成都链安 - 2022年Q2全球Web3攻击事件总损失约7亿1834万美元

2022年第二季度，成都连锁必须进入。区块链安全态势感知平台在web 3领域的重大攻击事件超过48起，共计7.1834亿美元，比第一季度的12亿美元减少了约40%，约为2021年第二季度损失(2.9656亿美元)的2.42倍。

2022年1-6月，在web 3领域，袭击造成的损失总额约为19.1287亿美元。

从时间上看，4月是黑客攻击最活跃的月份，5月攻击次数和损失额大幅减少，6月黑客活动度有回升的趋势。

从攻击大象项目类型来看，DeFi仍然是最受攻击的项目类型，约79.2%的攻击发生在DeFi领域。

从总锁价值(TVL)来看，所有链条和被攻击项目的TVL值在5月份大幅下降。大多数项目在受到攻击的时间点后，TVL经常暴跌。

从连锁平台来看，本季度Ethereum损失最大的金额达到了3.8135亿美元。攻击频率最高的链条是BNB Chain，达到26次。

从攻击手法来看，最常见的攻击手法仍然是为了利用合同漏洞和闪电。约45.8%的攻击被用作合同漏洞。全击贷款造成的损失为2.33亿美元，占各种攻击方式损失额的第一位。

从资金流来看，约4.1889亿美元的被盗资金被黑客转移到Tornado.cash，占该季度总被盗金额的58.3%。

从审计情况来看，被攻击的项目中只有52%受到了审计

另一方面，本季度，连锁主要的Rug拉入事件超过43起，共席卷3426.64万美元。据不完全统计，Discord服务器被黑箱超过151个。卢格波尔和钓鱼安全事件在5、6月频发。

2022年第二季度，Web 3领域主要攻击事件超过48起，共损失7.1834亿美元。其中损失超过1亿美元的袭击事件3起，价值超过1000万美元的袭击事件共12起，价值超过100万美元的袭击事件共28起。损失最大的前三名分别是Beanstalk Farms、Elrond和Harmony，分别为1.82亿美元、1.13亿美元和1亿美元。

从时间上看，2022年4月是本季度黑客攻击最活跃的月份，共发生了19起重大安全事件，损失约3.7489亿美元。与5月袭击事件的数量和损失金额大幅减少或5月整个加密货币的市值大幅减少有关。虽然6月份行情没有出现变暖趋势，但黑客攻击频率和项目损失金额比5月份大幅增加。

与第一季度一样，DeFi仍然是受攻击最多的项目类型，约79.2%的攻击发生在DeFi领域。总损失额约为4.5474亿美元，占Q2总损失额的63.3%。

本季度仍发生两起交叉链桥袭击事件，累计损失约1亿美元。2022年第一季度4次连锁桥攻击的总损失为9.5亿美元。因此，2022年上半年连锁桥袭击造成的损失额达到了10.5亿美元。

从一些攻击项目的TVL来看，5月份几乎所有项目TVL都出现了集体收缩。大多数项目在受到攻击的时间点后，TVL经常暴跌。一些项目，如Beanstalk和Blizz Finance，在攻击后TVL直接归零。

从攻击大象项目和攻击时间的TVL比率来看，在大多数情况下，损失额不超过项目TVL的30%。还有个别项目，如Blizz Finance和Beanstalk，失去了100%或500%的TVL。

本季度，EDEM损失最大的金额达到了3.8135亿美元。攻击频率最高的链条是BNB Chain，达到26次。

与上季度相比，连续第二个季度发生攻击事件的连锁企业有Ethereum、BNB、Fantom和Cronos。第一季度第二次袭击事件造成3.74亿美元损失的Solana连锁公司本季度没有监测重大安全事件。

第二季度，所有链条TVL值在5月份大幅下跌。TVL排名前两位的Ethereum和BNB Chain仍然是黑客攻击的主要目标。本季度的攻击事件共损失7.1834亿美元，比6月Osmosis、Elrond和Metis加起来的TVL总额还多。

从DeFi项目来看，以太受到攻击的DeFi项目金额最多，但第二季度TVL平均值的比例不高，Metis链损失金额占TVL的比例反而最高。最小的比例是Avalanche。

从DeFi协议受到攻击的次数来看，第二季度BNB Chain受到攻击的DeFi协议最高，占协议总数的7%。Metis的DeFi生态还不丰富。尽管只有一次攻击，但在数额和金额上相对较高。

合同漏洞利用了本季度最常见的攻击手法，22起攻击利用合同漏洞占45.8%，合同漏洞造成的总损失约为1.38亿美元。第二种常见的攻击方式是全击贷款，本季度共发生9起全击攻击，损失达2.33亿美元，占各种攻击方式损失金额的第一位。

与第一季度一样，web 3领域最常见的攻击手法仍然是合同漏洞和闪电队(第一季度数据分别为50%和24%)。另外，私钥泄漏造成的损失仍然高达1.315亿美元，私钥安全问题仍然值得关注。

本季度利用的漏洞主要有业务逻辑/函数设计不当、验证问题、权限问题、K值验证问题、再入漏洞和call注入漏洞。利用最多的漏洞是错误地设计了业务逻辑/函数，比其他漏洞高得多。再入漏洞本季度被黑客利用了一次，但损失达8034万美元。

2022年4月2日，Inverse Finance项目受到价格操纵攻击，累计损失估计约为1500万美元。袭击的主要原因是TWAP预测器使用的时间窗口太短。计算Xinv令牌价格时，将依赖名为WETH/INV的pair进行计算

2022年6月16日，Inverse Finance再次遭到黑客攻击，黑客赚了120万美元。主要原因是项目合同在计算抵押物价格时使用balanceOf函数，攻击者可以通过大额兑换提高抵押物anYvCrv3Crypto的价格。

安全性建议：在获得令牌价格时，不要依赖令牌实时馀额，应使用TWAP类型价格预测器并设置足够的时间窗口。

2022年4月24日，NFT项目Akutars因智能合同漏洞锁定了3400万美元，无法提取。值得注意的是，该项目的合同没有经过安全公司的审计。据分析，Akutars的合同有两个漏洞。

脆弱性1:

在第一个合同漏洞processRefunds中，设计师根据refundProgress计数器进行迭代退款。这里使用call函数进行退款操作，并使用退款结果作为require的判断条件。因此，当前攻击者在队列中执行退款操作，调用call退款给攻击者时，如果攻击者在fallback中执行恶意revert，队列后面的所有人都将无法退款。这个漏洞幸好没有被攻击者实际利用。

脆弱性2:

这个漏洞是价值约3400万美元的资产被锁在合同中的直接原因。

在ClaimProjectFunds函数中，此函数主要用于项目端提取。函数中的require(refund progress=total bids)。其中refundprogress表示已处理用户数的退款，total bids表示所有用户投标的NFT总数。因为一个用户可以投标多个NFT，所以仅通过数字比较，refundProgress就可以比totalBids小。

退款函数process refunds:require(_ refund progress _ bid index)；bidIndex代表所有参与投标的用户，refundProgress并不比BidIndex高。BidIndex的值为3669，totalBids的值为5495。

因此，refundProgress=5495和refundProgress3669这两个判断条件永远不成立，项目团队无法进行后续提取操作。这里要比较refundProgress和bidIndex，开发人员犯了非常低的错误。这最终导致项目方3400万美元的资产被锁定，无法提取。

安全建议：在项目上线之前，需要进行专业的安全审计。

2022年4月17日，算法稳定货币项目Beanstalk Farms遭到闪电攻击，黑客损失近8000万美元，合同损失达1.82亿美元。这是本季度损失金额最高的项目。

回顾此次袭击，袭击者在前一天启动了Beanstalk: Beanstalk协议资金提取提案，然后请求emergencyCommit紧急提交提案，以执行提案。因为项目方规定提案一天后就可以开始投票。

在攻击过程中

安全建议：

1.用于投票的资金必须在合同中锁定一段时间，不要使用账户中的当前资金馀额来统计投票量。

2.项目和社区应注意所有提案，如果提案是恶意提案，建议在提案投票期间及时采取行动，废弃提案，接受投票，禁止执行。

3.可以考虑禁止参与合同地址的投票。

从资金流来看，2022年第二季度约有4.1889亿美元的被盗资金被黑客转移到Tornado.cash，占该季度总被盗金额的58.3%。另外，1.31亿美元的资产被收回，1.6845亿美元的资产留在黑客地址，尚未流入串货或交易所。

资料显示，Tornado.cash仍然是为黑客洗钱的惯用方法。本季度资金回收情况优于前一季度，在某些情况下，项目方将通过黑客和连锁上的信息进行协商，部分黑客将返还一定数量的赃物，“免于法律制裁”。

在被攻击的项目中，只有52%被审计，上季度是70%的比例。本季度审计的项目因袭击造成的损失为5.4763亿美元，占损失额的76.2%，比前一季度高得多。

虽然被审计的项目损失额仍然达到了5.4763亿美元，但这并不意味着审计不再重要。

随着越来越多的安全公司着手审计工作，审计市场参差不齐，鱼龙混杂。由于一些不专业的公司，智能合同中需要审计的一些漏洞没有被审计，一些项目和投资者开始质疑审计的必要性和专业性，认为“审计也是白心的”。例如，在本季度合同漏洞中，最常出现的“业务逻辑/功能设计不当”可能在审计阶段被完全发现。因此，项目方建议一定要在项目上线前找到专业的安全公司进行审计。

Rug pull一般是指开发商撤出DEX流动性池或突然放弃项目，毫无征兆地卷走投资者的资金，通俗地说是“跑路”。2022年第二季度，链中的43起重大Rug拉事件受到监控，项目方面包揽了约3426.64万美元。

攻击事件数据显示，5月黑客的活跃度大幅下降，但5月是Rug pull最高频率的月份。5月份，在各公共链和项目TVL大幅减少的情况下，部分项目方选择了鲁格波尔，导致很多投资者受害。原因可能是无法继续运营，也可能是认为“不如等TVL零先跑”，本来是提前计划好的跑，但TVL的急剧下降只会加速这一过程。

据不完全统计，2022年第二季度，包括Opensea、BAYC、Moonbirds、RTFKT、Akutars、Doodles和Otherside在内的151多台Discord服务器被黑客攻击。其中个别服务器在本季度中受到了2 ~ 3次攻击。

和Rug pull数据一样，在市长/市场不景气的情况下，钓鱼类安全事件反而可能增加。本季度出现的Discord钓鱼方式多种多样，包括机器人账号被黑、伪装管理员或机器人发送钓鱼链接、通过社交媒体传播高仿Discord邀请链接等。越是熊市，用户和项目方反而要提高反射器意识，保护自己的资产安全。

在2022年第二季度，DeFi安全仍然是值得关注的焦点，约79.2%的袭击发生在DeFi领域。连续两个季度，DeFi一直是黑客攻击的重点对象。NFT、连锁桥、交易所保安事件虽然没有DeFi那么频繁发生，但与个别事件相关的金额也非常巨大。因此，Web 3个项目都要加强安全意识，做好安全保护工作。

本季度，约45.8%的攻击被用作合同漏洞，其中大部分可以在审计阶段发现和修复。在本季度遭受袭击的项目中，只有52%受到了审计。建议在项目上线前找专业的审计公司进行审计。

本季度，约4.1889亿美元的被盗资金被黑客转移到Tornado.cash进行洗钱。另外，虽然追回了约1.31亿美元的资产，但追回方式大部分是通过连锁和黑客协商，让黑客返还部分被盗资金。实际上，被盗资金进入龙卷风后并非没有办法。成都链安在帮助追查被盗资金方面已经积累了很多成功事例，其中有部分资金进入龙卷风。项目方面建议，如果不幸遭到黑客攻击，除了与黑客协商返还之外，还要找专门的安全公司进行资金追踪。

本季度各公共链和项目的TVL值大幅波动，各种安全事件有时会导致项目资金异常或风险交易。建议项目和投资者都要及时关注项目运营。成都链安【链响应-区块链安全情况识别平台】可以让项目和用户及时发现风险交易，迅速采取行动。

在本季度经济低迷的情况下，卢格波尔和钓鱼等各种安全事件反而更加频繁，部分web 2攻击方式在web 3领域仍然很活跃。每个项目和用户都要提高安全意识，保管好自己的私钥，不要点击不容易知道的链接，对各种信息通过多个渠道进行验证。

网络钓鱼防护工具：

https://chrome . Google . com/web store/detail/beos in-alert/lgbhcpagiobjacpmcgckfgodjeogcejiHl=zh-CN

*特别感谢Footprint Analytics对本报告的图表和数据支持。本报告中的所有图表均可通过以下链接在线查看：https://www . footprint . network/@ beos in/footprint-beos in-Q2-report

单击下载

European Exchange金融投资European Exchange(也称为Eurokx)是世界领先的数字资产交易所，为全球用户提供比特币、莱特货币、以太网货币等数字资产的现货和衍生品交易服务，并使用区块链技术为全球交易者提供高级金融服务。这是一个非常古老的数字货币交易平台，平台为我们提供安全、专业的数字货币交易经验，为新手提供完整的流程指导，使其易于启动，通过客服24小时在线回复提供最佳服务。