黑客攻击频频 Web3的安全在哪里？

今年以来，黑客攻击事件频繁，仅10月20日到10月25日就发生了5余起安全事件，这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件。那么，今年哪些板块和生态黑客攻击事件最为频繁？最近加密领域又有哪些安全事件值得注意？这些安全事件折射出加密市场有哪些亟需弥补的短板？未来Web3将朝着哪些方向发展？作为用户，我们又能做些什么来保证我们的资产安全呢？本文将就这些问题进行探讨。

加密世界愁云惨淡，下半年黑客攻击异常猖獗

今年毫无疑问是加密市场的熊市之年，不少散户和项目方本就因币价下跌而损失惨重，可“屋漏偏又逢阴雨”，整个加密市场又不断遭受黑客“洗劫”。到了今年下半年，黑客攻击更是异常猖獗，下面就将今年主要黑客攻击事件进行汇总梳理。

据派盾数据统计，2022年上半年黑客攻击总共加密市场总损失达11.3599亿美元，其中大约53%的攻击是利用合约漏洞，大约26.6%的攻击涉及闪电贷。从黑客攻击领域看，大约71%的攻击发生在DeFi领域，受多方面因素影响，DeFi市场TVL从1月初的2760亿美元下降到6月底的800亿美元，下降了71%。

加密做市商Wintermute在DeFi黑客攻击中损失1.6亿美元:9月20日消息，加密做市商Wintermute创始人Evgeny Gaevoy在社交媒体上发文表示，Wintermute在DeFi黑客攻击中损失1.6亿美元，目前其CeFi和OTC业务不受影响。[2022/9/20 7:08:19]

进入到今年三季度，黑客事件更是频发。从攻击类型看，加密市场总共发生98起退出局，共计损失5619万美元，发生23起闪电贷攻击，共计损失1737万美元，发生50起其他攻击事件，共计损失4.3亿美元。从生态系统上看，BNBChain生态黑客安全事件最多，共发生105起，其次是以太坊生态，共发生25起，黑客攻击造成生态损失最大的是Multichain，共发生6起事件，共计损失3.53亿美元。从时间上看，7月发生59起安全事件，8月发生56起安全事件，9月发生53起安全事件。十月也是多事之秋，仅10月20日到10月25日就发生了5余起，这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件，以下是近期相对典型的安全事件：

Acala：黑客攻击系iBTC/aUSD池配置错误，相关被盗资产已被禁止转移:8月14日消息，Acala发推表示，此前的黑客攻击系iBTC/aUSD流动性池的配置错误，导致大量aUSD的错误开采。该配置错误已被纠正，收到错误铸造的aUSD的钱包地址已被确定，Acala正在对这些地址进行链上活动追踪。

据初步的链上追踪显示，99%以上错误铸造的aUSD仍在Acala平行链上，被兑换为ACA或其他Token。在Acala社区集体治理决定如何解决错误铸币之前，留在Acala平行链上的这些错误铸造的aUSD及其兑换Token将被禁止转移。[2022/8/14 12:24:51]

10月20日，以太坊闹钟服务漏洞被利用，导致约26万美元被黑客盗取。

10月23日，Optimism生态投资项目Layer2DAO遭遇黑客攻击，黑客通过获取Layer2DAO的多重签名权限盗走约4995万枚L2DAOToken并将部分抛售，使得L2DAO价格一度下跌约90%。

报告：2020年区块链黑客攻击次数有所减少:根据VPN提供商Atlas VPN近日发布的报告，2020年与加密货币和区块链相关的黑客攻击一直在减少。报告指出，2019年是区块链黑客攻击次数创纪录的一年，2019年上半年成功的黑客攻击达到94次，而在2020年上半年有31次。与此同时，报告称，由于2020年还没有结束，预计在年底之前还会发生更多与区块链相关的违规行为。不过，根据历史数据，2020年似乎不会达到2019年的纪录高点，而区块链黑客攻击的次数将继续减少。（腾讯网）[2020/11/3 11:29:56]

10月24日，SBF发推称一些用户在虚假网站上注册交易，并泄露了自己的FTXAPI密钥。

10月24日，QuickSwap因闪电贷攻击损失22万美元。

10月25日，Web3音乐项目Melody合约受到黑客攻击，代币SNS被盗。

万卉：DeFi的黑客攻击事件其实是一个很典型优胜劣汰的过程:今日，Primitive Ventures创始人万卉在微博上表示；

1、DeFi其实并不抽象，可以从三个方面量化：没有准入许可，没有第三方托管，没有对手盘风险。

2、当市场情绪高昂的时候，大部分凭空创造出来的资产本身价值肯定是会被过度高估的。

3、大家觉得挖矿可以赚钱，其实的事情就是这些凭空创造的资产，本身是不是可能有暴涨的价值。

4、在价值判断上，大家可以遵循第一性原理，即在每一个细分领域里肯定要去投资一个头部玩家。

5、以太坊之所以在DeFi浪潮有这么大的优势，主要在于它既是重要的基础资产，更重要的是它是核心的价值媒介（譬如Uniswap中的交易路由）。

6、DeFi的黑客攻击事件其实是一个很典型优胜劣汰的过程，最后只有最好的合约，最健壮的合约才能够被市场所使用。

7、对DeFi来说，真正要能做好做价值判断，还是先要使用这些服务和产品，如果觉得还不错，可以顺着这个思路逻辑去做一些功课。

8、没有必要为了治理而治理，而是在于每一个去中心化金融的项目背后社区是怎么样形成的，动机很功利的项目是绝对不可能走得很远的。[2020/10/1]

UEX交易所声明：遭遇黑客攻击，平台暂关闭充提:5月27日消息，UEX交易所官方发布关于UEX交易所调整通知，针对现状做以下公开说明：

1.5月27日20: 00开通交易对,黑客对系统进行了入侵与攻击,用增发Uex对盘面进行不计成本砸盘。

2,由于增发数据在第一时间砸盘成为USDT进行提现,在保证用户资产安全的情况下平台暂做禁止提现处理。

3.目前UEX数据库产生很大的空洞,目前在核查数据的情况与修复。

4.平台需要5天左右时间修复与核实数据,待平台核实结束,公开发布处理结果与下一步计划。

5.数据库修复期间,平台关闭充提,关闭内部转账。[2020/5/27]

Web3安全该如何保障，听一听行业大V的建议

在Web2向Web3的发展过程中，区块链带来了诸多好处，比如公开透明、自己掌控资产和数据等；但是，合约代码开源、链上数据不可篡改以及权力下放等似乎又给了黑客可乘之机。那么该如何看待区块链技术这把双刃剑？未来Web3的安全问题又该如何解决呢？笔者整理了部分行业KOL的观点，供读者参考。

Polygon首席安全官MuditGupta认为，完美的代码和密码学是不够的，希望Web3公司聘请传统安全专家来结束容易预防的黑客攻击。最近发生的几起加密攻击最终是Web2安全漏洞的结果，例如私钥管理和网络钓鱼攻击以获取登录信息，而不是设计不良的区块链技术；在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。

Beosin安全团队子玉表示，一定要对运维等内部人员做好安全培训，因为人其实是安全环节里最充满可变性和不稳定性的一个环节；前阵子有一个跨链桥遭受了攻击，当时大家都以为是私钥被盗/泄露了，结果后来发现是社工钓鱼。团队中的一个工程师想找工作，随后收到了一个高薪offer，当他打开offer文档时，电脑就被入侵了，导致了数据泄露。

BAICapital合伙人Will表示：这个行业强调codeislaw，立法和执法都是没有的。之前的Web3用户以程序员为主，大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白，这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到Web3的。所以我觉得安全问题更应该是面向C端解决的，在开发者端、网站端和项目端也需要有安全对策。

安全公司TrailofBits前顾问、数字支付公司安全工程师BobbyTonic认为，对于Web3公司来说，最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于Web3组织而言，不能保证代码的复杂性和正确性会产生灾难性的后果，因为攻击者可以随时查看其系统和应用程序的源代码。因此，Web3将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识：即向用户承诺该应用已经通过了安全测试，可以放心使用。

给用户的一些小建议

在Web3世界，权力下放到用户手中，要想在Web3世界中畅游，安全意识是必不可少的。笔者在此给出一些安全指南，希望可以给刚进入行业的小白一些帮助。

在钱包的使用方面：1、邮箱密码要至少12位以上，并且开启二步验证；2、不要告诉任何人你的任何数字货币信息；3、使用硬件钱包管理账户；4、注意使用chrome插件；5、使用VPN保护你的连接免受窥探者的侵害；6、使用2FA；7、把日常用钱包和主要钱包分开；8、经常换钱包；9、结合使用冷热钱包。

另外，用户也要持续保持防范意识，谨防假网站钓鱼、电信、跑路风险等类型。对所参与项目的最新进展可以多加关注，日常刷刷官方通告渠道或社区，一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露，也能第一时间获悉，并行动起来保护资产。

作者：比推AsherZhang

标签：WEBWEB3EFIDEFIcoinweb交易所合法吗METAWEB3PA币UMEfinanceDeFiStarter

MATIC热门资讯