零時科技：2022年全球Web3行業安全研究報告

星球君的朋友们

Odaily资深作者

2023-01-04 10:26

本文約18274字，閱讀全文需要約27分鐘

漏洞常在，安全無價，發展與安全的博弈不會停止。

AI總結

展開

漏洞常在，安全無價，發展與安全的博弈不會停止。

摘要

摘要
2022 年，是加密世界多元化創新的一年，但創新的背後，也發生了許多讓人咋舌的安全事件。零時科技安全團隊發布了《 2022 年全球Web3 行業安全研究報告》，回顧了2022 年Web3 行業全球政策，主要賽道所涵蓋基本概念、安全事件、損失金額和攻擊類型，並對典型安全事件進行了詳細剖析，提出了安全預防方案和措施建議。希望幫助從業者和用戶能夠了解Web3 安全現狀，提高網絡安全意識，保護好數字資產，做好安全預防措施。
2022 年，全球Web3 行業加密貨幣總市值最高達2.4 萬億美元，受行業爆雷事件影響，相比去年最高總市值2.97 萬億美元，今年有所下降，但整體資產數量規模正在不斷擴大。
據零時科技數據統計， 2022 年共發生安全事件306 起，累計損失達101 億美元。相比2021 年，今年Web3 安全事件新增64 起，同比增長26% 。
Web3 六大主要賽道：公鏈、跨鏈橋、錢包、交易所、NFT、DeFi 共發生安全事件136 起，造成損失超40.21 億美元。此外，新興領域如GameFi、DAO 成為黑客頻擾的對象，詐騙和跑路事件不斷，損失嚴重。
2022 年損失超1 億美金的典型安全事件共損失28.45 億美元，佔2022 年總損失金額28% 。其中典型代表有：跨鏈互操作協議Poly Network，損失6.25 億美元；交易所FTX，損失6 億美元；Solona 生態錢包，損失5.8 億美元。

2022 年，全球Web3 安全事件攻擊類型多樣，從安全事件數量看，典型攻擊類型Top 5 為：黑客攻擊、資產被盜、安全漏洞、私鑰竊取、釣魚攻擊。從損失金額看，典型攻擊類型Top 5 為：資產被盜、黑客攻擊、私鑰竊取、價格操縱、閃電貸攻擊。

本年度最具有代表性的監管案例為：美國財政部下屬外國資產控制辦公室(OFAC) 對Tornado Cash 協議實施制裁，禁止美國實體或個人使用Tornado Cash 服務。根據美財政部披露，自2019 年成立以來，Tornado Cash 已幫助洗錢超70 億美元。

一、全球Web3 行業回顧與安全態勢概覽

Web3 是指基於加密技術的新一代網絡，融合了區塊鏈技術、代幣經濟學、去中心化組織、博弈論等多種技術和思想，由以太坊聯合創始人Gavin Wood 在2014 年提出。 Web3 基於區塊鏈搭建，從2008 年至今，區塊鏈技術已發展14 餘年。 Web3 行業在2022 年的爆發離不開區塊鏈產業發展多年的積澱。

從用戶視角看Web3 生態，可分為基礎層、應用層和第三方服務。基礎層以公鏈、跨鏈橋和聯盟鍊等鍊為主，為Web3 提供網絡基礎設施；應用層則以APP（中心化應用程序）和DAPP（去中心化應用程序）為主，即用戶常用來交互的應用程序，包含交易平台、錢包、DeFi、NFT、GameFi、DAO、存儲和社交軟件等。基礎層和應用層促進了Web3 生態的繁榮，但也為Web3 帶來巨大的安全隱患。服務生態是Web3 行業的第三方，其中媒體、教育孵化和投資機構為行業提供助力，安全服務機構如零時科技，是為Web3 安全保駕護航不可或缺的一部分。

截至2022 年12 月，據coinmarketcap 數據統計，全球Web3 行業加密貨幣總市值最高時達2.4 萬億美元，受行業爆雷事件影響，相比去年最高總市值2.97 萬億美元，今年有所下降。雖總市值有波動，但整體資產數量規模正在不斷擴大。由於行業創新節奏快、用戶安全意識薄弱、監管有待完善、安全問題突出，Web3 正在淪為黑客的「提款機」。

據零時科技數據統計， 2022 年共發生安全事件306 起，累計損失達101 億美元。相比2021 年，今年Web3 安全事件新增64 起，同比增長26% 。其中公鏈、跨鏈橋、錢包、交易所、NFT、DeFi 這六大主要賽道發生安全事件136 起，造成損失超40.21 億美元。

除了以上六大主要賽道外，其他安全事件共計170 起，損失金額達60.79 億美元，如新興領域如GameFi、DAO 成為黑客頻擾的對象，詐騙和跑路事件層出不窮。隨著多個巨頭入局元宇宙與NFT，未來，鏈上資產規模還將持續增長，Web3 網絡安全侵害數字可能繼續飆升。

據零時科技數據統計， 2022 年全球Web3 生態六大主要賽道中：公鏈發生安全事件10 起，共計損失約1.57 億美元；跨鏈橋發生安全事件14 起，共計損失13.38 億美元；交易所發生安全事件19 起，共計損失11.92 億美元；錢包發生安全事件25 起，共計損失6.93 億美元；DeFi 發生安全事件25 起，共計損失5.93 億美元；NFT 發生安全事件44 起，損失超4256 萬美元。

從主要賽道發生的安全事件數量來看，NFT 安全事件最多，這和它成為2022 業界追捧的熱門賽道脫不開關係。另一方面，由於進入Web3 行業人數的增多，錢包和DeFi 成為安全事件的重災區。從損失金額看，跨鏈橋位列第一，遭受損失最大。

2022 年，從全球Web3 發生的安全事件數量看，典型攻擊類型Top 5 為：黑客攻擊，佔比37% ；資產被盜，佔比19% ；安全漏洞，佔比13% ；私鑰竊取，佔比9% ；釣魚攻擊，佔比7% 。

從損失金額看，全球Web3 安全事件典型攻擊類型Top 5 為：資產被盜，損失金額為55.81 億美元；黑客攻擊，損失金額30.29 億美元；私鑰竊取，損失金額為12.5 億美元；價格操縱，損失金額為2.32 億美元；閃電貸攻擊，損失金額1.37 億美元。

值得注意的是， 2022 年發生的多起安全事件不只受到一種攻擊，有些事件可能同時出現資產被盜、私鑰竊取、黑客攻擊、私鑰洩漏及安全漏洞等。
注：主要攻擊類型釋義如下
資產被盜：虛擬幣被盜，平台被盜
黑客攻擊：黑客等多種類型攻擊
信息洩露：私鑰洩露等
安全漏洞：合約漏洞、功能漏洞
錯誤權限：系統權限設置錯誤，合約權限錯誤等

釣魚攻擊：網絡釣魚

價格操縱：價格操縱

據零時科技區塊鏈安全情報平台監控消息， 2022 年損失超1 億美金的典型安全事件共損失28.45 億美元，佔2022 年總損失金額28% 。

二、全球Web3 監管政策

2022 年，基於區塊鏈的下一代互聯網Web3 迎來增長高峰，面對這個擁有金融科技特徵的新興行業，全球政府和監管機構對其密切關注。 Web3 應用領域廣泛、全球分佈協作、技術含量較高，加之全球各國及其內部各地監管機構對Web3 產業發展方向和數字資產定義不統一，為全球金融監管帶來了巨大挑戰。 2022 年金融犯罪、黑客攻擊、詐騙勒索、洗錢事件頻發，金額龐大，損失嚴重，影響廣泛。為確保Web3 的安全性和合規性，各國紛紛出台監管政策。

從全球對Web3 整體的監管政策來看，投資者保護和反洗錢(AML）是全球共識，對加密貨幣交易所的接受和監管，各國差異較大。美國國會議員提出「確保Web3 發生在美國」，正加速監管創新；歐盟各國政策較為明確和積極；日本、新加坡、韓國受2022 暴雷事件影響，監管趨嚴；中國大陸依舊鼓勵區塊鏈技術應用，嚴禁金融機構和支付組織參與虛擬貨幣交易和非法集資，加大加密貨幣犯罪事件打擊。中國香港則全面扶持虛擬資產發展，實施牌照制；阿聯酋在全球最為積極，擁抱加密貨幣資產。對於NFT、穩定幣、DeFi、資產協議和DAO 領域，全球正處於監管探索狀態。

三、 2022 年Web3 各生態安全現狀

Web3 是一個比較特殊的行業，最突出的特點就是涉及大量數字加密資產的管理，動輒千萬上億的資產全部存在鏈上，通過一個特有的私鑰來確權，誰掌握了這個私鑰，誰就是資產的主人。如果生態中某一應用或協議被黑客攻擊，就可能造成巨額損失。隨著生態的快速發展，各種新型攻擊手法和詐騙手段層出不窮，整個行業在安全的邊緣中博弈前進。零時科技安全團隊對Web3 存在的攻擊類型進行了觀察統計，目前主要有以下攻擊類型對Web3 安全造成威脅：APT 攻擊、社工釣魚、供應鏈攻擊、閃電貸攻擊、智能合約攻擊、Web 端漏洞攻擊、零日（0 day）漏洞、網絡詐騙。

接下來，我們將從基礎設施公鏈、跨鏈橋，應用端APP 和DAPP 的代表：交易平台、錢包、DeFi、NFT，監管重地反洗錢，web3 安全教育角度，來解析2022 年Web3 各生態安全現狀，解讀攻擊事件，並針對每個生態給出相應的安全措施建議。

1、公鏈－Web3 生態安全的命脈

公鍊是Web3 行業的基礎設施，承載著整個行業的協議、應用及資產記賬，隨著業內對公鏈性能、互操作、兼容性、擴容的旺盛需求，多鏈發展迸發呈強勁勢頭，安全問題，刻不容緩。

根據零時科技不完全統計數據，截至2022 年12 月，目前公鏈有152 條。以公鏈生態應用數量來看，據rootdata 數據，Ethereum，應用1275 個，Polygon，應用數767 個，BNB Chian，應用數704 個，穩居前三，Avalanche、Solana、Arbitrum 等新公鏈緊追其後呈現快速增長趨勢。

以公鏈生態市值來看，據coingecko 數據，以太坊、BNB Chain、Polygon 生態分別以3830 億美元、 2366 億美元、 2192 億美元位居前三。當前，公鏈生態總市值已超萬億美元，如此龐大的資金誘惑，讓黑客對其虎視眈眈。

截至2022 年12 月，據零時科技數據統計，公鏈賽道發生安全事件10 起，累計損失資產金額超1.57 億美元。

從數量來看，公鏈的攻擊類型主要為：黑客攻擊、安全漏洞、資產被盜、釣魚攻擊和私鑰竊取，其對應佔比為： 28% 、 28% ， 16% 、 8% 、 8% 。從損失金額來看，安全漏洞造成損失最高，為1.47 億美元，佔比55% ；黑客攻擊造成損失位居第二，為4200 萬美元，佔比16% 。（注：部分項目遭受多種類型攻擊）

據零時科技區塊鏈安全情報平台監控消息，下圖為部分2022 公鏈攻擊的典型案例：

1 ）公鏈安全風險及措施建議零時科技安全團隊分析，公鏈安全風險主要來自以下三點：

2 ）技術複雜性：涉及技術領域多，安全風險點多。

3 ）開發人員不確定性：代碼由開發者所寫，過程難免出現漏洞。

開源漏洞透明性：

公鏈代碼開源，黑客發現漏洞更為便利。

零時科技安全團隊對公鏈安全建議，有以下三點：
1 ）主網上線前，針對公鏈各風險點，需要設立豐富的安全機制：
在P2P 和RPC 方面，需要注意劫持攻擊，拒絕服務攻擊，權限配置錯誤等；
在共識算法及加密這塊，需要注意51% 攻擊，長度擴展攻擊等；
在交易安全方面，需要注意假充值攻擊，交易重放攻擊，惡意後門等；

在錢包安全方面，需要注意私鑰的安全管理，資產的安全監控，交易的安全風控等；

在公鏈項目的相關工作人員方面，需要有良好的安全意識，辦公安全，開發安全等常識。

2 ）進行源代碼和智能合約審計，確保彌補原則性和明顯的漏洞：

源代碼審計可以是全量代碼，也可以是部分模塊。零時科技安全團隊擁有一套完整的公鏈安全測試標準，採用人工+ 工具的策略對目標代碼的安全測試，使用開源或商業代碼掃描器檢查代碼質量，結合人工安全審計，以及安全漏洞驗證。支持所有流行語言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。

3 ）主網上線後，進行實時安全檢測，預警系統風險；

4 ）發生黑客事件後，及時通過溯源分析，找出問題所在，減少未來發生攻擊可能性；迅速源追踪監控損失流向，盡可能找回資產。

2、跨鏈橋－黑客的新型提款機

跨鏈橋，也稱區塊鏈橋，連接兩條區塊鏈，允許用戶將加密貨幣從一條鏈發送到另一條鏈。跨鏈橋通過在兩個獨立平台之間啟用代幣轉移、智能合約和數據交換以及其他反饋和指令來進行資金跨鏈操作。

截至2022 年12 月，根據Dune Analytics 數據統計，以太坊中主要跨鏈橋的鎖定總價值（TVL）約55.6 億美元。當前TVL 最高的是Polygon Bridges，為29.49 億美元， Aritrum Bridge 緊跟其後，為12.06 億美元，Optimism Bridges 排名第三，為8.34 億美元。

隨著區塊鍊及鏈上程序的增長，多鏈資金轉換需求迫切，跨鏈橋的協同特徵可以讓各區塊鏈發揮更大的協同潛力，跨鏈橋為用戶提供便利的同時，也為黑客提供了另一扇大門。由於跨鏈橋傳遞資產的特性，其鎖定、鑄造、銷毀及解鎖等流程環節一旦出現問題，就會威脅到用戶資產安全。貌似並不復雜的跨鏈資金轉移操作，但在多個跨鏈橋項目中，不同步驟均發生過安全漏洞。

據零時科技數據統計，截至12 月，跨鏈橋因受到攻擊發生安全事件14 起，累計損失資產金額為13.38 億美元。

正文

跨鏈橋安全風險及措施建議

零時科技安全團隊從跨鏈橋多次攻擊事件中得出，跨鏈之前和簽名處攻擊較多，存在官方馬虎大意造成的被盜事件。對於越來越多的跨鏈項目及項目合約安全，零時科技給出以下安全措施建議：

1 ）項目上線前對合約進行安全審計；

2 ）合約調用接口需要嚴格排查其適配性；

3 ）版本更新時需要對相關接口及簽名安全進行重新評估；

4 ）需要對跨鏈簽名者進行嚴格審查以保證簽名不被惡意人員控制。

3、交易平台－巨額誘惑之源

Web3 的交易平台也稱數字貨幣交易所或加密貨幣交易所，是區塊鏈行業的重要組成部分，為不同數字貨幣之間，數字貨幣與法定貨幣之間的交易提供服務，同時也是數字貨幣定價和流通的主要場所。

據coingecko 數據，截至2022 年12 月，加密貨幣交易所共有717 個，其中中心化交易所有553 個， 24 小時總交易量為540 億美金；去中心化交易所有100 個， 24 小時總交易量為17 億美金；衍生產品交易所64 個， 24 小時交易量為1.78 萬億美金。

Opensea 作為全球最大的NFT 交易平台， 1 月交易額最高，超48.5 億美金，因市場行情， 12 月有所回落，交易額約為1.38 億美金。（關於NFT 交易平台更多信息，詳見2.6 ）

數據顯示， 24 小時交易量排名前10 名的交易所分別為：Binance、Coinbase Exchange、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart、Crypto.com Exchange。其中Binance 以24 交易量41.48 億穩居第一。

交易量排名前10 名的去中心化交易所分別為：Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap（Ploygon）、Uniswap(Arbitrum One)、Apex Pro，其中Uniswap 以一己之力佔據前十名多位。

2022 年，Huobi 被收購，FTX 在與幣安（Binance）的交鋒中破產，隨後幣安被曝已接受美國司法部刑事調查4 年，加密貨幣交易所處於監管的風口浪尖。加密貨幣交易所匯聚了來自全球的加密資產，在巨大的市場影響力下，無論是安全危機還是資金流動性危機，都牽一發而動全身，甚至影響整個加密市場的牛熊。

據零時科技數據統，計2022 年，加密貨幣交易所發生安全事件19 起，累計損失資產金額超11.92 億美元。

據零時科技區塊鏈安全威脅情報平台數據統計， 2022 年，發生安全事件損失Top 6 的交易平台為：FTX，Babel Finance，Mango，Liquid Global，Crypto.com ，損失金額分別為6 億美元， 2.8 億美元， 1 億美元， 7100 萬美元， 3600 萬美元和3300 萬美元。

以各交易平台安全事件損失分佈來看，FTX 佔比50% ，Babel Finance 佔比24% %，Mango 佔比8% ，位居前三。

據零時科技數據統計，從安全事件數量來看，交易平台的攻擊類型主要為黑客攻擊、資產被盜、安全漏洞、釣魚攻擊、私鑰竊取，分別佔比38% 、 19% 、 12% 、 10% 、 10% 。從損失金額大小分佈來看，黑客攻擊佔據54% ，為安全事件主要類型，資產被盜佔比33% ，價格操縱和閃電貸攻擊分別佔比5% 。

下圖為部分2022 年交易所安全事件典型案例：

交易平台安全風險及措施建議

回顧以往所有交易所的安全事件，零時科技安全團隊認為，從一個交易平台整體安全架構來看，交易平檯面臨的安全風險主要有：開發、服務器配置、運維、團隊安全意識、內部人員、市場以及供應鏈風險。零時科技安全團隊曾出版《區塊鏈安全入門與實戰》，其中對加密貨幣交易平台的安全問題進行了全面、細緻的分析。包括滲透測試的步驟，如信息收集、社會工程等，還介紹了各種攻擊面，如業務邏輯、輸入輸出、安全配置、信息洩露、接口安全、用戶認證安全、App 安全等。

對於交易所安全風險，零時科技安全團隊給出如下措施建議：

從交易平台角度：

1 ）培養內部人員的安全意識，加強交易所的生產環境、測試環境和調試環境安全隔離，盡量使用專業的網絡安全防護產品。

因此，

因此，因此，

因此，

從用戶角度：

1 ）不要隨意安裝未知來源的軟件。

2 ）電腦服務器應避免打開不必要的端口，相應漏洞應及時打補丁，主機建議安裝有效可靠的殺毒或其他安全軟件，在WEB 瀏覽器上安裝挖礦腳本隔離插件等。

3 ）不要隨意點擊陌生人發的不明鏈接。

4、錢包－加密資產管理之傷

Web3 的錢包即區塊鏈數字錢包，也稱加密貨幣錢包或數字資產錢包，是存儲和管理、使用數字貨幣的工具，在區塊鏈領域有舉足輕重的地位，是用戶接觸數字貨幣的入口。如今，隨著生態的發展，數字錢包已經成為多鏈多資產的管理平台。

據零時科技區塊鏈安全威脅情報平台數據統計，截至2022 年12 月，數字錢包項目數量共有142 個。據Blockchain.com 數據統計， 2022 年全球有超過3 億人在使用加密資產。其中擁有加密錢包的用戶在2021 年達到6842 萬，而到2022 年7 月加密錢包用戶數已經達到8100 萬，數量呈指數級增長。

作為Web3 的入口，錢包早已成為黑客眼中的「香餑餑」。據零時科技數據統計， 2022 年，數字錢包發生安全事件25 起，累計損失資產金額超6.98 億美元。

2022 年，被攻擊損失Top 5 的錢包安全事件主要來自：Solana 生態錢包、分佈式資本創始人沈波個人錢包、Deribit、與Transit Swap 互動的錢包、Lympo 熱錢包，分別損失金額為： 5.8 億美元、 4200 萬美元、 2800 萬美元、 2000 萬美元和1870 萬美元。其中Solana 生態錢包被攻擊損失金額最高。

據零時科技數據統計，從安全事件數量來看，數字錢包的攻擊類型主要為：黑客攻擊、資產被盜、私鑰竊取、安全漏洞和信息洩露，分別佔比38% 、 30% 、 13% 、 7% 、 6% 。攻擊佔比最高，居於首位。

其中各主要攻擊類型對應的安全事件損失佔比分別為：黑客攻擊造成損失最高，佔比46% ；私鑰竊取造成損失其次，佔比44% ；資產被盜損失位列第三，佔比8 % 。

錢包被攻擊，一般分為兩種情況。一種是機構的錢包，另外一種是個人錢包。如Lympo 熱錢包被盜，損失1870 萬美元，而個人錢包被盜經典則屬近日分佈式資本創始人沈波價值4200 萬美元個人錢包資產被盜。

除了Solana 生態錢包被盜案例外，行業還有許多錢包安全事件，如下圖。數字錢包安全風險及措施建議

經零時科技安全團隊分析，區塊鏈數字錢包存在多種形式，主要面臨的安全風險包括但不限於如下幾方面：
機構端方面：運行環境的安全風險、網絡傳輸的安全風險、文件存儲方式的安全風險、應用自身的安全風險、數據備份的安全風險等。

用戶端方面：

面臨私鑰丟失或被盜：如偽裝客服騙取私鑰、黑客通過錢包升級定向攻擊收集用戶助記詞等信息、發送惡意二維碼引導客戶轉賬盜取資產、通過攻擊客戶存儲信息的雲平台盜取私鑰/ 助記詞、惡意軟件、空投欺騙、網絡釣魚、其他釣魚（預售、APP 下載、中籤陷阱）等風險。

面對這些風險如何保護錢包安全？

從機構端，零時科技安全團隊建議：

無論是中心化還是去中心化錢包，軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數字錢包的安全審計，零時科技安全團隊包括但不限於如下測試項：

1、網絡和通信安全測試.網絡節點應達到及時發現和抵抗網絡攻擊的功能；

2、錢包運行環境安全.錢包能夠對操作系統進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。

3、錢包交易安全.錢包發出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成後必須清除內存中解密後的私鑰，防止內存中的私鑰被竊取而洩漏等。

4、錢包日誌安全.為了方便用戶進行審計錢包操作行為，防止異常操作和未授權的操作，需記錄錢包的操作日誌，同時錢包日誌必須通過脫敏處理，不得含有機密信息。

5、節點接口安全審計.接口需要對數據進行簽名，防止黑客對數據被篡改；接口訪問需要添加token 認證機制，防止黑客進行重放攻擊；節點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC 攻擊。

對用戶端，零時科技安全團隊建議：

1) 做好私鑰存儲措施：如私鑰盡量手抄和備份，或使用雲平台和郵件等社交網絡傳輸或存儲私鑰。

2) 使用強密碼，並且盡可能開啟兩步驗證MFA（或2 FA），時刻保持安全意識提高警惕。

3) 在更新程序版本時注意驗證hash 值。安裝殺毒軟件，並儘可能使用防火牆。監視你的賬戶/ 錢包，確認沒有惡意交易。

4) 其中硬件錢包適合數字資產額度較大，需要更高安全保護等級的用戶。通常的建議是使用軟件錢包保存自己的小額資產，供日常使用，硬件錢包保存大額資產，這樣可以實現便利性和安全性兼備。

如果資金被盜怎麼辦？

如果發生無意的授權操作，在資金未被盜之前，盡快將錢包資金轉出，並且取消授權；如果已經發生授權之後的資金被盜或者私鑰被盜資金轉移情況，請立即聯繫零時科技安全團隊進行資產追踪。
5、 DeFi－Web3 安全重災區

DeFi 全稱：Decentralized Finance，一般翻譯為分佈式金融或去中心化金融。 DeFi 項目大體分為五類：預言機、DEX、抵押借貸、穩定幣資產、合成衍生品。

TVL 全稱：Total Value Locked 即總鎖定價值。用戶所抵押的資產總值，是衡量DeFi 生態發展的最重要指標之一，通常TVL 增長代表項目發展的越好。

零時科技區塊鏈安全威脅情報平台數據統計，截至2022 年12 月，DeFi 項目共計1297 個。據DeFi Llama 數據顯示，DeFi 總鎖倉價值達到390.51 億美元規模。其中以太坊佔比58.59% ，以230.2 億美元的TVL 排名第一，其次是Tron，佔比11.1% ，以40.36 億美元的TVL 排名第二，BSC 緊追其後，佔比10.47% ，以40.12億美元TVL 排名第三。許多新興公鏈如Avalanche、Ploygon、Optimism 等通過擁抱DeFi 快速發展鏈上生態，也吸引了大量用戶和資金沉澱。

DeFi 突出的智能合約安全問題已成為DeFi 行業的最大挑戰。此外，沒有任何DeFi 服務商或監管機構可以退回錯誤轉移的資金。當黑客在智能合約或DeFi 服務的其他方面發現漏洞盜取用戶資產時，也不一定有DeFi 服務商來賠償投資者，加之很多隱秘互連的問題，可能引起一連串的金融事故。

根據零時科技數據統計，截至2022 年12 月，共發生DeFi 安全事件25 起，累計損失資產金額超5.93 億美元。

以各生態發生的DeFi 安全事件數量分佈來看，Ethereum 和BSC（BNB Chian）生態分別發生6 起，佔比均為24% ，並列第一，Solana 生態發生3 起，佔比12% ，位列第二。

以各DeFi 發生安全事件損失分佈來看，排名前三的公鏈生態是，Ethereum 生態DeFi 事件損失金額超4.38 億美元，佔比74% ，位列第一；Terra 位列第二，損失金額9000萬美元，佔比15% ；Solana 位列第三，損失金額為1354 萬美元，佔比2% 。由此可見，生態越是活躍，越受到黑客關注，損失也最為突出。

據零時科技數據統計，從DeFi 攻擊類型來看，主要為：黑客攻擊、閃電貸攻擊、資產被盜和安全漏洞。其中各主要攻擊類型對應的安全事件數量分佈佔比分別為：黑客攻擊佔比44% ，居於首位；閃電貸攻擊佔比16% ，位居第二；資產被盜和安全漏洞均佔比14% ，並列第三。

從主要攻擊類型損失分佈來看，黑客攻擊造成損失最高，佔比53% ，安全漏洞次之，佔比25% ，資產位列第三，佔比17% 。

下圖為部分202 2DeFi 安全事件典型案例：

DeFi 安全風險及措施建議

DeFi 項目面對多重安全風險，從群體來分，分別為項目端（協議執行）和用戶端；從安全種類來分，分別為各協議之間組合性的安全，包括組合之間的一些缺陷、智能合約安全、開源的安全，高收益伴隨著高風險，缺乏監管等導致的一些安全問題。從安全審計角度看，DeFi 項目面臨的風險見下圖：

從協議執行過程，DeFi 風險包括：智能合約攻擊風險、經濟激勵中的設計問題、保管風險、原協議的重新構建、缺乏隱私等風險。

從用戶角度，DeFi 用戶面臨的風險有：

技術風險：智能合約存在漏洞，受到安全性攻擊；流動性風險：平台的流動性耗盡；密鑰管理風險：平台的主私鑰可能被盜取。安全意識風險：被釣魚，遇到套利跑路欺詐項目等。

零時科技安全團隊建議，作為項目方和用戶，可以從以下五點應對風險：

1 ）項目方在上線DeFi 項目時，一定得找專業的安全團隊去做全面的代碼審計，而且盡可能地找多家共同審計，盡可能多地發現項目設計缺陷，以免在上線之後出現不必要的損失。

2 ）建議用戶參與這些項目投資時一定要做好把關，要對這個項目有一定的了解，或者是看它有沒有經過安全審計後再上線。

3 ）增加個人安全意識，包括上網的行為和資產保存以及錢包使用等習慣，養成良好的安全意識習慣。

4 ）項目高收益高風險，參與需謹慎，不懂項目，盡量不參與，避免造成損失。

6、 NFT－釣魚攻擊的池塘

NFT 是Non-Fungible Token 的簡稱，是基於區塊鏈的非同質化代幣，同時它是存儲在區塊鏈上的一種獨特的數字資產，常作為虛擬商品所有權的電子認證或憑證，可以購買或出售。 2022 年12 月15 日，美國前總統特朗普宣布推出一系列印有特朗普肖像NFT 數字藏品，不到24 小時4.5 萬件就被搶購一空。

根據NFTgo 數據，截至12 月31 日，已收錄的NFT 項目4624 個，共計38, 693, 506 個NFT。當前NFT 總市值達到210 億美元，持有者達到373.38 萬人。從各類項目市值分佈來看，PFP（Picture for proof），即個人資料圖片類NFT 市值遙遙領先，這也是目前使用場景最多的NFT，其次是收藏品。從目前八大主流公鏈上看NFT 資產和合約，Polygon 在資產和合約數上遙遙領先。

從交易規模來看：在24 小時內按銷量排名前10 位的NFT 交易平台中，Blur 排名第一，Opensea 緊跟其後，LooksRare 排名第三。從交易商來看， 24 小時內按交易者、買家和賣家數量排名前10 的市場中，Opensea 位列第一，Blur 排名第二、Blur aggregator 排名第三。

隨著NFT 價值凸顯，黑客也盯上了這塊肥肉。儘管目前整個加密市場正經歷著劇烈的震盪下行趨勢，但NFT 的熱度不減。

據零時科技不完全統計，截至2022 年12 月，NFT 賽道發生安全事件共計44 起，累計損失資產金額約為4256 萬美元。

2022 年，NFT 安全事件損失Top 10 中，BAYC、BAKC 系列成為黑客主要的攻擊目標，持有此類NFT 的收藏者損失較大。其中不乏周杰倫NFT 被盜，損失54 萬美元等熱點事件。

從NFT 賽道的攻擊類型來看，主要為：黑客攻擊、資產被盜、釣魚攻擊和私鑰竊取，對應安全事件數量佔比分別為33% 、 18% 、 16% 、 10% 。

從NFT 主要攻擊類型損失金額佔比看，資產被盜造成損失最多，佔比23% ；黑客攻擊次之，佔比22% ；私鑰竊取居於第三，佔比19% 。值得注意的是，以個人被盜事件看，多數都是由於Discord/Twitter 等媒體平台被黑後黑客發布釣魚鏈接。

除損失Top 10 的NFT 安全事件案例外，行業典型NFT 安全事件案例如下：

NFT 安全風險及措施建議目前在NFT 賽道，黑客攻擊方式多種多樣。以群體來分，面臨風險的對像一般為平台和用戶。對於中心化平台端，可能面臨的安全風險有：

賬號風險、商業化競爭風險、安全意識風險、內部人員風險、市場風險等。

用戶端，Discord 攻擊成為今年的主要攻擊手法。對於以上安全風險，零時科技安全團隊給出以下措施建議：
對於普通用戶
，保護好自己的Discord，需要注意以下幾點：確保密碼足夠安全，使用字母數字特殊字符創建長的隨機密碼；開啟2 FA 身份驗證，密碼雖然本身足夠複雜但是不能依靠一個方式來保護；不要點擊來自未知發件人或看起來可疑的鏈接，考慮限制誰可以與您私信；不要下載程序或複制/ 粘貼你不認識的代碼；不要分享或屏幕共享你的授權令牌；不要掃描任何來自你不認識的人或你無法驗證其合法性的QR 碼。
對於服務器所有者：審核您的服務器權限，尤其是對於webhook 等更高級別的工具；進行任何更改時，請保持官方服務器邀請更新並在所有平台上可見，尤其是當大多數新服務器成員來自Discord 以外的社區時；同樣，不要點擊可疑或未知的鏈接！如果賬戶遭到入侵，可能會對管理的社區產生更大的影響。

對於項目：

建議合約應嚴格判斷用戶輸入購買數量合理性；建議合約限制零資金購買NFT 的可能性；建議對於ERC 721 及ERC 1155 協議的NFT Token 進行嚴格區分，避免混淆情況發生假冒Discord 官方案例。目前多個聊天軟件均會發現惡意mint 鏈接，也有不少用戶資金被盜，為了避免此類盜幣事件，建議大家在進行mint 操作時，驗證鏈接來源可靠性，同時確保實際簽署交易的內容和預期相符。

7、虛擬幣－滋生違法活動的溫床

2022 年9 月，湖南省衡陽縣公安破獲「 9.15 」特大虛擬貨幣洗錢案，涉案金額400 億元。 2022 年12 月，內蒙古通遼市公安局科爾沁分局成功破獲一個利用區塊鍊網絡兌換數字虛擬貨幣洗錢團夥，抓獲犯罪嫌疑人63 名，涉案金額高達120 億元。 2022 年8 月8 日，美國財政部的海外資產控制辦公室（The Office of Foreign Assets Control of the US Department of the Treasury，簡稱OFAC）宣布製裁Tornado Cash 協議，根據美財政部披露，自2019 年成立以來，Tornado Cash 已幫助洗錢超70 億美元。

據零時科技不完全數據統計， 2022 年通過加密貨幣洗錢金額達到104.2 億美元，同比增長20.7% 。 2022 年，國內公安部門破獲多起虛擬貨幣洗錢案件，案件數量呈增長趨勢。洗錢、詐騙、傳銷、盜竊是加密貨幣犯罪的主要類型。

如何打擊防禦基於虛擬幣的違法犯罪？

零時科技自主研發了虛擬幣追溯分析平台，擁有情報系統、監控系統、KYC&KYT 和溯源系統四大系統。該平台基於鏈上數據及區塊鏈安全情報，通過大數據、圖運算、機器學習等技術，使得整個虛擬幣鏈上追溯可自動化運營，可視化展示，方便快捷地發現虛擬幣流向及實名登記，可以有效協助案件偵查，打擊虛擬犯罪，為業內受害者提供虛擬資產追溯服務。目前，該平台已經分析交易數量17.7 億，標記地址超8000 萬，分析地址超8.5 億個。並協助深圳市公安局、重慶市公安局、銅川市公安局、商洛市公安局和商州公安局等，破獲多起的虛擬貨幣賭博、傳銷、詐騙案件，在業內引起了強烈反響。

8、安全教育-Web3 安全盾牌

一級標題

1 Ronin Network 側鏈被盜6.25 億美金流向分析

0x1事件概述

零時情報站報導， 3 月29 日消息， Axie Infinity 側鏈Ronin 驗證器節點和Axie DAO 驗證器節點遭到破壞，導致在兩筆交易中從Ronin 橋接了173, 600 個以太坊和2550 萬美元的USDC，目前Ronin 橋和Katana Dex 已經停止使用。以下是攻擊者錢包地址：https://etherscan.io/address/0 x 098 b 716 b 8 aaf 21512996 dc 57 eb 0615 e 2383 e 2 f 96 。目前，黑客已將所有USDC 兌換為ETH，將6250 ETH 分散轉移， 3750 ETH 轉移到Huobi， 1220 ETH 轉移到FTX， 1 ETH 轉移到Crypto.com，剩餘資金餘額仍停留在黑客地址，黑客發起攻擊資金1 ETH 來源為Binance ，剩餘資金餘額仍停留在黑客地址。黑客發起攻擊資金來源為Binance 提幣。

0x2 事件原理

Ronin 採用簡易的資產跨鏈模式，用戶通過Ronin 跨鏈合約將以太坊的資產轉移至Ronin，該過程中，Ronin 跨鏈合約首先會判斷是否在以太坊端接收到了資產並鎖定，隨後Ronin 跨鏈合約確認並發布給用戶在Ronin 上的相應資產，當用戶銷毀Ronin 上的相應資產後，以太坊端會將初始鎖定的資產解鎖並返回給用戶。

Sky Mavis 的Ronin 鏈目前由9 個驗證節點組成。為了識別存款事件或取款事件，需要九個驗證者簽名中的五個。攻擊者設法控制了Sky Mavis 的四個Ronin 驗證器和一個由Axie DAO 運行的第三方驗證器。

驗證器密鑰方案被設置為去中心化的，它限制了與此類似的攻擊向量，但攻擊者通過Ronin 的無Gas RPC 節點發現利用後門來獲取Axie DAO 驗證器的簽名。

回顧2021 年11 月，當時Sky Mavis 請求Axie DAO 幫助分發免費交易，因為用戶負載巨大。 Axie DAO 允許Sky Mavis 代表其簽署各種交易。這已於2021 年12 月停止，但未撤銷許可名單訪問權限。

一旦攻擊者獲得了Sky Mavis 系統的訪問權限，他們就能夠通過使用無Gas RPC 從Axie DAO 驗證器獲取簽名。

目前官方已確認惡意提款中的簽名與五個可疑驗證者相符。

0x3 資金來源去向

攻擊者通過Binance 交易所地址獲取初始資金1.0569 ETH，隨後調用Ronin Bridge 跨鏈橋合約獲取173, 600 枚ETH 和25, 500, 000 枚USDC。

資金去向

攻擊者將25, 500, 000 枚USDC 分五筆分別轉移給0xe708f…… 7ce10 地址及0x66566 …… 55617 地址並從該地址兌換獲取約8564 枚ETH。

隨後攻擊者將6250 枚ETH 轉移至5 個地址，其他資金目前仍在攻擊者錢包地址。
對目前已轉移出的錢包資金進行追踪:
黑客將3750 枚ETH 轉移至Huobi 火幣地址。

黑客將1250 ETH 轉移至FTX Exchange 交易所地址。

黑客將1 枚ETH 轉移至Crypto.com 地址。

零時科技加密資產追踪分析平台分析如下圖所示：

事件背景

事件背景

事件背景

近期，零時科技安全團隊收到大量用戶因為同一個原因導致加密資產被盜的情況，經調查都是因為過程中使用了惡意Whatsapp 的原因，通過與受害者溝通，了解到情況如下：

受害者在使用惡意Whatsapp 進行溝通時，發送錢包地址到聊天軟件中，對方直接複製錢包地址進行轉賬，但是此時復制的錢包地址已經被聊天軟件Whatsapp 惡意替換，導致將加密資產轉賬到錯誤地址。然後在用戶使用惡意WhatsApp 聊天時，替換用戶輸入或者接收的正確加密貨幣地址。

2022 年12 月6 日，因為使用惡意WhatsApp 導致被盜8 萬多美金；

2022 年10 月6 日，因為使用惡意WhatsApp 導致被盜1.3 萬多美金；

其他……

其他……

惡意軟件分析及反制

通過與受害者溝通，其使用的Android 手機，並且都是從百度搜索WhatsApp 軟件後，直接從第三方網站下載軟件，安裝。

下載地址如下：

通過溝通此事件的前因後果，我們懷疑是受害者安裝的WhatsApp 有問題，於是為了還原事件，我們獲取到事發時的惡意WhatsApp 安裝包展開分析。

首先惡意WhatsApp 軟件的安裝包的大小與WhatsApp 官網下載的大小不一致：

而且通過查看兩個軟件的簽名消息，可以看出簽名時間和簽名主體消息也是明顯不一致：

通過安全工具掃描此惡意軟件，發現確實存在問題，被標記為存在惡意木馬：

然後通過反編譯惡意軟件後，發現了惡意軟件中存在替換用戶聊天消息中的加密貨幣地址的功能，並且通過遠程服務器進行通信，定期更改替換的黑客地址，分析過程如下：

首先我們找到了惡意軟件跟黑客控制的後台服務器域名：

然後通過審計惡意軟件代碼，發現惡意軟件從黑客控制的服務器上獲取了加密貨幣地址，然後在用戶使用惡意WhatsApp 聊天時，替換調用戶輸入或者接收的正確加密貨幣地址。

我們來看看替換用戶聊天時輸入的地址消息過程，代碼如下：
同上面的FindSendAddress 函數可以看出：

第一步，先匹配用戶輸入的聊天消息中是否存在trx 或者eth 地址；

第二步，通過GetCurrentAddress 函數獲取地址；

進行跟進GetCurrentAddress 函數的內容如下：

通過對惡意站點的/api/index/get_ws 接口獲取黑客控制的地址。

返回地址是通過加密的，通過app 中的加密密鑰，可以直接使用AES 算法解密黑客的地址，以ETH 地址為例，解密如下：

第三步，通過replaceBytes 函數替換用戶輸入的地址為黑客控制的惡意地址。

通過測試發現通過惡意域名的/api/index/get_ws 接口獲取的惡意地址會不定期變化，目前獲取的地址已經更新，不是受害者轉賬時的地址，目前獲取的新地址0xf02FFBC0114562E30447c21f8273d8667 Ab 4 eB 3 B 還沒有收到受害者的資金

截至目前，此惡意接口/api/index/get_ws 還在正常運行，還會導致更多受害者損失。

損失資金追踪分析

零時科技安全團隊接到受害者的協助請求後，第一時間分析並監控了黑客相關地址。

其中140 萬美金被盜資金，進入黑客地址0xa160……9a41 ，在幾小時後，黑客將資金轉移到地址0x570C……BdDb，然後通過多筆分散轉移兩個地址，最後匯集到0x8785……8885 地址，如下圖：

通過分析發現，黑客地址0xa160……9a41 的手續費來自Binance 交易平台，轉移後的地址0x570C……BdDb 手續費來自mexc.com 交易平台。

另外一個8 萬美金被盜資金，進入黑客地址0x319c……8486，0xad8……95b9，然後通過多筆分散轉移，最後匯集到Binance 交易平台，通過分析發現，黑客地址的交易手續費也來自Binance 交易平台，如下圖：

零時科技安全團隊會繼續關注此惡意聊天軟件的擴散，以及監控相關黑客錢包地址的資金轉移動態，及時提供情報預警，防止更多用戶資產被盜。

總結建議

本次案例是由於受害者下載惡意的WhatsApp 聊天軟件，導致轉賬目標地址被篡改，損失大量資金，類似的案例還有很多，例如通過惡意假交易平台、假錢包、假Telegram 等。
零時科技安全團隊收到大量用戶資產損失協助的請求，發現通過社交軟件等惡意軟件進行轉賬地址攔截修改的情況越來越多，為避免造成資金損失，在此，再次建議：
第一，下載使用APP 時還是需要多方確認，認準官方下載渠道，檢查簽名一致性；