WEB3.0:Certik：2023年第一季度Web3.0行業安全報告

概要

●?2023?年第一季度，惡意行為者從Web3.0?協議中盜取了超過?3.2?億美元的價值。

●?這個數字約為?2022?年第四季度?9.5?億美元資產損失的的三分之一，約為?2022?年第一季度?13?億美元資產損失的四分之一。

●?2023?年第一季度，僅僅一個安全事件就造成了超過?60%?的損失——?1.97?億美元的?EulerFinance?漏洞事件。

●?90?起退出騙局的“幕后黑手”共計盜取約?3100?萬美元資產，而?52?起閃電貸攻擊及預言機操縱漏洞事件造成了超過?2.2?億美元的損失。Euler?事件直接拉高了閃電貸攻擊事件的平均損失——達到了?428.8?萬美元，而退出騙局造成的平均資產損失較低，為?34.5?萬美元。

●?在區塊鏈領域之外，?2023?年第一季度也發生了可被載入Web3.0?貨幣史冊的重大事件：從作為Web3.0?貨幣行業與傳統金融行業最強聯系之一的?Silvergate?銀行倒閉，到因硅谷銀行危機導致的?USDC?穩定幣脫鉤。

文末附?PDF?下載鏈接

簡介

總體而言，?2023?年第一季度相對較為平靜。損失僅為?2022?年同期的?24%?，并且相比去年第四季度的?9.5?億美元有了顯著下降。如果將造成第一季度超過?60%?損失的EulerFinance事件減去，?2023?年第一季度因黑客和欺詐事件所造成損失創下了Web3.0?歷史中的新低。

盡管與去年同期相比，blue-chip?資產的價值顯著較低，但是其價格卻在第一季度中得到了強力的復蘇。主要網絡的日交易量也在保持穩定或增長。以太坊平均每天處理約?110?萬筆交易，BNB?鏈也在年初時扭轉了日交易量的持續下降趨勢，從?225?萬筆日交易的低點反彈到?3?月底平均近?400?萬筆。

來源：DuneAnalytics

值得注意的是，Arbitrum?生態系統在?2?月底成為第一個在日交易量方面超過以太坊的L2，并且在?3?月份向用戶進行空投后，又引起了另一次交易量激增。第一季度，Arbitrum?的安全事件造成了約?426.1?萬美元的損失，占據所有Web3.0?區塊鏈總損失價值的?1.45%?。

盡管?EulerFinance?黑客事件是本季度規模最大的安全事件，但其中大部分資金最終被返還，削弱了此事件帶來的影響。雖然我們無法精準描繪或猜測本季度因黑客、欺詐和漏洞利用導致損失降低的原因，但其中一個很大的可能性也是因為資產價格降低，外加大眾對對Web3.0?安全重要性的認識在雖然緩慢但持續地增長著。我們希望這個趨勢一直保持到第二季度乃至?2023?全年。

CertiK：Peter Schiff的Twitter帳戶遭入侵:金色財經報道，據CertiK稱，加密貨幣批評者Peter Schiff的Twitter帳戶遭入侵，黑客已經發布了一條指向釣魚網站的推文。CertiK建議不要點擊該鏈接或與之互動。

金色財經此前報道，Peter Schiff將從6月2日開始到6月9日拍賣其BTC Ordinals NFT藝術收藏。[2023/6/3 11:55:59]

Euler?損失額：?1.97?億美元，然后"所有可復原資金"被歸還

EulerFinance是“以太坊上的一個允許用戶借出和借入幾乎任何Web3.0?貨幣資產的非托管協議”。2023?年?3?月?13?日，攻擊者利用閃電貸攻擊了多個?EulerFinance?池。他們最終盜取了大約?1.97?億美元。僅這一事件，就讓Web3.0?在第一季度的安全事件損失總額翻了一番以上。

Euler?的漏洞在于?EulerPool?合約中的?donateToReserve?函數。該函數缺乏對流動性抵押狀況的適當檢查，結果導致用戶可以自主放棄一部分杠桿存款，使資金池變得資不抵債。

此外，盡管?Euler?白皮書中的?mint?函數被描述為其價值上限是存款的?19?倍，但當它被多次調用時，對杠桿倍數并沒有實際控制。

攻擊流程

攻擊者從?AAVE?閃電貸到?3000?萬DAI，通過?eDAI?合約向?Euler?存入?2000?萬DAI，并收到?2000?萬eDAI。在攻擊者存入?2000?萬?DAI?之前，Euler?池中的?DAI?余額為?890?萬。隨后攻擊者調用`eDAI.mint()`。該特定的`mint`功能是?EuleFinancer?獨有的，可允許用戶反復借款和還款。這是一種創建借貸循環的方法，其結果是帶杠桿的借貸倉位。當調用`mint`后，收到?2?億dDAI?和?1.95.6?億eDAI。(注：dTokens?代表債務代幣，eTokens?代表抵押股權）。調用"repay"，將?eDAI?池中的?1000?萬?DAI?償還給?Euler，這就將?1000?萬?dDAI?銷毀了。隨后再次調用"mint"，為攻擊合約創造另一個?2?億?dDAI?和?1.956?億?eDAI?形式的借貸倉位。此時攻擊者的倉位為:?3.9億dDAI和4?億eDAI。

調用`donateToReserves`，將?1?億?eDAI?轉給?Euler。由于沒有對這一行為的抵押狀況進行適當的檢查，"donate"后的攻擊者成為了“違規者”,其風險調整后負債遠超過了的抵押品價值，因此可以對其進行清算。攻擊者部署的清算人合約開始清算“違規者”，清算人員利用了平臺運作方式獲得了?20%?的利潤。

Larry Cermak：Alameda的投資超過470項，總投資額大約為53億美元:金色財經報道，The Block研究副總裁Larry Cermak在社交媒體上稱，從《金融時報》的文章中導出了所有Alameda的投資（超過470項）。總投資額大約為53億美元。其中，最大的投資是：1.Genesis Digital Assets；2.Anthropic；3.Digital Assets DA AG；4.K5；5.EX。

此前金色財經報道，金融時報披露Alameda投資了馬斯克的SpaceX和Boring Company。[2022/12/7 21:27:22]

攻擊發生后，一個與?RoninBridge?攻擊有關的錢包通過鏈上信息與?Euler?攻擊者進行了溝通，并附上了一條加密信息以及一個“解密工具”的鏈接。這很可能是意圖從?Euler?攻擊者那里竊取資金的惡意軟件。

這是該起案件中一個耐人尋味的發展，也揭示了專業黑客在Web3.0?領域中采用的多種不同戰術和策略。

3?月?20?日，黑客在區塊鏈上發送了一條消息，宣布他們愿意進行談判。

“我們希望讓所有受影響的人都可以輕松一些解決這些問題。我們無意于保留那些不屬于我們的東西。建立安全通信，讓我們達成協議吧。”

——交易?ID：0xcc73...6a1c0

攻擊事件發生兩周后，攻擊者退還了一大筆資金，將價值超過?8500?萬美元的?55,?000ETH?轉回給了該協議。雖然目前尚不清楚其與?Euler?達成的具體協議條款，但看起來受影響的用戶們將會得到部分或全部的賠償。

雖然這起事件相比于Web3.0?領域中的另外許多黑客攻擊事件，擁有了一個“皆大歡喜”的結局，但這并不意味著項目可以寄希望于黑客的“善心”。積極主動的安全防范措施至關重要，畢竟絕大部分被盜取的價值永遠不會被返還。

40?個?RugPull以便更好地了解導致其最終移除流動性的共同點和差異。通過確定項目特征并且進行定性和定量分析，我們能夠識別和分析?RugPull?的共同特征。

KokomoFinance?是部署在?Optimism?上?Ethereum?的?Layer2?擴展解決方案。2023?年?3?月?26?日，KokomoFinance?實施退出騙局。由項目團隊控制的部署者合約實施了一個惡意合約，允許他們暫停協議的借貸功能，并將存款轉移到一個外部地址，從而導致了?141wBTC?遭受損失。和經典的退出騙局一樣，事后該團隊刪除了他們所有的社交媒體賬戶，項目網站也不再可訪問。

CertiK：Larp Finance被確認為Rug Pull:金色財經報道，北京時間2022年7月27日，CertiK Skynet天網系統監測到LARP代幣價格急劇下降80%。經CertiK安全團隊調查，Larp Finance被確認為Rug Pull。項目部署者以價值約2.8萬美元的資產（20ETH）出售最初鑄造的LARP代幣，隨后通過Aztec Bridge“清洗”利潤。[2022/7/28 2:42:39]

這不是第一季度最大的漏洞，也并不獨特。但是它反而代表了這類騙局的持續性：一直從?Web3.0?用戶那里竊取金額從而積少成多。

詐騙者多次Web3.0?河塘釣魚

Web3.0?和加密世界在不斷發展。而隨著這種發展，社區也開始面臨新的和更加復雜的威脅與挑戰。其中一個威脅就是假錢包的泛濫，其目的是欺騙用戶送出他們的寶貴資產。這些假錢包對Web3.0?社區來說是一個持續的問題，我們需要專門的努力和研究才能識別和揭露它們。

BombFlower

CertiK?發現了一個有組織的詐騙集團。該集團組織利用部署的假錢包以欺騙用戶來竊取用戶資產。由于該團體使用的特殊逃逸性反取證功能較為罕見，因此我們將其命名為?BombFlower。由于該集團組織使用了檢測逃逸技術，這些假錢包移動應用程序很可能會被主流的惡意軟件檢測工具所忽略。

BombFlower?集團通常將這些假錢包設計的與合法錢包非常相似，例如使用與原始網站類似的設計和布局，只在域名上有輕微的變化。以至于用戶難以區分。

假錢包包括后門，Hook?鉤子技術的生成功能，直接向錢包的?Javascript?代碼或?smali?代碼中注入惡意代碼。

用戶應仔細檢查下載錢包應用程序的網站域名，并將其作為一項基本預防措施讓任何用于?Web3.0?貨幣交易的計算機上都運行反惡意軟件。

MonkeyDrainer

我們已經發現一些騙子利用一種俗稱為?MonkeyDrainer?的網絡釣魚工具包。這些網絡釣魚工具包為惡意行為者從Web3.0?社區竊取資產提供了一個快捷方便的工具。這種工具包由惡意供應商出售給那些希望竊取用戶資金的潛在詐騙者，即便你對“詐騙專業”不熟悉，你也依然可以使用釣魚工具包釣到一些“獵物”。MonkeyDrainer?工具包和類似的一個釣魚工具使用一種叫做“IcePhishing”的技術來欺騙用戶，騙子可以擁有無限權限來花費代幣。

FAMEEX上線新幣種BAL（Balancer）:據官方消息，FAMEEX于2020年10月13日上線新幣種BAL（Balancer）；平臺將于2020年10月13日16點開放BAL充值，18點開放提現業務；同時，將于10月13日18點開放BAL/USDT、BAL/BTC、BAL/ETH幣對交易。[2020/10/13]

IcePhishing是一種Web3.0?世界獨有的攻擊類型，用戶被誘騙簽署權限，允許欺詐者直接消費用戶賬戶內的資產。這與傳統的網絡釣魚攻擊不同，后者作為一種社會工程學攻擊手段，通常用于竊取用戶數據，包括登錄憑證和錢包或資產信息，如私人鑰匙或密碼。這使得?IcePhishing?對Web3.0?用戶具備更大的威脅，因為與?DeFi?協議的互動需要用戶授予權限，欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產，那么賬戶就有可能被盜。

用戶可以通過使用?revoke.cash?或?Etherscan?的?TokenApprovalChecker?這樣的網站來檢查他們所授予的權限，從而保護自己免受?IcePhishing?的侵害。如果有一個不被承認的地址或一個未經批準就啟動交易的地址，那么授予它的所有權限都應被撤銷。

傳統金融體系遭到打擊

美國銀行系統在第一季度的事件中顯示了諸多弊端和脆弱性，貼現窗口借貸也創下了新高，并在?3?月份推出了銀行定期融資計劃。硅谷銀行和簽名銀行的倒閉進一步顯示了當前金融系統的脆弱性。而?Web3.0?貨幣生態系統顯然在這些挑戰中更能從容應對。

增加貼現窗口借款和建立緊急備用金可謂突出了銀行系統內部持續的脆弱性，各機構也都在努力解決存款遷移和流動性問題。相比之下，Web3.0?貨幣生態系統已經證明了其在這些動蕩時期有效運作的能力。例如，那些擔心?SVB?拉垮?Circle?存款的用戶可以在?Web3.0?貨幣的?24/7?市場上交易?USDC，而那些愿意承擔這筆交易的用戶可以相應獲得回報。

來源：CoinMarketCap

Web3.0?貨幣生態系統的主要目標一直是建立一個去中心化、自由和公平的傳統金融替代品。通過開發更多的?Web3.0?貨幣原生解決方案，該行業可以與日益脆弱的傳統金融系統較為隔離開來。其中，后者往往需要政府干預和停止交易來維持穩定。

最近美國和歐洲金融系統中引起的一些事件無疑暴露了傳統銀行的弱點，而?Web3.0?貨幣生態系統已經證明了其較大的彈性和效率。通過減少對傳統金融的依賴，Web3.0?貨幣生態系統將有機會更加繁榮，成為日益脆弱的傳統銀行系統的一個強大且去中心化的替代品。

動態 | IBM與區塊鏈公司Hacera合作推出類似黃頁的項目:IBM已經與企業區塊鏈公司Hacera合作推出了一個類似黃頁的項目，旨在讓感興趣的公司更容易地參與全球的區塊鏈應用程序。IBM區塊鏈副總裁科莫(Jerry Cuomo)周四在博客中寫道，這個名為“無界注冊中心”(Unbounded Registry)的項目現已啟動并運行，并匯總了一份基于各種區塊鏈網絡的分散平臺列表。[2018/9/14]

SkynetforCommunity:概述

2023?年第一季度，CertiK?非常榮幸地宣布推出SkynetforCommunity，這是一個集安全、盡職調查和數據于一體的平臺，旨在提高Web3.0?生態系統中的信任和透明度。該平臺致力于為社區用戶、投資者和項目團隊提供所需的工具和資源，讓他們可以輕松地調查并了解Web3.0?生態系統。

由于數以千計的?Web3.0?項目每天都在創造數以百萬計的數據點，因此用戶很容易迷失在噪音中。SkynetforCommunity?豐富的數據驅動的洞察力幫助用戶發現新的項目，對感興趣的項目進行盡職調查，并及時了解?Web3.0?領域的最新新聞和發展。該平臺將大量的數據匯總到?Web3.0?的最容易獲得的以安全為重點的盡職調查工具。無論是對可操作的鏈上數據和社交數據進行全面的盡職調查、發現最新完成智能合約審計的項目，還是挖掘最具價值的行業見解和安全最佳實踐，SkynetforCommunity?均實現了流程簡化并將這些數據全部整合于一個平臺供用戶瀏覽。憑借全新設計的界面和強大的功能，SkynetforCommunity?是做出明智決策以及在Web3.0?生態系統中促進信任和透明度的終極工具。

SkynetforCommunity:解決方案

SkynetforCommunity?的主頁默認為“探索新項目”。從這個頁面開始，你可以隨時隨地輕松檢索你感興趣的項目以及搜尋那些全新的項目。

Web3.0安全榜根據項目的安全分數和市場表現列出項目并對其進行排名。安全分數是通過一種專有算法產生的分數，該算法的計算和考量包含了項目的代碼安全、基本健康、運營彈性、社區信任、市場穩定性和治理強度。安全評分排行榜能夠讓用戶根據項目的安全狀況迅速確定表現最佳的項目，并將其與同類項目進行對比。

Web3.0KYC?團隊榜則根據項目所獲取的?CertiKKYC?徽章狀態進行公示和排名。已通過嚴格背景調查的項目團隊將獲得CertiKKYC?徽章，CertiK?將根據項目團隊提供的可驗證信息和信息等級授予其?KYC?黃金徽章、KYC?白銀徽章或?KYC?青銅徽章。KYC?徽章會表明我們知曉項目背后的團隊并已經做過了符合?CertiKKYC標準的調查和驗證，也代表項目團隊對履行合規措施的承諾。

Web3.0KOL?榜根據各個?KOL?的影響力得分進行了排名，這一排名體現了他們作為?KOL?輸出的內容影響力和影響范圍。此排行榜對那些有興趣識別正在塑造Web3.0?業內風向標?KOL?的用戶很有幫助。此外，它還提供了與?KOL?具備相關可能性的社區及項目概覽，讓用戶更加了解該領域的熱門及趨勢。

交易所審計分析允許用戶通過顯示其鏈上資產持有量對中心化交易所進行盡職調查。這是儲量證明驗證的第一步，也是最為關鍵的一步。

天網項目預警系統可對Web3.0?貨幣領域的?RugPull?攻擊和漏洞事件提供第一時間的預警。該系統將實時監控各類信息來源，以識別和報告潛在的?RugPull?攻擊和漏洞惡意利用。用戶也可以通過“探索新項目”頁面上的“Web3.0熱門智能資金榜”訪問錢包分析器，或者點擊項目詳情頁面中代幣鏈上監控和治理與自治模塊中的任何錢包地址進行查看。

智能資金向導是智能貨幣錢包分析器功能的接入點，可以讓用戶直接搜索錢包地址并查看錢包搜索趨勢、智能資金榜及流動性交易對榜。錢包分析器提供了對錢包地址的分析，并通過顯示關鍵錢包特征、錢包之間的關系和代幣交易活動的可視化圖片，使用戶更容易解讀錢包之間的鏈上交易。

現在就來登錄?SkynetforCommunity?平臺，閱讀?Skyneteducationhub?和觀看?masterclass?的教學并做一個高水平的盡職調查吧！

CertiK?端到端安全解決方案

在致力于保護?Web3.0?的道路上，CertiK?開發了許多幫助項目采取端到端安全解決方案的工具。

CertiK?安全排行榜讓?Web3.0?用戶能夠利用?CertiK?的審計和安全團隊的專業知識，對投資項目的安全風險有更深入的了解并做出更明智的決策，這些用戶將整個生態系統推向了新的高度。

目前?CertiK?安全排行榜已全面升級為安全排行榜?360?，為數以千計的榜上項目提供完整而即時的安全狀況“全景圖”。由于整個系統進行了全面的更新，用戶訪問和分析這些安全數據將前所未有地便捷。此外，我們還利用量化工具為個人投資者提供合理的決策建議。歡迎訪問?certik.com?了解詳情。

Skynet?天網動態掃描系統可結合鏈上交易監測與鏈下數據，對數百個?Web3.0?平臺進行實時、全面的安全監測和分析。Skynet?天網動態掃描系統高級版?SkynetPremium?由?CertiK?于?2021?年正式推出，其威脅檢測模型會通過機器學習與不斷變化的智能合約風險環境同步進化。這也意味著，隨著威脅情報庫和智能合約漏洞庫的不斷積累，這一平臺也會變得愈發先進，從而適應變化無常的智能合約風險環境。目前?Skynet?天網動態掃描系統已全面升級，添加了更多維度的?Skynet?天網信任評分及專屬于項目的項目亮點和預警等全新功能。

SkyTrace則是一種智能、直觀的追蹤工具，可幫助分析和可視化以太坊和?BSC?錢包的交易數據。該工具為識別和追蹤進出自己的個人錢包或項目團隊錢包的可疑流量提供了深入的分析。

CertiKKYC?項目背景調查服務可為項目團隊提供身份驗證，包括使用基于?AI?的檢測系統進行?ID?真實性檢查，以確保個人身份真實并與?ID?相匹配。除了在身份驗證過程中進行實時有效性檢查外，CertiK?還將與每個項目團隊成員進行實時視頻溝通，以驗證他們的身份和其他必要參數。由于團隊的匿名性越來越高，項目的風險行為也越來越具有可能。除此之外，CertiK?安全排行榜賦予通過?KYC?調查的項目團隊以青銅、白銀、黃金等級的?KYC?徽章，最大程度上使項目團隊去匿名化，建立更完善的問責制，從而增強項目的可信度。

CertiK?滲透測試是確保運行環境中Web3.0?應用程序安全綜合解決方案的重要組成部分。我們的滲透測試服務由經驗豐富的道德黑客團隊通過利用專有工具來發現代碼中即便是最為微小的易受攻擊之處。

CertiK?于近期推出的漏洞賞金計劃招募并遴選了一批世界頂級的白帽黑客，收集情報以在惡意行為者利用漏洞之前將其及時發現。CertiK?的安全專家團隊將負責篩查和鑒定所有提交材料，并協助客戶進行正確的修復。我們的?0%?費用模式降低了項目團隊的支付負擔，白帽黑客可因此獲取全額賞金。

SkyHarbor?提供了一個多合一的解決方案來保護和監控數字資產。憑借其先進的監控和威脅檢測系統，SkyHarbor?可以快速識別系統中的任何漏洞或可疑活動，確保你的資產始終是安全的。

生態系統

CertiK?的審計及端到端解決方案已覆蓋目前市面上大部分生態系統，并支持幾乎所有主流編程語言，就區塊鏈平臺、Web3.0?資產交易平臺、智能合約的安全性等領域為各個生態鏈提供安全技術支持。目前與我們合作的生態系統包括：

通過與?CertiK?咨詢進行合作，在我們經驗豐富的分析師團隊提供包括技術評估、專有研究和戰略建議全面服務的同時，盡可能獲得?Web3.0?最大收益。

CertiK?致力于守護Web3.0?世界，將以安全數據為重心，持續分析?Web3.0?的安全未來及發展。助力用戶遠離“土狗”以及人為踏空，以科技賦予科技價值和載舟之路。

該報告?PDF?版本已收錄并生成鏈接，歡迎下載查閱。

下載方式??

復制鏈接至瀏覽器：https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn?即刻下載！

Tags：WEB3WEBWEB3.0CERWeb3 ALL BEST ICOweb3游戲有哪些web3.0幣狗狗幣Soccer Vs

OKB