Что произошло? По данным исследования аудиторской блокчейн-компании Beosin, в третьем квартале ущерб сектору Web 3.0 от хакерских атак, фишингов и мошеннических схем достиг 889,27 миллионов долларов. Из этой суммы 540,16 миллионов долларов пришлось на взломы, 66,15 миллионов долларов на фишинг и 282,96 миллионов долларов на мошенничество. Интересно, что ущерб, нанесенный с июля по сентябрь, превысил общий уровень потерь за первые два квартала 2023 года, которые составили 330 и 333 миллиона долларов соответственно.
Отчет Beosin также показал, что наиболее часто атаки направлены на проекты в сфере децентрализованных финансов (DeFi), которые составили 67,4% всех инцидентов в третьем квартале. Ethereum понес наибольший ущерб, сумма которого составила 227 миллионов долларов из-за 16 атак. В топ-5 блокчейнов с наибольшим количеством инцидентов также вошли BNB Chain (10), Arbitrum (3), Bitcoin (2) и Base (2).
Злоумышленники получили наибольшую прибыль от утечки секретных ключей, в результате чего им удалось украсть 223 миллиона долларов. Затем идут взломы облачных баз данных и эксплойты смарт-контрактов.
Интересно, что как аудитированные, так и непроверенные независимыми экспертами проекты стали жертвами атак примерно в равной степени. К тому моменту, как квартал завершился, удалось восстановить всего лишь 10% от общей суммы ущерба.
Самым крупным инцидентом в этот период стал взлом базы данных поставщика облачных услуг Mixin Network 25 сентября, что привело к ущербу в размере 200 миллионов долларов. Затем следует атака на DeFi-протокол Curve 30 июля, которая произошла из-за уязвимости старой версии компилятора Vyper и привела к потерям в 73 миллиона долларов. Однако хакер позднее вернул около 52,3 миллиона долларов. Третьей по величине стала кража 70 миллионов долларов с горячего кошелька криптобиржи CoinEx из-за утечки закрытого ключа 12 сентября. По данным Beosin, это действие было совершено группировкой хакеров Lazarus из Северной Кореи.
Также, к Lazarus относятся следующие по величине атаки: взлом горячих кошельков платежного сервиса Alphapo 23 июля и беттинговой платформы Stake com 4 сентября, в результате которых были украдены 60 и 41,3 миллиона долларов соответственно, а также взлом платежной платформы CoinsPaid на 37,3 миллиона долларов.
Список проектов с наибольшим ущербом также включает поставщика блокчейн-инфраструктуры Fortress IO, который потерял 15 миллионов долларов из-за взлома стороннего облачного поставщика, и кроссчейн-протокол Polynetwork, где утечка закрытого ключа позволила хакеру заработать 10,1 миллионов долларов.