成都链安：2022年上半年Web3安全态势深度研报

2022上半年Web3安全态势综述2022年上半年，Web3领域共监测到主要安全事件约79起，因各类攻击造成的损失达到了19亿1287万美元。

上半年安全事件数量及损失金额我们可以从以下这组数据看到上半年的Web3安全领域的整体概况：上半年发生7起跨链桥攻击事件，共损失11亿3599万美元；53%的攻击方式为合约漏洞利用；约26.6%的攻击方式为闪电贷；上半年共发生5起损失过亿的安全事件；整个DeFi市场TVL从1月初的2760亿美元跌到了6月末的800亿美元，下跌71%；黑客通过TornadoCash共11亿4070万美元；约71%的攻击发生在DeFi领域。在第一季度和第二季度的安全报告中，我们已经从各个维度展示和分析了区块链安全领域的总体态势，包括总损失金额、被攻击项目类型、各链平台损失金额、攻击手法、资金流向、项目审计情况等。扩展阅读：1、2022年Q1全球区块链安全生态报告，攻击类安全事件造成的损失高达12亿美元2、2022年Q2全球Web3安全生态报告，攻击事件总损失约7亿1834万美元在这份半年报里，我们将这些发生在上半年的典型的安全数据提取出来，从安全事件出发，结合成都链安安全团队多年在实战中的审计经验、资金追踪经验和研究经验，为大家还原这些数据背后的深层次原因和安全事件的来龙去脉。数据一

2022年上半年，共发生了7起跨链桥攻击事件

2022年上半年，共发生了7起跨链桥攻击事件，共计损失金额约11亿3599万美元，占了上半年总损失金额的59%。

上半年跨链桥损失金额

上半年跨链桥损失金额数据二

53%的攻击方式为合约漏洞利用

2022上半年共监测到因合约漏洞造成的主要攻击案例42次，约53%的攻击方式为合约漏洞利用。通过统计，2022上半年共监测到因合约漏洞造成的主要攻击案例42次，总损失达到了6亿4404万美元。在所有被利用的漏洞中，逻辑或函数设计不当被黑客利用次数最多，其次为验证问题、重入漏洞。

成都链安：bDollar项目遭受价格操控攻击，目前攻击者获利2381BNB存放于攻击合约中:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，bDollar项目遭受价格操控攻击。攻击者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻击交易eth：0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻击合约:0x6877f0d7815b0389396454c58b2118acd0abb79a

目前攻击者获利2381BNB，存放于攻击合约中。[2022/5/21 3:32:53]

各漏洞利用次数及造成的损失金额单次损失金额最高的是签名验证漏洞。2022年2月3日，Solana跨链桥项目Wormhole遭到攻击，累计损失约3.26亿美元。黑客利用了Wormhole合约中的签名验证漏洞，这个漏洞允许黑客伪造sysvar帐户来铸造wETH。单次金额损失第二的漏洞是重入漏洞。2022年4月30日，FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击，总共造成了8034万美元的损失。在审计过程中最常见出现的总体来说分为四大类：1.ERC721/ERC1155重入攻击；2.逻辑漏洞；3.鉴权缺失；4.价格操控。根据成都链安鹰眼区块链安全态势感知平台所感知的安全事件统计，审计过程中出现的漏洞几乎都实际场景中被黑客利用过，其中合约逻辑漏洞利用仍然为主要部分。通过成都链安链必验-智能合约形式化验证平台检测和安全专家人工检测审计，以上漏洞均能在审计阶段被发现，并且可由安全专家在做出安全评估后提出相关安全修补建议供客户作为修复参考。试用链接：https://vaas.lianantech.com

通过链必验工具扫描出某合约存在重入漏洞数据三

2022年上半年，使用闪电贷进行攻击的案例达到了21次

今年上半年使用闪电贷进行黑客攻击的案例总计21次，占比26.6%，涉及金额高达3亿3291万美元。其中上半年影响较大的攻击手法主要有闪电贷加治理攻击，闪电贷加价格操纵攻击，闪电贷加重入攻击等。

成都链安：Feminist Metaverse项目遭受攻击，攻击者已将1838BNB转入tornado.cash:据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示，BNB Chain上Feminist Metaverse(FM_Token)项目遭受攻击。

攻击者地址:

0xaaA1634D669dd8aa275BAD6FdF19c7E3B2f1eF50

攻击交易bsc：0xfdc90e060004dd902204673831dce466dcf7e8519a79ccf76b90cd6c1c8b320d

目前攻击者已将1838BNB转入tornado.cash，约54万美元。[2022/5/19 3:26:26]

上半年各月闪电贷攻击次数及损失金额

各链平台闪电贷攻击频次及损失金额1）2022年4月17日，算法稳定币项目BeanstalkFarms遭到闪电贷加治理攻击，黑客获利7600万美元，协议损失达1亿8200万美元。2）2022年4月28日，多链衍生品平台DEUSFinance遭遇闪电贷加价格操纵攻击，造成了约1570万美元的损失。3）2022年4月30日，FeiProtocol官方的RariFusePool遭受闪电贷加重入攻击，黑客获利28380ETH，价值约8000万美元。闪电贷攻击频出不穷，那么项目方应该如何防范或者减缓闪电贷攻击呢？我们这里提出几条可能的建议：要求关键交易跨越两个区块如果一个资本密集型交易需要跨越至少两个区块，用户需要至少在两个区块时间段取出贷款，那么闪电贷攻击将会失效。但是要达到这一效果，两个区块之间用户价值必须锁定，以防止其偿还贷款。时间加权平均定价在价格操纵案例中，建议使用时间加权平均价格来跨多个区块计算流动性池中的价格。因为整个攻击交易序列需要在同一个区块内处理，但如果不操纵整个区块链就无法操纵TWAP，从而可以避免闪电贷导致的瞬时价格异常。更高频率的价格更新机制同样在价格操作案例中，可以适当增加流动性池向预言机查询并更新价格的频率，随着更新次数的增加，池中代币的价格会更新得更快，并使价格操纵无效。更严格的治理逻辑在涉及到项目治理时，应该多方面考虑治理逻辑的严谨性，避免出现BeanstalkFarms那样的逻辑漏洞，一旦有个微小的漏洞，就有可能通过闪电贷无限放大，最后造成巨大的损失。业务逻辑设计和实现时确保安全可靠项目方在进行业务逻辑的设计和开发人员进行开发实现时，应充分考虑业务逻辑的完整性和安全性，注意极端情况。必要时，应找专业的审计机构进行审计和研究，防范各种可能的风险。数据四

上半年共发生5起损失过亿的安全事件

2022年上半年，共发生了5起损失过亿的安全事件，分别为：RoninNetwork:6.25亿美元Wormhole：3.26亿美元BeanstalkFarms:1.82亿美元Elrond:1.13亿美元Harmony:1亿美元这5起黑客攻击事件造成的总损失就达到了13.46亿美元，占2022年上半年总损失金额的70%。在Q2的季报里，我们看到了一些项目在被攻击后TVL直接归零，后续也没有再重启。那么这些损失过亿的项目被攻击后都如何了呢？Ronin:损失6.25亿美元，资产已转入TornadoCash

OneSwap智能合约代码通过慢雾、成都链安、PeckShield安全审计:据海外媒体消息，OneSwap已9月6日顺利通过智能合约代码安全审计，此次审计工作由三家业内知名的安全公司慢雾科技，派盾PeckShield，成都链安完成。在审计过程中，三家独立的审计团队采取自身独特的策略对OneSwap智能合约代码进行全方位开展代码审计工作，以最大程度确保及时发现漏洞。

审计团队分别从攻击漏洞测试、合约复杂度分析、代码通用性、链上数据安全、代码逻辑等方面对OneSwap智能合约代码进行全方位的测试分析。OneSwap智能合约代码均符合三家安全公司的安全审核标准，审计中发现的问题目前都已解决或正在解决中。

OneSwap是一个基于智能合约的完全去中心化的交易协议，在CFMM模型的基础之上引入链上订单簿来改善AMM用户的交易体验。上币无需许可，可支持自动化做市、支持挂单挖矿、流动性挖矿和交易挖矿。据官方消息，Oneswap将在2020年9月7日正式上线并开启公测。[2020/9/7]

3月29日，AxieInfinity的以太坊侧链RoninNetwork遭到黑客攻击，损失约6.25亿美元。Ronin侧链由9个验证器节点组成，要确认存款或取款，需要五个验证者签名。攻击者设法控制了SkyMavis的四个Ronin验证器和一个由AxieDAO运行的第三方验证器。攻击发生之后，Ronin攻击者将部分盗取资金转入Huobi、FTX、Binance、Crypto.com等交易所，但各大交易所均发文表示将全力协助追回被盗资金。随后，攻击者对被盗资产分散到了多个地址，并分批次通过TornadoCash进行清洗。5月20日，Ronin攻击者将最后一笔盗取资金转入TornadoCash，所有资产清洗完成。此时的ETH单价已从3,330美元下降到了约2,000美元，黑客实际获利比攻击时少了1.6亿美元。使用链必追-虚拟货币案件智能研判平台对被盗资金进行分析，可以看到最终所有被盗资金都流向了TornadoCash。

Harmony：4.2万枚ETH转入TornadoCash

6月24日，Harmony跨链桥HorizonBridge遭到攻击，损失金额逾1亿美元。6月26日，Harmony创始人表示，Horizon被攻击并非因为智能合约漏洞，而是由私钥泄露导致。资金从跨链桥的以太坊一侧被盗。虽然Harmony对私钥进行了加密存储，但攻击者还是解密了其中部分私钥并签名了一些未经授权的交易。Harmony表示已经开始联合执法部门和所有交易平台对黑客进行全球追查。与此同时，Harmony也将黑客盗币返还让利的金额从最初的100万美元提升至1000万美元。然而黑客还是通过TornadoCash对赃款进行了。截止到6月30日，通过链必追-虚拟货币案件智能研判平台对被盗资金进行分析，可以看到黑客已将约4.2万枚ETH转移至TornadoCash。

动态 | 成都链安再获联想创投、复星高科领投多轮数千万元融资:区块链安全公司成都链安科技有限公司继2018年5月分布式资本种子轮投资，2018年11月界石资本、盘古创富天使轮投资后，近期连获多轮融资，共计数千万人民币，由联想创投、复星高科领投，成创投、任子行战略投资，分布式资本、界石资本、盘古创富等老股东均跟投。

此次融资将用于持续深化区块链全生态安全布局、研发“一站式”区块链安全服务平台、开展自主可控的区块链安全技术研究、提升用户全新体验及全球化市场的拓展，助力成都链安成为全球区块链安全领域的行业标杆。在当前区块链新时代风口下，一方面成都链安将利用“一站式”区块链安全平台和服务，协助相关企业做好安全防护工作，提升安全防护能力，减少安全损失；另一方面将继续大力协助政府监管机构做好调查取证等工作，以切实加强安全监管；同时多为行业发展发出正能量的声音，带头建立起有序的行业规范，并促进安全标准建设。[2020/1/16]

数据五

整个DeFiTVL从1月初的2798亿美元跌到了6月末的824亿美元，下跌70.5%整个DeFiTVL从1月初的2798亿美元跌到了6月末的824亿美元，半年下跌70.5%。其中，TVL在5月和6月累计跌幅就达到了63.2%，光是5月5日至5月13日几天内就跌去了44.5%。从攻击活动损失金额和攻击次数综合来看，3月、4月为黑客活跃程度最高的月份，同样3月、4月的TVL也处在半年的相对高点。5月TVL骤降，黑客攻击频次和盗取金额随之大幅降低。6月TVL持续降低，黑客活跃度较5月有所增加，但相对于3、4月仍是低位。1月TVL虽然处于半年来最高位，但黑客活跃程度却相对较低。通过比对2021年1月的数据，我们发现2021年1月因黑客活动造成的损失约为25万美元，也处于全年相对的低位。因此，2022年1月黑客活跃度较低的原因或是因为1月是历来黑客活动的淡季。抛开淡季的因素，黑客攻击事件与市场行情走势是有一定关联性的。链上资金的增加会吸引更多黑客的目光。

上半年DeFi损失金额及TVL走势

上半年DeFi被攻击次数及TVL走势除了DeFi以外，NFT、GameFi等各大赛道上半年也出现了明显的周期波动。其中GameFi的市值走势与加密货币市值走势大致趋同，均在五六月份出现了比较明显的市值缩水。而NFT的交易量在2月达到了今年上半年以来的最高峰，随后持续走低，直至上半年结束时都处于比较低迷的状态。

动态 | 成都链安面向联盟链推出“一站式”安全平台:据官方消息，成都链安面向联盟链安全需求推出“一站式”安全解决方案，为联盟链生态提供从安全设计、开发、安全检测到运行时安全监控和管理等全方位的安全服务与支持。

?

“一站式”安全平台主要包括：支持FISCO-BCOS、Fabric、以太坊、EOS等多个平台的“一键式”智能合约自动形式化验证工具Beosin-VaaS；Beosin-IDE智能合约开发工具；Beosin-Eagle Eye安全态势感知系统；Beosin-Firewall防火墙；Beosin-OSINT 威胁情报系统；安全审计与检测；安全顾问等服务。

?

成都链安作为最早专门从事区块链安全的公司之一，核心团队在安全领域深耕18年，申请区块链安全相关软件发明专利和著作权15项。平台推出以来，已为微众银行区块链、布比、云象、益链等多个联盟链平台提供了全套的“一站式”安全解决方案和安全防护。[2019/11/28]

以太坊NFT市场交易量走势

上半年GameFi及BTC市值走势数据六

黑客通过TornadoCash共11亿4070万美元

2022年上半年，约有11亿4070万美元的被盗资金被黑客转进了TornadoCash，约占总损失金额的60%。约有6亿3536万美元的被盗资金暂时还存放在黑客地址。

上半年被盗资金流向数据统计显示，2022年上半年共有95000枚以太坊存入了TornadoCash。也就是说，存入TornadoCash里的资金至少有48.7%都来源于黑客。这还是在假设剩余所有人使用TornadoCash作为交易隐私工具的情况下。事实上还有相当一部分人使用TornadoCash进行加密货币犯罪交易，此类数据不在本报告的统计范围之内。虽然混币技术增强了链上交易的匿名性和隐私性，但也被滥用于等犯罪，混币技术增加了犯罪资产的链上追踪难度。但是黑客采用TornadoCash进行过程中，也会暴露出一些数据痕迹。通过对黑客所有转到Tornado的地址和金额进行金额聚合，同时对单位时间内所有从TornadoCash转出的目的地址和金额进行金额聚合，进而对混币充币金额与混币提币金额进行关联匹配，从而达到黑客入金地址与出金地址关联进行违法资金的追踪。成都链安同时致力于全链条打击虚拟货币犯罪能力建设体系，提供全链条打击虚拟货币犯罪的服务+产品，在虚拟货币反和监管方面很有经验，曾协助执法机构完成数起进入TornadoCash案件的技术支持。数据七

约71%的攻击发生在DeFi领域

根据数据显示，2022年上半年，整个区块链生态共发生79起较大的安全事件，其中涉及DeFi安全的共有56起，占比71%；损失金额达5.5亿美元。在web3.0世界里，DeFi已经成为黑客攻击的重灾区。

被攻击项目分类及损失金额那么，DeFi为何成为了web3.0世界里黑客攻击的重灾区呢？第一，DeFi活跃度高。作为区块链最火的领域，DeFi从诞生开始就备受关注。活跃度高，参与的项目和用户自然也越多，也就更容易被黑客列为攻击目标。第二，资金量大。统计数据显示，截止6月30日，DeFi总锁仓量高达824亿美元。虽然今年以来，加密行业市值缩水，DeFi的TVL也大量下滑，在加密行业整体市值下跌的大背景下，DeFi相对来说仍保持着巨额资金。如此巨大的资金量，则无疑是对黑客最好的吸引。

DeFi生态系统第三，DeFi业务逻辑复杂。如今，DeFi生态越来越庞大，其业务的复杂度也越来越高。又因为DeFi产品之间也有较强的可组合性，这导致不同DeFi产品之间产生了流通性和资产共享。因此，DeFi业务逻辑上的复杂度，加上产品之间的组合和交互，就很可能会导致一些安全问题，从而被黑客抓住其中的机会。第四，不少开发者缺乏安全意识，低估了漏洞的风险。数据显示，上半年DeFi项目中共发生33起因合约漏洞遭受的攻击。其中，最常见的是由代码逻辑错误引发的安全问题。

各链平台因合约漏洞造成的损失占该链平台平均TVL百分比全面的外部安全审计、符合安全规范的编码和测试网络环境下的模拟测试是确保DeFi项目安全的最佳实现。上述提到的代码级别技术规范问题，如果在项目上线前，接受第三方安全审计，是可以将问题扼杀在摇篮之中。或许正是出于这样的考虑，许多DeFi项目逐渐开始认识到安全审计的重要性，并选择资质过硬的安全公司加以执行。数据八

NFT领域主要安全事件10起，损失约为6490万美元；

2022年上半年，共监测到NFT领域主要安全事件10起，统计到的损失约为6490万美元，主要攻击方式为合约漏洞利用、私钥泄露、钓鱼等。而上半年Discord钓鱼事件频发，几乎每天都有Discord服务器受到攻击，个人用户因点击钓鱼链接而遭受损失的情况频繁发生。

NFT攻击事件损失NFT合约安全

上半年发生了多起NFT合约相关的安全事件，主要原因还是没有进行全面的安全审计。那么NFT合约在审计过程中都会出现哪些常见问题呢？成都链安审计团队在审计NFT系列合约时，发现NFT合约主要的问题包括以下几类：(1)签名冒用和复用：签名数据缺少重复执行验证(例如：缺少用户nonce)，导致可以重复使用签名数据铸造NFT；签名检查不合理(例如：未检查签名者为零地址的情况)，导致任意用户均可通过检查进行铸币；(2)逻辑漏洞：合约管理员可以通过私募等特殊方式铸币而不受总量的限制，导致NFT的实际量超过预期；拍卖NFT时，获胜者可在领取交易顺序依赖攻击，修改竞拍价格，导致竞拍获胜者可以低价获取NFT；(3)ERC721&ERC1155重入攻击当合约使用转账通知功能时(onERC721Received函数)，NFT合约会主动向转账的目标合约发送一次调用，那么这就可能导致重入攻击；(4)授权范围过大用户在进行质押或者拍卖时，仅需要对单个代币授权，但合约要求_operatorApprovals授权，一旦用户授权成功，那么就存在NFT被盗的风险。(5)价格操控NFT的价格依赖于某合约的代币持有量，导致攻击者利用闪电贷拉高代币价格，使得质押的NFT被异常清算。从上半年发生的NFT合约安全事件来看，审计过程中经常出现的漏洞在实际中也会被黑客利用。因此寻求专业的安全公司对NFT合约进行审计也是非常有必要的。钱包安全

区块链中钱包安全的重要性不言而喻，对于个人用户而言，今年由于钓鱼事件频发造成大量用户钱包资产被盗；对于项目方而言，今年也发生多起私钥泄露相关事件，造成大量项目资产被盗。下面将针对危害个人用户的钓鱼攻击和危害项目方的私钥泄露事件分别进行介绍。钓鱼目前的钓鱼手法通常会以各种方式诱用户对钱包授权，从而危害钱包安全，以下是几种常见的钓鱼手法：假空投该类钓鱼网站主要是利用假空投等手段，诱用户访问钓鱼网站。在用户连接钱包后，就会出现“CLAIMNOW”等引诱用户进行点击的按钮，用户点击之后就会对钓鱼网站的黑地址进行授权。诱用户填写助记词该类钓鱼网站主要是在网页连接钱包处，或者其他位置诱用户点击，之后弹出一个伪造的网页，提示用户诸如“MetaMask插件版本需要升级”等信息。如果用户相信并填写了自己的钱包助记词，那么用户的私钥就会上传到攻击者服务器导致用户钱包被盗。APP假钱包该类假APP钱包通常通过以下三种方式诱用户下载，第一种方式是通过购买搜索引擎的广告位，诱用户访问虚假的钱包官网进行下载；第二种方式是向受害者发送邮件、海报等，引诱用户下载假钱包；第三种方式是通过社工的方式，首先获取受害者信任，然后再诱其下载假APP钱包。Discord钓鱼该类钓鱼方式主要是NFT项目的Discord被攻击，攻击者获取到Discord的管理员权限，然后在Discord中发布钓鱼链接，诱用户点击从而危害其钱包安全。或者直接获取到服务器的管理员权限，要求用户通过共享屏幕等方式进行身份验证，从而盗取用户私钥等信息。如何有效防范钓鱼攻击？

反钓鱼插件由于NFT项目的火爆，各种钓鱼网站层出不穷，仅靠用户自己进行识别已经很难防范，因此建议用户在浏览器上安装防反钓鱼插件。这类插件可以识别出用户当前访问的web3站点是否为钓鱼、等类型的恶意网站。推荐安装下面这款反钓鱼插件，可辅助识别部分钓鱼网站。https://chrome.google.com/webstore/detail/beosin-alert/lgbhcpagiobjacpmcgckfgodjeogceji?hl=zh-CN

结语

从整个加密货币市场上半年行情走势来看，DeFi、NFT、GameFi等各大赛道发展总趋势都是持续走低。整个DeFi总锁仓量从1月初的2798亿美元跌到了6月末的824亿美元，半年下跌70.5%。分析发现，黑客攻击事件频率与市场行情走势呈现出一定的关联性。五六月份在TVL大幅缩水的情况下，黑客攻击事件相对于前几个月有所减少，更多的链上资金会吸引更多黑客的目光。上半年发生7起跨链桥攻击事件，共损失11亿3599万美元。跨链桥的攻击手法主要为合约漏洞利用、私钥泄露和线下程序缺陷。对项目方而言，安全审计、线下风控、定期检查签名服务器、对签名者严格审查、版本更新时重新进行安全评估、制定漏洞赏金计划等都是保障跨链桥项目安全运行的有效手段。在上半年的攻击事件中，约53%的攻击方式为合约漏洞利用。通过对审计过程中常见漏洞和实际被利用漏洞进行比对，可以发现，大部分漏洞在审计阶段都能检测出来，如逻辑漏洞、重入漏洞等。成都链安链必验-智能合约形式化验证平台能在项目合约开发阶段，对代码进行自动的形式化验证，包括代码规范检测、标准规范检测、函数调用检测和业务逻辑安全检测。试用链接：https://vaas.lianantech.com另外还有26.6%的闪电贷攻击事件造成了3亿3291万美元的损失，除了采用一些措施如时间加权平均定价、更高频率的价格更新机制、更严格的治理逻辑等之外，还可使用一些工具及时监控闪电贷。上半年，共发生了5起损失过亿的安全事件，而好消息是，这5个被攻击的项目均在一段时间后发布了补救措施并重新上线。在过往的事件里，反倒是一些资金量中小规模的项目方，在遭到了重大攻击后将会很难重启。2022年上半年，约有11亿4070万美元的被盗资金被黑客转进了TornadoCash，约占总损失金额的60%。虽然混币技术增强了链上交易的匿名性和隐私性，但也被黑客滥用于等犯罪。成都链安在过往的案例中，已有数次成功分析黑客数据痕迹并追踪TornadoCash的经验。截止报告发布时，美国财政部已经宣布将TornadoCash列入制裁名单。作为一家致力于区块链安全生态建设的全球领先区块链安全公司，也是最早将形式化验证技术应用到区块链安全的公司，成都链安目前已与国内外头部区块链企业建立了深度合作；为全球2000多份智能合约、100多个区块链平台和落地应用系统提供了安全审计与防御部署服务。自主研发的“链必安”一站式区块链安全服务平台可为执法监管机构、金融机构、区块链企业等提供安全审计、安全防护、安全监管、安全预警、安全咨询等全生命周期安全保障解决方案。

标签：EFIDEFDEFI区块链OneFinBank CoinDeFi.chDeFiner区块链的未来发展前景视频

USDT热门资讯