黑客攻擊頻頻 Web3的安全在哪里？_WEB3

今年以來，黑客攻擊事件頻繁，僅10月20日到10月25日就發生了5余起安全事件，這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件。那么，今年哪些板塊和生態黑客攻擊事件最為頻繁？最近加密領域又有哪些安全事件值得注意？這些安全事件折射出加密市場有哪些亟需彌補的短板？未來Web3將朝著哪些方向發展？作為用戶，我們又能做些什么來保證我們的資產安全呢？本文將就這些問題進行探討。

加密世界愁云慘淡，下半年黑客攻擊異常猖獗

今年毫無疑問是加密市場的熊市之年，不少散戶和項目方本就因幣價下跌而損失慘重，可“屋漏偏又逢陰雨”，整個加密市場又不斷遭受黑客“洗劫”。到了今年下半年，黑客攻擊更是異常猖獗，下面就將今年主要黑客攻擊事件進行匯總梳理。

據派盾數據統計，2022 年上半年黑客攻擊總共加密市場總損失達 11.3599 億美元，其中大約 53% 的攻擊是利用合約漏洞，大約 26.6% 的攻擊涉及閃電貸。從黑客攻擊領域看，大約 71% 的攻擊發生在 DeFi 領域，受多方面因素影響， DeFi 市場 TVL 從 1 月初的 2760 億美元下降到 6 月底的 800 億美元，下降了 71%。

DEUS推出的穩定幣DEI遭到黑客攻擊，損失已超630萬美元:5月6日消息，DeFi協議DEUS發推文稱：“對于從今天DEI漏洞利用期間能夠挽救資金的所有白帽黑客，我們確認0x7f5ae1dc8d2b5d599409c57978d21cf596d37996是DEUS團隊在Arbitrum上擁有的多簽地址。如果你（白帽黑客）還沒有返還資金，請與我們聯系。在白帽和合作伙伴項目的幫助下，DEUS團隊暫停了相關合約并銷毀了DEI，以防止進一步的破壞。我們將跟進事后分析，并在未來幾天制定恢復計劃。在此之前，請不要與任何DEI合約互動。”

安全公司派盾對此表示：“這似乎是一個公共銷毀漏洞，僅BSC鏈上就損失了130萬美元。ARB/ETH的部署也會受到影響。Arbitrum部署遭到黑客攻擊，損失超過500萬美元。”

DEI系DEUS推出的穩定幣，于今日凌晨3時半左右快速脫錨至0.18美元，現回升至0.29美元。[2023/5/6 14:46:01]

進入到今年三季度，黑客事件更是頻發。從攻擊類型看，加密市場總共發生98起退出騙局，共計損失5619萬美元，發生23起閃電貸攻擊，共計損失1737萬美元，發生50起其他攻擊事件，共計損失4.3億美元。從生態系統上看，BNB Chain生態黑客安全事件最多，共發生105起，其次是以太坊生態，共發生25起，黑客攻擊造成生態損失最大的是Multichain，共發生6起事件，共計損失3.53億美元。從時間上看，7月發生59起安全事件，8月發生56起安全事件，9月發生53起安全事件。十月也是多事之秋，僅10月20日到10月25日就發生了5余起，這還是除去各類的釣魚網站、虛假賬戶以及項目方跑路等安全事件，以下是近期相對典型的安全事件：

Celsius承認因BadgerDAO黑客攻擊蒙受損失:金色財經報道，加密貨幣貸方Celsius Network的首席執行官Alex Mashinsky證實，該公司因此前的BadgerDAO黑客攻擊事件而蒙受損失，但沒有具體說明損失的價值。此前一些人在周五早些時候推測，根據區塊鏈數據，Celsius大約損失了5100萬美元。[2021/12/4 12:49:49]

10月20日，以太坊鬧鐘服務（Ethereum Alarm Clock）漏洞被利用，導致約 26 萬美元被黑客盜取。

10月23日，Optimism生態投資項目Layer2DAO遭遇黑客攻擊，黑客通過獲取Layer2DAO的多重簽名權限盜走約4995萬枚L2DAO Token并將部分拋售，使得L2DAO價格一度下跌約90%。

10月24日，SBF發推稱一些用戶在虛假網站上注冊交易，并泄露了自己的FTX API密鑰。

動態 | EOS競猜游戲FASTWIN遭黑客攻擊 損失近700EOS:Beosin成都鏈安態勢感知安全預警：今日下午2:21開始，根據區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，近期活躍的黑客ju****ang子賬號3ypa****rggff向eos競猜游戲FASTWIN發起攻擊，截止目前已獲利近700eos，且攻擊還在進行。經過技術團隊的初步分析原因是隨機數問題，我們已在第一時間發出預警并聯系項目方。成都鏈安提醒各項目方提高警惕，必要時聯系安全公司進行安全服務，避免不必要的資產損失，同時歡迎各區塊鏈游戲項目方加入鷹眼態勢感知系統，我們將為大家免費提供預警報警服務。[2019/9/6]

10月24日，QuickSwap因閃電貸攻擊損失22萬美元。

10月25日，Web3音樂項目Melody合約受到黑客攻擊，代幣SNS被盜。

動態 | 今晨EOS競猜游戲EOSLuck遭黑客攻擊:今天凌晨，PeckShield安全盾風控平臺DAppShield監測到黑客向EOS競猜游戲EOSLuck發起攻擊，并已經成功獲益上千EOS。PeckShield安全人員初步分析發現，攻擊者針對的是該游戲的隨機數算法，最終攻擊者的中獎比例大大高于其他普通玩家。PeckShield安全人員正持續跟進并做攻擊特征分析，同時已將fob開頭的攻擊者相關賬號標記高危，向廣大DApp開發者社群發出防范預警。[2019/1/22]

Web3安全該如何保障，聽一聽行業大V的建議

在Web2向Web3的發展過程中，區塊鏈帶來了諸多好處，比如公開透明、自己掌控資產和數據等；但是，合約代碼開源、鏈上數據不可篡改以及權力下放等似乎又給了黑客可乘之機。那么該如何看待區塊鏈技術這把雙刃劍？未來Web3的安全問題又該如何解決呢？筆者整理了部分行業KOL的觀點，供讀者參考。

精選 | IMF：交易所將繼續成為黑客攻擊的目標:據CCN報道，隨著加密貨幣領域繼續以指數級速度增長，IMF強調，它可能造成金融體系的脆弱性。由于加密貨幣被認為是具有價值的替代貨幣，越來越多的黑客開始使用復雜的工具和黑客方法來攻擊數字資產交易平臺。竊取加密貨幣與竊取現金類似，從長遠來看，交易所將繼續成為黑客攻擊的目標。而韓國區塊鏈協會主席Jeon Ha-jin表示:建立應對黑客攻擊后果的系統，與整合各種防止黑客攻擊的方法一樣重要。[2018/10/15]

Polygon首席安全官Mudit Gupta認為，完美的代碼和密碼學是不夠的，希望Web3公司聘請傳統安全專家來結束容易預防的黑客攻擊。最近發生的幾起加密攻擊最終是Web2安全漏洞的結果，例如私鑰管理和網絡釣魚攻擊以獲取登錄信息，而不是設計不良的區塊鏈技術；在不采用標準Web2網絡安全實踐的情況下獲得經過認證的智能合約安全審計并不足以保護協議和用戶的錢包不被攻擊。我一直建議所有大公司至少聘請一位真正重視密鑰管理的專門安全人員。

Beosin安全團隊子玉表示，一定要對運維等內部人員做好安全培訓，因為人其實是安全環節里最充滿可變性和不穩定性的一個環節；前陣子有一個跨鏈橋遭受了攻擊，當時大家都以為是私鑰被盜/泄露了，結果后來發現是社工釣魚。團隊中的一個工程師想找工作，隨后收到了一個高薪 offer，當他打開 offer 文檔時，電腦就被入侵了，導致了數據泄露。

BAI Capital合伙人Will表示：這個行業強調 code is law，立法和執法都是沒有的。之前的 Web3 用戶以程序員為主，大家需要對自己完全負責。現在用戶圈層逐漸擴大到了小白，這類用戶是帶著傳統移動端時代對于應用的盲性/體驗上的慣性來到 Web3 的。所以我覺得安全問題更應該是面向C端解決的，在開發者端、網站端和項目端也需要有安全對策。

安全公司 Trail of Bits 前顧問、數字支付公司安全工程師Bobby Tonic認為，對于Web3公司來說，最重要的是了解系統技術的復雜性以及確保其應用程序設計的正確性。對于 Web3 組織而言，不能保證代碼的復雜性和正確性會產生災難性的后果，因為攻擊者可以隨時查看其系統和應用程序的源代碼。因此，Web3 將他們開發的應用程序提交給第三方安全研究公司進行審查已經成為了一種共識：即向用戶承諾該應用已經通過了安全測試，可以放心使用。

給用戶的一些小建議

在Web3世界，權力下放到用戶手中，要想在Web3世界中暢游，安全意識是必不可少的。筆者在此給出一些安全指南，希望可以給剛進入行業的小白一些幫助。

在錢包的使用方面：1、郵箱密碼要至少12位以上，并且開啟二步驗證；2、不要告訴任何人你的任何數字貨幣信息；3、使用硬件錢包管理賬戶；4、注意使用chrome插件；5、使用VPN保護你的連接免受窺探者的侵害；6、使用2FA（谷歌驗證器）；7、把日常用錢包和主要錢包分開；8、經常換錢包；9、結合使用冷熱錢包。

另外，用戶也要持續保持防范意識，謹防假網站釣魚、電信詐騙、跑路風險等詐騙類型。對所參與項目的最新進展可以多加關注，日常刷刷官方通告渠道（官網、Twitter 等）或社區（Discord、TG 等），一旦有技術升級、產品更新、服務暫停、漏洞預警或事故披露，也能第一時間獲悉，并行動起來保護資產。

作者：比推Asher Zhang

比推 Bitpush News

媒體專欄

閱讀更多

金色早8點

1435Crypto

區塊律動BlockBeats

吳說區塊鏈

金色財經

blockin

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags：WEBWEB3EOS區塊鏈bitwebweb3域名哪里注冊EOST幣區塊鏈域名

火必交易所