2022年第三季度Web3.0行业安全报告

2022年第三季度，黑客从Web3.0领域中盗取了总价值约5亿美元的资产，这个数字相比上季度减少了32.32%，同时今年的损失总额增长至28.8亿美元。

第三季度共发生了98起退出局，导致了5619万美元的资产损失，23起闪电贷攻击则导致了1737万美元的资产损失。

仅6起多链安全事件造成的高达4.3亿美元的损失金额就占到了本季度总损失的85.3%。

第三季度CertiK审计的Web3.0项目数量新增了537个，同时CertiK审计的项目总数达到了4737个。37个Web3.0项目成功通过KYC项目背景调查，47个项目入驻CertiKSkynet。

截至目前，2022年CertiK已完成了183个项目的KYC项目背景调查服务，同时有846个新的Web3.0项目入驻CertiKSkynet。?

第三季度攻击损失清单

①以攻击类型分类

98起退出局，共计损失5619万美元

23起闪电贷攻击，共计损失1737万美元

50起其他攻击事件，共计损失4.3亿美元

②?以生态系统分类

Avalanche：4起事件，共计损失316万美元

BNBChain：105起事件，共计损失5389万美元

Ethereum：25起事件，共计损失2838万美元

Fantom：2起事件，共计损失39万美元

Multichain：6起事件，共计损失3.53亿美元

Polygon：3起事件，共计损失106万美元

Solana：4起事件，共计损失2102万美元

其他/非区块链：11起事件，共计损失531万美元

③以时间分类?

7月：59起事件，共计损失6673万美元

8月：56起事件，共计损失2.55亿美元

9月：53起事件，共计损失1.82亿美元?

Paxos发布关于Silvergate Bank的声明：平台已内置银行冗余:金色财经报道，美元稳定币BUSD发行方Paxos在社交媒体发布关于Silvergate Bank的声明，其中表示Paxos几乎没有接触过Silvergate Bank。上周已停止了SEN连接和电汇到 Paxos的Silvergate账户，并继续处理外出提款。作为一家受监管的机构，Paxos 一直专注于保护客户的资金，平台内置了银行冗余（banking redundancy）。[2023/3/9 12:51:07]

概要

7月是今年到目前为止安全态势最为良好的一个月，黑客攻击、行为、漏洞利用和其他安全事件仅造成了6600万美元损失，但该数量在之后两个月内再次攀升。8月总损失的74%源于NomadFinance跨链桥攻击事件，而9月总损失的89%源于做市商Wintermute钱包被盗的1.62亿美元。

2022年第三季度，Web3.0行业仍然多受退出局的困扰。本季度，CertiK共记录了169起独立安全事件，其中58%被归类为退出局。

如果仍然有一些经验不足的用户考虑把钱投资到未经审计的项目中，或是甘愿冒着风险急于成为代币早期持有人，那么退出局就会持续扩散，整个产业也将被其阴影笼罩。??

跑路的过程其实非常简单明了，欺诈团队所要做的仅仅是复制粘贴现成的局项目代码并将其部署，为去中心化交易所的交易对增加流动性，然后将代币推销给用户，直到他们投入了足以让欺诈团队脱身的大量资金。

代码审计很容易就能发现项目钱包所存在的中心化风险及访问特权，从而根据一些疑点揭露团队欺诈。我们建议Web3.0用户不要投资任何未经审计，或者那些审计发现了中心化和特权风险却未修复的项目。

波兰竞争和消费者保护办公室对加密交易所Kanga Exchange提起诉讼:1月16日消息，波兰竞争和消费者保护办公室 (UOKiK) 对加密交易所Kanga Exchange的运营商Good Solution Investments Ltd. 提起诉讼。该办公室负责人Tomasz Chróstny在一份声明中表示：“Kanga Exchange声称其商业模式已获得波兰金融监管局（KNF）的批准，但该交易所从未收到它所指的批准。此外，其活动不受KNF的监管或评估，提供此类信息可能会在所执行操作的合法性和安全性方面误导消费者。”若指控得到证实，Good Solution Investments将因侵犯集体消费者利益而面临最高营业额10%的罚款。

该办公室指出，波兰的加密市场没有受到特别监管，因为它不被视为金融市场的一部分。到目前为止，KNF仅发布了与加密资产的收购和交易相关的风险警告。（Bitcoin.com）[2023/1/16 11:14:00]

其实所有退出局基本都遵循着类似的套路，要规避那些明显有退出局迹象的项目并不困难，因此退出局并不能提供Web3.0安全方面的最具启发性案例分析。?

但是第三季度还发生了许多其他不寻常的事件，可以让Web3.0用户和开发者汲取到新的经验。本报告将分享三个案例，就其事件进行分析并从中为读者提取安全相关的重要启示。

Nomad跨链桥黑客攻击事件：损失1.9亿美元，成为本季度最严重的安全事件；做市商Wintermute钱包私钥泄露事件：被盗1.62亿美元；Slope被黑事件：损失800万美元，其是Solana生态中比较流行的热钱包，被黑数额相对较小。然而，以上所有损失都是由于不安全的应用程序代码所致，这就表明要实现Web3.0的全面安全不仅关乎智能合约，技术堆栈的各个层面也必须保证安全。?

实际上，Nomad跨链桥被黑和Wintermute私钥泄露事件的资产损失合计占据了第三季度总损失的近70%，这说明成功的漏洞攻击很可能不需要黑客付出过多“努力”，而其所得的回报有可能是巨大的。换句话说，无论目标钱包存有162美元还是1.62亿美元，如果攻击者想要暴力破解其私钥，所要付出的算力都是一样的。而在Nomad被黑事件中，任何普通用户都能简单复制原始攻击者的交易，并换成自己的钱包地址实施攻击，这也更加凸显Web3.0世界的残酷性。毫无疑问，所有漏洞都会受到最大程度地利用。Web3.0开发者必须认真对待安全问题，不仅是为了保护用户资金，也是为了保障整个项目的长期生存和发展。?

上海环交所成功立项首个区块链碳交易应用国家重点研发计划项目:金色财经报道，近日，由上海环交所参与、云南电网有限责任公司牵头申报的国家重点研发计划“区块链”重点专项“基于区块链的可信碳交易与碳中和管理示范应用”获工信部批复立项。该项目是成功立项的首个区块链碳交易应用的国家重点研发计划项目。[2023/1/5 10:23:33]

重大安全事件

私钥安全危机四伏

导致Slope钱包被黑的漏洞并不常见，该事件涉及了9000多个钱包地址，损失金额高达800万美元。大部分因退出局或智能合约代码错误造成的损失只发生在区块链上，但这次事件却源自一个链下漏洞。?

8月2日晚，Solana用户钱包中的资产开始神秘消失，且每笔转账都是有效交易，就像是钱包主人自己操作签名转移了所有代币。调查人员在调查被黑钱包之间共性的过程中，关于漏洞起源的一系列假设也开始流传。?

这些假设和结论让那些担忧大型DeFi平台被黑导致数十万用户和价值数十亿美元的资产都将处于险境之中的人们松了口气。因为就在前一天刚刚发生了Nomad跨链桥被黑事件，人们仍然处于神经紧绷的状态中。最终Slope的漏洞是在其钱包应用程序的代码中被发现的——该程序会在服务器上以明文形式存储用户的助记词。当攻击者获得该数据库的访问权时，就能完全控制所有受到影响的钱包，并立即卷走资产。

一些反应迅速的用户已将资金转移到了硬件钱包或其他不受Slope漏洞影响的热钱包中。?安全启示：使用硬件钱包或者网络隔离电脑离线生成密钥是最安全的做法，而在热钱包中生成或导入的私钥都不宜用于存放任何重要资产。

谨慎处理钱包密钥?

Angle Protocol发行的欧元稳定币agEUR已支持Avalanche与BNB Chain:10月21日消息，去中心化稳定币协议Angle Protocol发行的欧元稳定币agEUR已支持Avalanche与BNB Chain，用户可以使用协议与LayerZero集成的跨链桥将稳定币跨链至Avalanche与BNB Chain。[2022/10/21 16:34:35]

9月20日，最大数字资产做市商之一的Wintermute因私钥泄露造成1.62亿美元损失，原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞，并遭到黑客利用。造成这次意外事件的原因不同于由智能合约漏洞所致的常见情况，而是来自外部的基础设施问题。

大多数以太坊地址看起来是一串完全随机的字母和数字，开头都为0x。这样的好处是提供了一定程度的隐私性，但这并不能满足想要一个独特地址的用户。基于人们对“vanity地址”的追求，一个名为“Profanity”的vanity生成器应运而生，它可帮助用户为包含指定单词或字符串的地址生成密钥。

除此之外，Profanity还可以被用来创建钱包地址，以优化手续费，这也是Wintermute团队创建0x00000000AE347......b92280f9e75地址的初衷，但却最终导致了钱包被黑。开头那串冗长的0简化了地址，减少了以太坊网络的算力需求，从而在一定程度上降低了交易手续费——这些节省下来的手续费看似微小，却会在成千上万的交易中积少成多。

2022年1月，用户k06a曾在Profanity的GitHub：https://github.com/johguse/profanity/issues/61，提出了一个关于私钥生成方式的问题：Profanity使用一个随机的32位种子数来生成256位私钥。

“一键游广西”文旅数字藏品上线:金色财经消息，近日，广西文旅区块链上线暨程阳八寨永济桥数字藏品发行仪式在北海市举行。广西壮族自治区文化和旅游厅党组书记、厅长甘霖，自治区党委宣传部副部长王晓华，桂林电子科技大学校长徐华蕊等共同按下启动键。

“一键游广西”是广西壮族自治区党委、政府“十四五”期间重点建设的智慧旅游项目，今年，该项目积极探索文旅元宇宙发展新模式，依托银联的数字金融技术，联合桂林电子科技大学等区内主要高校、中国旅游集团等文旅龙头企业，牵头打造具备自主知识产权的广西文旅区块链联盟链，并通过发行数字藏品的方式先行探索，共建良好的文旅区块链行业发展模式，逐步打造广西文旅元宇宙生态体系。（潇湘晨报）[2022/6/4 4:01:21]

2022年9月15日，1Inch发表了一篇文章，详细介绍了如何破解Profanity生成的钱包私钥的方法。

仅过两天，该漏洞就在众目睽睽之下遭到黑客利用。0x6...b93钱包账户抽空了多个vanity钱包，包括来自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH，以及更多其他钱包的资产，总价值为330万美元。?

在技术发展瞬息万变的Web3.0世界，只需要四天就能借助这一漏洞攻破一个Wintermute的DeFi交易钱包，其损失的1.62亿美元也是今年因私钥泄露造成的最高资产损失。??

事发后，攻击者迅速将价值1.14亿美元的稳定币转入CurveFinance的3Pool。有人猜测这是为了避免被盗资金被USDT和USDC列入黑名单并冻结。

但问题还没解决：所有基于Profanity创建的钱包都存在风险。9月25日，vanity地址0x000000000......Ff3791338975被黑，攻击者卷走了钱包中价值超过95万美元的各种代币，将其换成732.3枚ETH后，又通过15次交易把这些代币全部存入TornadoCash。

通过SkyTrace可视化追踪黑客钱包?

数字金融服务提供商AmberGroup称其团队能够在48小时内利用一台M1处理器和16G内存的MacBook复现黑客构建的漏洞并发起攻击。

安全启示：所有使用Profanity生成钱包的用户都应尽快将资产转移到可离线生成密钥的钱包中。?

Nomad跨链桥遭劫

8月1日，NomadFinance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之间的跨链桥遭到攻击，涉案金额约1.9亿美元。

在一次常规升级部署后，由于一个错误配置允许黑客绕过验证信息，最终导致了这起悲剧发生。最初攻击的消息被传开以后，其他黑客、机器人以及社区成员也纷纷效仿，通过克隆原始黑客的交易数据、换上他们自己的地址发起攻击，几乎抽空了跨链桥的所有资产。?

百闻不如一见：人们对一个持有9位数资产的跨链桥实施了去中心化式抢劫？–@0xfoobar?

这次的漏洞本质上源于acceptableRoot(messages)函数中的一个错误，它允许用户绕过从跨链桥上提取资金所需要的验证。关于此次事件的完整技术分析，欢迎阅读CertiK官方公众号发布的Nomad事件分析报告。

跨链桥为巨额资金提供托管服务，是其成为黑客主要目标的原因。今年初，Wormhole跨链桥遭漏洞利用，损失超过3.2亿美元，是有史以来第二大DeFi被黑事件。

值得注意的是，在这场混乱不堪的攻击中，所有对相关技术稍有了解的投机用户都能轻松复制原始攻击者的交易，这些人蜂拥而上将跨链桥洗劫一空。?

作为回应，Nomad宣布向所有归还赃款的用户提供10%的白帽赏金，同时将对那些不归还资金的人采取法律行动。

安全启示：某个漏洞一旦被公开，就别指望恶意者不会抓紧机会闻风而动，因为开源的代码意味着所有人都可以对其进行最大程度的恶意利用。?

本季度大事记

以太坊已顺利合并

9月15日凌晨，无数目光聚焦在以太坊。Web3.0史上最重大的网络升级顺利完成，以太坊的共识机制正式转为PoS权益证明。关闭PoW工作证明后，以太坊的网络能耗从112TW/年骤降为0.01TW/年。这99.95%的能耗降幅不仅减少了以太坊网络对环境的影响，也让ETH在面对那些曾因环保顾虑而放弃了合作的用户和投资者时更具吸引力。

本次合并是一项了不起的技术成就，此次升级的巨大成功也得益于开发者与网络成员多年的精心准备。如果升级失败，整个网络都将承受灾难性的后果。?

尽管人们仍然担心验证者的中心化问题，但如果消除了对昂贵挖矿设备的需求，更加多样的网络参与者会被吸引加入。虽然还有许多其他PoS网络也在运行，但对于锁定价值数千亿美元资产的以太坊网络来说，其雄心勃勃的发展计划已经箭在弦上。

史上最强制裁风暴?

8月8日，美国财政部下属海外资产控制办公室宣布将以太坊混币隐私应用TornadoCash和相关44个钱包地址纳入制裁名单，禁止任何美国个人和实体与TornadoCash相关地址进行交互，并要求TornadoCash向OFAC报告其平台上所有的美国资产。?

与此同时，现年29岁的TornadoCash软件开发者AlexeyPertsev被荷兰当局逮捕，理由是“涉嫌利用TornadoCash以太坊混合服务参与和隐瞒犯罪资金流动”。截至发稿前，Pertsev尚未被正式指控任何罪行，而荷兰法律规定犯罪嫌疑人在未受指控的情况下最长可被羁押110天。

美国财政部对TornadoCash采用“声名狼藉”的描述也并非毫无理由。TornadoCash自2019年成立以来，已被用于价值超过70亿美元的数字货币活动。其中包括由朝鲜国家支持的黑客组织LazarusGroup所盗取的超过4.55亿美元、来自HarmonyBridge漏洞攻击的9600万美元，以及2022年8月2日NomadHeist事件中的至少780万美元等事件。?

但美国财政部将TornadoCash的所有应用均概括为活动就有失偏颇了。虽然TornadoCash的确成了犯罪分子清洗不义之财的首选工具，但在区块链技术的开放世界中，该平台也作为重要的金融隐私工具之一发挥着作用。以太坊联合创始人VitalikButerin在制裁后透露，他曾使用TornadoCash进行过私人捐款。而仅在今年，反对金融监管的斗争已经赢得了来自不同意识形态的个人和团体支持，如美国的支持选择权活动家和加拿大的反疫苗授权抗议者。

在禁令宣布后，TornadoCash在GitHub上的开源代码被迅速删除，但在OFAC就此事作出了澄清后，代码又被重新恢复。9月13日，OFAC在其常见问题页面中发布了指导意见：

“虽然美国被禁止与TornadoCash或其被封锁的财产或财产权益进行任何交易，但只要不涉及禁止交易，与TornadoCash开源代码本身的互动就是被允许的。例如，美国制裁法规不会禁止人们复制开源代码并将其在线提供给他人查看、讨论以及教学，或将开源代码收录于书面出版物中。”?

这个仍在继续的Web3.0传奇故事凸显了Web3.0资产与行业相关实体所面临的挑战：在试图遵守严格的政府行动的同时，又要对事后迟来的指导意见及时作出反应。

标签：WEB3WEB3.0WEBTORNALFweb3Projectweb3.0币种在中国合法吗web3域名哪里注册torn币最新信息

FTX热门资讯