來源：金色財經(jīng)

數(shù)據(jù)圖表可在此處查閱：Footprint Analytics: Crypto Analysis Dashboards

2023 年第一季度，據(jù)區(qū)塊鏈安全審計公司 Beosin 旗下 Beosin EagleEye 安全風(fēng)險監(jiān)控,、預(yù)警與阻斷平臺共監(jiān)測到Web3領(lǐng)域主要攻擊事件 61 起,，總損失金額約為 2.95 億美元，較 2022 年第 4 季度下降了約 77% ,。2023 年第一季度的總損失金額低于 2022 年的任何一個季度,。

除攻擊事件外， 2023 年第一季度還監(jiān)測到主要 Rug Pull 事件 41 起,，涉及金額約 2034 萬美元,。

從月份來看，3 月為攻擊事件頻發(fā)的一個月,，總損失金額達(dá)到了 2.35 億美元,，占第一季度總損失金額的 79.7% 。

從被攻擊項目類型來看,，DeFi為本季度被攻擊頻次最高,、損失金額最多的項目類型。42 次安全事件總損失金額達(dá)到了 2.48 億美元 ,，占總損失金額的 84% ,。

從鏈平臺類型來看，80.8% 的損失金額來自 Ethereum,，居所有鏈平臺的第一位,。

從攻擊手法來看，本季度損失金額最高的攻擊手法為閃電貸攻擊,， 8 次閃電貸事件損失約 1.98 億美元,；攻擊手法頻率最高的為合約漏洞利用， 27 次攻擊占所有事件數(shù)量的 44% ,。

從資金流向來看,，本季度約有 2 億美元的被盜資產(chǎn)得以追回。本季度資金追回的情況優(yōu)于 2022 年的任何一個季度,。

從審計情況來看,，被攻擊的項目中，僅有 41% 的項目經(jīng)過了審計,。

2023 年第一季度,，Beosin EagleEye 安全風(fēng)險監(jiān)控、預(yù)警與阻斷平臺共監(jiān)測到Web3領(lǐng)域主要攻擊事件 61 起,，總損失金額約為 2.95 億美元,。其中損失金額超過 1 億美元的安全事件共 1 起（Euler Finance 閃電貸攻擊事件損失 1.97 億美元）。損失 1000 萬美元-1 億美元區(qū)間的事件 2 起,， 100 萬美元-1000 萬美元區(qū)間的事件 17 起,。

從總體來看，第一季度攻擊事件損失金額呈現(xiàn)逐月增加的趨勢,。3 月為攻擊事件頻發(fā)的一個月,，總損失金額達(dá)到了 2.35 億美元，占第一季度總損失金額的 79.7% ,。

隨著長達(dá)數(shù)月的下行和多次黑天鵝事件清杠桿,，加密市場觸底反彈。DeFi 的 TVL 隨著幣價在一季度震蕩回升,。

2023 年第一季度,，DeFi 類型項目共發(fā)生 42 次安全事件，占總事件數(shù)量的 68.9% 。DeFi 總損失金額達(dá)到了 2.48 億美元 ,，占總損失金額的 84% ,。DeFi 為本季度被攻擊頻次最高、損失金額最多的項目類型,。

NFT類型損失金額排名第二（1852 萬美元）,，主要來自于 NFT 釣魚事件。排名第三的類型為個人用戶,，該類別均為釣魚攻擊,。損失金額的第四位為錢包攻擊事件。從類型上來看,，損失金額的第 2-4 位均和用戶安全緊密相關(guān),。

2023 年第一季度僅發(fā)生了 1 次跨鏈橋安全事件，損失金額為 13 萬美元,。而在 2022 年,， 12 次跨鏈橋安全事件共造成了約 18.9 億美元損失，居所有項目類型損失的第一位,。在 2022 年跨鏈橋安全事件頻發(fā)后,，跨鏈橋項目的安全性在本季度得到了較大的提升。

2023 年第一季度,，Ethereum 鏈上共發(fā)生主要攻擊事件 17 起,，損失金額約為 2.38 億美元。Ethereum 鏈上損失金額居所有鏈平臺的第一位,，占比約 80.8% ,。

BNB Chain 上監(jiān)測到了最多的攻擊事件，達(dá)到了 31 起,。其總損失為 1948 萬美元,，排所有鏈平臺損失的第二位。

損失排名第三的公鏈為Algorand,，損失來自于 MyAlgo 錢包被盜事件,。Algorand 鏈在 2022 年沒有發(fā)生過主要安全事件。

值得一提的是,， 2022 年Solana鏈上損失金額排所有公鏈的第三位,，而在本季度并未監(jiān)測到主要攻擊事件。

本季度損失金額最高的攻擊手法為閃電貸,， 8 次閃電貸事件損失約 1.98 億美元,，占所有損失金額的 67% 。

攻擊手法頻率最高的為合約漏洞利用,， 27 次攻擊占所有事件數(shù)量的 44% ,。合約漏洞共造成 3905 萬美元的損失,，為所有攻擊類型損失金額的第二位。

2023 年第一季度,，DeFi 類型項目被攻擊了 42 次,，其中有 22 次都源于合約漏洞利用。DeFi 項目方需要尤其注重合約的安全性,。

按照漏洞類型細(xì)分,，造成損失最多的前三名分別是業(yè)務(wù)邏輯/函數(shù)設(shè)計不當(dāng)、權(quán)限問題和重入,。17 次業(yè)務(wù)邏輯/函數(shù)設(shè)計不當(dāng)漏洞共造成了 2244 萬美元的損失。

事件概要

3 月 13 日,，Ethereum 鏈上的借貸項目 Euler Finance 遭到閃電貸攻擊,，損失達(dá)到了 1.97 億美元。

3 月 16 日,，Euler 基金會懸賞 100 萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息,。

3 月 17 日，Euler Labs 首席執(zhí)行官 Michael Bentley 發(fā)推文表示,，Euler“一直是一個安全意識強的項目”,。從 2021 年 5 月至 2022 年 9 月，Euler Finance 接受了 Halborn,、Solidified,、ZK Labs、Certora,、Sherlock 和 Omnisica 等 6 家區(qū)塊鏈安全公司的 10 次審計。

從 3 月 18 日開始至 4 月 4 日,，攻擊者開始陸續(xù)返還資金,。期間攻擊者通過鏈上信息進行道歉，稱自己“攪亂了別人的錢,，別人的工作,，別人的生活”并請求大家的原諒,。

4 月 4 日，Euler Labs 在推特上表示,，經(jīng)過成功協(xié)商,，攻擊者已歸還了所有盜取資金。

漏洞分析

在本次攻擊中,，Etoken 合約的 donateToReserves 函數(shù)沒有正確檢查用戶實際持有的代幣數(shù)量和捐贈后用戶賬本的健康狀態(tài),。攻擊者利用這個漏洞，捐贈了 1 億個 eDAI,，而實際上攻擊者只質(zhì)押了 3000 萬個 DAI,。

由于捐贈后，用戶賬本的健康狀態(tài)符合清算條件,，借貸合約被觸發(fā)清算,。清算過程中，eDAI 和 dDAI 會被轉(zhuǎn)移到清算合約,。但是,，由于壞賬額度非常大，清算合約會應(yīng)用最大折扣進行清算,。清算結(jié)束后,，清算合約擁有 310.93 M 個 eDAI 和 259.31 M 個 dDAI。

此時,，用戶賬本的健康狀態(tài)已恢復(fù),，用戶可以提取資金?？商崛〉慕痤~是 eDAI 和 dDAI 的差值,。但池子中實際上只有 3890 萬 DAI，所以用戶只能提取這部分金額,。

事件概要

2 月 1 日,，加密協(xié)議 BonqDAO 遭到價格操控攻擊，攻擊者鑄造了 1 億個 BEUR 代幣,，然后在 Uniswap 上將 BEUR 換成其他代幣,，ALBT 價格下降到幾乎為零，這進一步引發(fā)了 ALBT 寶庫的清算,。按照黑客攻擊時的代幣價格,，損失高達(dá) 8800 萬美元，但是由于流動性耗盡,，事件實際損失在 185 萬美元左右,。

漏洞分析

本次攻擊事件攻擊者共進行了兩種方式的攻擊，一種是控制價格大量借出代幣,，另一種是控制價格清算他人財產(chǎn)從而獲利,。

BonqDAO 平臺采用的預(yù)言機使用函數(shù) ‘getCurrentValue’ 而不是 ‘getDataBefore’,。

黑客通過質(zhì)押 10 個 TRB 代幣（價值僅約 175 美元）成為了價格報告者，并通過調(diào)用 submitValue 函數(shù)修改預(yù)言機中 WALBT 代幣的價格,。價格設(shè)置完成之后,，攻擊者調(diào)用 Bonq 合約的 createTrove 函數(shù)，創(chuàng)建 trove 合約,，并向該合約中抵押了 0.1 個 WALBT 代幣進行借款操作,。正常來說，借款額度應(yīng)該是小于 0.1 個 WALBT 的價格,，從而保證抵押率維持在一個安全的范圍,，但是在本合約的借貸過程中，計算抵押物價值的方式是通過 TellorFlex 合約來進行實現(xiàn)的,。而在上一步,，攻擊者已經(jīng)把 WALBT 價格拉得異常高，導(dǎo)致攻擊者在本次借款中,，借出了 1 億枚 BEUR 代幣。

攻擊者在第二筆交易中將 WALBT 價格設(shè)置得異常低,，從而使用少量的成本將其他用戶所抵押的 WALBT 代幣清算出來,。

事件概要

2 月 17 日，Avalanche平臺的 Platypus Finance 因函數(shù)檢查機制問題遭到攻擊,，損失約 850 萬美元,。然而攻擊者并沒有在合約中實現(xiàn)提現(xiàn)功能，導(dǎo)致攻擊收益存放在攻擊合約內(nèi)無法提取,。

2 月 23 日,，Platypus 表示，已經(jīng)聯(lián)系了 Binance 并確認(rèn)了黑客身份,，并表示將至少向用戶償還 63% 的資金,。

2 月 26 日，法國國家警察已經(jīng)逮捕并傳喚了兩名攻擊 Platypus 的嫌疑人,。

漏洞分析

攻擊原因是 MasterPlatypusV 4 合約中的 emergencyWithdraw 函數(shù)檢查機制存在問題,，僅檢測了用戶的借貸額是否超過該用戶的 borrowLimitUSP（借貸上限），而沒有檢查用戶是否歸還債務(wù)的情況,。

攻擊者首先通過 AAVE 合約閃電貸借出 4400 萬枚的USDC存入 Pool 合約中,，然后 mint 了 4400 萬枚 LP-USDC。接著攻擊者調(diào)用 borrow 函數(shù)借出了 4179 萬枚 USP,，下一步立馬調(diào)用了 EmergencyWithdraw 函數(shù),。

在 EmergencyWithdraw 函數(shù)中有一個 isSolvent 函數(shù)來驗證借貸的余額超過可借貸最大值，返回 true 就可以進入 transfer 操作,，而沒有考慮驗證負(fù)債金額是否已經(jīng)償還的情況,。所以攻擊者可以在沒有償還債務(wù)的情況下直接調(diào)用成功提取出之前質(zhì)押的 4400 萬枚 LP-USDC,。

2023 年第一季度，約有 $ 200, 146, 821 的被盜資產(chǎn)得以追回,，占所有被盜資產(chǎn)的 67.8% ,。其中，Euler Finance 被盜的 1.97 億美元資產(chǎn)已經(jīng)全部被黑客返還,。更多追回的例子包括： 2 月 13 日,，攻擊 dForce 的黑客返還了全部盜取的 365 萬美元資金；3 月 7 日,，攻擊 Tender.fi 的白帽黑客返還了盜取資金并獲得了 62 ETH的賞金,。本季度資金追回的情況優(yōu)于 2022 年的任何一個季度。

Beosin KYT 反洗錢分析平臺發(fā)現(xiàn)約有2313萬美元（7.8%）的資產(chǎn)轉(zhuǎn)入了TornadoCash,，另外有254萬美元的資產(chǎn)轉(zhuǎn)入了其他混幣器,。和去年相比，本季度轉(zhuǎn)入混幣器的被盜資金比例大幅度減少,。事實上,，從去年8月TornadoCash遭受制裁以來，轉(zhuǎn)入TornadoCash的被盜資金比例自2022年Q3開始就呈現(xiàn)持續(xù)下降趨勢,。

同時,，Beosin KYT 反洗錢分析平臺發(fā)現(xiàn)約有 6002 萬美元（20.3% ）的資產(chǎn)還停留在黑客地址余額。還有約 932 萬美元（3.1% ）的被盜資產(chǎn)轉(zhuǎn)入了各交易所,。轉(zhuǎn)入交易所的事件大部分為涉及金額不高的攻擊事件,，少部分為一些過了幾天才被公眾關(guān)注到的釣魚事件。由于關(guān)注度低或者關(guān)注延遲等原因,，讓黑客有了將贓款轉(zhuǎn)入交易所的可乘之機,。

2023 年第一季度遭到攻擊的項目中，除開 8 個無法用是否審計衡量的事件（如一些個人用戶遭受的釣魚攻擊等）,，在剩下被攻擊的項目中,，接受過審計的有 28 個，未接受審計的有 25 個,。

本季度共有 27 起合約漏洞利用導(dǎo)致的攻擊事件,，其中審計過的項目有 15 個（損失約 3119 萬美元），未審計的有 12 個（損失約 786 萬美元）,。整個市場審計質(zhì)量依舊不容樂觀,。建議項目方在選擇審計公司之前一定要多加比對，選擇專業(yè)的審計公司才能讓項目安全得到有效的保障,。

2023 年第一季度,，Web3領(lǐng)域共監(jiān)測到主要 Rug Pull 事件 41 起，涉及金額約 2034 萬美元,。

從金額來看,， 6 起（14.6% ）Rug Pull 事件金額在 100 萬美元之上,， 10 萬至 100 萬美元區(qū)間的事件共 12 起（29.2% ）， 10 萬美元以下的事件共 23 起（56% ）,。

41 起 Rug Pull 事件中,，有 34 個項目部署在BNB Chain，占到了 83% ,。為何眾多詐騙項目選擇 BNB Chain 呢,？原因可能有如下幾點：

1 ）BNB Chain GAS 費用更低，出塊時間間隔也更短,。

2 ）BNB Chain 活躍用戶更多,。詐騙項目會優(yōu)先選擇活躍用戶多的公鏈。

3 ）BNB Chain 的用戶使用 Binance 出入金更方便快捷,。

從總體上來看,， 2023 年第一季度攻擊事件總損失金額低于 2022 年任何一個季度，資金追回情況也優(yōu)于 2022 年所有季度,。在黑客猖獗的 2022 年過去之后,，Web3領(lǐng)域的總體安全性在這一季度得到了較大的提升。

DeFi 為本季度被攻擊頻次最高,、損失金額最多的項目類型,。DeFi 領(lǐng)域共發(fā)生 42 次安全事件，其中 22 次都源自合約漏洞利用（22 個項目審計和未審計的項目各有 11 個）,。如果尋找專業(yè)的安全公司進行審計，其中絕大部分漏洞都可以在審計階段被發(fā)現(xiàn)和進行修復(fù),。

本季度用戶安全也是值得關(guān)注的重點,。隨著本季度 Blur 帶領(lǐng) NFT 市場重回火熱，隨之而來的 NFT 釣魚事件也大幅增加,。仔細(xì)檢查每一個鏈接是否是官網(wǎng),、檢查簽名內(nèi)容、完整檢查轉(zhuǎn)賬地址的正確性,、從官方應(yīng)用商店下載應(yīng)用,、安裝防釣魚插件 — 每一個環(huán)節(jié)都必須時刻保持警惕。

本季度 Rug Pull 事件依舊頻發(fā),，其中 56% 的項目跑路金額在 10 萬美元以下,。這類項目通常官網(wǎng)、推特,、電報,、Github 等信息缺失，沒有 Roadmap 或白皮書,，團隊成員信息可疑,，項目上線到最后跑路周期不超過三個月,。建議用戶多多對項目進行背景調(diào)查，避免資金遭受損失,。

Beosin 作為一家全球領(lǐng)先的區(qū)塊鏈安全公司,，在全球 10 多個國家和地區(qū)設(shè)立了分部，業(yè)務(wù)涵蓋項目上線前的代碼安全審計,、項目運行時的安全風(fēng)險監(jiān)控,、預(yù)警與阻斷、虛擬貨幣被盜資產(chǎn)追回,、安全合規(guī) KYT/AML 等“一站式”區(qū)塊鏈安全產(chǎn)品+服務(wù),，目前已為全球 3000 多個區(qū)塊鏈企業(yè)提供安全技術(shù)服務(wù)，審計智能合約超過 3000 份,，保護客戶資產(chǎn)高達(dá) 5000 多億美元,。