2024年Q1 Web3区块链安全态势、反洗钱分析回顾（一）

本章作者：Beosin 研究团队Mario、田大侠Donny

据 Beosin Alert 监控及预警显示，2024 年第一季度 Web3 领域因黑客攻击、钓鱼诈骗和项目方 Rug Pull 造成的总损失达到了 7.78 亿美元。其中主要攻击事件 39 起，总损失金额约 6.17 亿美元；项目方 Rug Pull 事件 43 起，总损失约 7550 万美元；钓鱼诈骗总损失金额约 8624 万美元。

2024 年第一季度总损失约 7.78 亿美元，同比增长约 126%，环比增长约 72%。其中黑客攻击事件损失金额高于 2023 年的任何一个季度。

2 月的总损失金额达到了 4.22 亿美元，为 2024 年第一季度损失金额最高的月份。

从被攻击项目类型来看，游戏平台首次成为损失金额最高的项目类型。6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失，占所有攻击损失金额的 59%。

从各链损失金额来看，Ethereum依旧为损失金额最高、攻击事件最多的链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失，占到了总损失的 55.4%。

从攻击手法来看，本季度共发生 13 次私钥泄露事件，造成损失达到了 4.58 亿美元，占到了总攻击损失金额的 74.3%，是占比最高的攻击类型。

从资金流向来看，本季度大部分被盗资产被冻结和追回。约有 3.03 亿美元（49.2%）被盗资金被冻结，7945 万美元（12.9%）被盗资金被追回。

从审计情‍‍况来看，被攻击的项目中，经过审计的项目方比例有所增加。

39 起主要攻击事件共造成损失 6 亿 1670 万美元

2024 年第一季度，Beosin Alert 共监测到 Web3 领域主要攻击事件 39 起，总损失金额达 6 亿 1670 万美元。其中损失金额超过 1 亿美元的安全事件共 2 起，损失在 1000 万美元 - 1 亿美元区间的事件共 5 起，100 万美元 - 1000 万美元区间的事件 21 起。

损失金额超过千万美元的攻击事件（按金额排序）：

● PlayDapp - 2.9 亿美元    

攻击方式：私钥泄露 链平台：Ethereum

2 月 9 日，区块链游戏平台 PlayDapp 遭到攻击，黑客地址铸造了 2 亿枚 pla 代币，价值 3650 万美元。而后 PlayDapp 与黑客谈判失败，黑客于 2 月 12 日又铸造了 15.9 亿枚 PLA 代币，价值 2.539 亿美元，并将部分资金发送到 Gate.io 交易所。事后项目方将 PLA 合约暂停，并将 PLA 代币迁移到了 PDA 代币。

● Chris Larsen (Ripple联合创始人) - 1.12 亿美元

攻击方式：私钥泄露 链平台：XRP

1 月 31 日，Ripple 联合创始人Chris Larsen 表示，自己的四个钱包遭到黑客攻击，共计被盗约 1.12 亿美元。币安团队已成功冻结了攻击者窃取的价值 420 万美元的 XRP。

● Munchables - 6230 万美元

攻击方式：社会工程学 链平台：Blast

3 月 26 日，基于 Blast 的 Web3 游戏平台 Munchables 遭遇攻击，损失约 6250 万美元。疑似项目方因雇佣朝鲜黑客为开发者而遭受攻击。事后所有被盗资金已由黑客归还。

● FixedFloat - 2610 万美元

攻击方式：安全结构漏洞 链平台：Ethereum

2月17日，加密交易所 FixedFloat 遭遇攻击，损失约 2610 万美元，黑客已将大部分被盗资金转移到了 eXch 交易所。2月20日，FixedFloat表示，此事攻击”不是我们的员工所为，而是一次由我们安全结构漏洞引起的外部攻击“。

● Curio Ecosystem - 1600 万美元

攻击方式：合约漏洞 - 访问控制漏洞 链平台：Ethereum

3 月 23 日，RWA 基础设施 Curio Ecosystem 遭受攻击，损失约 1600 万美元。

● Somesing - 1158 万美元

攻击方式：私钥泄露 链平台：Klaytn

1 月 27 日，韩国 Web3 社交音乐服务遭受攻击，损失了 7.3 亿枚原生代币SSX，价值 1158 万美元。

● Jihoz.ron (Ronin联合创始人) - 1000 万美元

攻击方式：私钥泄露 链平台：Ronin

2 月 23日，Ronin 联合创始人 jihoz.ron 的两个地址因私钥泄露损失约 1000 万美元。

游戏平台首次成为损失金额最高的项目类型

本季度损失最高的项目类型为游戏平台，6 次针对 Web3 游戏平台的攻击共造成了 3.65 亿美元的损失，占所有攻击损失金额的 59%。游戏平台首次成为损失金额最高的被攻击项目类型。

排在第二位的受害者类型为个人钱包。两次个人钱包被盗事件造成了 1.225 亿美元的损失。这两起个人钱包被盗事件均为知名项目方联合创始人被盗（Ripple 联创和 Ronin 联创）。

39 次黑客攻击事件中，共有 17 起事件发生在 DeFi 领域，占比约 43.6%。这 17 次 DeFi 攻击事件共导致了 3996 万美元的损失，排在所有项目类型的第三位。

其他被攻击的项目类型还包括：DEX、基础设施、支付平台、Web3音乐平台等。

Ethereum为损失金额最高、攻击事件最多的链

和 2023 年相同的是，Ethereum 依旧是损失金额最高的公链。18 次 Ethereum 上的攻击事件造成了 3.42 亿美元的损失，占到了总损失的 55.4%。

损失金额排名第二的公链为 XRP，来自一次 Ripple 联合创始人Chris Larsen 钱包被盗事件。

损失金额排名第三的公链为 Blast 。3 次 Blast 链上的攻击事件共造成 6750 万美元的损失。Blast 链在各大新兴公链中损失金额排名第一位。

本季度 BNB Chain 仅发生了 4 次主要安全事件，损失约 801 万美元，损失金额和事件数量排名都较 2023 年大大下降。

74.3%的损失金额来自私钥泄露事件

本季度共发生 13 次私钥泄露事件，造成损失达到了 4.58 亿美元，占到了总攻击损失金额的 74.3%。和 2023 年相同，私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有：PlayDapp（2.9 亿美元）、Ripple 联合创始人 Chris Larsen（1.12 亿美元）、Somesing（1158 万美元）、Ronin 联合创始人 Jihoz.ron（1000 万美元）。

39 起攻击事件中，有 21 起来自合约漏洞利用，总损失达 6556 万美元，排名第二。

损失金额排名第三的攻击手法为社会工程学攻击，3 次社会工程学攻击造成损失约 6500 万美元。

按照漏洞细分，造成损失前三名的漏洞分别为：算法缺陷（2278万美元）、访问控制漏洞（1632万美元）、业务逻辑漏洞（1128万美元）。出现次数最高的漏洞分别为业务逻辑漏洞，21 起合约漏洞攻击中有 7 次是业务逻辑漏洞。

Atom Asset (AAX) 逃避反洗钱（AML）分析

近期，一家已倒闭的香港交易所 Atom Asset (AAX) 开始将资金从其钱包转移到各种去中心化交易所和中心化平台，据称是为了逃避反洗钱（AML）控制。在被发现之前，最后一次已知的涉及 AAX 交易所钱包的交易发生在 2023 年 10 月和 2022 年 11 月。在倒闭之前，AAX 是香港最大的加密货币交易所之一，拥有超过 200 万用户。

根据Beosin团队的分析，发现自2024年1月29日起，AAX交易所开始将25100枚ETH从其交易所钱包向外转移，其中转移资金共分了三笔，分别是一笔500ETH、一笔600ETH、一笔24000ETH。转移资金根据当前价格换算超7400万美元。

AAX交易所事件来龙去脉

2022 年 11 月 13 日，就在加密货币交易所 FTX 申请破产后两天，AAX 也因交易对手风险暴露而停止提款并清除了所有社交渠道。最初，AAX 将冻结归因于针对涉嫌恶意攻击的安全措施。

2022年11月15日，AAX交易所发布声明表示其平台需要进行维护，除暂停提现外，将对衍生品进行自动清算。此后，AAX停止了平台运行和社交媒体的更新。

而蹊跷的事就在于：沉寂426天后，AAX交易所钱包开始活动，开始有大额资金开始转出至其它地址，尝试躲避AML工具的识别和监控！

link: https://etherscan.io/address/0x56c1319b31a5316a327bd889d58c8633b204536c

AAX交易所事件链上资金分析

Beosin KYT反洗钱分析平台对AAX交易所钱包近期的链上活动进行了深入研究，发现了一系列风险活动。首先，所有的25100枚ETH已被转移，操作人员采取了各种手段将部分ETH兑换为USDT，然后通过跨链桥将资金转移到不同的区块链上，以进行资金的清洗。

Beosin KYT反洗钱平台

其中，大部分资金被转移到了Tron区块链上，并通过一些地址进行中转，然后沉淀在某些地址中，未曾转移。这种行为表明了明显的逃避AML的企图，试图掩盖资金的真实来源和去向。

Beosin KYT反洗钱平台

香港警方针对诈骗活动迅速采取行动，逮捕了两名与AAX相关的人员，目前正在努力绘制转移资金的路径并找回受影响用户的资产。

AAX交易所利用去中心化交易所、加密货币兑换和跨链桥等技术手段，试图模糊资金流动的路径和来源。这为监管机构和AML分析平台带来了巨大的挑战。

大部分被盗资产被冻结和追回

据 Beosin KYT 反洗钱平台分析显示，2024 年第一季度被盗的资金中，约有 3.03 亿美元（49.2%）被盗资金被冻结，7945 万美元（12.9%）被盗资金被追回。该比例大大高于 2023 年。

约有 1.055 亿美元的被盗资金转入了各交易所，占比约 17.1%。和 2023 年相比，今年黑客向交易所转入被盗资金的比例大幅增加。这为交易所反洗钱和合规提出了更高的要求。

共有 3012 万美元（4.9%）转入了混币器：2990 万美元转入了 Tornado Cash；21.6 万美元转入了其他混币器。和去年相比，2024年第一季度通过混币清洗的被盗资金大幅减少。

经过审计的项目方比例有所增加

39 起攻击事件里，有 12 起事件的项目方没有经过审计，24 起事件的项目方经过了审计。经过审计的项目方比例略高于 2023 年，这表明整个 Web3 行业项目方对安全的重视程度提高了。

12 个没有经过审计的项目中，合约漏洞事件占了8起（66.7%）。相比之下，24 个经过审计的项目中，合约漏洞事件占了 13 起（54.2%）。这显示出审计在一定程度上能够提高项目的安全性。

43 起 Rug Pull 事件共损失 7550 万美元

2024 年第一季度，共监测到项目方 Rug Pull 事件 43 起，涉及金额达 7550 万美元。

损失金额排名前5的Rug pull事件为：Bitforex（5650万美元）、Hector Network（270万美元）、MangoFarm（200万美元）、OrdiZK（140万美元）、RiskOnBlast（130万美元）。这 5 起 Rug Pull 事件分布在 Ethereum、Fantom、Solana 和 Blast 四条链。

Ethereum 链上总共 Rug Pull 涉及金额达到了5968万美元，占总损失的79%。BNB Chain 链上发生了最多的 Rug Pull 事件，共 29 次，占总事件数量的 67.4%。

和上个季度相比，2024 年第一季度因黑客攻击、钓鱼诈骗、项目方 Rug Pull 造成的总损失大幅上升，达到了 7.78 亿美元。本季度币价上涨因素对总金额的增加有一定的影响，但总体而言，Web3 安全领域形势依旧不容乐观。

本季度造成危害最大的攻击类型为私钥泄露，约 74.3% 的损失金额来自私钥泄露事件，这一趋势和 2023 年数据一致。从项目类型来看，私钥泄露事件遍布于Web3各个领域：游戏平台、DeFi、个人钱包、基础设施、NFT、支付平台、博彩平台、数据存储平台等。各个Web3项目方/个人用户都需要提高警惕，离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。

本季度大部分资产被冻结和追回，这标志着全球监管体系的完善和反洗钱力度的加强。本季度黑客向交易所转入被盗资金的比例也大幅增加，这需要交易所及时识别黑客行为，积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果，相信未来会有更多被盗资金能够追回。

本季度 39 起攻击事件中，依然有 21 起来自合约漏洞利用，建议项目方在上线前寻求专业的安全公司进行审计。