SharkTeam:8月Web3安全报告
作者: 日期:2022年09月15日 阅:1,693

根据SharkTeam链上分析平台ChainAegis数据,2022年Web3世界已累计共发生了超375起安全事件,因合约漏洞和项目诈骗所造成的资产损失已达到约23.4亿美元。

8月,Web3安全事件依旧高居不下。根据ChainAegis平台数据显示,该月发生的安全事件超过45起,与上月相比增加了12起,造成的损失金额约为2.4亿美元,安全事件频发。

通过安全事件类型的数量占比可以看到,项目方诈骗的情况仍然很严重,这表明大部分投资者还是存在较大的投机侥幸心理,在进行项目投资之前未能对项目的真实价值进行辨别。

一、合约漏洞

8月因合约漏洞造成的安全事件共有11起,其中包括跨链桥协议被攻击、闪电贷攻击等,据统计8月份累计造成超2亿美元的资金损失。部分损失如下图:

闪电贷攻击事件时有发生,造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等。

8月因逻辑漏洞造成的安全事件发生了3起,其中单次金额损失最高的是8月2日Normad跨链通讯协议被攻击事件。Normad TVL在3个小时内从1.6亿美元流失到仅为1794美元。

建议项目方在开发过程中,对合约代码要保持谨慎之心。尤其是在鉴权、传参、升级合约时,不仅要保证状态变量的正确性,也要保证逻辑处理没有漏洞。另外,选择专业的智能合约审计团队进行审计,也是提高合约安全性的重要保障。

二、项目方诈骗

8月因项目方诈骗造成的安全事件共有15起,主要以Rug Pull为主。项目方诈骗分为:资金盘—庞氏骗局、貔貅盘—只能买进不能卖出、杀猪盘、土狗币、Rug Pull等。部分损失如下图:

其中8月28日造成的资金损失最为严重,MRV代币发生Rug Pull,下跌超92%,部署人员已将9600万枚MRV转移到营销钱包相关联的EOA。

诈骗项目发生在BSC链的较多,占40%。

在今年发生Rug Pull事件的项目中,项目创建时间为3个月以内的占52%,而创建时间为一年的项目发生Rug Pull的概率只有5%。由此可见,项目创建的时间越长,发生Rug Pull的事件的概率越小。

识别项目方诈骗其实并不难。首先,投资有风险,入市需谨慎,在投资一个项目前先深入了解和研究它;其次,保持独立分析和判断的能力,不要被网络言论影响判断,要关注项目本身;最后,天上不会掉馅饼,贪婪是一切投资悲剧的罪魁祸首,做到理性评估风险和收益。

三、其他风险

8月其他类型的安全事件共有22起。其中前端遭受攻击、池配置错误、疑似Bug事件、空投骗局事件各占4.5%,网络钓鱼攻击占82%。

8月13日,NFT项目Daisuki的Discord服务器遭到攻击,并发布钓鱼链接。类似于这种的网络钓鱼攻击,本月共发生了18起。网络钓鱼诈骗通常针对在线钱包相关的信息。作为网络钓鱼页面:在网页里,植入相关代码,一旦你输入详细信息,例如你的加密钱包的密码和助记词以及其他财务信息时,很大可能导致资金落入诈骗者手中。网络钓鱼类的安全事件之所以很多,一方面是攻击手法简单容易操作,另一方面是所涉及的用户几乎没有技术背景因此更加容易被骗。

8月14日波卡生态DeFi平台Acala由于iBTC/aUSD流动性池配置错误,导致大量aUSD的错误开采。该配置错误现已被纠正,收到错误铸造的aUSD的钱包地址已被确定,Acala正在对这些地址进行链上追踪。

与此同时,Web2的攻击事件在Web3领域仍有发生。

8月18日,Celer Network的跨链桥cBridge前端遭到DNS劫持攻击,呼吁用户暂时不要使用前端进行资产跨链,并已下线cBridge前端。此次事件损失约24万美元。

8月31日,推特帐户@WJahitucker被黑客劫持,黑客使用其冒充NFT交易市场LooksRare的帐户,并发布空投骗局。

以上分析充分表明,Web3世界不仅充斥着合约漏洞等技术风险,也充斥着诈骗、钓鱼、社工等欺诈风险。用户对风险要时刻保持敬畏,杜绝贪婪和侥幸,需时刻保持警惕,深入研究项目本质。另外,希望用户在进行投资和项目考察的过程中也要多学习区块链相关知识,尽可能减少自己的潜在损失。同时也要保管好自己的私钥,避免发生因自己私钥保存不当而发生资金被盗事件。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章