链资讯 链资讯
Ctrl+D收藏链资讯

NFT:重磅:2023年第一季度Web3.0行业安全报告发布(附PDF下载链接)_TIK

作者:

时间:

2023年第一季度,恶意行为者从Web3.0协议中盗取了超过3.2亿(320,332,058)美元的价值。

这个数字约为2022年第四季度9.5亿美元资产损失的的三分之一,约为2022年第一季度13亿美元资产损失的四分之一。

2023年第一季度,仅仅一个安全事件就造成了超过60%的损失——1.97亿美元的Euler Finance漏洞事件。

90起退出局的“幕后黑手”共计盗取约3100万(31,043,335)美元资产,而52起闪电贷攻击及预言机操纵漏洞事件造成了超过2.2亿(222,963,86)美元的损失。Euler事件直接拉高了闪电贷攻击事件的平均损失——达到了428.8万美元,而退出局造成的平均资产损失较低,为34.5万美元。

在区块链领域之外,2023年第一季度也发生了可被载入Web3.0货币史册的重大事件:从作为Web3.0货币行业与传统金融行业最强联系之一的Silvergate银行倒闭,到因硅谷银行危机导致的USDC稳定币脱钩。

总体而言,2023年第一季度相对较为平静。损失仅为2022年同期的24%,并且相比去年第四季度的9.5亿美元有了显著下降。如果将造成第一季度超过60%损失的Euler Finance事件减去(该事件中损失的大部分资金最终已被归还),2023年第一季度因黑客和欺诈事件所造成损失创下了Web3.0历史中的新低。

尽管与去年同期相比, blue-chip资产的价值显著较低,但是其价格却在第一季度中得到了强力的复苏。主要网络的日交易量也在保持稳定或增长。以太坊平均每天处理约110万笔交易,BNB链也在年初时扭转了日交易量的持续下降趋势,从225万笔日交易的低点反弹到3月底平均近400万笔。

来源:Dune Analytics

值得注意的是,Arbitrum生态系统在2月底成为第一个在日交易量方面超过以太坊的L2,并且在3月份向用户进行空投后,又引起了另一次交易量激增。第一季度,Arbitrum的安全事件造成了约426.1万美元的损失,占据所有Web3.0区块链总损失价值的1.45%。

尽管Euler Finance黑客事件是本季度规模最大的安全事件,但其中大部分资金最终被返还,削弱了此事件带来的影响。虽然我们无法精准描绘或猜测本季度因黑客、欺诈和漏洞利用导致损失降低的原因,但其中一个很大的可能性也是因为资产价格降低,外加大众对对Web3.0安全重要性的认识在虽然缓慢但持续地增长着。我们希望这个趋势一直保持到第二季度乃至2023全年。

泽连斯基:乌克兰和俄罗斯之间肯定会进行对话:5月23日消息,乌克兰总统泽连斯基22日表示,他曾经以为有可能通过对话结束冲突,在这个对话中可以与俄罗斯方面找到许多问题的答案和解决办法。但现在对话面临的情况很复杂。泽连斯基认为,乌克兰和俄罗斯之间肯定会进行对话。但乌方不知道对话以什么形式进行,包括是否有调停人,是以大范围形式还是双边形式进行。(金十)[2022/5/23 3:34:52]

Euler Finance是“以太坊上的一个允许用户借出和借入几乎任何Web3.0货币资产的非托管协议”。2023年3月13日,攻击者利用闪电贷攻击了多个Euler Finance池。他们最终盗取了大约1.97亿美元。仅这一事件,就让Web3.0在第一季度的安全事件损失总额翻了一番以上。

Euler的漏洞在于Euler Pool合约中的donateToReserve函数。该函数缺乏对流动性抵押状况的适当检查,结果导致用户可以自主放弃一部分杠杆存款,使资金池变得资不抵债。

此外,尽管Euler白皮书中的mint函数被描述为其价值上限是存款的19倍,但当它被多次调用时,对杠杆倍数并没有实际控制。

攻击流程

攻击者从AAVE闪电贷到3000万 DAI,通过eDAI合约向Euler存入2000万 DAI,并收到2000万 eDAI。在攻击者存入2000万DAI之前,Euler池中的DAI余额为890万。随后攻击者调用`eDAI.mint()`。该特定的`mint`功能是Eule Financer独有的,可允许用户反复借款和还款。这是一种创建借贷循环的方法,其结果是带杠杆的借贷仓位。当调用`mint`后,收到2亿 dDAI和1.95.6亿 eDAI。(注:dTokens代表债务代币,eTokens代表抵押股权)。调用 "repay",将eDAI池中的1000万DAI偿还给Euler,这就将1000万dDAI销毁了。随后再次调用 "mint",为攻击合约创造另一个2亿dDAI和1.956亿eDAI形式的借贷仓位。此时攻击者的仓位为: 3.9 亿 dDAI 和 4亿 eDAI。

调用`donateToReserves`(该存在漏洞的函数于2022年7月被引入),将1亿eDAI转给Euler。由于没有对这一行为的抵押状况进行适当的检查,"donate" 后的攻击者成为了“违规者”(非健康负债水平的地址), 其风险调整后负债远超过了的抵押品价值,因此可以对其进行清算。攻击者部署的清算人合约开始清算“违规者”,清算人员利用了平台运作方式获得了20%的利润。

SBF:FTX很高兴与 FSCA 合作,双方已开始对话:金色财经报道,2月2日,据FTX创始人SBF在推特上透露:“FTX很高兴与南非金融部门行为监管局(FSCA)合作,并感谢他们让我们注意到这一点。我们不知道 FSCA 有任何外展活动,但很高兴与 FSCA 合作以遵守监管要求,目前已经联系开始对话。”据此前金十报道称,南非加密货币交易者警告称不要使用交易平台FTX和BYBIT,另外去年九月南非金融部门行为监管局曾发布警告要求公众在与 BINANCE GROUP 打交道时保持谨慎和警惕,因为根据 2002 年《金融咨询和中介服务法》(FAIS 法),BINANCE GROUP没有获得在该国提供金融服务的许可无权在南非提供金融建议或中介服务。[2022/2/3 9:28:35]

攻击发生后,一个与Ronin Bridge攻击有关的钱包通过链上信息与Euler攻击者进行了沟通,并附上了一条加密信息以及一个“解密工具”的链接。这很可能是意图从Euler攻击者那里窃取资金的恶意软件。

这是该起案件中一个耐人寻味的发展,也揭示了专业黑客在Web3.0领域中采用的多种不同战术和策略。

3月20日,黑客在区块链上发送了一条消息,宣布他们愿意进行谈判。

“我们希望让所有受影响的人都可以轻松一些解决这些问题。我们无意于保留那些不属于我们的东西。建立安全通信,让我们达成协议吧。”

——交易ID:0xcc73...6a1c0

攻击事件发生两周后,攻击者退还了一大笔资金,将价值超过8500万美元的55,000 ETH转回给了该协议。虽然目前尚不清楚其与Euler达成的具体协议条款,但看起来受影响的用户们将会得到部分或全部的赔偿。

虽然这起事件相比于Web3.0领域中的另外许多黑客攻击事件,拥有了一个“皆大欢喜”的结局,但这并不意味着项目可以寄希望于黑客的“善心”。积极主动的安全防范措施至关重要,毕竟绝大部分被盗取的价值永远不会被返还。

来源:推特

退出局的持续威胁在第一季度尤为明显。在2023年的前三个月中,89起退出局从投资者那里窃取了超过3100万美元。

退出局,我们俗称的项目跑路。又被形象地称为“拉地毯(Rug Pull)”,通常欺诈者在将项目“喂肥”之后会突然撤回项目中的大量资金并关闭项目,最终导致投资者持有的代币失去价值。虽然有大量的统计信息呈现了多年来退出局的普遍性和造成的影响,但研究其特点和犯罪分子的数据和报告较少。CertiK从退出局开始到结束整个周期,研究了40个Rug Pull以便更好地了解导致其最终移除流动性的共同点和差异。通过确定项目特征并且进行定性和定量分析,我们能够识别和分析Rug Pull的共同特征。

火币尖峰对话杨民道:DeFi是底层开放金融的底层基础设施:6月24日下午,在由火币主办的火币尖峰对话“Waiting For ETH2.0”系列AMA活动中,火币矿池与dForce创始人杨民道、Infstones Head of Bussiness Sili、Stafi&Wetez创始人卡咩、真本聪联合创始人索老头就“乘风破浪的以太坊DeFi ”展开主题讨论,深度解读ETH2.0将给行业带来的重大影响。

dForce创始人杨民道在发言时表示,DeFi是底层开放金融的底层基础设施,DeFi项目的热度被引爆,主要是DeFi的基础设施(稳定币、交易协议、借贷协议)已经有基础铺设,各个协议之间通过可组合性建立了极强的协议网络互联。随后,杨民道从DeFi协议的锁仓价值、以太坊DeFi宇宙的繁荣程度角度做了进一步讲解,他认为DeFi作为加密货币和区块链落地的应用,真正验证了自己的逻辑,而且通过透明的链上增长数据,展现出增长潜力。[2020/6/24]

Kokomo Finance是部署在Optimism上Ethereum的Layer 2扩展解决方案。2023年3月26日,Kokomo Finance实施退出局。由项目团队控制的部署者合约实施了一个恶意合约,允许他们暂停协议的借贷功能,并将存款转移到一个外部地址,从而导致了141 wBTC遭受损失。和经典的退出局一样,事后该团队删除了他们所有的社交媒体账户,项目网站也不再可访问。

这不是第一季度最大的漏洞,也并不独特。但是它反而代表了这类局的持续性:一直从Web 3.0用户那里窃取金额从而积少成多。

Web3.0和加密世界在不断发展。而随着这种发展,社区也开始面临新的和更加复杂的威胁与挑战。其中一个威胁就是假钱包的泛滥,其目的是用户送出他们的宝贵资产。这些假钱包对Web3.0社区来说是一个持续的问题,我们需要专门的努力和研究才能识别和揭露它们。

CertiK发现了一个有组织的集团。该集团组织利用部署的假钱包以用户来窃取用户资产。由于该团体使用的特殊逃逸性反取证功能较为罕见,因此我们将其命名为BombFlower。由于该集团组织使用了检测逃逸技术,这些假钱包移动应用程序很可能会被主流的恶意软件检测工具所忽略。

BombFlower集团通常将这些假钱包设计的与合法钱包非常相似,例如使用与原始网站类似的设计和布局,只在域名上有轻微的变化。以至于用户难以区分。

假钱包包括后门,Hook钩子技术的生成功能,直接向钱包的Javascript代码(如index.android.bundle)或smali代码中注入恶意代码。

金色实力派 | 对话谢纬:揭秘区块链第一城娄底的“小城大计”:当下区块链与实体经济相结合已成为不可阻挡的时代大潮,金色财经推出“区块链+产业新模式”系列访谈“实力派”,对话走在“区块链+”最前端的企业和机构。1月20日13:00,央视财经节目主持人吴建华,金色财经内容总监王瑜琨携手对话娄底市国家级区块链研究和应用示范推进领导小组办公室副主任、CCF区块链专委会通讯委员谢纬,揭秘湖南“链城”娄底的“小城大计”。直播详情可扫描二维码或查看原文链接。[2020/1/20]

用户应仔细检查下载钱包应用程序的网站域名,并将其作为一项基本预防措施让任何用于Web 3.0货币交易的计算机上都运行反恶意软件。

我们已经发现一些子利用一种俗称为Monkey Drainer的网络钓鱼工具包。这些网络钓鱼工具包为恶意行为者从Web3.0社区窃取资产提供了一个快捷方便的工具。这种工具包由恶意供应商出售给那些希望窃取用户资金的潜在者,即便你对“专业”不熟悉,你也依然可以使用钓鱼工具包钓到一些“猎物”。Monkey Drainer工具包和类似的一个钓鱼工具使用一种叫做“Ice Phishing”的技术来用户,子可以拥有无限权限来花费代币。

Ice Phishing是一种Web3.0世界独有的攻击类型,用户被诱签署权限,允许欺诈者直接消费用户账户内的资产。这与传统的网络钓鱼攻击不同,后者作为一种社会工程学攻击手段,通常用于窃取用户数据,包括登录凭证和钱包或资产信息,如私人钥匙或密码。这使得Ice Phishing对Web3.0用户具备更大的威胁,因为与DeFi协议的互动需要用户授予权限,欺诈者只需要让用户相信他们所批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产,那么账户就有可能被盗。

用户可以通过使用revoke.cash或Etherscan的Token Approval Checker这样的网站来检查他们所授予的权限,从而保护自己免受Ice Phishing的侵害。如果有一个不被承认的地址或一个未经批准就启动交易的地址,那么授予它的所有权限都应被撤销。

美国银行系统在第一季度的事件中显示了诸多弊端和脆弱性,贴现窗口借贷也创下了新高,并在3月份推出了银行定期融资计划。硅谷银行和签名银行的倒闭进一步显示了当前金融系统的脆弱性。而Web 3.0货币生态系统显然在这些挑战中更能从容应对。

Bittrex回应SEC声明:加密货币不是证券 期待与SEC对话:针对SEC(美国证券交易委员会)最新发布的《关于可能违法的数字资产交易平台的声明》,美国最大的数字货币交易平台Bittrex率先做出回应:“作为美国的加密货币交易平台,Bittrex致力于孵化新的区块链技术,并向客户提供创新、合规的数字资产。Bittrex有强大的加密货币审查程序,为确保交易所上线的加密货币符合美国法律,不被视为证券。Bittrex致力于推动美国在这个新兴行业的全球领导地位,我们期待着继续与SEC和其他监管机构进行积极对话,探讨如何为区块链建立一个安全,全面监管的环境,鼓励创新和经济增长。”[2018/3/8]

增加贴现窗口借款和建立紧急备用金可谓突出了银行系统内部持续的脆弱性,各机构也都在努力解决存款迁移和流动性问题。相比之下,Web 3.0货币生态系统已经证明了其在这些动荡时期有效运作的能力。例如,那些担心SVB拉垮Circle存款的用户可以在Web 3.0货币的24/7市场上交易USDC,而那些愿意承担这笔交易的用户可以相应获得回报。

来源:CoinMarketCap

Web 3.0货币生态系统的主要目标一直是建立一个去中心化、自由和公平的传统金融替代品。通过开发更多的Web 3.0货币原生解决方案,该行业可以与日益脆弱的传统金融系统较为隔离开来。其中,后者往往需要政府干预和停止交易来维持稳定。

最近美国和欧洲金融系统中引起的一些事件无疑暴露了传统银行的弱点,而Web 3.0货币生态系统已经证明了其较大的弹性和效率。通过减少对传统金融的依赖,Web 3.0货币生态系统将有机会更加繁荣,成为日益脆弱的传统银行系统的一个强大且去中心化的替代品。

2023年第一季度,CertiK非常荣幸地宣布推出Skynet for Community,这是一个集安全、尽职调查和数据于一体的平台,旨在提高Web3.0生态系统中的信任和透明度。该平台致力于为社区用户、投资者和项目团队提供所需的工具和资源,让他们可以轻松地调查并了解Web3.0生态系统。

由于数以千计的Web 3.0项目每天都在创造数以百万计的数据点,因此用户很容易迷失在噪音中。Skynet for Community丰富的数据驱动的洞察力帮助用户发现新的项目,对感兴趣的项目进行尽职调查,并及时了解Web 3.0领域的最新新闻和发展。该平台将大量的数据汇总到Web 3.0的最容易获得的以安全为重点的尽职调查工具。无论是对可操作的链上数据和社交数据进行全面的尽职调查、发现最新完成智能合约审计的项目,还是挖掘最具价值的行业见解和安全最佳实践,Skynet for Community均实现了流程简化并将这些数据全部整合于一个平台供用户浏览。凭借全新设计的界面和强大的功能,Skynet for Community是做出明智决策以及在Web3.0生态系统中促进信任和透明度的终极工具。

Skynet for Community的主页默认为“探索新项目”。从这个页面开始,你可以随时随地轻松检索你感兴趣的项目以及搜寻那些全新的项目。

Web3.0 安全榜根据项目的安全分数和市场表现列出项目并对其进行排名。安全分数是通过一种专有算法产生的分数,该算法的计算和考量包含了项目的代码安全、基本健康、运营弹性、社区信任、市场稳定性和治理强度。安全评分排行榜能够让用户根据项目的安全状况迅速确定表现最佳的项目,并将其与同类项目进行对比。

Web3.0 KYC团队榜则根据项目所获取的CertiK KYC徽章状态进行公示和排名。已通过严格背景调查的项目团队将获得CertiK KYC徽章,CertiK将根据项目团队提供的可验证信息和信息等级授予其KYC黄金徽章、KYC白银徽章或KYC青铜徽章。KYC徽章会表明我们知晓项目背后的团队并已经做过了符合CertiK KYC 标准的调查和验证,也代表项目团队对履行合规措施的承诺。

Web3.0 KOL榜根据各个KOL的影响力得分进行了排名,这一排名体现了他们作为KOL输出的内容影响力和影响范围。此排行榜对那些有兴趣识别正在塑造Web3.0业内风向标KOL的用户很有帮助。此外,它还提供了与KOL具备相关可能性的社区及项目概览,让用户更加了解该领域的热门及趋势。

交易所审计分析允许用户通过显示其链上资产持有量对中心化交易所进行尽职调查。这是储量证明验证的第一步,也是最为关键的一步。

天网项目预警系统可对Web3.0货币领域的Rug Pull攻击和漏洞事件提供第一时间的预警。该系统将实时监控各类信息来源,以识别和报告潜在的Rug Pull攻击和漏洞恶意利用。用户也可以通过“探索新项目”页面上的“Web3.0 热门智能资金榜”访问钱包分析器,或者点击项目详情页面中代币链上监控和治理与自治模块中的任何钱包地址进行查看。

智能资金向导是智能货币钱包分析器功能的接入点,可以让用户直接搜索钱包地址并查看钱包搜索趋势、智能资金榜及流动性交易对榜。钱包分析器提供了对钱包地址的分析,并通过显示关键钱包特征、钱包之间的关系和代币交易活动的可视化图片,使用户更容易解读钱包之间的链上交易。

现在就来登录Skynet for Community平台,阅读Skynet education hub和观看masterclass的教学并做一个高水平的尽职调查吧!

在致力于保护Web 3.0的道路上,CertiK开发了许多帮助项目采取端到端安全解决方案的工具。

CertiK安全排行榜让Web 3.0用户能够利用CertiK的审计和安全团队的专业知识,对投资项目的安全风险有更深入的了解并做出更明智的决策,这些用户将整个生态系统推向了新的高度。

目前CertiK安全排行榜已全面升级为安全排行榜360,为数以千计的榜上项目提供完整而即时的安全状况“全景图”。由于整个系统进行了全面的更新,用户访问和分析这些安全数据将前所未有地便捷。此外,我们还利用量化工具为个人投资者提供合理的决策建议。欢迎访问certik.com了解详情。

Skynet天网动态扫描系统可结合链上交易监测与链下数据(如社会舆情),对数百个Web 3.0平台进行实时、全面的安全监测和分析。Skynet天网动态扫描系统高级版Skynet Premium由CertiK于2021年正式推出,其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着,随着威胁情报库和智能合约漏洞库的不断积累,这一平台也会变得愈发先进,从而适应变化无常的智能合约风险环境。目前Skynet天网动态扫描系统已全面升级,添加了更多维度的Skynet天网信任评分及专属于项目的项目亮点和预警等全新功能。

SkyTrace则是一种智能、直观的追踪工具,可帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。

CertiK KYC项目背景调查服务可为项目团队提供身份验证,包括使用基于AI的检测系统进行ID真实性检查,以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外,CertiK还将与每个项目团队成员进行实时视频沟通,以验证他们的身份和其他必要参数。由于团队的匿名性越来越高,项目的风险行为也越来越具有可能。除此之外,CertiK安全排行榜赋予通过KYC调查的项目团队以青铜、白银、黄金等级的KYC徽章,最大程度上使项目团队去匿名化,建立更完善的问责制,从而增强项目的可信度。

CertiK渗透测试是确保运行环境中Web3.0应用程序安全综合解决方案的重要组成部分。我们的渗透测试服务由经验丰富的道德黑客团队通过利用专有工具来发现代码中即便是最为微小的易受攻击之处。

CertiK于近期推出的漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客,收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK的安全专家团队将负责筛查和鉴定所有提交材料,并协助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担,白帽黑客可因此获取全额赏金。

SkyHarbor提供了一个多合一的解决方案来保护和监控数字资产。凭借其先进的监控和威胁检测系统,SkyHarbor可以快速识别系统中的任何漏洞或可疑活动,确保你的资产始终是安全的。

CertiK的审计及端到端解决方案已覆盖目前市面上大部分生态系统,并支持几乎所有主流编程语言,就区块链平台、Web 3.0资产交易平台、智能合约的安全性等领域为各个生态链提供安全技术支持。目前与我们合作的生态系统包括:

通过与CertiK咨询进行合作,在我们经验丰富的分析师团队提供包括技术评估、专有研究和战略建议全面服务的同时,尽可能获得Web 3.0最大收益。

CertiK致力于守护Web3.0世界,将以安全数据为重心,持续分析Web 3.0的安全未来及发展。助力用户远离“土狗”以及人为踏空,以科技赋予科技价值和载舟之路。

该报告PDF版本已收录并生成链接,欢迎下载查阅。

下载方式??

复制链接至浏览器:https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn

即刻下载!

CertiK中文社区

企业专栏

阅读更多

金色财经 善欧巴

Chainlink预言机

金色早8点

白话区块链

Odaily星球日报

Arcane Labs

深潮TechFlow

欧科云链

BTCStudy

MarsBit

标签:NFTWEB3.0TIKSTAxNFT价格web3.0币狗狗币TIKKY币华夏基金STA币节点

火必交易所热门资讯
USD:金色Web3.0日报 | Twitter现已被并入名为X Corp.的新实体_nbs币官网

DeFi数据 1、DeFi代币总市值:520.56亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量26.

NFT:金色Web3.0日报 | 亚马逊旗下NFT平台启动日期已推迟至5月15日_Bitcoinus

DeFi数据 1、DeFi代币总市值:485.97亿美元 DeFi总市值及前十代币 数据来源:coingecko2、过去24小时去中心化交易所的交易量23.

NFT:对话香港投资推广署科技主管:香港为何具备成为Web3枢纽的优势?_CER

采访 | Presley,PANews撰文 | Nancy,PANewsWeb3行业已然迎来“香港时刻”.

人工智能:首份监管文件来了 AIGC管理办法征求意见剑指何方?释放哪些信号?_Planet Sandbox

新兴产业的立法速度正不断加快,在多国政府注意到ChatGPT风险时,生成式人工智能(AIGC)产业也在国内迎来首份监管文件.

certik:我们从《Web3新经济和代币化白皮书》到底看到了什么?_aia币区块链

Hong Kong Web3 Festival在上周举办的全球币圈盛会——香港Web3嘉年华上,其中的“代币化未来”主题论坛中,万向区块链首席经济学家邹传伟发表了Web3新经济和代币化主旨演讲.

WEB:黄立成宣布退出 NFT 领域 “大割”就此出局?_BAYC Vault (NFTX)

编辑:liurui@Web3CN.Pro说到黄立成 AKA 麻吉大哥许多人并不陌生,尤其在嘻哈音乐领域以及区块链领域,作为知名蓝筹项目无聊猿(BAYC)的大户,黄立成可谓是 NFT 行业大佬.