2023年全球Web3安全研究報告:各生態安全現狀分析

免責聲明: 內容不構成买賣依據,投資有風險,入市需謹慎!

2023年全球Web3安全研究報告:各生態安全現狀分析

深圳零時科技 個人專欄 剛剛 關注

來源:深圳零時科技

摘要

2023年,是加密世界多元化創新的一年,但創新的背後,也發生了許多讓人咋舌的安全事件。零時科技安全團隊發布了《2023年全球Web3行業安全研究報告》,回顧了2023年Web3行業全球政策,主要賽道所涵蓋基本概念、安全事件、損失金額和攻擊類型,並對典型安全事件進行了詳細剖析,提出了安全預防方案和措施建議。希望幫助從業者和用戶能夠了解Web3安全現狀,提高網絡安全意識,保護好數字資產,做好安全預防措施。

1、2023年,全球Web3行業加密貨幣總市值最高達1.3萬億美元,受行業爆雷事件影響,相比去年最高總市值2.4萬億美元,今年有所下降,但整體資產數量規模正在不斷擴大。

2、據零時科技數據統計,2023年共發生安全事件506起,累計損失達110億美元。相比2022年,今年Web3安全事件新增110起,同比增長65.3%。

3、Web3六大主要賽道:公鏈、跨鏈橋、錢包、交易所、NFT、DeFi共發生安全事件435起,造成損失超79.83億美元。此外,新興領域如GameFi、DAO成爲黑客頻擾的對象,詐騙和跑路事件不斷,損失嚴重。

4、2023年損失超1億美金的典型安全事件共損失32億美元,佔2023年總損失金額29 %。其中典型代表有:加密交易所Bitzlato聯創承認7億美元洗錢罪;VenusProtoco 利用 Binance Bridge 漏洞竊取了價值近6 億美元的BNB;跨鏈橋Wormhole遭到攻擊,約有價值3.23億美元ETH被盜;多鏈去中心化交易所 (DEX) Dfyn 漏洞被利用, 造成3億美元損失。

5、2023年,全球Web3安全事件攻擊類型多樣,從安全事件數量看,典型攻擊類型Top5爲:黑客攻擊、安全漏洞、資產被盜、釣魚、錯誤權限。從損失金額看,典型攻擊類型Top5爲:黑客攻擊、安全漏洞、資產被盜、閃電貸攻擊、詐騙。

6、本年度最具有代表性的監管案例爲:朝鮮黑客組織Lazarus已成爲影響Web 3社區最嚴重的APT組織。2023年,Lazarus組織造成了至少7.5億美元的損失,佔2023年加密貨幣領域被竊總額的20%。CertiK分析了2023年五起主要的加密貨幣攻擊事件,包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx,造成了2.9億美元的損失。

一、全球Web3行業回顧與安全態勢概覽

Web3是指基於加密技術的新一代網絡,融合了區塊鏈技術、代幣經濟學、去中心化組織、博弈論等多種技術和思想,由以太坊聯合創始人Gavin Wood在2014年提出。Web3基於區塊鏈搭建,從2008年至今,區塊鏈技術已發展15余年。Web3行業在2023年的爆發離不开區塊鏈產業發展多年的積澱。

從用戶視角看Web3生態,可分爲基礎層、應用層和第三方服務。基礎層以公鏈、跨鏈橋和聯盟鏈等鏈爲主,爲Web3提供網絡基礎設施;應用層則以APP(中心化應用程序)和DAPP(去中心化應用程序)爲主,即用戶常用來交互的應用程序,包含交易平台、錢包、DeFi、NFT、GameFi、DAO、存儲和社交軟件等。基礎層和應用層促進了Web3生態的繁榮,但也爲Web3帶來巨大的安全隱患。服務生態是Web3行業的第三方,其中媒體、教育孵化和投資機構爲行業提供助力,安全服務機構如零時科技,是爲Web3安全保駕護航不可或缺的一部分。

截至2023年12月,據CoinMarketCap數據統計,全球Web3行業加密貨幣總市值最高時達2.4萬億美元,受行業爆雷事件影響,相比去年最高總市值2.97萬億美元,今年有所下降。雖總市值有波動,但整體資產數量規模正在不斷擴大。由於行業創新節奏快、用戶安全意識薄弱、監管有待完善、安全問題突出,Web3正在淪爲黑客的“提款機”。

據零時科技數據統計,2023年共發生安全事件506起,累計損失達110億美元。相比2022年,今年Web3安全事件新增116起,同比增長38%。其中公鏈、跨鏈橋、錢包、交易所、NFT、DeFi這六大主要賽道發生安全事件152起,造成損失超40.8億美元。

除了以上六大主要賽道外,其他安全事件共計354起,損失金額達69.2億美元,如新興領域如GameFi、DAO成爲黑客頻擾的對象,詐騙和跑路事件層出不窮。隨着多個巨頭入局元宇宙與NFT,未來,鏈上資產規模還將持續增長,Web3網絡安全侵害數字可能繼續飆升。

據零時科技數據統計,2023年全球Web3生態六大主要賽道中:公鏈發生安全事件13起,共計損失約2.8億美元;跨鏈橋發生安全事件18起,共計損失12.1億美元;交易所發生安全事件19起,共計損失12.08億美元;錢包發生安全事件35起,共計損失6億美元;DeFi發生安全事件21起,共計損失7.2億美元;NFT發生安全事件43起,損失超6200萬美元。

從主要賽道發生的安全事件數量來看,NFT安全事件最多,這和它成爲2023業界追捧的熱門賽道脫不开關系。另一方面,由於進入Web3行業人數的增多,錢包和DeFi成爲安全事件的重災區。從損失金額看,跨鏈橋位列第一,遭受損失最大。

2023年,從全球Web3發生的安全事件數量看,典型攻擊類型Top5爲:黑客攻擊,佔比47%;資產被盜,佔比29.6%;安全漏洞,佔比20.1%;釣魚攻擊,佔比13.8%;錯誤權限,佔比13.4%。

從損失金額看,全球Web3安全事件典型攻擊類型Top5爲:黑客攻擊,損失金額爲60.5億美元;安全漏洞,損失金額48億美元;資產被盜,損失金額爲30.4億美元;閃電貸攻擊,損失金額爲12.6億美元;詐騙,損失金額7.5億美元。

值得注意的是,2023年發生的多起安全事件不只受到一種攻擊,有些事件可能同時出現資產被盜、私鑰竊取、黑客攻擊、私鑰泄漏及安全漏洞等。

注:主要攻擊類型釋義如下

資產被盜:虛擬幣被盜,平台被盜

黑客攻擊:黑客等多種類型攻擊

信息泄露:私鑰泄露等

安全漏洞:合約漏洞、功能漏洞

錯誤權限:系統權限設置錯誤,合約權限錯誤等

釣魚攻擊:網絡釣魚

價格操縱:價格操縱

據零時科技區塊鏈安全情報平台監控消息,2023年損失超1億美金的典型安全事件共損失32億美元,佔2023年總損失金額29%。

二、全球Web3監管政策

2023年,基於區塊鏈的下一代互聯網Web3迎來增長高峰,面對這個擁有金融科技特徵的新興行業,全球政府和監管機構對其密切關注。Web3應用領域廣泛、全球分布協作、技術含量較高,加之全球各國及其內部各地監管機構對Web3產業發展方向和數字資產定義不統一,爲全球金融監管帶來了巨大挑战。2023年金融犯罪、黑客攻擊、詐騙勒索、洗錢事件頻發,金額龐大,損失嚴重,影響廣泛。爲確保Web3的安全性和合規性,各國紛紛出台監管政策。

從全球對Web3整體的監管政策來看,投資者保護和反洗錢(AML)是全球共識,對加密貨幣交易所的接受和監管,各國差異較大。美國國會議員提出“確保Web3發生在美國”,正加速監管創新;歐盟各國政策較爲明確和積極;日本、新加坡、韓國受2023暴雷事件影響,監管趨嚴;中國大陸依舊鼓勵區塊鏈技術應用,嚴禁金融機構和支付組織參與虛擬貨幣交易和非法集資,加大加密貨幣犯罪事件打擊。中國香港則全面扶持虛擬資產發展,實施牌照制;阿聯酋在全球最爲積極,擁抱加密貨幣資產。對於NFT、穩定幣、DeFi、資產協議和DAO領域,全球正處於監管探索狀態。

三、2023年Web3各生態安全現狀

Web3是一個比較特殊的行業,最突出的特點就是涉及大量數字加密資產的管理,動輒千萬上億的資產全部存在鏈上,通過一個特有的私鑰來確權,誰掌握了這個私鑰,誰就是資產的主人。如果生態中某一應用或協議被黑客攻擊,就可能造成巨額損失。隨着生態的快速發展,各種新型攻擊手法和詐騙手段層出不窮,整個行業在安全的邊緣中博弈前進。零時科技安全團隊對Web3存在的攻擊類型進行了觀察統計,目前主要有以下攻擊類型對Web3安全造成威脅:APT攻擊、社工釣魚、供應鏈攻擊、閃電貸攻擊、智能合約攻擊、Web端漏洞攻擊、零日(0day)漏洞、網絡詐騙。

接下來,我們將從基礎設施公鏈、跨鏈橋,應用端APP和DAPP的代表:交易平台、錢包、DeFi、NFT,監管重地反洗錢,web3安全教育角度,來解析2023年Web3各生態安全現狀,解讀攻擊事件,並針對每個生態給出相應的安全措施建議。

1、公鏈-Web3生態安全的命脈

公鏈是Web3行業的基礎設施,承載着整個行業的協議、應用及資產記账,隨着業內對公鏈性能、互操作、兼容性、擴容的旺盛需求,多鏈發展迸發呈強勁勢頭,安全問題,刻不容緩。

根據零時科技不完全統計數據,截至2023年12月,目前公鏈有194條。以公鏈生態應用數量來看,據rootdata數據,Ethereum,應用2203個,Polygon,應用數1301個,BNB Chian,應用數1239個,穩居前三,Solana、Avalanche、ICP等新公鏈緊追其後呈現快速增長趨勢。

以公鏈生態市值來看,據coingecko數據,以太坊、BNB Chain、Solana 生態分別以3343億美元、477億美元、420億美元位居前三。當前,公鏈生態總市值已超萬億美元,如此龐大的資金誘惑,讓黑客對其虎視眈眈。

截至2023年12月,據零時科技數據統計,公鏈賽道發生安全事件13起,累計損失資產金額超2.8億美元。

從數量來看,公鏈的攻擊類型主要爲:黑客攻擊、資產被盜、安全漏洞、閃電貸攻擊和詐騙,其對應佔比爲:46.1%、30.7 %、23%、15.4%、15.4%。從損失金額來看,黑客攻擊造成損失最高,爲1.67億美元,佔比60.1%;安全漏洞造成損失位居第二,爲1.31億美元,佔比46.7%。(注:部分項目遭受多種類型攻擊)

據零時科技區塊鏈安全情報平台監控消息,下圖爲部分2023公鏈攻擊的典型案例:

公鏈安全風險及措施建議

零時科技安全團隊分析,公鏈安全風險主要來自以下三點:

1)技術復雜性:涉及技術領域多,安全風險點多。

2)开發人員不確定性:代碼由开發者所寫,過程難免出現漏洞。

3)开源漏洞透明性:公鏈代碼开源,黑客發現漏洞更爲便利。

零時科技安全團隊對公鏈安全建議,有以下四點:

1)主網上线前,針對公鏈各風險點,需要設立豐富的安全機制:

在P2P和RPC方面,需要注意劫持攻擊,拒絕服務攻擊,權限配置錯誤等;

在共識算法及加密這塊,需要注意51%攻擊,長度擴展攻擊等;

在交易安全方面,需要注意假充值攻擊,交易重放攻擊,惡意後門等;

在錢包安全方面,需要注意私鑰的安全管理,資產的安全監控,交易的安全風控等;

在公鏈項目的相關工作人員方面,需要有良好的安全意識,辦公安全,开發安全等常識。

2)進行源代碼和智能合約審計,確保彌補原則性和明顯的漏洞:

源代碼審計可以是全量代碼,也可以是部分模塊。零時科技安全團隊擁有一套完整的公鏈安全測試標准,採用人工+工具的策略對目標代碼的安全測試,使用开源或商業代碼掃描器檢查代碼質量,結合人工安全審計,以及安全漏洞驗證。支持所有流行語言,例如:C/C++/C#/Golang/Rust/Java/Nodejs/Python。

3)主網上线後,進行實時安全檢測,預警系統風險;

4)發生黑客事件後,及時通過溯源分析,找出問題所在,減少未來發生攻擊可能性;迅速源追蹤監控損失流向,盡可能找回資產。

2、跨鏈橋-黑客的新型提款機

跨鏈橋,也稱區塊鏈橋,連接兩條區塊鏈,允許用戶將加密貨幣從一條鏈發送到另一條鏈。跨鏈橋通過在兩個獨立平台之間啓用代幣轉移、智能合約和數據交換以及其他反饋和指令來進行資金跨鏈操作。

截至2023年 12月 ,根據Dune Analytics 數據統計,以太坊中主要跨鏈橋的鎖定總價值(TVL)約65億美元。當前TVL最高的是Polygon Bridges,爲29.9億美元,Aritrum Bridge緊跟其後,爲20.4 億美元,Optimism Bridges排名第三,爲10 億美元。

隨着區塊鏈及鏈上程序的增長,多鏈資金轉換需求迫切,跨鏈橋的協同特徵可以讓各區塊鏈發揮更大的協同潛力,跨鏈橋爲用戶提供便利的同時,也爲黑客提供了另一扇大門。由於跨鏈橋傳遞資產的特性,其鎖定、鑄造、銷毀及解鎖等流程環節一旦出現問題,就會威脅到用戶資產安全。貌似並不復雜的跨鏈資金轉移操作,但在多個跨鏈橋項目中,不同步驟均發生過安全漏洞。

據零時科技數據統計,截至12月,跨鏈橋因受到攻擊發生安全事件18起,累計損失資產金額爲12.1億美元。

2023年,發生安全事件損失Top5的跨鏈橋爲:Harmony、Wormhole、MultiChain、Aave fork、HECO,分別損失金額爲:3.5億美元、3億美元、2.1億美元、1.5億美元和1億美元。

從安全事件發生的數量看,跨鏈橋攻擊的類型主要爲:黑客攻擊、資產被盜、安全漏洞、錯誤權限和閃電貸攻擊,分別佔比61%、33%、28%、17%和11%。從損失金額來看,黑客攻擊佔比最大,爲55%;資產被盜次之,佔比29%;安全漏洞佔比14%,位居第三。

下圖爲部分2023年典型跨鏈橋攻擊案例:

跨鏈橋安全風險及措施建議

零時科技安全團隊從跨鏈橋多次攻擊事件中得出,跨鏈之前和籤名處攻擊較多,存在官方馬虎大意造成的被盜事件。對於越來越多的跨鏈項目及項目合約安全,零時科技給出以下安全措施建議:

1)項目上线前對合約進行安全審計;

2)合約調用接口需要嚴格排查其適配性;

3)版本更新時需要對相關接口及籤名安全進行重新評估;

4)需要對跨鏈籤名者進行嚴格審查以保證籤名不被惡意人員控制。

3、交易平台-巨額誘惑之源

Web3的交易平台也稱數字貨幣交易所或加密貨幣交易所,是區塊鏈行業的重要組成部分,爲不同數字貨幣之間,數字貨幣與法定貨幣之間的交易提供服務,同時也是數字貨幣定價和流通的主要場所。

據coingecko數據,截至2023年12月,加密貨幣交易所共有887個,其中中心化交易所有224個,24小時總交易量爲80 億美金;去中心化交易所有663個,24小時總交易量爲37 億美金;衍生產品交易所94個,24小時交易量爲1.93萬億美金。

數據顯示,24小時交易量排名前10名的交易所分別爲:Binance、Bybit、Coinbase Exchange、OKX、MEXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中Binance以24交易量135.95億穩居第一。

交易量排名前10名的去中心化交易所分別爲:Uniswap V3(Ethereum)、Orca、Uniswap V3(Arbitrum One)、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3(Ethereum)、THORWallet DEX、THORSwap 、Raydium、Ferro Protocol,其中Uniswap以一己之力佔據前十名多位。

據零時科技數據統,計2023年,加密貨幣交易所發生安全事件19起,累計損失資產金額超12億美元。

據零時科技區塊鏈安全威脅情報平台數據統計,2023年,發生安全事件損失Top6的交易平台爲:Curve,Coinbase, OKX,Platypus Finanace, Uniswap,Coins.ph ,損失金額分別爲4.4億美元,3.6億美元,1.8億美元,1億美元,6000萬美元和4000萬美元。

以各交易平台安全事件損失分布來看,Couve佔比36.6%,CoinBase佔比30%,Platypus Finanace佔比15%,位居前三。

據零時科技數據統計,從安全事件數量來看,交易平台的攻擊類型主要爲黑客攻擊安全漏洞、資產被盜、釣魚攻擊、閃電貸攻擊,分別佔比59%、31.8%、27%、9%、9%。從損失金額大小分布來看,黑客攻擊佔據59%,爲安全事件主要類型,安全漏洞佔比40%,資產被盜佔比33.3%。

下圖爲部分2023年交易所安全事件典型案例:

交易平台安全風險及措施建議

回顧以往所有交易所的安全事件,零時科技安全團隊認爲,從一個交易平台整體安全架構來看,交易平台面臨的安全風險主要有:开發、服務器配置、運維、團隊安全意識、內部人員、市場以及供應鏈風險。

零時科技安全團隊曾出版《區塊鏈安全入門與實战》,其中對加密貨幣交易平台的安全問題進行了全面、細致的分析。包括滲透測試的步驟,如信息收集、社會工程等,還介紹了各種攻擊面,如業務邏輯、輸入輸出、安全配置、信息泄露、接口安全、用戶認證安全、App安全等。

對於交易所安全風險,零時科技安全團隊給出如下措施建議:

從交易平台角度:

1)培養內部人員的安全意識,加強交易所的生產環境、測試環境和調試環境安全隔離,盡量使用專業的網絡安全防護產品。

2)通過與專業安全公司展开合作,進行代碼審計、滲透測試,了解系統是否存在隱性漏洞和安全風險,建立完善和全面的安全防護機制。日常運營中,進行定期安全測試,加強安全加固工作。

3)升級账戶的密鑰結構及風控措施,建立適當的多重籤名密鑰結構並建立嚴格的風險控制及檢測預警機制,加強後端冷熱錢包安全加固,比如控制轉账頻率、大額轉账、冷熱錢包隔離等。

由於大部分用戶除了使用交易所進行交易外,更多時候充當錢包存儲數字資產。

因此,從用戶角度:

1)不要隨意安裝未知來源的軟件。

2)電腦服務器應避免打开不必要的端口,相應漏洞應及時打補丁,主機建議安裝有效可靠的殺毒或其他安全軟件,在WEB瀏覽器上安裝挖礦腳本隔離插件等。

3)不要隨意點擊陌生人發的不明鏈接。

4、 錢包-加密資產管理之傷

Web3的錢包即區塊鏈數字錢包,也稱加密貨幣錢包或數字資產錢包,是存儲和管理、使用數字貨幣的工具,在區塊鏈領域有舉足輕重的地位,是用戶接觸數字貨幣的入口。如今,隨着生態的發展,數字錢包已經成爲多鏈多資產的管理平台。

據零時科技區塊鏈安全威脅情報平台數據統計,截至2023年12月,數字錢包項目數量共有153個。據 Blockchain.com數據統計,2023 年全球有超過 4 億人在使用加密資產。其中擁有加密錢包的用戶在 2022 年達到 8100 萬,而到 2023 年 11 月加密錢包用戶數已經達到2.21 億,數量呈指數級增長。

作爲Web3的入口,錢包早已成爲黑客眼中的“香餑餑”。據零時科技數據統計,2023年,數字錢包發生安全事件35起,累計損失資產金額超6億美元。

2023年,被攻擊損失Top5的錢包安全事件主要來自:BitKeep、Solana、Cropto.com 、Transit、Bable Finanace,分別損失金額爲:2億美元、1.3億美元、1.2億美元、1億美元和4000萬美元。其中BitKeep被攻擊損失金額最高。

據零時科技數據統計,從安全事件數量來看,數字錢包的攻擊類型主要爲:黑客攻擊、資產被盜、安全漏洞、釣魚攻擊和詐騙,分別佔比44.9%、35.5%、27%、13.4%、9.8%。攻擊佔比最高,居於首位。

其中各主要攻擊類型對應的安全事件損失佔比分別爲:黑客攻擊造成損失最高,佔比48.2%;安全漏洞造成損失其次,佔比41%;資產被盜損失位列第三,佔比28%。

錢包被攻擊,一般分爲兩種情況。一種是機構的錢包,另外一種是個人錢包。

數字錢包安全風險及措施建議

經零時科技安全團隊分析,區塊鏈數字錢包存在多種形式,主要面臨的安全風險包括但不限於如下幾方面:

機構端方面:運行環境的安全風險、網絡傳輸的安全風險、文件存儲方式的安全風險、應用自身的安全風險、數據備份的安全風險等。

用戶端方面:面臨私鑰丟失或被盜:如僞裝客服騙取私鑰、黑客通過錢包升級定向攻擊收集用戶助記詞等信息、發送惡意二維碼引導客戶轉账盜取資產、通過攻擊客戶存儲信息的雲平台盜取私鑰/助記詞、惡意軟件、空投欺騙、網絡釣魚、其他釣魚(預售、APP下載、中籤陷阱)等風險。

面對這些風險如何保護錢包安全?

從機構端,零時科技安全團隊建議:

無論是中心化還是去中心化錢包, 軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試,針對數字錢包的安全審計,零時科技安全團隊包括但不限於如下測試項:

1、網絡和通信安全測試.網絡節點應達到及時發現和抵抗網絡攻擊的功能;

2、錢包運行環境安全.錢包能夠對操作系統進行已知重大漏洞進行檢測,虛擬機檢測,完整性檢測;數字錢包需具有第三方程序劫持檢測功能,防止第三方程序劫持錢包盜取相關用戶信息。

3、錢包交易安全.錢包發出的所有交易必須進行籤名,籤名時必須通過輸入支付密碼解密私鑰,交易籤名生成後必須清除內存中解密後的私鑰,防止內存中的私鑰被竊取而泄漏等。

4、錢包日志安全.爲了方便用戶進行審計錢包操作行爲,防止異常操作和未授權的操作,需記錄錢包的操作日志,同時錢包日志必須通過脫敏處理,不得含有機密信息。

5、節點接口安全審計.接口需要對數據進行籤名,防止黑客對數據被篡改;接口訪問需要添加token認證機制,防止黑客進行重放攻擊;節點接口需要對用戶連接速率進行限制,防止黑客模擬用戶操作進行CC攻擊。

對用戶端,零時科技安全團隊建議:

1)做好私鑰存儲措施:如私鑰盡量手抄和備份,或使用雲平台和郵件等社交網絡傳輸或存儲私鑰。

2)使用強密碼,並且盡可能开啓兩步驗證MFA(或2FA),時刻保持安全意識提高警惕。

3)在更新程序版本時注意驗證 hash 值。安裝殺毒軟件,並盡可能使用防火牆。監視你的账戶/錢包,確認沒有惡意交易。

4)其中硬件錢包適合數字資產額度較大,需要更高安全保護等級的用戶。通常的建議是使用軟件錢包保存自己的小額資產,供日常使用,硬件錢包保存大額資產,這樣可以實現便利性和安全性兼備。

如果資金被盜怎么辦?

如果發生無意的授權操作,在資金未被盜之前,盡快將錢包資金轉出,並且取消授權;如果已經發生授權之後的資金被盜或者私鑰被盜資金轉移情況,請立即聯系零時科技安全團隊進行資產追蹤。

5、 DeFi-Web3安全重災區

DeFi全稱:Decentralized Finance,一般翻譯爲分布式金融或去中心化金融。DeFi項目大體分爲五類:預言機、DEX、抵押借貸、穩定幣資產、合成衍生品。

TVL全稱:Total Value Locked 即總鎖定價值。用戶所抵押的資產總值,是衡量DeFi生態發展的最重要指標之一,通常TVL增長代表項目發展的越好。

零時科技區塊鏈安全威脅情報平台數據統計,截至2023年12月,DeFi項目共計1297個。據DeFi Llama 數據顯示,DeFi 總鎖倉價值達到390.51 億美元規模。其中以太坊佔比58.59%,以230.2億美元的 TVL排名第一,其次是Tron,佔比11.1%,以40.36億美元的TVL排名第二,BSC緊追其後,佔比10.47%,以40.12億美元TVL排名第三。許多新興公鏈如Avalanche、Ploygon、Optimism 等通過擁抱 DeFi 快速發展鏈上生態,也吸引了 大量用戶和資金沉澱。

DeFi突出的智能合約安全問題已成爲DeFi行業的最大挑战。此外,沒有任何DeFi 服務商或監管機構可以退回錯誤轉移的資金。當黑客在智能合約或 DeFi 服務的其他方面發現漏洞盜取用戶資產時,也不一定有 DeFi 服務商來賠償投資者,加之很多隱祕互連的問題,可能引起一連串的金融事故。

根據零時科技數據統計,截至2023年12月 ,共發生DeFi安全事件24起,累計損失資產金額超7.2億美元。

以各生態發生的DeFi安全事件數量分布來看,Ethereum生態分別發生6起,佔比均爲25%,位列第一,BSC(BNB Chian)共發生5起,佔比20%,佔比均爲24%,位列第二,Solana生態發生3起,佔比15%,位列第三。

以各DeFi發生安全事件損失分布來看,排名前三的公鏈生態是,Ethereum生態DeFi事件損失金額超2.16億美元,佔比30%,位列第一;Solana位列第二,損失金額1.44億美元,佔比20%;BNB Chain位列第三,損失金額爲1.3億美元,佔比18%。由此可見,生態越是活躍,越受到黑客關注,損失也最爲突出。

據零時科技數據統計,從DeFi攻擊類型來看,主要爲:黑客攻擊、資產被盜、閃電貸攻擊和安全漏洞。其中各主要攻擊類型對應的安全事件數量分布佔比分別爲:黑客攻擊佔比50%,居於首位;安全漏洞佔比29%,位居第二;資產被盜佔比20%,位居第三;閃電貸攻擊佔比 16%, 位居第四。

從主要攻擊類型損失分布來看,黑客攻擊造成損失最高,佔比48.6%,資產被盜次之,佔比34.7%,安全漏洞位列第三,佔比43%。

DeFi安全風險及措施建議

DeFi項目面對多重安全風險,從群體來分,分別爲項目端(協議執行)和用戶端;從安全種類來分,分別爲各協議之間組合性的安全,包括組合之間的一些缺陷、智能合約安全、开源的安全,高收益伴隨着高風險,缺乏監管等導致的一些安全問題。

從安全審計角度看,DeFi項目面臨的風險見下圖:

從協議執行過程,DeFi風險包括:智能合約攻擊風險、經濟激勵中的設計問題、保管風險、原協議的重新構建、缺乏隱私等風險。

從用戶角度,DeFi用戶面臨的風險有:技術風險:智能合約存在漏洞,受到安全性攻擊;流動性風險:平台的流動性耗盡;密鑰管理風險:平台的主私鑰可能被盜取。安全意識風險:被釣魚,遇到套利跑路欺詐項目等。

零時科技安全團隊建議,作爲項目方和用戶,可以從以下四點應對風險:

1)項目方在上线DeFi項目時,一定得找專業的安全團隊去做全面的代碼審計,而且盡可能地找多家共同審計,盡可能多地發現項目設計缺陷,以免在上线之後出現不必要的損失。

2)建議用戶參與這些項目投資時一定要做好把關,要對這個項目有一定的了解,或者是看它有沒有經過安全審計後再上线。

3)增加個人安全意識,包括上網的行爲和資產保存以及錢包使用等習慣,養成良好的安全意識習慣。

4)項目高收益高風險,參與需謹慎,不懂項目,盡量不參與,避免造成損失。

6、 NFT-釣魚攻擊的池塘

NFT是Non-Fungible Token的簡稱,是基於區塊鏈的非同質化代幣,同時它是存儲在區塊鏈上的一種獨特的數字資產,常作爲虛擬商品所有權的電子認證或憑證,可以購买或出售。

根據NFTScan數據,截至12月31日,已收錄的NFT項目4624個,共計1,476,479,394個NFT。當前NFT總市值達到256億美元,持有者達到473.38萬人。從各類項目市值分布來看,PFP(Picture for proof),即個人資料圖片類NFT市值遙遙領先,這也是目前使用場景最多的NFT,其次是收藏品。從目前八大主流公鏈上看NFT資產和合約,Polygon在資產和合約數上遙遙領先。

從交易規模來看:在24小時內按銷量排名前 10 位的NFT交易平台中,Blur排名第一,OKX NFT緊跟其後,OpenSea排名第三。從交易商來看,24小時內按交易者、买家和賣家數量排名前 10 的市場中,Blur位列第一,OKX NFT排名第二、OpenSea排名第三。

隨着NFT價值凸顯,黑客也盯上了這塊肥肉。盡管目前整個加密市場正經歷着劇烈的震蕩下行趨勢,但NFT的熱度不減。

據零時科技不完全統計,截至2023年12月,NFT賽道發生安全事件共計44起,累計損失資產金額約爲6200萬美元。

從NFT賽道的攻擊類型來看,主要爲:黑客攻擊、安全漏洞、資產被盜、釣魚攻擊和,對應安全事件數量佔比分別爲50%、35%、25%、23%。

從NFT主要攻擊類型損失金額佔比看,黑客攻擊造成損失最多,佔比50%;資產被盜次之,佔比30%;安全漏洞居於第三,佔比30%。

NFT安全風險及措施建議

目前在NFT賽道,黑客攻擊方式多種多樣。以群體來分,面臨風險的對象一般爲平台和用戶。

對於中心化平台端,可能面臨的安全風險有:账號風險、商業化競爭風險、安全意識風險、內部人員風險、市場風險等。

對於用戶端,Discord攻擊成爲今年的主要攻擊手法。

對於以上安全風險,零時科技安全團隊給出以下措施建議:

對於普通用戶,保護好自己的Discord,需要注意以下幾點:確保密碼足夠安全,使用字母數字特殊字符創建長的隨機密碼;开啓2FA身份驗證,密碼雖然本身足夠復雜但是不能依靠一個方式來保護;不要點擊來自未知發件人或看起來可疑的鏈接,考慮限制誰可以與您私信;不要下載程序或復制/粘貼你不認識的代碼;不要分享或屏幕共享你的授權令牌;不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。

對於服務器所有者:審核您的服務器權限,尤其是對於 WebHook 等更高級別的工具;進行任何更改時,請保持官方服務器邀請更新並在所有平台上可見,尤其是當大多數新服務器成員來自Discord 以外的社區時;同樣,不要點擊可疑或未知的鏈接!如果账戶遭到入侵,可能會對管理的社區產生更大的影響。

對於項目:建議合約應嚴格判斷用戶輸入購买數量合理性;建議合約限制零資金購买NFT的可能性;建議對於ERC721及ERC1155協議的NFT Token進行嚴格區分,避免混淆情況發生假冒Discord官方案例。目前多個聊天軟件均會發現惡意 mint 鏈接,也有不少用戶資金被盜,爲了避免此類盜幣事件,建議大家在進行mint 操作時,驗證鏈接來源可靠性,同時確保實際籤署交易的內容和預期相符。

7、安全教育-Web3安全盾牌

知名的搜狐全體員工遭遇工資補助釣魚郵件詐騙案例讓很多企業認識到,網絡安全意識如果不提高,未來面臨的商業機密等各項安全事件勢必會影響企業發展。Web3去中心化自組織的參與方式,讓個人意識到,如果不提高安全意識,就會淪爲黑客的提款機。

目前市場已經有電視劇、電影、社區等多種方式來提高個人的網絡安全意識,零時科技也在各平台布道了上百篇網絡安全知識。

除此外,零時科技也自研了安全意識評估管理平台,主要面向包括政府、公安、教育、金融、電力等對網絡安全意識有需求的行業機構,網絡安全意識評估平台以網絡釣魚技術爲基礎,幫助企業構建私有雲化的網絡安全意識評估管理平台,集成理論系統、釣魚演練、主機檢測、管理考核、場景定制的系統,實現企業持續系統化提升全員網絡安全意識。除此之外,基於零時科技安全團隊的專業實力,也爲企業網絡安全咨詢和培訓服務,從源頭堅實安全盾牌。

結語

Web3因其巨大的創新能力和开源優勢成爲蓬勃發展的新一代網絡基礎設施,爲整個互聯網世界帶來更加可信,可傳遞價值的生態系統。盡管Web3行業安全事件不斷,黑客和犯罪分子各種手法層出不窮,但這並不能阻礙Web3行業的健康發展。

相反,如同對弈的雙方,Web3世界的“白帽子”,像我們零時科技一樣的安全機構,一定會爲這一繁茂的生態保駕護航,守護新世界用戶的資產,與黑客鬥智鬥勇,爲建立起更加完善的機制、更強的技術系統、更加安全交易而不斷努力。

漏洞常在,安全無價,發展與安全的博弈不會停止,但愿我們都能爲自己裝上一個安全盾,來應對這未來復雜的技術世界!

0 好文章,需要你的鼓勵
了解更多區塊鏈一线報道,與作者、讀者更深入探討、交流,歡迎添加小助手QQ: 3150128700, 進入[金色財經讀者交流群]。
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
本文作者: 深圳零時科技
打开金色財經App 閱讀全文 打开金色財經,閱讀體驗更佳 金色財經 > 深圳零時科技 > 2023年全球Web3安全研究報告:各生態安全現狀分析 免責聲明: 金色財經作爲开放的資訊分享平台,所提供的所有資訊僅代表作者個人觀點,與金色財經平台立場無關,且不構成任何投資理財建議。

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

相關文章