比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > Uniswap > Info

Certik:2023年第一季度Web3.0行業安全報告_WEB

Author:

Time:1900/1/1 0:00:00

概要

●2023年第一季度,惡意行為者從Web3.0協議中盜取了超過3.2億美元的價值。●這個數字約為2022年第四季度9.5億美元資產損失的的三分之一,約為2022年第一季度13億美元資產損失的四分之一。●2023年第一季度,僅僅一個安全事件就造成了超過60%的損失——1.97億美元的EulerFinance漏洞事件。●90起退出騙局的“幕后黑手”共計盜取約3100萬美元資產,而52起閃電貸攻擊及預言機操縱漏洞事件造成了超過2.2億美元的損失。Euler事件直接拉高了閃電貸攻擊事件的平均損失——達到了428.8萬美元,而退出騙局造成的平均資產損失較低,為34.5萬美元。●在區塊鏈領域之外,2023年第一季度也發生了可被載入Web3.0貨幣史冊的重大事件:從作為Web3.0貨幣行業與傳統金融行業最強聯系之一的Silvergate銀行倒閉,到因硅谷銀行危機導致的USDC穩定幣脫鉤。文末附PDF下載鏈接簡介

總體而言,2023年第一季度相對較為平靜。損失僅為2022年同期的24%,并且相比去年第四季度的9.5億美元有了顯著下降。如果將造成第一季度超過60%損失的EulerFinance事件減去,2023年第一季度因黑客和欺詐事件所造成損失創下了Web3.0歷史中的新低。盡管與去年同期相比,blue-chip資產的價值顯著較低,但是其價格卻在第一季度中得到了強力的復蘇。主要網絡的日交易量也在保持穩定或增長。以太坊平均每天處理約110萬筆交易,BNB鏈也在年初時扭轉了日交易量的持續下降趨勢,從225萬筆日交易的低點反彈到3月底平均近400萬筆。

來源:DuneAnalytics值得注意的是,Arbitrum生態系統在2月底成為第一個在日交易量方面超過以太坊的L2,并且在3月份向用戶進行空投后,又引起了另一次交易量激增。第一季度,Arbitrum的安全事件造成了約426.1萬美元的損失,占據所有Web3.0區塊鏈總損失價值的1.45%。盡管EulerFinance黑客事件是本季度規模最大的安全事件,但其中大部分資金最終被返還,削弱了此事件帶來的影響。雖然我們無法精準描繪或猜測本季度因黑客、欺詐和漏洞利用導致損失降低的原因,但其中一個很大的可能性也是因為資產價格降低,外加大眾對對Web3.0安全重要性的認識在雖然緩慢但持續地增長著。我們希望這個趨勢一直保持到第二季度乃至2023全年。Euler損失額:1.97億美元,然后"所有可復原資金"被歸還

Arbitrum:Sequencer漏洞導致昨日停機,已定位問題并修復:9月15日消息,以太坊擴容網絡Arbitrum One發布針對昨日網絡故障的報告。從美東時間9月14日10:14開始,Arbitrum One停機持續45分鐘,期間Arbitrum Sequencer(定序器)處于離線狀態,資金從未面臨風險。停機的根本原因是一個Bug,導致Sequencer在短時間內收到大量交易時卡住,Arbitrum團隊已經定位到該問題并已部署修復程序。團隊還表示,就算Sequencer故障,也不會影響該網絡的持續運行,用戶可以繞開Sequencer,將交易直接提交到以太坊。[2021/9/15 23:25:44]

EulerFinance是“以太坊上的一個允許用戶借出和借入幾乎任何Web3.0貨幣資產的非托管協議”。2023年3月13日,攻擊者利用閃電貸攻擊了多個EulerFinance池。他們最終盜取了大約1.97億美元。僅這一事件,就讓Web3.0在第一季度的安全事件損失總額翻了一番以上。Euler的漏洞在于EulerPool合約中的donateToReserve函數。該函數缺乏對流動性抵押狀況的適當檢查,結果導致用戶可以自主放棄一部分杠桿存款,使資金池變得資不抵債。此外,盡管Euler白皮書中的mint函數被描述為其價值上限是存款的19倍,但當它被多次調用時,對杠桿倍數并沒有實際控制。攻擊流程攻擊者從AAVE閃電貸到3000萬DAI,通過eDAI合約向Euler存入2000萬DAI,并收到2000萬eDAI。在攻擊者存入2000萬DAI之前,Euler池中的DAI余額為890萬。隨后攻擊者調用`eDAI.mint()`。該特定的`mint`功能是EuleFinancer獨有的,可允許用戶反復借款和還款。這是一種創建借貸循環的方法,其結果是帶杠桿的借貸倉位。當調用`mint`后,收到2億dDAI和1.95.6億eDAI。(注:dTokens代表債務代幣,eTokens代表抵押股權)。調用"repay",將eDAI池中的1000萬DAI償還給Euler,這就將1000萬dDAI銷毀了。隨后再次調用"mint",為攻擊合約創造另一個2億dDAI和1.956億eDAI形式的借貸倉位。此時攻擊者的倉位為:3.9億dDAI和4億eDAI。調用`donateToReserves`,將1億eDAI轉給Euler。由于沒有對這一行為的抵押狀況進行適當的檢查,"donate"后的攻擊者成為了“違規者”,其風險調整后負債遠超過了的抵押品價值,因此可以對其進行清算。攻擊者部署的清算人合約開始清算“違規者”,清算人員利用了平臺運作方式獲得了20%的利潤。攻擊發生后,一個與RoninBridge攻擊有關的錢包通過鏈上信息與Euler攻擊者進行了溝通,并附上了一條加密信息以及一個“解密工具”的鏈接。這很可能是意圖從Euler攻擊者那里竊取資金的惡意軟件。

Balancer Labs宣布推出穩定池:金色財經報道,Balancer Labs發推文宣布推出穩定池,使之成為首個具備3種池子的AMM。目前Balancer Labs已經創建2個初始穩定池,分別是:staBAL3-BTC—WBTC/renBTC/sBTC及staBAL3- USD—DAI/USDC/USDT。[2021/7/9 0:37:58]

這是該起案件中一個耐人尋味的發展,也揭示了專業黑客在Web3.0領域中采用的多種不同戰術和策略。3月20日,黑客在區塊鏈上發送了一條消息,宣布他們愿意進行談判。“我們希望讓所有受影響的人都可以輕松一些解決這些問題。我們無意于保留那些不屬于我們的東西。建立安全通信,讓我們達成協議吧。”——交易ID:0xcc73...6a1c0攻擊事件發生兩周后,攻擊者退還了一大筆資金,將價值超過8500萬美元的55,000ETH轉回給了該協議。雖然目前尚不清楚其與Euler達成的具體協議條款,但看起來受影響的用戶們將會得到部分或全部的賠償。雖然這起事件相比于Web3.0領域中的另外許多黑客攻擊事件,擁有了一個“皆大歡喜”的結局,但這并不意味著項目可以寄希望于黑客的“善心”。積極主動的安全防范措施至關重要,畢竟絕大部分被盜取的價值永遠不會被返還。

來源:推特KokomoFinance和其他89起退出騙局

退出騙局的持續威脅在第一季度尤為明顯。在2023年的前三個月中,89起退出騙局從投資者那里竊取了超過3100萬美元。退出騙局,我們俗稱的項目跑路。又被形象地稱為“拉地毯”,通常欺詐者在將項目“喂肥”之后會突然撤回項目中的大量資金并關閉項目,最終導致投資者持有的代幣失去價值。雖然有大量的統計信息呈現了多年來退出騙局的普遍性和造成的影響,但研究其特點和犯罪分子的數據和報告較少。CertiK從退出騙局開始到結束整個周期,研究了40個RugPull以便更好地了解導致其最終移除流動性的共同點和差異。通過確定項目特征并且進行定性和定量分析,我們能夠識別和分析RugPull的共同特征。KokomoFinance是部署在Optimism上Ethereum的Layer2擴展解決方案。2023年3月26日,KokomoFinance實施退出騙局。由項目團隊控制的部署者合約實施了一個惡意合約,允許他們暫停協議的借貸功能,并將存款轉移到一個外部地址,從而導致了141wBTC遭受損失。和經典的退出騙局一樣,事后該團隊刪除了他們所有的社交媒體賬戶,項目網站也不再可訪問。這不是第一季度最大的漏洞,也并不獨特。但是它反而代表了這類騙局的持續性:一直從Web3.0用戶那里竊取金額從而積少成多。詐騙者多次Web3.0河塘釣魚

HyperGraph 挖礦和通證合約通過CertiK審計:據官方消息,HyperGraph 挖礦和通證合約日前通過了CertiK的審計,CertiK 對HyperGraph合約進行了審計,并就相關邏輯與開發團隊進行了反復討論和確認溝通。CertiK的報告也就某些邏輯的開發提出了很好的意見和改進建議,這對于團隊后續的智能合約開發很有幫助。[2021/5/26 22:47:04]

Web3.0和加密世界在不斷發展。而隨著這種發展,社區也開始面臨新的和更加復雜的威脅與挑戰。其中一個威脅就是假錢包的泛濫,其目的是欺騙用戶送出他們的寶貴資產。這些假錢包對Web3.0社區來說是一個持續的問題,我們需要專門的努力和研究才能識別和揭露它們。BombFlower

CertiK發現了一個有組織的詐騙集團。該集團組織利用部署的假錢包以欺騙用戶來竊取用戶資產。由于該團體使用的特殊逃逸性反取證功能較為罕見,因此我們將其命名為BombFlower。由于該集團組織使用了檢測逃逸技術,這些假錢包移動應用程序很可能會被主流的惡意軟件檢測工具所忽略。BombFlower集團通常將這些假錢包設計的與合法錢包非常相似,例如使用與原始網站類似的設計和布局,只在域名上有輕微的變化。以至于用戶難以區分。假錢包包括后門,Hook鉤子技術的生成功能,直接向錢包的Javascript代碼或smali代碼中注入惡意代碼。用戶應仔細檢查下載錢包應用程序的網站域名,并將其作為一項基本預防措施讓任何用于Web3.0貨幣交易的計算機上都運行反惡意軟件。MonkeyDrainer

我們已經發現一些騙子利用一種俗稱為MonkeyDrainer的網絡釣魚工具包。這些網絡釣魚工具包為惡意行為者從Web3.0社區竊取資產提供了一個快捷方便的工具。這種工具包由惡意供應商出售給那些希望竊取用戶資金的潛在詐騙者,即便你對“詐騙專業”不熟悉,你也依然可以使用釣魚工具包釣到一些“獵物”。MonkeyDrainer工具包和類似的一個釣魚工具使用一種叫做“IcePhishing”的技術來欺騙用戶,騙子可以擁有無限權限來花費代幣。

IcePhishing是一種Web3.0世界獨有的攻擊類型,用戶被誘騙簽署權限,允許欺詐者直接消費用戶賬戶內的資產。這與傳統的網絡釣魚攻擊不同,后者作為一種社會工程學攻擊手段,通常用于竊取用戶數據,包括登錄憑證和錢包或資產信息,如私人鑰匙或密碼。這使得IcePhishing對Web3.0用戶具備更大的威脅,因為與DeFi協議的互動需要用戶授予權限,欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產,那么賬戶就有可能被盜。

Web3孵化器DAOsquare提前關閉RICE在Balancer上的LBP:Web3孵化器DAOsquare(RICE)發布公告稱,由于市場環境影響導致交易量未達預期,官方提前關閉了其代幣RICE在Balancer上的LBP。[2021/5/24 22:37:16]

用戶可以通過使用revoke.cash或Etherscan的TokenApprovalChecker這樣的網站來檢查他們所授予的權限,從而保護自己免受IcePhishing的侵害。如果有一個不被承認的地址或一個未經批準就啟動交易的地址,那么授予它的所有權限都應被撤銷。傳統金融體系遭到打擊

美國銀行系統在第一季度的事件中顯示了諸多弊端和脆弱性,貼現窗口借貸也創下了新高,并在3月份推出了銀行定期融資計劃。硅谷銀行和簽名銀行的倒閉進一步顯示了當前金融系統的脆弱性。而Web3.0貨幣生態系統顯然在這些挑戰中更能從容應對。增加貼現窗口借款和建立緊急備用金可謂突出了銀行系統內部持續的脆弱性,各機構也都在努力解決存款遷移和流動性問題。相比之下,Web3.0貨幣生態系統已經證明了其在這些動蕩時期有效運作的能力。例如,那些擔心SVB拉垮Circle存款的用戶可以在Web3.0貨幣的24/7市場上交易USDC,而那些愿意承擔這筆交易的用戶可以相應獲得回報。

來源:CoinMarketCapWeb3.0貨幣生態系統的主要目標一直是建立一個去中心化、自由和公平的傳統金融替代品。通過開發更多的Web3.0貨幣原生解決方案,該行業可以與日益脆弱的傳統金融系統較為隔離開來。其中,后者往往需要政府干預和停止交易來維持穩定。最近美國和歐洲金融系統中引起的一些事件無疑暴露了傳統銀行的弱點,而Web3.0貨幣生態系統已經證明了其較大的彈性和效率。通過減少對傳統金融的依賴,Web3.0貨幣生態系統將有機會更加繁榮,成為日益脆弱的傳統銀行系統的一個強大且去中心化的替代品。SkynetforCommunity:概述

2023年第一季度,CertiK非常榮幸地宣布推出SkynetforCommunity,這是一個集安全、盡職調查和數據于一體的平臺,旨在提高Web3.0生態系統中的信任和透明度。該平臺致力于為社區用戶、投資者和項目團隊提供所需的工具和資源,讓他們可以輕松地調查并了解Web3.0生態系統。由于數以千計的Web3.0項目每天都在創造數以百萬計的數據點,因此用戶很容易迷失在噪音中。SkynetforCommunity豐富的數據驅動的洞察力幫助用戶發現新的項目,對感興趣的項目進行盡職調查,并及時了解Web3.0領域的最新新聞和發展。該平臺將大量的數據匯總到Web3.0的最容易獲得的以安全為重點的盡職調查工具。無論是對可操作的鏈上數據和社交數據進行全面的盡職調查、發現最新完成智能合約審計的項目,還是挖掘最具價值的行業見解和安全最佳實踐,SkynetforCommunity均實現了流程簡化并將這些數據全部整合于一個平臺供用戶瀏覽。憑借全新設計的界面和強大的功能,SkynetforCommunity是做出明智決策以及在Web3.0生態系統中促進信任和透明度的終極工具。

DFI.Money(YFII)發起關于如何分配Balancer獎勵提案:9月3日,聚合器項目DFI.Money(YFII)收到首批Balancer(BAL)獎勵,共計BAL 679.83個,價值21,814美元。該獎勵來源于YFII/DAI礦池,后續每周都將收到。關于獎勵如何分配,社區發起提案進行投票:放進循環挖礦池;換成yCRV給投票人激勵參與投票;注入社區基金。[2020/9/8]

SkynetforCommunity:解決方案

SkynetforCommunity的主頁默認為“探索新項目”。從這個頁面開始,你可以隨時隨地輕松檢索你感興趣的項目以及搜尋那些全新的項目。Web3.0安全榜根據項目的安全分數和市場表現列出項目并對其進行排名。安全分數是通過一種專有算法產生的分數,該算法的計算和考量包含了項目的代碼安全、基本健康、運營彈性、社區信任、市場穩定性和治理強度。安全評分排行榜能夠讓用戶根據項目的安全狀況迅速確定表現最佳的項目,并將其與同類項目進行對比。Web3.0KYC團隊榜則根據項目所獲取的CertiKKYC徽章狀態進行公示和排名。已通過嚴格背景調查的項目團隊將獲得CertiKKYC徽章,CertiK將根據項目團隊提供的可驗證信息和信息等級授予其KYC黃金徽章、KYC白銀徽章或KYC青銅徽章。KYC徽章會表明我們知曉項目背后的團隊并已經做過了符合CertiKKYC標準的調查和驗證,也代表項目團隊對履行合規措施的承諾。Web3.0KOL榜根據各個KOL的影響力得分進行了排名,這一排名體現了他們作為KOL輸出的內容影響力和影響范圍。此排行榜對那些有興趣識別正在塑造Web3.0業內風向標KOL的用戶很有幫助。此外,它還提供了與KOL具備相關可能性的社區及項目概覽,讓用戶更加了解該領域的熱門及趨勢。交易所審計分析允許用戶通過顯示其鏈上資產持有量對中心化交易所進行盡職調查。這是儲量證明驗證的第一步,也是最為關鍵的一步。天網項目預警系統可對Web3.0貨幣領域的RugPull攻擊和漏洞事件提供第一時間的預警。該系統將實時監控各類信息來源,以識別和報告潛在的RugPull攻擊和漏洞惡意利用。用戶也可以通過“探索新項目”頁面上的“Web3.0熱門智能資金榜”訪問錢包分析器,或者點擊項目詳情頁面中代幣鏈上監控和治理與自治模塊中的任何錢包地址進行查看。智能資金向導是智能貨幣錢包分析器功能的接入點,可以讓用戶直接搜索錢包地址并查看錢包搜索趨勢、智能資金榜及流動性交易對榜。錢包分析器提供了對錢包地址的分析,并通過顯示關鍵錢包特征、錢包之間的關系和代幣交易活動的可視化圖片,使用戶更容易解讀錢包之間的鏈上交易。現在就來登錄SkynetforCommunity平臺,閱讀Skyneteducationhub和觀看masterclass的教學并做一個高水平的盡職調查吧!CertiK端到端安全解決方案

在致力于保護Web3.0的道路上,CertiK開發了許多幫助項目采取端到端安全解決方案的工具。CertiK安全排行榜讓Web3.0用戶能夠利用CertiK的審計和安全團隊的專業知識,對投資項目的安全風險有更深入的了解并做出更明智的決策,這些用戶將整個生態系統推向了新的高度。目前CertiK安全排行榜已全面升級為安全排行榜360,為數以千計的榜上項目提供完整而即時的安全狀況“全景圖”。由于整個系統進行了全面的更新,用戶訪問和分析這些安全數據將前所未有地便捷。此外,我們還利用量化工具為個人投資者提供合理的決策建議。歡迎訪問certik.com了解詳情。Skynet天網動態掃描系統可結合鏈上交易監測與鏈下數據,對數百個Web3.0平臺進行實時、全面的安全監測和分析。Skynet天網動態掃描系統高級版SkynetPremium由CertiK于2021年正式推出,其威脅檢測模型會通過機器學習與不斷變化的智能合約風險環境同步進化。這也意味著,隨著威脅情報庫和智能合約漏洞庫的不斷積累,這一平臺也會變得愈發先進,從而適應變化無常的智能合約風險環境。目前Skynet天網動態掃描系統已全面升級,添加了更多維度的Skynet天網信任評分及專屬于項目的項目亮點和預警等全新功能。SkyTrace則是一種智能、直觀的追蹤工具,可幫助分析和可視化以太坊和BSC錢包的交易數據。該工具為識別和追蹤進出自己的個人錢包或項目團隊錢包的可疑流量提供了深入的分析。CertiKKYC項目背景調查服務可為項目團隊提供身份驗證,包括使用基于AI的檢測系統進行ID真實性檢查,以確保個人身份真實并與ID相匹配。除了在身份驗證過程中進行實時有效性檢查外,CertiK還將與每個項目團隊成員進行實時視頻溝通,以驗證他們的身份和其他必要參數。由于團隊的匿名性越來越高,項目的風險行為也越來越具有可能。除此之外,CertiK安全排行榜賦予通過KYC調查的項目團隊以青銅、白銀、黃金等級的KYC徽章,最大程度上使項目團隊去匿名化,建立更完善的問責制,從而增強項目的可信度。CertiK滲透測試是確保運行環境中Web3.0應用程序安全綜合解決方案的重要組成部分。我們的滲透測試服務由經驗豐富的道德黑客團隊通過利用專有工具來發現代碼中即便是最為微小的易受攻擊之處。CertiK于近期推出的漏洞賞金計劃招募并遴選了一批世界頂級的白帽黑客,收集情報以在惡意行為者利用漏洞之前將其及時發現。CertiK的安全專家團隊將負責篩查和鑒定所有提交材料,并協助客戶進行正確的修復。我們的0%費用模式降低了項目團隊的支付負擔,白帽黑客可因此獲取全額賞金。SkyHarbor提供了一個多合一的解決方案來保護和監控數字資產。憑借其先進的監控和威脅檢測系統,SkyHarbor可以快速識別系統中的任何漏洞或可疑活動,確保你的資產始終是安全的。生態系統

CertiK的審計及端到端解決方案已覆蓋目前市面上大部分生態系統,并支持幾乎所有主流編程語言,就區塊鏈平臺、Web3.0資產交易平臺、智能合約的安全性等領域為各個生態鏈提供安全技術支持。目前與我們合作的生態系統包括:

通過與CertiK咨詢進行合作,在我們經驗豐富的分析師團隊提供包括技術評估、專有研究和戰略建議全面服務的同時,盡可能獲得Web3.0最大收益。CertiK致力于守護Web3.0世界,將以安全數據為重心,持續分析Web3.0的安全未來及發展。助力用戶遠離“土狗”以及人為踏空,以科技賦予科技價值和載舟之路。該報告PDF版本已收錄并生成鏈接,歡迎下載查閱。下載方式??復制鏈接至瀏覽器:https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn即刻下載!

Tags:WEB3WEBWEB3.0CERWEB3幣METAWEB3PA價格web3.0幣種Defilancer token

Uniswap
一文速覽如何參與SUI代幣銷售?_TOS

Sui的代幣銷售剛剛宣布將在本周進行,這里有你想了解關于Sui的所有信息,以及如何參與SUI代幣銷售。 Sui是世界上第一個完全由前Facebook開發人員設計的無許可的Layer1區塊鏈.

1900/1/1 0:00:00
Sui Network主網初體驗:真的如此順滑嗎?_SUI

千呼萬喚始出來,5月3日晚,SuiNetwork如約上線主網,在之前的文章中,SuiWorld總結了關于SuiNetwork主網上線不得不關注的問題,感興趣的用戶可以點擊查看.

1900/1/1 0:00:00
上海升級完成,解鎖的ETH會帶來多大拋壓?_ETH

備受期待的Shanghai/Capella硬分叉計劃已于今早進行,質押的ETH可以被提取。本文站在質押者角度,評估了解鎖可能產生的潛在拋售壓力,并討論了在Shanghai升級后可能立即提取和出售.

1900/1/1 0:00:00
生態項目亂象叢生,一文剖析zkSync Era的尷尬現狀_SYN

誰能想到,在短短幾天里,募集了921個ETH被社區極度看好的新項目因合約寫錯導致資產被鎖死,募集了300個ETH的項目直接RUG.

1900/1/1 0:00:00
Beosin:zkSync生態DEX Merlin安全事件分析_SIN

2023年4月26日,據Beosin-EagleEye態勢感知平臺消息,MerlinDex發生安全事件,USDC-WETH流動性池的資金已全部被提取,攻擊者獲利共約180萬美金.

1900/1/1 0:00:00
一文讀懂BTCDomain:會超越ENS么?_BTC

近48小時來,Ordinals在加密世界中引起了廣泛關注。在OKX宣布其鏈上錢包開始支持Ordinals之后,幣安緊接著發布了“Ordinals,madesimple”這篇推文.

1900/1/1 0:00:00
ads