PRO:2022年Q2全球Web3安全生態報告：攻擊事件總損失約7億1834萬美元

安全態勢感知平臺共監測到Web3領域主要攻擊事件超48起，總損失約7億1834萬美元，較第一季度的12億美元下降約40%，約是2021年第二季度損失的2.42倍。

2022年1-6月，Web3領域因攻擊事件損失的總金額已達約19億1287萬美元。

從時間上來看，4月是黑客攻擊最活躍的月份，5月攻擊事件數量和損失金額都出現了大幅下降，6月黑客活躍度有回升趨勢。

從被攻擊項目類型來看，DeFi依舊是被攻擊次數最多的項目類型，約79.2%的攻擊發生在DeFi領域。

從TVL來看，所有的鏈和被攻擊的項目的TVL值在5月都出現了大幅下降。大部分項目在遭受攻擊的時間點之后都會出現TVL驟降的情況。

從鏈平臺來看，本季度Ethereum上損失的金額最多，達到了3億8135萬美元。被攻擊頻率最高的鏈為BNBChain，達到了26次。

從攻擊手法來看，最常見的攻擊手法依舊為合約漏洞利用和閃電貸。約有45.8%的攻擊為合約漏洞利用。因閃電貸造成的損失達2億3300萬美元，居各種攻擊方式損失金額第一位。

從資金流向來看，約4億1889萬美元的被盜資金被黑客轉入了Tornado.cash，占該季度總被盜金額的58.3%。

從審計情況來看，被攻擊的項目中，僅有52%的項目經過了審計。

其他方面，本季度共監測到鏈上主要Rugpull事件超43起，項目方共計卷走約3426萬6402美元。據不完全統計，Discord服務器被黑案例超151個。Rugpull和釣魚安全事件在5、6月份頻發。

2022第二季度，共監測到Web3領域主要攻擊事件超48起，總損失約7億1834萬美元。其中損失達一億美元及以上的攻擊事件3起，千萬美元以上的攻擊事件共12起，百萬美元以上的攻擊事件共28起。損失最高的前三為BeanstalkFarms、Elrond和Harmony，分別為1億8200萬美元、1億1300萬美元和1億美元。

2021年風險投資對區塊鏈初創公司的投資近150億美元:8月27日消息，據GlobalData的數據顯示，尤其是在2021年，風險資本家對區塊鏈技術的投資從2020年的21億美元飆升至148億美元，增幅超過600%。

風險投資活動主要集中在北美，為68億美元，其次是拉丁美洲，為34億美元，而歐洲排名第三，為30億美元。在其他地方，亞太風險資本家向該行業投資了16億美元，而中東則為4.4億美元。

支付分析師Chris Dinga表示，銀行和支付領域正在大力投資區塊鏈技術行業，區塊鏈正在幫助支付行業管理匯款、中央銀行數字貨幣和資產代幣化，但是，它仍然是一項新技術，需要在支付基礎設施中完全采用之前進行全面測試。

目前，超過90家中央銀行已經在研究推出將由區塊鏈技術提供支持的中央銀行數字貨幣（CBDC）。（Finbold）[2022/8/27 12:52:49]

從時間上來看，2022年4月是本季度黑客攻擊最活躍的月份，共發生19起主要安全事件，損失約為3億7489美元。5月攻擊事件數量和損失金額都大幅減少，或與5月整個加密貨幣市值大幅縮水有關。6月雖然行情并未見回暖趨勢，但黑客攻擊頻率和項目損失金額卻較5月大幅增加。

跨鏈橋攻擊事件，累計損失金額約為1億美元。在2022年第一季度，4次跨鏈橋攻擊的總損失為9億5000萬美元。至此，2022年上半年因跨鏈橋攻擊造成的損失金額已達10億5000萬美元。

從被攻擊項目與被攻擊時間的TVL比例來看，大部分情況下損失金額在項目TVL的30%以下。其中也有個別項目如BlizzFinance、Beanstalk，損失達到了TVL的100%甚至500%。

Fantom和Cronos。在第一季度因2次攻擊事件造成了3億7400萬美元的損失的Solana鏈，在本季度并未監測到重大安全事件。

Tommy Hilfiger將在首屆Decentraland元宇宙時裝周發布2022年春季系列:金色財經消息，美國知名服裝品牌 Tommy Hilfiger 宣布將在 Decentraland 的首屆元宇宙時裝周發布 2022 年春季系列服裝。據了解，屆時 Tommy Hilfiger 商店將位于 Decentraland 內的 Boson Portal，所有商品以 NFT 資產的形式出售，但購買者可以將 NFT 兌換為配送上門的實物產品。（news.bitcoin）[2022/3/22 14:11:10]

第二季度，所有的鏈TVL值在5月都出現了大幅下降。TVL排名前2的Ethereum和BNBChain仍然是黑客攻擊的主要目標。本季度攻擊事件總共損失了7億1834萬美元，比6月時Osmosis、Elrond、Metis加起來的TVL總值都還要多。

從DeFi項目來看，以太坊上被攻擊的DeFi項目金額最多，但占二季度TVL均值的比例并不高，Metis鏈損失的金額占TVL比例反而最高。占比最小的為Avalanche。

從DeFi協議被攻擊的次數上看，二季度BNBChain上被攻擊的DeFi協議占其總協議數量的比例最高，達到了7%。Metis上DeFi生態還不夠豐富，雖然僅1筆攻擊，但不論在筆數和金額上都占比較高。

六、攻擊手法分析

最常見的攻擊手法依舊為合約漏洞利用和閃電貸

合約漏洞利用為本季度最常見的攻擊手法，22次攻擊為合約漏洞利用，頻次占到了45.8%，因合約漏洞造成的總損失約為1億3800萬美元。第二常見的攻擊方式為閃電貸，本季度共發生9次閃電貸攻擊，造成的損失達2億3300萬美元，居各種攻擊方式損失金額第一位。

CDC創始人：2022年現貨比特幣ETF可能不會在受美國監管的交易平臺發行:12月31日消息，美國數字商會（CDC）創始人兼主席 Perianne Boring 近日在接受采訪時表示，發行現貨比特幣 ETF 的公司可能會通過一些創造性的方式向美國人提供相關產品，也就是說，2022 年現貨比特幣 ETF 可能不會在受美國監管的交易平臺發行，而會選擇在其他國家推出，但這個投資工具最終會進入美國市場供投資者使用。

此外，美國證券交易委員會主席 Gary Gensler 一直在嘗試擴大該監管機構的管轄權，這可能會促使 CFPB（美國消費者金融保護局）和 CFTC（美國商品期貨交易委員會）展開一些對話。[2021/12/31 8:16:13]

和第一季度相同的是，Web3領域最常見的攻擊手法依舊為合約漏洞利用和閃電貸。此外，因私鑰泄露導致的損失仍然達到了1億315萬美元，私鑰安全問題依舊值得重視。

本季度被利用的漏洞主要包括：業務邏輯/函數設計不當、驗證問題、權限問題、k值校驗問題、重入漏洞和call注入漏洞。其中利用次數最多的漏洞為業務邏輯/函數設計不當，遠高于其他漏洞。重入漏洞在本季度被黑客利用了1次，造成的損失卻達到了8034萬美元。

7.1被攻擊兩次的InverseFinance

事件詳情：

2022年4月2日，InverseFinance項目遭受價格操縱攻擊，累計損失估計大約1500萬美元。攻擊的主要原因在于TWAP預言機使用的時間窗口太短。在計算Xinv代幣價格時，依靠WETH/INV這個pair去計算。由于pair這個池子已經被操縱了，再加上timeElapsed間隔時間短，那么攻擊者需要滿足不在當前區塊調用，就可以操縱xINV代幣的價值。

教育部印發《職業教育專業目錄（2021年）》，新設區塊鏈技術應用專業:近日，教育部為加強職業教育國家教學標準體系建設，落實職業教育專業動態更新要求，推動專業升級和數字化改造，印發了《職業教育專業目錄（2021 年）》，共設置19個專業大類、97個專業類、1349個專業。其中，針對區塊鏈工程技術人員這一新職業，設計了區塊鏈技術應用專業。[2021/4/7 19:55:54]

2022年6月16日，InverseFinance再次遭受黑客攻擊，黑客獲利120萬美元。主要原因在于項目合約在計算抵押品價格時，使用了balanceOf函數，攻擊者得以通過大額兌換將抵押品anYvCrv3Crypto的價格拉高。

安全建議：獲取代幣價格時應避免依賴于代幣實時余額，而應使用TWAP類型的價格預言機，并設置足夠的時間窗口。

智能合約漏洞，3400萬美元被鎖定無法提取

事件詳情：

2022年4月24日，NFT項目Akutars因智能合約漏洞導致3400萬美元被鎖定無法提取。值得注意的是，該項目的合約沒有經過安全公司的審計。經分析，發現Akutars的合約包含有兩個漏洞。

漏洞一：

第一個合約漏洞在processRefunds中，設計者根據refundProgress計數器進行循環退款。而這里使用了call函數進行退款操作，且把退款的結果作為require的判定條件。因此如果此時有攻擊者在隊列中進行退款操作，調用call退款給攻擊者時，攻擊者在fallback中進行進行惡意的revert，則會導致隊列后面的所有人都無法進行退款。這個漏洞所幸沒被攻擊者進行實際利用。

共為2020 | 銀鏈科技CEO申屠青春：數字貨幣在商業圈中很難體現出應用價值:金色財經現場報道，2020年6月21日，由金色財經主辦的共為2020·區塊鏈創新應用論壇在深圳拉開帷幕。銀鏈科技CEO申屠青春現場進行《新基建下的公鏈戰略》主題演講指出我們應該反思一下數字貨幣的功用：1.數字貨幣有融資功能，容易讓初創公司融到錢；2.數字貨幣在商業圈中很難體現出應用價值，必須長期維持幣價穩定，并且不斷加入新功用；

3.數字貨幣上所交易，過早地把初創公司變成“上市公司”，重心轉移到幣價維護和應對投資人，而非技術進步和應用落地；4.“投資自股權+贈送幣權”模式，幣圈作為回本投資款的手段，且有股權拖底，兩年或更長時間后，有用戶量有應用落地才上所。[2020/6/21]

漏洞二：

該漏洞是導致價值約3400萬美元資產被鎖死在合約中的直接原因。

在claimProjectFunds函數中，該函數主要用于項目方提款。函數中require，此處refundProgress表示已經處理了多少個用戶的退款，totalBids表示所有用戶總投標了多少個NFT。由于一個用戶可以投標多個NFT，導致單從數值上比較，refundProgress可能小于totalBids。

而退款函數processRefunds中：require(_refundProgress<_bidIndex);bidIndex表示所有參與競標的用戶，refundProgress永遠不會高于bidIndex。而bidIndex的值為3669，totalBids的值為5495。

因此，refundProgress>=5495且refundProgress<3669這個判斷條件永遠不會成立，項目方團隊將永遠無法執行后續的提款操作。此處應將refundProgress與bidIndex做對比，開發者犯了一個很低級的錯誤。這最終導致了項目方3400萬美元的資產被鎖定無法提取。

安全建議：項目上線前的專業安全審計非常有必要。

穩定幣項目BeanstalkFarms遭到閃電貸攻擊，黑客獲利近8000萬美元，協議損失達1億8200萬美元。這是本季度損失金額最高的項目。

回顧本次攻擊，攻擊者在前一天發起提取Beanstalk:BeanstalkProtocol資金的提案，然后調用emergencyCommit進行緊急提交來執行提案。這是要因為項目方規定提案后1天才能開始投票。

攻擊過程中，攻擊者利用“投票合約中的票數由賬戶的提案代幣持有量計算得到”的漏洞，通過閃電貸借出價值10億美元的巨額資金，換取代幣后投入到礦池中，臨時獲得巨額的提案代幣，保證了提案不需要其他人投票也能通過。最終提案通過并執行，攻擊者成功提取項目方資金，隨后兌換并償還閃電貸，獲利離場。

安全建議：

1.投票所用資金應在合約中鎖定一定時間，避免使用賬戶的當前資金余額來統計投票數量；

2.項目方和社區應關注所有提案，如果提案是惡意提案，建議在提案投票期間應及時做出處理措施，將提案廢棄，禁止其接受投票以及執行；

3.可考慮禁止合約地址參與投票。

交易所。

數據表明，Tornado.cash依舊為黑客進行洗錢的慣用途徑。本季度資金追回的情況優于上一季度，在一些情況下，項目方會和黑客通過鏈上信息進行協商，部分黑客會選擇返還一定數量的贓款以“免于法律制裁”。

雖然經過審計的項目損失金額仍達到了5億4763萬美元，但這并不意味著審計不再重要了。

隨著越來越多的安全公司踏足審計業務，審計市場參差不齊，魚龍混雜。由于一些不專業的公司，導致智能合約中一些本應該審計出的漏洞沒有審計出來，因此一些項目方和投資者開始質疑審計的必要性和專業性，認為“審計了也是白審”。例如，本季度合約漏洞中最常出現的“業務邏輯/函數設計不當”，這類漏洞是完全可以在審計階段發現的。因此建議項目方一定在項目上線前要尋找專業的安全公司進行審計。

DEX流動性池或突然放棄一個項目，毫無征兆地就卷走投資者的資金，通俗來講就是“跑路”。2022年第二季度，共監測到鏈上主要Rugpull事件43起，項目方共計卷走約3426萬6402美元。

攻擊事件數據表明，5月黑客活躍度大幅降低，然而與之不同的是，5月卻是Rugpull最高頻的月份。在5月各公鏈和項目TVL大幅縮水的情況下，一些項目方選擇了Rugpull，導致一大批投資者受損。其原因或許是無法繼續運營，或許是認為“與其等著TVL歸零，不如自己先跑路”，或許是本就預謀好跑路，只是TVL急劇的下降加速了這一過程。

十一、Discord釣魚分析

本季度?Discord釣魚案例頻發

據不完全統計，2022年第二季度，Web3領域共有包括Opensea、BAYC、Moonbirds、RTFKT、Akutars、Doodles、Otherside在內的超151個Discord服務器被黑，其中5月、6月尤為嚴重。其中個別服務器在本季度內被攻擊了兩次甚至三次。

和Rugpull數據類似的是，在市場行情低迷的情況下，釣魚類安全事件或許反而會增多。本季度出現的Discord釣魚方式形式繁多，例如機器人賬號被黑、偽裝管理員或機器人私信發送釣魚鏈接、通過社交媒體散播高仿Discord邀請鏈接等等。越是熊市，用戶和項目方反而越是應該提高反詐意識，保護好自己的資產安全。

十二、總結

2022年第二季度，DeFi安全仍然是值得關注的焦點，約79.2%的攻擊發生在DeFi領域。連續兩個季度，DeFi一直都是黑客攻擊的重點對象。而NFT、跨鏈橋、交易所安全事件雖然頻次沒有DeFi那么高，但個別事件涉及金額也很巨大。因此，Web3各類型項目方都應加強安全意識，做好安全防護工作。

本季度約有45.8%的攻擊為合約漏洞利用，其中絕大部分漏洞都可以在審計階段發現和進行修復。而在本季度被攻擊的項目中，僅有52%的項目經過了審計。建議項目在上線之前尋找專業的審計公司進行審計。

本季度，約4億1889萬美元的被盜資金被黑客轉入了Tornado.cash進行洗幣。另外約有1億3100萬美元的資產被追回，但追回方式大多是通過鏈上和黑客進行協商，讓黑客返還部分被盜資金。其實被盜資金進入龍卷風后不是毫無辦法。成都鏈安在協助被盜資金追蹤方面已積累了不少成功案例，包括一些資金進入龍卷風的情況。建議項目方在不幸遇到被黑時，除了和黑客協商返還，也可尋求一些專業的安全公司進行資金追蹤。

本季度各公鏈和項目的TVL值都出現了較大波動，也有因為各類安全事件導致項目資金異常或出現風險交易的情況。建議項目方和投資者都因及時關注項目運行情況。成都鏈安可以讓項目方和用戶及時發現風險交易，從而快速采取措施。

在本季度行情低迷的情況下，Rugpull和釣魚等各類安全事件反而更加頻發，一些Web2的攻擊方式在Web3領域依舊活躍。各項目方和用戶都應該提升安全意識，保管好自己的私鑰，不要輕易點擊來路不明的鏈接，對各類信息進行多渠道驗證。

Web防釣魚利器：

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

*特別鳴謝FootprintAnalytics對本報告的圖表及數據支持。本報告中所有圖表均可通過以下鏈接進行在線查看：https://www.footprint.network/@Beosin/Footprint-Beosin-Q2-Report

Tags：TVLEFIPRODEFItvl幣圈efinity幣最新官方消息Arkania Protocoldefi幣聯合坐莊是騙局嗎

波場