DEF:成都链安 | 2022年Q2全球Web3攻击事件总损失约7亿1834万美元_Dives Defi

2022年第二季度，成都链安链必应-区块链安全态势感知平台共监测到Web3领域主要攻击事件超48起，总损失约7亿1834万美元，较第一季度的12亿美元下降约40%，约是2021年第二季度损失的2.42倍。

2022年1-6月，Web3领域因攻击事件损失的总金额已达约19亿1287万美元。

从时间上来看，4月是黑客攻击最活跃的月份，5月攻击事件数量和损失金额都出现了大幅下降，6月黑客活跃度有回升趋势。

从被攻击项目类型来看，DeFi依旧是被攻击次数最多的项目类型，约79.2%的攻击发生在DeFi领域。

从TVL来看，所有的链和被攻击的项目的TVL值在5月都出现了大幅下降。大部分项目在遭受攻击的时间点之后都会出现TVL骤降的情况。

从链平台来看，本季度Ethereum上损失的金额最多，达到了3亿8135万美元。被攻击频率最高的链为BNBChain，达到了26次。

从攻击手法来看，最常见的攻击手法依旧为合约漏洞利用和闪电贷。约有45.8%的攻击为合约漏洞利用。因闪电贷造成的损失达2亿3300万美元，居各种攻击方式损失金额第一位。

从资金流向来看，约4亿1889万美元的被盗资金被黑客转入了Tornado.cash，占该季度总被盗金额的58.3%。

从审计情况来看，被攻击的项目中，仅有52%的项目经过了审计。

其他方面，本季度共监测到链上主要Rugpull事件超43起，项目方共计卷走约3426万6402美元。据不完全统计，Discord服务器被黑案例超151个。Rugpull和钓鱼安全事件在5、6月份频发。

2022第二季度，共监测到Web3领域主要攻击事件超48起，总损失约7亿1834万美元。其中损失达一亿美元及以上的攻击事件3起，千万美元以上的攻击事件共12起，百万美元以上的攻击事件共28起。损失最高的前三为BeanstalkFarms、Elrond和Harmony，分别为1亿8200万美元、1亿1300万美元和1亿美元。

成都链安：hackerDao项目遭受价格操控攻击，获利资金已转至Tornado.cash:金色财经消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，hackerDao项目遭受价格操控攻击。成都链安安全团队第一时间进行分析，发现攻击者先从先闪电贷借出2500WBNB，拿出部分WBNB兑换出大量hackerDao，然后将这笔hackerDao发送WBNB/hackerDao；并调用该交易对合约的skim函数将多余代币领取至BUSD/hackerDao。由于hackerDao代币在转账时，如果转账接收地址是BUSD/hackerDao时，会同步减少发送者的代币余额以收取手续费，因此,WBNB/hackerDao交易对中的hackeDao数量被异常减少，从而影响该交易对的代币价格，使得攻击者最终利用WBNB/hackerDao兑换出WBNB时，获取额外的收益。目前攻击者实施了两次攻击，总计获利约200BNB，已经转至Tornado.cash 。[2022/5/24 3:38:37]

从时间上来看，2022年4月是本季度黑客攻击最活跃的月份，共发生19起主要安全事件，损失约为3亿7489美元。5月攻击事件数量和损失金额都大幅减少，或与5月整个加密货币市值大幅缩水有关。6月虽然行情并未见回暖趋势，但黑客攻击频率和项目损失金额却较5月大幅增加。

和第一季度相同，DeFi依旧是被攻击次数最多的项目类型，约79.2%的攻击发生在DeFi领域。其损失总金额约为4亿5474万美元，占到了Q2总损失金额的63.3%。

本季度依旧发生了两起跨链桥攻击事件，累计损失金额约为1亿美元。在2022年第一季度，4次跨链桥攻击的总损失为9亿5000万美元。至此，2022年上半年因跨链桥攻击造成的损失金额已达10亿5000万美元。

从部分被攻击项目的TVL来看，5月几乎所有项目TVL都出现了集体缩水。大部分项目在遭受攻击的时间点之后都会出现TVL骤降的情况。一些项目在被攻击后TVL直接归零，例如Beanstalk、BlizzFinance。

成都链安：国内天穹数藏宣称遭黑客攻击，黑客利用虚假余额购买盗取用户的藏品:5月17日消息，据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，天穹数藏宣称遭黑客攻击，藏品售价异常高达近千万元。根据平台公告称：平台数据遭遇大量恶意攻击，黑客利用虚假余额购买盗取用户的藏品，导致数据异常，目前已恢复，平台已第一时间报警处理。成都链安安全团队初步分析，导致本次攻击的原因猜测为：攻击者通过传统网络安全攻破了平台方数据库，恶意篡改账户余额，导致大量用户高价挂单仍可成交，最终导致数据异常。成都链安安全团队建议：

1、 国内数字藏品平台方在设计、实现和部署的过程中，要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域，做好安全防护；

2、 国内数字藏品平台方在运维的过程中，要做好金融风控的设计和实施，避免出现大规模资金异动而不自知的情况；

3、 数字藏品消费者在选择交易平台时，需要关注平台合规风险，注意保障自身财产安全；

4、 数字藏品消费者警惕炒作风险和市场泡沫，避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]

从被攻击项目与被攻击时间的TVL比例来看，大部分情况下损失金额在项目TVL的30%以下。其中也有个别项目如BlizzFinance、Beanstalk，损失达到了TVL的100%甚至500%。

本季度Ethereum上损失的金额最多，达到了3亿8135万美元。被攻击频率最高的链为BNBChain，达到了26次。

和上一季度相比，连续两个季度都发生过攻击事件的链包括Ethereum、BNB、Fantom和Cronos。在第一季度因2次攻击事件造成了3亿7400万美元的损失的Solana链，在本季度并未监测到重大安全事件。

第二季度，所有的链TVL值在5月都出现了大幅下降。TVL排名前2的Ethereum和BNBChain仍然是黑客攻击的主要目标。本季度攻击事件总共损失了7亿1834万美元，比6月时Osmosis、Elrond、Metis加起来的TVL总值都还要多。

成都链安：Visor Finance遭受攻击事件分析:据成都链安监测显示，Visor Finance于北京时间2021年12月21日晚上10点18分遭受攻击。经成都链安技术团队分析，本次攻击利用了Visor Finance项目抵押挖矿合约RewardsHypervisor的两个漏洞：

1.call调用未对目标合约进行限制，攻击者可以调用任意合约，并接管了抵押挖矿合约的执行流程；<- 主要漏洞，造成本次攻击的根本原因。2.函数未做防重入攻击；<- 次要漏洞，导致了抵押凭证数量计算错误，不是本次攻击的主要利用点，不过也可凭此漏洞单独发起攻击。针对这两个问题，成都链安在此建议项目方应做好下面两方面：1.进行外部合约调用时，建议增加白名单，禁止任意的合约调用，特别是能够控制合约执行流程的关键合约调用；2.函数做好防重入，推荐使用openzeppelin的ReentrancyGuard合约。[2021/12/22 7:55:18]

从DeFi项目来看，以太坊上被攻击的DeFi项目金额最多，但占二季度TVL均值的比例并不高，Metis链损失的金额占TVL比例反而最高。占比最小的为Avalanche。

从DeFi协议被攻击的次数上看，二季度BNBChain上被攻击的DeFi协议占其总协议数量的比例最高，达到了7%。Metis上DeFi生态还不够丰富，虽然仅1笔攻击，但不论在笔数和金额上都占比较高。

合约漏洞利用为本季度最常见的攻击手法，22次攻击为合约漏洞利用，频次占到了45.8%，因合约漏洞造成的总损失约为1亿3800万美元。第二常见的攻击方式为闪电贷，本季度共发生9次闪电贷攻击，造成的损失达2亿3300万美元，居各种攻击方式损失金额第一位。

和第一季度相同的是，Web3领域最常见的攻击手法依旧为合约漏洞利用和闪电贷。此外，因私钥泄露导致的损失仍然达到了1亿315万美元，私钥安全问题依旧值得重视。

本季度被利用的漏洞主要包括：业务逻辑/函数设计不当、验证问题、权限问题、k值校验问题、重入漏洞和call注入漏洞。其中利用次数最多的漏洞为业务逻辑/函数设计不当，远高于其他漏洞。重入漏洞在本季度被黑客利用了1次，造成的损失却达到了8034万美元。

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

2022年4月2日，InverseFinance项目遭受价格操纵攻击，累计损失估计大约1500万美元。攻击的主要原因在于TWAP预言机使用的时间窗口太短。在计算Xinv代币价格时，依靠WETH/INV这个pair去计算。由于pair这个池子已经被操纵了，再加上timeElapsed间隔时间短，那么攻击者需要满足不在当前区块调用，就可以操纵xINV代币的价值。

2022年6月16日，InverseFinance再次遭受黑客攻击，黑客获利120万美元。主要原因在于项目合约在计算抵押品价格时，使用了balanceOf函数，攻击者得以通过大额兑换将抵押品anYvCrv3Crypto的价格拉高。

动态 | 成都链安：10月发生较典型安全事件共5起:据成都链安态势感知平台——Beosin?Eagle-Eye统计数据显示，在过去一个月（10月）中，共发生5起较为典型的安全事件。其中包括：1.EOS链上本月内总共发生两起攻击事件：一是假EOS攻击；二是游戏服务器解析参数问题。2.亚马逊云服务平台AWS被爆遭到了DDoS攻击，并因此被迫中断了服务。3.网页加密货币钱包Safuwallet被黑客通过注入恶意代码窃取了大量资金，并且殃及币安。4.Cryptopia被盗资产开始转移：一部分ETH流入知名DeFi借贷平台Compound；另有数个ETH流入一个叫做DeFi 2.0的DApp项目。鉴于当前区块链安全新形势，Beosin成都链安在此提醒各链平台需要增强安全意识，重视各类型安全风险，必要时可寻求安全公司合作，通过第三方技术支持，排查安全漏洞，加固安全防线；各钱包项目应进一步做好安全方面的审查，有意识地增强项目系统架构的安全性，并建立完善的应急处理机制。如发生资产损失，可借助安全公司的帮助，进行资产溯源追踪；用户在进行投资行为时需谨慎，远离资金盘，切勿刀口舔血。[2019/10/31]

安全建议：获取代币价格时应避免依赖于代币实时余额，而应使用TWAP类型的价格预言机，并设置足够的时间窗口。

2022年4月24日，NFT项目Akutars因智能合约漏洞导致3400万美元被锁定无法提取。值得注意的是，该项目的合约没有经过安全公司的审计。经分析，发现Akutars的合约包含有两个漏洞。

漏洞一：

第一个合约漏洞在processRefunds中，设计者根据refundProgress计数器进行循环退款。而这里使用了call函数进行退款操作，且把退款的结果作为require的判定条件。因此如果此时有攻击者在队列中进行退款操作，调用call退款给攻击者时，攻击者在fallback中进行进行恶意的revert，则会导致队列后面的所有人都无法进行退款。这个漏洞所幸没被攻击者进行实际利用。

漏洞二：

该漏洞是导致价值约3400万美元资产被锁死在合约中的直接原因。

在claimProjectFunds函数中，该函数主要用于项目方提款。函数中require，此处refundProgress表示已经处理了多少个用户的退款，totalBids表示所有用户总投标了多少个NFT。由于一个用户可以投标多个NFT，导致单从数值上比较，refundProgress可能小于totalBids。

而退款函数processRefunds中：require(_refundProgress<_bidIndex);bidIndex表示所有参与竞标的用户，refundProgress永远不会高于bidIndex。而bidIndex的值为3669，totalBids的值为5495。

因此，refundProgress>=5495且refundProgress<3669这个判断条件永远不会成立，项目方团队将永远无法执行后续的提款操作。此处应将refundProgress与bidIndex做对比，开发者犯了一个很低级的错误。这最终导致了项目方3400万美元的资产被锁定无法提取。

安全建议：项目上线前的专业安全审计非常有必要。

2022年4月17日，算法稳定币项目BeanstalkFarms遭到闪电贷攻击，黑客获利近8000万美元，协议损失达1亿8200万美元。这是本季度损失金额最高的项目。

回顾本次攻击，攻击者在前一天发起提取Beanstalk:BeanstalkProtocol资金的提案，然后调用emergencyCommit进行紧急提交来执行提案。这是要因为项目方规定提案后1天才能开始投票。

攻击过程中，攻击者利用“投票合约中的票数由账户的提案代币持有量计算得到”的漏洞，通过闪电贷借出价值10亿美元的巨额资金，换取代币后投入到矿池中，临时获得巨额的提案代币，保证了提案不需要其他人投票也能通过。最终提案通过并执行，攻击者成功提取项目方资金，随后兑换并偿还闪电贷，获利离场。

安全建议：

1.投票所用资金应在合约中锁定一定时间，避免使用账户的当前资金余额来统计投票数量；

2.项目方和社区应关注所有提案，如果提案是恶意提案，建议在提案投票期间应及时做出处理措施，将提案废弃，禁止其接受投票以及执行；

3.可考虑禁止合约地址参与投票。

从资金流向来看，在2022年第二季度，约4亿1889万美元的被盗资金被黑客转入了Tornado.cash，占该季度总被盗金额的58.3%。另外有1亿3100万美元的资产被追回，1亿6845万美元的资产留在黑客地址暂未进行混币或流入交易所。

数据表明，Tornado.cash依旧为黑客进行的惯用途径。本季度资金追回的情况优于上一季度，在一些情况下，项目方会和黑客通过链上信息进行协商，部分黑客会选择返还一定数量的赃款以“免于法律制裁”。

被攻击的项目中，仅有52%的项目经过了审计，而上个季度，该项比例为70%。本季度经过审计的项目因攻击造成的损失达5亿4763万美元，占损失金额的76.2%，远高于上一季度。

虽然经过审计的项目损失金额仍达到了5亿4763万美元，但这并不意味着审计不再重要了。

随着越来越多的安全公司踏足审计业务，审计市场参差不齐，鱼龙混杂。由于一些不专业的公司，导致智能合约中一些本应该审计出的漏洞没有审计出来，因此一些项目方和投资者开始质疑审计的必要性和专业性，认为“审计了也是白审”。例如，本季度合约漏洞中最常出现的“业务逻辑/函数设计不当”，这类漏洞是完全可以在审计阶段发现的。因此建议项目方一定在项目上线前要寻找专业的安全公司进行审计。

Rugpull通常指的是开发人员撤出DEX流动性池或突然放弃一个项目，毫无征兆地就卷走投资者的资金，通俗来讲就是“跑路”。2022年第二季度，共监测到链上主要Rugpull事件43起，项目方共计卷走约3426万6402美元。

攻击事件数据表明，5月黑客活跃度大幅降低，然而与之不同的是，5月却是Rugpull最高频的月份。在5月各公链和项目TVL大幅缩水的情况下，一些项目方选择了Rugpull，导致一大批投资者受损。其原因或许是无法继续运营，或许是认为“与其等着TVL归零，不如自己先跑路”，或许是本就预谋好跑路，只是TVL急剧的下降加速了这一过程。

据不完全统计，2022年第二季度，Web3领域共有包括Opensea、BAYC、Moonbirds、RTFKT、Akutars、Doodles、Otherside在内的超151个Discord服务器被黑，其中5月、6月尤为严重。其中个别服务器在本季度内被攻击了两次甚至三次。

和Rugpull数据类似的是，在市场行情低迷的情况下，钓鱼类安全事件或许反而会增多。本季度出现的Discord钓鱼方式形式繁多，例如机器人账号被黑、伪装管理员或机器人私信发送钓鱼链接、通过社交媒体散播高仿Discord邀请链接等等。越是熊市，用户和项目方反而越是应该提高反诈意识，保护好自己的资产安全。

2022年第二季度，DeFi安全仍然是值得关注的焦点，约79.2%的攻击发生在DeFi领域。连续两个季度，DeFi一直都是黑客攻击的重点对象。而NFT、跨链桥、交易所安全事件虽然频次没有DeFi那么高，但个别事件涉及金额也很巨大。因此，Web3各类型项目方都应加强安全意识，做好安全防护工作。

本季度约有45.8%的攻击为合约漏洞利用，其中绝大部分漏洞都可以在审计阶段发现和进行修复。而在本季度被攻击的项目中，仅有52%的项目经过了审计。建议项目在上线之前寻找专业的审计公司进行审计。

本季度，约4亿1889万美元的被盗资金被黑客转入了Tornado.cash进行洗币。另外约有1亿3100万美元的资产被追回，但追回方式大多是通过链上和黑客进行协商，让黑客返还部分被盗资金。其实被盗资金进入龙卷风后不是毫无办法。成都链安在协助被盗资金追踪方面已积累了不少成功案例，包括一些资金进入龙卷风的情况。建议项目方在不幸遇到被黑时，除了和黑客协商返还，也可寻求一些专业的安全公司进行资金追踪。

本季度各公链和项目的TVL值都出现了较大波动，也有因为各类安全事件导致项目资金异常或出现风险交易的情况。建议项目方和投资者都因及时关注项目运行情况。成都链安可以让项目方和用户及时发现风险交易，从而快速采取措施。

在本季度行情低迷的情况下，Rugpull和钓鱼等各类安全事件反而更加频发，一些Web2的攻击方式在Web3领域依旧活跃。各项目方和用户都应该提升安全意识，保管好自己的私钥，不要轻易点击来路不明的链接，对各类信息进行多渠道验证。

Web防钓鱼利器：

https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

*特别鸣谢FootprintAnalytics对本报告的图表及数据支持。本报告中所有图表均可通过以下链接进行在线查看：https://www.footprint.network/@Beosin/Footprint-Beosin-Q2-Report

标签：TVLDEFDEFIUNDtvl币圈PlutusDeFiDives DefiUNDO币

DOGE热门资讯