由 Eberhart 2024年第三季度,Web3领域安全形势依然严峻。Beosin研究团队数据显示,黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失高达7.3亿美元,略低于2023年同期的8.89亿美元,但币价下跌等因素也对此有一定影响。
损失构成:主要攻击事件23起,损失约4.3亿美元;项目方Rug Pull事件3起,损失约424万美元;钓鱼诈骗损失约2.95亿美元。钓鱼诈骗造成的损失大幅上涨,而攻击和Rug Pull事件数量则持续下降。
损失最高的项目类型:中心化交易所(CEX)损失最高,3起事件造成约2.97亿美元损失,占比达40.6%。其次是用户钱包,8起钓鱼和社会工程学攻击造成约2.95亿美元损失,占比40.3%。DeFi领域攻击次数最多(12起),但损失金额相对较低(4560万美元),排在第四位。基础设施(包括公链及跨链桥)攻击造成8500万美元损失,位居第三。
损失金额最高的公链:以太坊(Ethereum)依旧是损失金额最高和攻击事件最多的公链,21起事件造成3.48亿美元损失,占比47.6%。比特币(BTC)次之,损失2.38亿美元(主要来自一起针对巨鲸地址的社会工程学攻击),占比32.5%。Luna损失6500万美元,源于ibc-hooks超时回调中的重入漏洞攻击。
主要攻击手法:私钥泄露事件造成损失3.05亿美元,占比高达41.7%,成为最主要的攻击类型,WazirX、BingX和Indodax等交易所均遭受重大损失。其次是社会工程学攻击,造成2.38亿美元损失。合约漏洞利用造成1.28亿美元损失,占比约78%,其中重入漏洞、业务逻辑漏洞和校验漏洞造成的损失居前。业务逻辑漏洞出现次数最多(7次)。
典型案例分析:报告详细分析了LI.FI跨链协议的call注入漏洞攻击事件和印度交易所WazirX的多签钱包签名数据被盗事件,并指出Diamond模式下Facet合约配置问题的重要性。
被盗资产流向:仅有1690万美元被盗资金被冻结或追回,比例显著下降。约78.9%的被盗资金仍保留在黑客地址,约13.9%流入交易所,5.4%流入混币器。
项目审计情况:23起攻击事件中,16起项目的项目方进行了安全审计,比例高于上半年,但审计质量有所下滑,合约漏洞仍然是主要问题。
总结:2024年第三季度Web3安全形势严峻,私钥泄露仍是最大威胁,项目方和用户需提高安全意识,加强安全措施。交易所需积极配合执法机构冻结资金。项目方应重视安全审计,提升审计质量。
