SharkTeam:2023年第一季度Web3安全报告
作者: 日期:2023年04月06日 阅:2,398

根据SharkTeam链上分析平台ChainAegis数据显示,2023年第一季度Web3领域共发生了211起安全事件,日均发生2.34起,损失金额超过3.83亿美元,安全事件依旧呈现高发态势,数量相较于2022年第四季度增长了近62.3%。

在本季度中,合约漏洞与Rug Pull事件与前几个季度数量上变化不大,其他类安全事件较2022年第四季度上涨了142.18%。安全事件类型呈多样性,黑客攻击手段愈发丰富,攻击手法层出不穷。

一、  合约漏洞

2023年第一季度因合约漏洞造成的安全事件共25起,累计造成超过3.62亿美元的资金损失。3月13日,DeFi借贷协议Euler Finance遭到攻击,据统计,Euler Finance在本次黑客闪电贷攻击事件中的受损金额约为1.97亿美元,为本季度因合约漏洞损失最严重的一起安全事件。据Euler官方推特报道,目前被盗资金已被攻击者全部成功归还。攻击者主要使用闪电贷+逻辑漏洞的方法,利用闪电贷,之后叠加两次杠杆借贷后通过将资金直接捐赠给储备地址来触发清算逻辑,最后套利出之前剩余的所有资金并获利;2月2日,BonqDAO AllianceBlock因智能合约漏洞被黑客攻击,损失约1.2亿美元。此次攻击的根本原因在于攻击者利用预言机报价所需抵押物的成本远低于攻击获得利润从而通过恶意提交错误的价格操控市场并清算其他用户。本季度其他因合约漏洞造成的安全事件损失具体如下:

2023年第一季度合约安全漏洞包括:逻辑漏洞、重入攻击、权限漏洞、价格操控及其他。由逻辑漏洞造成的安全事件占比依旧最高,达32%,2月17日发生的Platypus Finance攻击事件也是利用逻辑漏洞进行攻击。逻辑漏洞在合约安全审计阶段是可以被发现的,项目方上线前应该选择专业的第三方专业审计机构进行审计,减少因合约漏洞造成的损失。

权限漏洞指合约在检查授权时存在纰漏,使得攻击者在获得低权限用户账户后,利用一些方式绕过权限检查,窃取更高的操作权限。2023年第一季度因权限漏洞造成损失的安全事件占比28%,BNB Chain上项目LaunchZone的早期合约Bscex SwapX存在漏洞,致近780万美元资金被盗,超3.4万个地址面临风险,此次损失主要是由于早期项目漏洞,许多用户一直未取消授权导致的。

闪电贷攻击事件仍旧时有发生,造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等等。价格操控类合约漏洞事件较去年比例明显上涨,在本季度中已达24%,重入攻击事件占比有所下降为8%。2月11日,dForce被攻击,攻击者获利约365万美金,在本次事件中,黑客同时利用重入攻击及价格操控,在wstETH/ETH Pool中移除Native代币后燃烧LP,触发Native代币回调来重入操作虚拟价格并清算其他用户获利。

二、  Rug pull

2023年第一季度Rug pull事件共有30起,累计造成超过2024.24万元的资金损失。据ChainAegis链上监测数据显示,3月27日,ETH链上Kokomo Finance(KOKO)系退出骗局项目,部署者窃取了约400万美元的用户资金,是本季度损失最严重的一起Rug pull事件。此外,本季度出现4起大额Rug pull事件,包括FCS、CirculateBUSD、Hope Finance及TwitFi事件,损失金额均超过1500万美元。

项目方诈骗仍主要集中于BSC链,少数发生在ETH、Polygon和其他平台上。

三、  其他风险

2023年第一季度其他类型的安全事件共发生了155起,其中钓鱼攻击发生74次,占比达48%。其次为discord服务器攻击,共发生59起,占比38%,其他类型事件占比均在5%以下。本季度钓鱼攻击事件发生笔数激增,约为上一季度的5.71倍,多数以模仿项目方官方Twitter账号发布虚假钓鱼地址进行诈骗(如将L与i进行替换),通常此类账号创建时间均比官方早,且账号一般不允许用户进行评论。因此,在进行项目投资前,一定要擦亮眼睛,认准官方账号,避免因小失大。

3月30日,POAP创始人Patricio Worthalter地址遭网络钓鱼攻击,损失约383万美元。

3月25日,@arbitrum Discord服务器遭受攻击。

3月17日,@HEX__crypto是伪造官方@HEXcrypto的Twitter帐户,向用户发送钓鱼链接hxxps://hex.web3application.org/。

2月21日,NFT项目CyberBotsNFT推广一种会耗尽钱包资金的假Mint活动,请勿点击发布的链接或与其交互以免造成损失。

2月21日,gitcoin项目Discord存在冒充团队成员的机器人发布了虚假空投公告。

2月8日,LianGo项目方私钥泄露,损失约126万美元。

不断变化和丰富的攻击手段反映出黑客、诈骗分子的欺诈和入侵手段正在不断演进。因此,用户对风险更要时刻保持敬畏,杜绝贪婪和侥幸心理,时刻保持警惕,避免资产损失。

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章