2022年至今,Web3.0領域因欺詐騙局與漏洞所導致的安全事件已造成約34億美元的損失,今年共有573起攻擊事件被記錄在案。
2022年11月,CertiK總共記錄了36起重大事件,雖與上月相比略有下降,但每次攻擊的損失明顯增加,11月重大事件的平均損失約為1655.1萬美元,而10月份的平均損失約為726.7萬美元。
本月退出騙局項目的數字也急劇上升,相比於10月增加了375.5%。 11月共記錄了35起事件,總損失約2987.7萬美元,而10月的26起事件損失約為720萬美元。閃電貸攻擊的數量則為8起,與上個月相比減少了一半,然而損失卻增加了:本月損失了500萬美元,而10月份僅為100萬美元。另外我們可以看到,Discord和相關騙局項目的數量在近幾個月內有所下降:本月記錄了12起事件,而8月為97起,9月為57起。在本月記錄的62起事件中,有35起是退出騙局,8起為閃電貸攻擊,19起被歸於“其他”類別。
大型攻擊事件
11月共發生的36起大型攻擊事件,數量等同於6月的攻擊事件數目。平均每次攻擊造成的損失約為1655.1萬美元,與10月份每次攻擊平均損失726.7萬美元相比,有了明顯增長。
本月發生的最大規模攻擊事件是FTX黑客攻擊,總共造成了4.77億美元的損失。在FTX於2022年11月11日申請破產後不久,FTX的總顧問Ryne Miller在推特上說他們正在“調查異常情況”。次日,Ryne Miller在推特上報告稱該公司“啟動了預防措施”,並將其所有項目資產轉移到cold storage冷錢包,這意味著項目資產錢包不再與互聯網連接。
關於黑客攻擊是如何發生的有許多看法,但大多數報告表明這是一個內部行為。 FTX是今年規模第二大的攻擊事件,僅次於3月份的Ronin Bridge(6.24億美元)事件。 FTX事件目前仍然在調查當中,並預計還需相當一段時間後才能水落石出。
本月發生的第二大攻擊事件,是於2022年11月2日發生的Derbit交易所熱錢包被盜事件。由於私鑰洩露,導致了高達2800萬美元的損失,這也是2022年的第三大私鑰洩露事件。 Derbit交易所表示,該損失將由公司儲備金支付,因此用戶資金不會受到影響。 Derbit交易所聲稱將”99%的用戶資金保存在冷錢包中,以限制這些事件的影響”。除此之外,他們還表示運營沒有受到該事件的影響,因為需要額外的人工確認,現在任何黑客都不可能提款。
2022年11月排名第三大的損失,是由11月13日發生的Flare代幣退出騙局造成的,總計損失為1850萬美元。該項目沒有任何社交媒體賬戶,且與Flare Networks毫無關係。截至目前,該騙局的部署者正在Tornado Cash洗錢。
退出騙局
2022年11月,因退出騙局造成的損失為2987.7萬美元,比10月增加了375.5%。這些損失來自於35起被CertiK確認的事件,這也就意味著退出騙局的數量比上個月增加了40%。
而所有事件當中,僅僅是退出騙局就造成了2980萬美元的損失。讓我們回顧一下今年已度過的這11個月,其中有6個月的退出騙局損失都在600萬美元至800萬美元之間。也就是說,11月的退出騙局損失金額之高並不常見。這是因為在本月的退出騙局中,FLARE代幣造成的1850萬美元損失,佔據了11月退出騙局損失的大部分。
此外,在CertiK記錄的數據中,與前幾個月類似,本月項目資產洗錢的情況仍舊多發,但該類事件並未計入我們的月度統計。
閃電貸攻擊
與10月份相比,本月的閃電貸攻擊事件較少,但損失金額卻更高。閃電貸攻擊事件總數為8起,共造成了600萬美元的損失,而10月份閃電貸攻擊事件為16起,總損失為100萬美元。另外,11月每起攻擊事件的平均損失為63.7萬美元,而10月份每次攻擊的平均損失為9.8萬美元。
本月最重頭的一次閃電貸攻擊即為DFX Finance攻擊事件,在2022年11月11日凌晨4時,DFX Finance swap合約被攻擊,導致約500萬美元遭到損失。攻擊者利用了swap合約中存在漏洞的閃電貸機制,通過向合約中存入token來繞過償還閃電貸的檢查,然後在完成閃電貸後從合約中提取token。該漏洞是因為合約設計問題而造成的,即合約沒有考慮到閃電貸的token可以用於存款並最終“償還”閃電貸款。
Discord及相關騙局
11月的Discord攻擊事件實現了連續第5個月的下降,僅有12起記錄,但是我們仍需保持警惕。非同質化通證的安全事件數量仍然居高不下,11月27日共有253枚非同質化通證被盜,其總價值為44.95ETH(約5.25萬美元)。其中的影響因素之一可能是今年對於非同質化通證的炒作熱度似乎達到了最低點。而與上述事件有關的名為“Monkey Drainer”的網絡釣魚詐騙也依舊活躍。
寫在最後
按月度匯總,11月因黑客攻擊、漏洞和跑路項目而損失的資金數額在2022年過去的11個月以來排在第二。損失金額較高的主要原因是FTX交易所的黑客攻擊造成了4.77億美元的損失,而僅這一事件就佔據了本月總資金損失的79%。如果沒有該事件,11月的總損失金額則為1.195億美元,位列今年11個月的倒數第三。此外,2022年的每個月都或多或少有一兩極高損失的事件發生從而造成單月總損失金額偏大。
總體而言,11月是今年因大型攻擊事件造成損失的的資金數額排名第二高的月份,這一結果離不開極端攻擊事件的“努力奉獻”。
CertiK的審計及端到端安全解決方案已覆蓋目前市面上大部分生態系統,並支持幾乎所有主流編程語言,就區塊鏈平台、Web3.0資產交易平台、智能合約的安全性等領域為各個生態鏈提供安全技術支持。
如今保衛Web3.0領域的安全比以往任何時候都更為重要,CertiK智能安全審計和KYC服務不僅有助於確保協議的安全,還能將普通投資者們引向更加安全可信的項目。
