來(lái)源：金色財(cái)經(jīng)

數(shù)據(jù)圖表可在此處查閱：Footprint Analytics: Crypto Analysis Dashboards

2023 年第一季度，據(jù)區(qū)塊鏈安全審計(jì)公司 Beosin 旗下 Beosin EagleEye 安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷平臺(tái)共監(jiān)測(cè)到Web3領(lǐng)域主要攻擊事件 61 起,，總損失金額約為 2.95 億美元,，較 2022 年第 4 季度下降了約 77% 。2023 年第一季度的總損失金額低于 2022 年的任何一個(gè)季度,。

除攻擊事件外， 2023 年第一季度還監(jiān)測(cè)到主要 Rug Pull 事件 41 起，涉及金額約 2034 萬(wàn)美元,。

從月份來(lái)看，3 月為攻擊事件頻發(fā)的一個(gè)月,，總損失金額達(dá)到了 2.35 億美元,，占第一季度總損失金額的 79.7% 。

從被攻擊項(xiàng)目類(lèi)型來(lái)看,，DeFi為本季度被攻擊頻次最高,、損失金額最多的項(xiàng)目類(lèi)型。42 次安全事件總損失金額達(dá)到了 2.48 億美元 ,，占總損失金額的 84% ,。

從鏈平臺(tái)類(lèi)型來(lái)看，80.8% 的損失金額來(lái)自 Ethereum,，居所有鏈平臺(tái)的第一位,。

從攻擊手法來(lái)看，本季度損失金額最高的攻擊手法為閃電貸攻擊,， 8 次閃電貸事件損失約 1.98 億美元,；攻擊手法頻率最高的為合約漏洞利用， 27 次攻擊占所有事件數(shù)量的 44% ,。

從資金流向來(lái)看,，本季度約有 2 億美元的被盜資產(chǎn)得以追回,。本季度資金追回的情況優(yōu)于 2022 年的任何一個(gè)季度。

從審計(jì)情況來(lái)看,，被攻擊的項(xiàng)目中,，僅有 41% 的項(xiàng)目經(jīng)過(guò)了審計(jì)。

2023 年第一季度,，Beosin EagleEye 安全風(fēng)險(xiǎn)監(jiān)控,、預(yù)警與阻斷平臺(tái)共監(jiān)測(cè)到Web3領(lǐng)域主要攻擊事件 61 起，總損失金額約為 2.95 億美元,。其中損失金額超過(guò) 1 億美元的安全事件共 1 起（Euler Finance 閃電貸攻擊事件損失 1.97 億美元）,。損失 1000 萬(wàn)美元-1 億美元區(qū)間的事件 2 起， 100 萬(wàn)美元-1000 萬(wàn)美元區(qū)間的事件 17 起,。

從總體來(lái)看,，第一季度攻擊事件損失金額呈現(xiàn)逐月增加的趨勢(shì)。3 月為攻擊事件頻發(fā)的一個(gè)月,，總損失金額達(dá)到了 2.35 億美元,，占第一季度總損失金額的 79.7% 。

隨著長(zhǎng)達(dá)數(shù)月的下行和多次黑天鵝事件清杠桿,，加密市場(chǎng)觸底反彈,。DeFi 的 TVL 隨著幣價(jià)在一季度震蕩回升。

2023 年第一季度,，DeFi 類(lèi)型項(xiàng)目共發(fā)生 42 次安全事件,，占總事件數(shù)量的 68.9% 。DeFi 總損失金額達(dá)到了 2.48 億美元 ,，占總損失金額的 84% ,。DeFi 為本季度被攻擊頻次最高、損失金額最多的項(xiàng)目類(lèi)型,。

NFT類(lèi)型損失金額排名第二（1852 萬(wàn)美元）,，主要來(lái)自于 NFT 釣魚(yú)事件。排名第三的類(lèi)型為個(gè)人用戶,，該類(lèi)別均為釣魚(yú)攻擊,。損失金額的第四位為錢(qián)包攻擊事件。從類(lèi)型上來(lái)看,，損失金額的第 2-4 位均和用戶安全緊密相關(guān),。

2023 年第一季度僅發(fā)生了 1 次跨鏈橋安全事件，損失金額為 13 萬(wàn)美元,。而在 2022 年,， 12 次跨鏈橋安全事件共造成了約 18.9 億美元損失，居所有項(xiàng)目類(lèi)型損失的第一位,。在 2022 年跨鏈橋安全事件頻發(fā)后,，跨鏈橋項(xiàng)目的安全性在本季度得到了較大的提升,。

2023 年第一季度，Ethereum 鏈上共發(fā)生主要攻擊事件 17 起,，損失金額約為 2.38 億美元,。Ethereum 鏈上損失金額居所有鏈平臺(tái)的第一位，占比約 80.8% ,。

BNB Chain 上監(jiān)測(cè)到了最多的攻擊事件,，達(dá)到了 31 起。其總損失為 1948 萬(wàn)美元,，排所有鏈平臺(tái)損失的第二位,。

損失排名第三的公鏈為Algorand，損失來(lái)自于 MyAlgo 錢(qián)包被盜事件,。Algorand 鏈在 2022 年沒(méi)有發(fā)生過(guò)主要安全事件,。

值得一提的是， 2022 年Solana鏈上損失金額排所有公鏈的第三位,，而在本季度并未監(jiān)測(cè)到主要攻擊事件,。

本季度損失金額最高的攻擊手法為閃電貸， 8 次閃電貸事件損失約 1.98 億美元,，占所有損失金額的 67% 。

攻擊手法頻率最高的為合約漏洞利用,， 27 次攻擊占所有事件數(shù)量的 44% ,。合約漏洞共造成 3905 萬(wàn)美元的損失，為所有攻擊類(lèi)型損失金額的第二位,。

2023 年第一季度,，DeFi 類(lèi)型項(xiàng)目被攻擊了 42 次，其中有 22 次都源于合約漏洞利用,。DeFi 項(xiàng)目方需要尤其注重合約的安全性,。

按照漏洞類(lèi)型細(xì)分，造成損失最多的前三名分別是業(yè)務(wù)邏輯/函數(shù)設(shè)計(jì)不當(dāng),、權(quán)限問(wèn)題和重入,。17 次業(yè)務(wù)邏輯/函數(shù)設(shè)計(jì)不當(dāng)漏洞共造成了 2244 萬(wàn)美元的損失。

事件概要

3 月 13 日,，Ethereum 鏈上的借貸項(xiàng)目 Euler Finance 遭到閃電貸攻擊,，損失達(dá)到了 1.97 億美元。

3 月 16 日,，Euler 基金會(huì)懸賞 100 萬(wàn)美元以征集對(duì)逮捕黑客以及返還盜取資金有幫助的信息,。

3 月 17 日，Euler Labs 首席執(zhí)行官 Michael Bentley 發(fā)推文表示,，Euler“一直是一個(gè)安全意識(shí)強(qiáng)的項(xiàng)目”,。從 2021 年 5 月至 2022 年 9 月,，Euler Finance 接受了 Halborn、Solidified,、ZK Labs,、Certora、Sherlock 和 Omnisica 等 6 家區(qū)塊鏈安全公司的 10 次審計(jì),。

從 3 月 18 日開(kāi)始至 4 月 4 日，攻擊者開(kāi)始陸續(xù)返還資金,。期間攻擊者通過(guò)鏈上信息進(jìn)行道歉,，稱自己“攪亂了別人的錢(qián)，別人的工作,，別人的生活”并請(qǐng)求大家的原諒,。

4 月 4 日，Euler Labs 在推特上表示,，經(jīng)過(guò)成功協(xié)商,，攻擊者已歸還了所有盜取資金。

漏洞分析

在本次攻擊中,，Etoken 合約的 donateToReserves 函數(shù)沒(méi)有正確檢查用戶實(shí)際持有的代幣數(shù)量和捐贈(zèng)后用戶賬本的健康狀態(tài),。攻擊者利用這個(gè)漏洞，捐贈(zèng)了 1 億個(gè) eDAI,，而實(shí)際上攻擊者只質(zhì)押了 3000 萬(wàn)個(gè) DAI,。

由于捐贈(zèng)后，用戶賬本的健康狀態(tài)符合清算條件,，借貸合約被觸發(fā)清算,。清算過(guò)程中，eDAI 和 dDAI 會(huì)被轉(zhuǎn)移到清算合約,。但是,，由于壞賬額度非常大，清算合約會(huì)應(yīng)用最大折扣進(jìn)行清算,。清算結(jié)束后,，清算合約擁有 310.93 M 個(gè) eDAI 和 259.31 M 個(gè) dDAI,。

此時(shí)，用戶賬本的健康狀態(tài)已恢復(fù),，用戶可以提取資金,?？商崛〉慕痤~是 eDAI 和 dDAI 的差值。但池子中實(shí)際上只有 3890 萬(wàn) DAI,，所以用戶只能提取這部分金額。

事件概要

2 月 1 日,，加密協(xié)議 BonqDAO 遭到價(jià)格操控攻擊，攻擊者鑄造了 1 億個(gè) BEUR 代幣,，然后在 Uniswap 上將 BEUR 換成其他代幣，ALBT 價(jià)格下降到幾乎為零,，這進(jìn)一步引發(fā)了 ALBT 寶庫(kù)的清算,。按照黑客攻擊時(shí)的代幣價(jià)格,，損失高達(dá) 8800 萬(wàn)美元，但是由于流動(dòng)性耗盡,，事件實(shí)際損失在 185 萬(wàn)美元左右,。

漏洞分析

本次攻擊事件攻擊者共進(jìn)行了兩種方式的攻擊，一種是控制價(jià)格大量借出代幣,，另一種是控制價(jià)格清算他人財(cái)產(chǎn)從而獲利。

BonqDAO 平臺(tái)采用的預(yù)言機(jī)使用函數(shù) ‘getCurrentValue’ 而不是 ‘getDataBefore’,。

黑客通過(guò)質(zhì)押 10 個(gè) TRB 代幣（價(jià)值僅約 175 美元）成為了價(jià)格報(bào)告者,，并通過(guò)調(diào)用 submitValue 函數(shù)修改預(yù)言機(jī)中 WALBT 代幣的價(jià)格。價(jià)格設(shè)置完成之后,，攻擊者調(diào)用 Bonq 合約的 createTrove 函數(shù)，創(chuàng)建 trove 合約,，并向該合約中抵押了 0.1 個(gè) WALBT 代幣進(jìn)行借款操作,。正常來(lái)說(shuō)，借款額度應(yīng)該是小于 0.1 個(gè) WALBT 的價(jià)格,，從而保證抵押率維持在一個(gè)安全的范圍，但是在本合約的借貸過(guò)程中,，計(jì)算抵押物價(jià)值的方式是通過(guò) TellorFlex 合約來(lái)進(jìn)行實(shí)現(xiàn)的,。而在上一步,，攻擊者已經(jīng)把 WALBT 價(jià)格拉得異常高，導(dǎo)致攻擊者在本次借款中,，借出了 1 億枚 BEUR 代幣。

攻擊者在第二筆交易中將 WALBT 價(jià)格設(shè)置得異常低,，從而使用少量的成本將其他用戶所抵押的 WALBT 代幣清算出來(lái)。

事件概要

2 月 17 日,，Avalanche平臺(tái)的 Platypus Finance 因函數(shù)檢查機(jī)制問(wèn)題遭到攻擊，損失約 850 萬(wàn)美元,。然而攻擊者并沒(méi)有在合約中實(shí)現(xiàn)提現(xiàn)功能，導(dǎo)致攻擊收益存放在攻擊合約內(nèi)無(wú)法提取,。

2 月 23 日,，Platypus 表示,，已經(jīng)聯(lián)系了 Binance 并確認(rèn)了黑客身份，并表示將至少向用戶償還 63% 的資金,。

2 月 26 日，法國(guó)國(guó)家警察已經(jīng)逮捕并傳喚了兩名攻擊 Platypus 的嫌疑人,。

漏洞分析

攻擊原因是 MasterPlatypusV 4 合約中的 emergencyWithdraw 函數(shù)檢查機(jī)制存在問(wèn)題，僅檢測(cè)了用戶的借貸額是否超過(guò)該用戶的 borrowLimitUSP（借貸上限）,，而沒(méi)有檢查用戶是否歸還債務(wù)的情況。

攻擊者首先通過(guò) AAVE 合約閃電貸借出 4400 萬(wàn)枚的USDC存入 Pool 合約中,，然后 mint 了 4400 萬(wàn)枚 LP-USDC。接著攻擊者調(diào)用 borrow 函數(shù)借出了 4179 萬(wàn)枚 USP,，下一步立馬調(diào)用了 EmergencyWithdraw 函數(shù)。

在 EmergencyWithdraw 函數(shù)中有一個(gè) isSolvent 函數(shù)來(lái)驗(yàn)證借貸的余額超過(guò)可借貸最大值,，返回 true 就可以進(jìn)入 transfer 操作,，而沒(méi)有考慮驗(yàn)證負(fù)債金額是否已經(jīng)償還的情況。所以攻擊者可以在沒(méi)有償還債務(wù)的情況下直接調(diào)用成功提取出之前質(zhì)押的 4400 萬(wàn)枚 LP-USDC,。

2023 年第一季度，約有 $ 200, 146, 821 的被盜資產(chǎn)得以追回,，占所有被盜資產(chǎn)的 67.8% 。其中,，Euler Finance 被盜的 1.97 億美元資產(chǎn)已經(jīng)全部被黑客返還,。更多追回的例子包括： 2 月 13 日,，攻擊 dForce 的黑客返還了全部盜取的 365 萬(wàn)美元資金；3 月 7 日,，攻擊 Tender.fi 的白帽黑客返還了盜取資金并獲得了 62 ETH的賞金。本季度資金追回的情況優(yōu)于 2022 年的任何一個(gè)季度,。

Beosin KYT 反洗錢(qián)分析平臺(tái)發(fā)現(xiàn)約有2313萬(wàn)美元（7.8%）的資產(chǎn)轉(zhuǎn)入了TornadoCash，另外有254萬(wàn)美元的資產(chǎn)轉(zhuǎn)入了其他混幣器,。和去年相比，本季度轉(zhuǎn)入混幣器的被盜資金比例大幅度減少,。事實(shí)上,，從去年8月TornadoCash遭受制裁以來(lái),，轉(zhuǎn)入TornadoCash的被盜資金比例自2022年Q3開(kāi)始就呈現(xiàn)持續(xù)下降趨勢(shì)。

同時(shí),，Beosin KYT 反洗錢(qián)分析平臺(tái)發(fā)現(xiàn)約有 6002 萬(wàn)美元（20.3% ）的資產(chǎn)還停留在黑客地址余額,。還有約 932 萬(wàn)美元（3.1% ）的被盜資產(chǎn)轉(zhuǎn)入了各交易所。轉(zhuǎn)入交易所的事件大部分為涉及金額不高的攻擊事件，少部分為一些過(guò)了幾天才被公眾關(guān)注到的釣魚(yú)事件,。由于關(guān)注度低或者關(guān)注延遲等原因，讓黑客有了將贓款轉(zhuǎn)入交易所的可乘之機(jī),。

2023 年第一季度遭到攻擊的項(xiàng)目中，除開(kāi) 8 個(gè)無(wú)法用是否審計(jì)衡量的事件（如一些個(gè)人用戶遭受的釣魚(yú)攻擊等）,，在剩下被攻擊的項(xiàng)目中，接受過(guò)審計(jì)的有 28 個(gè),，未接受審計(jì)的有 25 個(gè),。

本季度共有 27 起合約漏洞利用導(dǎo)致的攻擊事件,，其中審計(jì)過(guò)的項(xiàng)目有 15 個(gè)（損失約 3119 萬(wàn)美元），未審計(jì)的有 12 個(gè)（損失約 786 萬(wàn)美元）,。整個(gè)市場(chǎng)審計(jì)質(zhì)量依舊不容樂(lè)觀,。建議項(xiàng)目方在選擇審計(jì)公司之前一定要多加比對(duì)，選擇專業(yè)的審計(jì)公司才能讓項(xiàng)目安全得到有效的保障,。

2023 年第一季度，Web3領(lǐng)域共監(jiān)測(cè)到主要 Rug Pull 事件 41 起,，涉及金額約 2034 萬(wàn)美元。

從金額來(lái)看,， 6 起（14.6% ）Rug Pull 事件金額在 100 萬(wàn)美元之上,， 10 萬(wàn)至 100 萬(wàn)美元區(qū)間的事件共 12 起（29.2% ）,， 10 萬(wàn)美元以下的事件共 23 起（56% ）。

41 起 Rug Pull 事件中,，有 34 個(gè)項(xiàng)目部署在BNB Chain，占到了 83% ,。為何眾多詐騙項(xiàng)目選擇 BNB Chain 呢？原因可能有如下幾點(diǎn)：

1 ）BNB Chain GAS 費(fèi)用更低,，出塊時(shí)間間隔也更短,。

2 ）BNB Chain 活躍用戶更多。詐騙項(xiàng)目會(huì)優(yōu)先選擇活躍用戶多的公鏈,。

3 ）BNB Chain 的用戶使用 Binance 出入金更方便快捷,。

從總體上來(lái)看,， 2023 年第一季度攻擊事件總損失金額低于 2022 年任何一個(gè)季度，資金追回情況也優(yōu)于 2022 年所有季度,。在黑客猖獗的 2022 年過(guò)去之后，Web3領(lǐng)域的總體安全性在這一季度得到了較大的提升,。

DeFi 為本季度被攻擊頻次最高、損失金額最多的項(xiàng)目類(lèi)型,。DeFi 領(lǐng)域共發(fā)生 42 次安全事件,，其中 22 次都源自合約漏洞利用（22 個(gè)項(xiàng)目審計(jì)和未審計(jì)的項(xiàng)目各有 11 個(gè)）。如果尋找專業(yè)的安全公司進(jìn)行審計(jì),，其中絕大部分漏洞都可以在審計(jì)階段被發(fā)現(xiàn)和進(jìn)行修復(fù)。

本季度用戶安全也是值得關(guān)注的重點(diǎn),。隨著本季度 Blur 帶領(lǐng) NFT 市場(chǎng)重回火熱，隨之而來(lái)的 NFT 釣魚(yú)事件也大幅增加,。仔細(xì)檢查每一個(gè)鏈接是否是官網(wǎng)、檢查簽名內(nèi)容,、完整檢查轉(zhuǎn)賬地址的正確性,、從官方應(yīng)用商店下載應(yīng)用,、安裝防釣魚(yú)插件 — 每一個(gè)環(huán)節(jié)都必須時(shí)刻保持警惕,。

本季度 Rug Pull 事件依舊頻發(fā)，其中 56% 的項(xiàng)目跑路金額在 10 萬(wàn)美元以下。這類(lèi)項(xiàng)目通常官網(wǎng),、推特、電報(bào),、Github 等信息缺失,，沒(méi)有 Roadmap 或白皮書(shū),，團(tuán)隊(duì)成員信息可疑，項(xiàng)目上線到最后跑路周期不超過(guò)三個(gè)月,。建議用戶多多對(duì)項(xiàng)目進(jìn)行背景調(diào)查,，避免資金遭受損失。

Beosin 作為一家全球領(lǐng)先的區(qū)塊鏈安全公司,，在全球 10 多個(gè)國(guó)家和地區(qū)設(shè)立了分部，業(yè)務(wù)涵蓋項(xiàng)目上線前的代碼安全審計(jì),、項(xiàng)目運(yùn)行時(shí)的安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷,、虛擬貨幣被盜資產(chǎn)追回,、安全合規(guī) KYT/AML 等“一站式”區(qū)塊鏈安全產(chǎn)品+服務(wù)，目前已為全球 3000 多個(gè)區(qū)塊鏈企業(yè)提供安全技術(shù)服務(wù),，審計(jì)智能合約超過(guò) 3000 份,，保護(hù)客戶資產(chǎn)高達(dá) 5000 多億美元。