẫn là chuỗi công khai có mức lỗ cao nhất. 71 cuộc tấn công vào Ethereum đã gây ra thiệt hại 766 triệu đô la, tương đương 54,9% tổng thiệt hại trong năm.

Chuỗi Mixin đứng thứ hai về tổn thất, với một sự cố bảo mật duy nhất thiệt hại 200 triệu đô la. Ở vị trí thứ ba là HECO, với khoản lỗ khoảng 92,6 triệu USD.

Có 76 cuộc tấn công vào BNB Chain, chiếm 39,8% tổng số cuộc tấn công, số lượng tấn công cao nhất so với bất kỳ nền tảng chuỗi nào. Tổng thiệt hại trên BNB Chain là khoảng 70,81 triệu đô la, với phần lớn các sự cố (88%) tập trung dưới 1 triệu đô la.

5. Phân tích các phương pháp tấn công

So với năm 2022, các phương thức tấn công trong năm 2023 đa dạng hơn, đặc biệt là bổ sung đa dạng các phương thức tấn công Web2, bao gồm: tấn công cơ sở dữ liệu, tấn công chuỗi cung ứng, tấn công nhà cung cấp dịch vụ bên thứ ba, tấn công man-in-the-middle, tấn công DNS, tấn công front-end,… **

Trong năm 2023, 30 vụ vi phạm khóa cá nhân đã gây thiệt hại tổng cộng 627 triệu USD, chiếm 44,9% tổng thiệt hại, khiến chúng trở thành phương thức tấn công tốn kém nhất. Các vụ vi phạm Private Key gây thiệt hại lớn là: Poloniex (126 triệu USD), HTX &; Heco Bridge (110 triệu USD), CoinEx (70 triệu USD), Atomic Wallet (67 triệu USD) và Alphapo (60 triệu USD). Hầu hết các sự kiện này đều liên quan đến Lazarus, một nhóm APT Bắc Triều Tiên. **

Khai thác lỗ hổng hợp đồng là phương thức tấn công thường xuyên nhất, với 99/191 sự cố tấn công đến từ khai thác lỗ hổng hợp đồng, chiếm 51,8%. Tổng thiệt hại do vi phạm hợp đồng là 430 triệu USD, đây là số tiền thiệt hại lớn thứ hai.

Các lỗ hổng logic kinh doanh chiếm khoảng 72,7% tổn thất do các lỗ hổng hợp đồng gây ra, dẫn đến tổng thiệt hại khoảng 313 triệu đô la. Lỗ hổng hợp đồng lớn thứ hai là tái gia nhập, với 13 lỗ hổng tái xâm nhập gây thiệt hại khoảng 93,47 triệu đô la.

6. Phân tích các phương pháp tấn công trong các trường hợp điển hình

6.1 Tóm tắt sự cố bảo mật EulerFinance

Vào ngày 13 tháng 3, Euler Finance, một dự án cho vay trên chuỗi Ethereum, đã bị tấn công bởi một khoản vay chớp nhoáng, với khoản lỗ lên tới 197 triệu đô la.

Vào ngày 16 tháng 3, Quỹ Euler đã treo thưởng 1 triệu USD cho thông tin có thể giúp bắt giữ Hacker và trả lại số tiền bị đánh cắp.

Vào ngày 17 tháng 3, Michael Bentley, Giám đốc điều hành của Euler Labs, đã tweet rằng Euler “luôn là một dự án có ý thức về bảo mật”. Từ tháng 5/2021 đến tháng 9/2022, Euler Finance đã được kiểm toán 10 lần bởi 6 công ty bảo mật Blockchain, bao gồm Halborn, Solidified, ZK Labs, Certora, Sherlock và Omnisica.

Từ ngày 18/3 đến ngày 4/4, những kẻ tấn công bắt đầu lần lượt trả lại tiền. Trong thời gian này, kẻ tấn công đã xin lỗi thông qua các tin nhắn trên chuỗi, nói rằng anh ta đã “làm hỏng tiền của người khác, công việc của người khác và cuộc sống của người khác” và yêu cầu sự tha thứ của mọi người.

Vào ngày 4 tháng 4, Euler Labs đã tweet rằng những kẻ tấn công đã trả lại tất cả các khoản tiền bị đánh cắp sau một cuộc đàm phán thành công.

Phân tích lỗ hổng

Trong cuộc tấn công này, chức năng donateToReserve của hợp đồng Etoken đã không kiểm tra đúng số lượng Token thực sự được nắm giữ bởi người dùng và tình trạng sức khỏe của sổ cái của người dùng sau khi quyên góp. Một kẻ tấn công đã khai thác lỗ hổng này và quyên góp 100 triệu eDAI, trong khi thực tế kẻ tấn công chỉ đặt cược 30 triệu DAI.

Vì tình trạng sức khỏe của sổ cái của người dùng đáp ứng các điều kiện thanh lý sau khi quyên góp, hợp đồng cho vay được kích hoạt để thanh lý. Trong quá trình thanh lý, eDAI và dDAI được chuyển sang hợp đồng thanh lý. Tuy nhiên, do số nợ xấu rất lớn nên hợp đồng thanh lý sẽ áp dụng mức chiết khấu thanh lý tối đa. Khi kết thúc thanh lý, hợp đồng thanh lý có 310,93 triệu eDAI và 259,31 triệu dDAI.

Tại thời điểm này, tình trạng sức khỏe của sổ cái của người dùng đã được khôi phục và người dùng có thể rút tiền. Số tiền có thể rút là chênh lệch giữa eDAI và dDAI. Nhưng thực tế chỉ có 38,9 triệu DAI trong pool, vì vậy người dùng chỉ có thể rút số tiền này.

**6.2Vyper / Sự kiện bảo mật đường cong **

Tóm tắt sự kiện

Vào ngày 31 tháng 7, ngôn ngữ lập trình Ethereum Vyper đã tweet rằng các phiên bản Vyper 0.2.15, 0.2.16 và 0.3.0 có khóa và lỗ hổng reentrant. Curve nói rằng nhiều nhóm Stable Coin (CRV / alETH / msETH / pETH) sử dụng Vyper 0.2.15 đã bị tấn công, với tổng thiệt hại lên tới 73 triệu đô la và khoảng 52,3 triệu đô la sau đó đã được hacker trả lại.

Phân tích lỗ hổng

Cuộc tấn công này chủ yếu là do sự thất bại của khóa chống reentrant của Vyper 0.2.15, kẻ tấn công đã thêm Thanh khoản bằng chức năng thêm \ _liquidity lại khi gọi chức năng loại bỏ \ _liquidity của nhóm Thanh khoản có liên quan để loại bỏ Thanh khoản, vì cập nhật số dư trước chức năng thêm \ _liquidity của người nhập lại, dẫn đến lỗi trong tính toán giá.

7. Phân tích và đánh giá các sự kiện AML điển hình

**7.1 Vỏ bị đánh cắp Ví AtomicWallet **

Theo nền tảng giám sát rủi ro bảo mật, cảnh báo sớm và chặn EagleEye của Beosin, Atomic Wallet đã bị tấn công vào đầu tháng 6 năm nay và theo nhóm của Beosin, thiệt hại do cuộc tấn công gây ra ít nhất là khoảng 67 triệu USD.

Theo phân tích của nhóm Beosin, chuỗi liên quan đến vụ trộm cho đến nay bao gồm tổng cộng 21 chuỗi, bao gồm BTC, ETH và TRX. Các khoản tiền bị đánh cắp chủ yếu tập trung vào chuỗi Ethereum. Nơi:

Chuỗi Ethereum đã xác định được số tiền Vitual trị giá 16.262 ETH, khoảng 30 triệu USD.

TRON CHAINTRON CHAIN ĐƯỢC BIẾT LÀ ĐÃ ĐÁNH CẮP TIỀN TRONG 251335387.3208 TRX TRỊ GIÁ KHOẢNG 17 TRIỆU ĐÔ LA.

BTC Chain Các khoản tiền bị đánh cắp được biết đến của chuỗi BTC là 420.882 BTC trị giá Vitual Money, tương đương 12.6 triệu đô la.

Chuỗi BSC Chuỗi BSC được biết là đã đánh cắp số tiền trị giá 40,206266 BNB của Vitual Money.

Phần còn lại của chuỗi XRP: 1676015 XRP, khoảng 840.000 USD LTC: 2839.873689 LTC, khoảng 220.000 USD DOGE: 800575.67369797 DOGE, khoảng 50.000 USD

** Hãy lấy một ví dụ về rửa tiền trên chuỗi Ethereum **

Trong hoạt động của hacker trên số tiền bị đánh cắp, có hai cách chính để Ethereum bị tấn công:

Avalanche Cross-Chain InteractionRửa tiền sau khi phân kỳ thông qua hợp đồng

Theo phân tích của nhóm Beosin, trước tiên Hacker sẽ đổi các đồng tiền có giá trị trong Ví lấy đơn vị tiền tệ chính của chuỗi công khai, sau đó thu thập chúng thông qua hai hợp đồng.

Gói Địa chỉ hợp đồng ETH vào WETH thông qua quá cảnh hai lớp, sau đó chuyển WETH sang hợp đồng được sử dụng để phân kỳ ETH và chuyển nó sang WalletAddress của Avalanche cho Cầu chéo thông qua tối đa năm lớp trao đổi cho các hoạt động Tương tác chuỗi chéo, Tương tác chuỗi chéo không được thực hiện bằng hợp đồng và thuộc loại giao dịch kế toán nội bộ của Avalanche.

Sơ đồ liên kết Ethereum như sau:

Hợp đồng hội tụ 1:

0xe07e2153542eb4b768b4d73081143c90d25f1d58 Tổng cộng có 3357.0201 ETH liên quan

Hoán đổi sang WETH và chuyển sang hợp đồng 0x3c3ed2597b140f31241281523952e936037cbed3

Bản đồ chi tiết lộ trình hàng hóa bị đánh cắp như sau:

Hợp đồng hội tụ 2:0x7417b428f597648d1472945ff434c395cca73245 liên quan đến tổng cộng 3009.8874 ETH

Hacker chuyển đổi sang WETH và chuyển sang hợp đồng 0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

Bản đồ chi tiết lộ trình hàng hóa bị đánh cắp như sau:

Hai hợp đồng hội tụ được xác nhận bằng cách thỏa thuận về nguồn gốc của khoản phí và một số không có địa chỉ giao dịch ẩn. Đường dẫn phí như sau:

Ngoài ra, trên chuỗi Ethereum, Hacker còn rửa tiền thông qua các giao thức cầu nối và trao đổi tương tác chuỗi chéo khác nhau, và phần này hiện được tính là 9896 ETH và phần này sẽ được thu thập thông qua nhiều Địa chỉ tổng hợp.

Trong toàn bộ sự kiện, có rất nhiều kênh rửa tiền của HackerMoney, chủ yếu thông qua các tài khoản trao đổi khác nhau để rửa tiền và cũng có dòng tiền trực tiếp vào các hợp đồng cầu nối Tương tác xuyên chuỗi.

8. Phân tích dòng tiền của tài sản bị đánh cắp

Khoảng 723 triệu đô la trong số tiền bị đánh cắp cho cả năm 2023 vẫn còn ở HackerAddress (bao gồm chuyển khoản thông qua Tương tác chuỗi chéo và phân tán trên nhiều Địa chỉ), chiếm 51,8% tổng số tiền bị đánh cắp. Năm nay, Hacker có xu hướng sử dụng nhiều tương tác chuỗi chéo để rửa tiền và phát tán số tiền bị đánh cắp trên nhiều Địa chỉ so với năm ngoái. Sự gia tăng địa chỉ và sự phức tạp của các đường dây rửa tiền chắc chắn đã làm tăng khó khăn trong việc điều tra cho các bên dự án và cơ quan quản lý.

Khoảng 295 triệu đô la tiền bị đánh cắp đã được thu hồi, chiếm khoảng 21,1%. Năm 2022, chỉ có 8% số tiền được thu hồi. Việc thu hồi các quỹ bị đánh cắp vào năm 2023 tốt hơn đáng kể so với năm 2022, với phần lớn đến từ lợi nhuận đàm phán trên chuỗi.

Khoảng 330 triệu đô la tiền bị đánh cắp đã được chuyển đến các máy trộn trong suốt cả năm (khoảng 71,16 triệu đô la cho Tornado Cash và 259 triệu đô la khác cho các nền tảng trộn khác), chiếm 23,6% tổng số tiền bị đánh cắp. Đây là mức giảm đáng kể so với mức 38,7% của năm ngoái. Kể từ khi OFAC của Mỹ trừng phạt Tornado Cash vào tháng 8/2022, số tiền bị đánh cắp được chuyển sang Tornado Cash đã giảm đáng kể và được thay thế bằng sự gia tăng sử dụng các nền tảng trộn khác, chẳng hạn như Sinbad, FixedFloat, v.v. Vào tháng 11/2023, OFAC của Mỹ đã thêm Sinbad vào danh sách trừng phạt, gọi đây là “phương tiện rửa tiền chính của tổ chức Lazarus của Triều Tiên”.

Ngoài ra, một số lượng nhỏ tiền bị đánh cắp (12,79 triệu đô la) đã được chuyển đến sàn giao dịch và một số lượng nhỏ tiền bị đánh cắp (10,9 triệu đô la) đã bị đóng băng.

9. Phân tích kiểm toán dự án

Trong số 191 cuộc tấn công, 79 vụ không được kiểm toán và 101 vụ đã được kiểm toán. Tỷ trọng các dự án được kiểm toán năm nay cao hơn một chút so với năm ngoái (tỷ lệ các dự án được kiểm toán/chưa được kiểm toán năm ngoái gần như nhau).

**Lỗ hổng hợp đồng chiếm 47/79 dự án chưa được kiểm toán (59,5%). Điều này cho thấy các dự án chưa được kiểm toán có nhiều khả năng tiềm ẩn rủi ro bảo mật. **Để so sánh, 51 (50,5%) trong số 101 dự án được kiểm toán có sự cố lỗ hổng hợp đồng. Điều này cho thấy kiểm toán có thể cải thiện tính bảo mật của dự án ở một mức độ nhất định.

Tuy nhiên, do thiếu các tiêu chuẩn quy phạm được thiết lập tốt trong thị trường Web3, chất lượng kiểm toán không đồng đều và kết quả cuối cùng được trình bày đã không đạt được kỳ vọng. Để đảm bảo hiệu quả tính bảo mật của tài sản, bạn nên tìm một công ty bảo mật chuyên nghiệp để tiến hành kiểm toán trước khi dự án được khởi động. **

10. Phân tích RugPull

Trong năm 2023, nền tảng EagleEye của Beosin sẽ giám sát tổng cộng 267 sự cố Rug Pull trong hệ sinh thái Web3, với tổng số tiền khoảng 388 triệu USD, giảm khoảng 8,7% so với năm 2022.

Về giá trị, 233 (87%) trong số 267 sự cố Rug Pull dưới 1 triệu USD, tương đương với năm 2022. Tổng cộng có 4 dự án với số tiền hơn 10 triệu đô la Mỹ đã tham gia, bao gồm Multichain (210 triệu đô la Mỹ), Fintoch (31,6 triệu đô la Mỹ), BALD (23 triệu đô la Mỹ) và PEPE (15,5 triệu đô la Mỹ).

Các dự án Rug Pull trên BNB Chain và Ethereum chiếm 92,3% tổng số, với 159 và 81 tương ứng. Một số ít sự kiện Rug Pull cũng đã xảy ra trên các chuỗi công khai khác, bao gồm: Arbitrum, BASE, Sui, zkSync, v.v.

11, 2023 Dữ liệu tội phạm ngành công nghiệp tiền điện tử toàn cầu

Năm 2023, tội phạm ngành công nghiệp tiền điện tử toàn cầu đạt mức đáng kinh ngạc 65,688 tỷ USD, tăng khoảng 377% so với 13,76 tỷ USD vào năm 2022. Trong khi số lượng các cuộc tấn công hack trên chuỗi đã giảm đáng kể, tội phạm trong các lĩnh vực khác của Tài sản tiền điện tử đã tăng lên đáng kể. Sự gia tăng lớn nhất là cờ bạc trực tuyến, với 54,9 tỷ đô la tham gia. Tiếp theo là rửa tiền (khoảng 4 tỷ USD), gian lận (khoảng 2,05 tỷ USD), mô hình kim tự tháp (khoảng 1,43 tỷ USD) và tấn công Hacker (khoảng 1,39 tỷ USD).

Với sự cải thiện của hệ thống quản lý tiền điện tử toàn cầu và tăng cường trấn áp tội phạm Tài sản tiền điện tử, cảnh sát toàn cầu sẽ giải quyết một số vụ án lớn liên quan đến hàng trăm triệu đô la vào năm 2023. Dưới đây là đánh giá một số trường hợp điển hình:

Số 1Vào tháng 7/2023, cảnh sát Hồ Bắc của Trung Quốc đã phá vỡ “vụ án tiền Vitual đầu tiên” của nước này, liên quan đến 400 tỷ nhân dân tệ (khoảng 54,9 tỷ USD). Hơn 50.000 người đã tham gia vào vụ đánh bạc trực tuyến này, máy chủ được đặt bên ngoài Trung Quốc và thủ phạm chính Qiu Moumou và những người khác đã bị đưa ra xét xử theo quy định của pháp luật.

Thứ 2 Vào tháng 8/2023, chính quyền Singapore đã điều tra vụ rửa tiền lớn nhất từ trước đến nay, liên quan đến 2,8 tỷ đô la Singapore, rửa tiền chủ yếu thông qua Vitual Money.

Số 3 Vào tháng 3/2023, cảnh sát ở Giang Tô, Trung Quốc, đã đệ đơn khởi tố công khai vụ lừa đảo “Giao dịch tiền điện tử” của Ubank, liên quan đến sơ đồ kim tự tháp với khối lượng giao dịch hơn 10 tỷ nhân dân tệ (khoảng 1,4 tỷ USD).

Số 4Vào tháng 12/2023, theo một tuyên bố từ Văn phòng Luật sư Hoa Kỳ cho Quận Đông New York, người đồng sáng lập sàn giao dịch tiền Vitual Bitzlato đã nhận tội với cáo buộc rửa tiền trị giá 700 triệu USD.

Số 5 Vào tháng 7/2023, Cảnh sát Liên bang Brazil đã triệt phá hai băng nhóm tội phạm buôn bán ma túy, chuyển tổng cộng hơn 417 triệu USD và cung cấp dịch vụ rửa tiền thông qua tài sản tiền điện tử.

Số 6 Vào tháng 2/2023, người sáng lập Forsage đã bị truy tố vì cáo buộc 340 triệu USD trong Kế hoạch Ponzi Tài chính Phi tập trung, theo một bản cáo trạng từ bang Oregon của Mỹ.

Số 7 Vào tháng 11/2023, cảnh sát ở Himachal Pradesh, Ấn Độ, đã bắt giữ 18 người trong vụ lừa đảo tài sản tiền điện tử trị giá 300 triệu USD.

Số 8 Vào tháng 8/2023, cảnh sát Israel đã buộc tội doanh nhân Moshe Hogeg và các đối tác của ông lừa đảo các nhà đầu tư 290 triệu USD tài sản tiền điện tử.

Số 9 Vào tháng 6/2023, cảnh sát Thái Lan đã phá được một vụ án nghi ngờ gian lận tiền điện tử, có thể liên quan đến hơn 10 tỷ baht (khoảng 288 triệu USD).

Số 10 Vào tháng 10/2023, JPEX, một sàn giao dịch tài sản ảo ở Hồng Kông, Trung Quốc, bị nghi ngờ lừa đảo và cảnh sát đã bắt giữ tổng cộng 66 người, liên quan đến khoảng 1,6 tỷ đô la Hồng Kông (khoảng 205 triệu USD).

Năm 2023 là một năm gia tăng các vụ án tội phạm về Tài sản tiền điện tử. Sự xuất hiện thường xuyên của gian lận và sơ đồ kim tự tháp cũng có nghĩa là xác suất người dùng thông thường bị mất tài sản đã tăng lên rất nhiều. Do đó, việc tăng cường quy định của ngành Tài sản tiền điện tử là rất cấp bách. Chúng ta có thể thấy rằng các nhà quản lý toàn cầu đã thực hiện rất nhiều nỗ lực để điều chỉnh Tài sản tiền điện tử trong năm nay, nhưng vẫn còn một chặng đường dài để đi từ một hệ sinh thái hoàn chỉnh, an toàn và tích cực. **

12. Tóm tắt bối cảnh bảo mật blockchain Web3 vào năm 2023

Trong năm 2023, các cuộc tấn công Hacker on-chain, lừa đảo và sự cố Rug Pull về phía dự án đều giảm đáng kể so với năm 2022. Các cuộc tấn công của hacker đã mất 61,3% và phương thức tấn công tốn kém nhất đã thay đổi từ khai thác hợp đồng năm ngoái sang rò rỉ khóa riêng tư năm nay. Những lý do chính cho sự thay đổi này bao gồm:

1. Sau hoạt động Hacker tràn lan năm ngoái, năm nay toàn bộ hệ sinh thái Web3 đã quan tâm nhiều hơn đến vấn đề bảo mật, từ các bên dự án đến các công ty bảo mật đã nỗ lực ở nhiều khía cạnh khác nhau, chẳng hạn như giám sát on-chain theo thời gian thực, chú ý nhiều hơn đến kiểm toán bảo mật và tích cực học hỏi từ các sự cố khai thác lỗ hổng hợp đồng trong quá khứ. Điều này đã khiến việc đánh cắp tiền thông qua các lỗ hổng hợp đồng trở nên khó khăn hơn so với năm ngoái. **

2. Tăng cường quy định toàn cầu và cải tiến công nghệ AML. Có thể thấy rằng 21,1% số tiền bị đánh cắp đã được thu hồi vào năm 2023, tốt hơn đáng kể so với năm 2022. ** Với các nền tảng hỗn hợp như Tornado Cash, Sinbad và các nền tảng khác đang bị Hoa Kỳ trừng phạt, con đường rửa tiền cho Hacker cũng đang trở nên phức tạp. Đồng thời, chúng tôi cũng đã thấy tin tức về việc Hacker bị cảnh sát địa phương bắt giữ, điều này có tác dụng răn đe nhất định đối với Hacker. **

3. Tác động của thị trường gấu tiền điện tử vào đầu năm. Tin tặc những lợi ích mong đợi của việc có thể đánh cắp tài sản từ các dự án Web3 suy giảm, làm suy yếu hoạt động của hacker. Điều này cũng dẫn đến việc Hacker không còn bị giới hạn trong việc tấn công các loại như Tài chính phi tập trung, Tương tác chuỗi chéo, sàn giao dịch, v.v., mà chuyển sang nền tảng thanh toán, nền tảng trò chơi, môi giới tiền điện tử, cơ sở hạ tầng, trình quản lý mật khẩu, công cụ phát triển, bot MEV, bot TG và các loại khác.

Không giống như sự sụt giảm mạnh trong hoạt động của Hacker trên chuỗi, các hoạt động tội phạm bí mật ngoài chuỗi hơn như cờ bạc trực tuyến, rửa tiền, kế hoạch kim tự tháp, v.v. đã tăng đáng kể. Do tính ẩn danh của Tài sản tiền điện tử, tất cả các loại hoạt động tội phạm đều có xu hướng sử dụng Tài sản tiền điện tử cho các giao dịch. Tuy nhiên, sẽ là một chiều khi quy kết sự gia tăng các trường hợp tội phạm Vitual Money chỉ do Ẩn danh và quy định không đầy đủ về Tài sản tiền điện tử. **Nguyên nhân sâu xa là sự gia tăng hoạt động tội phạm toàn cầu và Vitual Money cung cấp một kênh tài trợ tương đối ẩn và khó theo dõi cho các hoạt động tội phạm này. ** Năm 2023, sự suy giảm đáng kể trong tăng trưởng kinh tế toàn cầu và một số bất ổn trong môi trường chính trị đã góp phần làm gia tăng hoạt động tội phạm toàn cầu. **Chống lại kỳ vọng kinh tế này, hoạt động tội phạm toàn cầu dự kiến sẽ vẫn ở mức cao vào năm 2024, đặt ra một thử thách nghiêm trọng cho các cơ quan thực thi pháp luật và cơ quan quản lý trên toàn thế giới. **