La società di sicurezza Web 3 Beosin ha recentemente pubblicato il suo rapporto sulla sicurezza Web 3 del secondo trimestre 2022, analizzando gli ultimi hack e exploit che hanno un impatto sulla sfera blockchain. Ha scoperto che in quel periodo sono stati persi oltre 718 milioni di dollari a causa di schemi correlati, la maggior parte dei quali si è verificata nello spazio defi.
Scomporre i numeri
Il rapporto – prodotto in collaborazione con Footprint Analytics – citava 48 grandi “attacchi” come responsabili di tali perdite. Questi attacchi erano tutt'altro che uguali: tre da soli ( Beanstalk Farms , Elrond e Harmony ) hanno causato ciascuno oltre 100 milioni di dollari di perdite, con 28 tra 1 milione e 10 milioni di dollari persi.
Le perdite dell'ultimo trimestre sono tecnicamente un calo del 40% rispetto ai quasi 1,2 milioni di dollari persi nel primo trimestre del 2022, ma sono comunque un aumento di 2,42 volte rispetto ai 296,56 milioni di dollari persi nel primo trimestre del 2021. Inoltre, le perdite nel primo trimestre del 2022 sono state probabilmente dominate dal famigerato ponte Ronin hack , che ha fruttato oltre $ 600 milioni per l'attaccante.
I dati mostrano che aprile è stato il mese più attivo per l'hacking, con "19 gravi incidenti di sicurezza" e oltre 374 milioni di dollari persi. Le perdite sono diminuite significativamente a maggio insieme al prezzo di Bitcoin, ma hanno registrato un aumento interessante a giugno nonostante il continuo calo del mercato.
"Tutte le catene e i progetti attaccati hanno visto una significativa diminuzione dei valori TVL a maggio", si legge nel rapporto. "La maggior parte dei progetti ha subito una diminuzione del TVL subito dopo essere stati attaccati".
Gli attacchi più comuni
La finanza decentralizzata (defi) era l'obiettivo schiacciante tra gli hacker di Web 3. Defi consente agli utenti di criptovalute di accedere a servizi finanziari come prendere in prestito e prestare in modo decentralizzato utilizzando programmi di contratto intelligente auto-esecuzione.
Circa il 79,2% degli attacchi si è verificato in questo spazio nell'ultimo trimestre, rappresentando il 63,3% delle perdite. Il metodo di attacco più comune consisteva nello sfruttare le vulnerabilità nel codice degli smart contract, guadagnando agli hacker 138 milioni di dollari in totale. Questi comprendevano il 45,8% degli attacchi, rispetto al 50% degli attacchi nel primo trimestre.
Il successivo metodo di attacco più comune prevedeva l'uso di prestiti flash, prestiti defi che non richiedono garanzie ma devono essere rimborsati in breve tempo. Gli hacker spesso utilizzano prestiti flash per accumulare un ampio controllo sul token di governance di un determinato protocollo, consentendo loro di passare modifiche dannose al protocollo. Tali attacchi hanno fruttato 233 milioni di dollari nel secondo trimestre, più di qualsiasi altro metodo di hacking.
Altri 131,15 milioni di dollari sono andati persi a causa delle chiavi private compromesse, intorno alle quali la sicurezza "continua a essere un problema".
Secondo quanto riferito, il 52% dei progetti attaccati era stato sottoposto ad audit. I progetti controllati rappresentavano ancora la stragrande maggioranza (76,2%) dei fondi rubati.
Catena BNB: il re degli hack
In qualità di re della definizione di lunga data, Ethereum ha registrato perdite per 381,35 milioni di dollari lo scorso trimestre, più di qualsiasi altra catena. Secondo Defi Llama, quasi 48 miliardi di dollari sono ancora bloccati nei protocolli defi su Ethereum, su 77,11 miliardi di dollari nell'intero ecosistema.
La rete ha visto un significativo recupero della quota di mercato di defi dopo il crollo di Terra, l'ex rete defi numero 2. Il nuovo secondo classificato è Binance Smart Chain (BSC; alias BNB Chain), che detiene solo $ 6,21 miliardi bloccati.
Tuttavia, se suddivisa in base al volume degli attacchi principali, la catena BNB ne ha rappresentato 26, più della metà. La catena si unisce a Ethereum, Fantom e Cronos per aver subito gravi attacchi per due quarti di fila. Al contrario, Solana è stata colpita con $ 374 milioni di perdite in due exploit nel primo trimestre ma non ha subito attacchi importanti nel secondo trimestre.
Non sorprende che oltre la metà dei fondi rubati nel secondo trimestre ($ 418,89 milioni) siano stati trasferiti a Tornado Cash, un servizio di mixaggio di criptovalute che aiuta i ladri a coprire le loro tracce sulla blockchain. Di questi fondi, sono stati recuperati 131 milioni di dollari di attività.