QUO:细数历史上Web3十大局或攻击_STA

作者：W3C DAO

Web3是一个去中心化的网络，它利用区块链、加密货币、NFT和DeFi等技术，为用户提供更多的自由、隐私和创新。然而，Web3也不是完美的，它也存在着许多的安全风险和局，让不少用户遭受了损失和伤害。

01 Poly Network黑客攻击

2022年8月10日，跨链协议Poly Network遭到了史上最大规模的黑客攻击，导致超过6亿美元的资金被盗。黑客利用了Poly Network在不同区块链之间转移资产时的漏洞，从以太坊、波场和币安智能链上分别转走了2.7亿、2.5亿和8500万美元的代币。

这起事件引起了整个Web3社区的震惊和关注，许多项目方和交易所纷纷表示愿意协助追回被盗资金。令人意外的是，黑客在攻击后不久就开始与Poly Network进行沟通，并表示愿意归还部分资金。截至2022年8月23日，黑客已经归还了超过3.4亿美元的资金，并表示剩余的资金将由一个多签名钱包管理。

为了避免这种局，用户应该谨慎选择跨链协议，并检查其是否有经过专业的审计和测试。用户也应该注意跨链协议的安全性和可靠性，是否有足够的保险或赔偿机制。此外，用户应该控制自己的跨链转账额度，不要将过多的资金放在一个协议上。

02 Squid Game代币拉盘跑路

Bitso被宣布成为萨尔瓦多 Chivo 钱包的核心合作伙伴:金色财经报道，墨西哥加密货币交易所Bitso被宣布为萨尔瓦多国家发行的 BTC 钱包的核心合作伙伴。随着比特币成为萨尔瓦多的法定货币，Bitso 于 9 月 7 日宣布，该公司将协助萨尔瓦多与 Silvergate 银行、数字货币公司 Athena Bitcoin 和区块链公司 Algorand 等公司一起推出国家支持的 BTC 钱包。加利福尼亚州特许商业银行和美国联邦储备委员会成员 Silvergate 银行将与 Bitso 合作，促进 Chivo 钱包的美元交易。

Athena Bitcoin 将提供一些前端服务和 Chivo 的 ATM 相关操作，而 Algorand 将充当官方区块链提供商。今天推出的国家发行的 Chivo 钱包旨在使个人和企业能够从世界任何地方以比特币或美元付款。该钱包可在 Android 和 iOS 上使用，允许用户自动将比特币交易转换为美元或保留其持有的比特币，然后在全国安装的 200 台比特币自动取款机中提取现金。[2021/9/7 23:07:30]

2022年10月25日，一款以Netflix热播剧《Squid Game》为主题的Web3游戏项目发布了自己的代币Squid。该项目声称将通过智能合约模拟剧中的六个游戏，并让玩家用Squid代币参与竞争。该项目迅速吸引了大量关注和投资，Squid代币在短短几天内涨幅超过8万倍，市值一度达到28亿美元。

Bitget合约大数据中心：BTC合约亏损用户居多 BTC宽幅震荡:据Bitget合约大数据中心行情播报，截至今日11:00，Bitget交易所BTC/USDT合约过去24小时交易量高达10亿余美金，其中：盈利用户占比38%，多头盈利37%，空头盈利23%；亏损用户占62%，多头亏损22%，空头亏损18%。此外，Bitget正向合约当前盘口价差在0.5USDT左右，合约基差在0.2USDT左右。[2020/11/11 12:17:01]

然而，在2022年11月1日，该项目突然暴跌99%，市值缩水至300万美元。原来，该项目是一个典型的拉盘跑路局，项目方在吸引了大量投资者后，将项目中的资金全部提走，并关闭了网站和社交媒体账号。更糟糕的是，由于Squid代币设置了一个只能买不能卖的机制，投资者无法及时退出或兑换其他代币。

为了避免这种局，用户应该对项目进行充分的调查和分析，比如查看项目的代码是否经过审计、团队成员是否公开身份、代币分配是否合理、社区反馈是否积极等。用户也应该注意项目是否有过度炒作、价格波动异常、锁仓机制不清晰等风险信号。

03 Beeple NFT钓鱼局

2022年3月11日，知名数字艺术家Beeple在佳士得拍卖会上以6930万美元的价格，创造了NFT（非同质化代币）的最高成交纪录。这一事件引发了全球对NFT的热潮，也让Beeple成为了一个备受关注的名字。然而，就在这时，一些子利用了Beeple的名气，发起了一场针对NFT爱好者的钓鱼局。

分析 | 市场情绪继续看多 但谨防穿仓风险:Bgain投研：自北京时间25日18点-26日18时，BTC价格上涨22.9%，结合量化交易的BTC本位增强指数均大幅上涨，其中Bgain交易指数上涨23.6%，CTA指数上涨23.9%，对冲交易指数上涨22.7%。截至18点，主流交易所BTC季度合约升水1.5%，OKEX精英用户多空占比为52%/46%；火币精英用户多空占比45%/53%，Bitfinex多/空保证金占比为84%:16%，市场情绪继续看多。当前主流交易所合约风险准备金已降至低位，经过一日大涨市场或积累规模的高杠杆仓位，交易需谨防短期波动造成的穿仓风险。[2019/10/26]

子通过伪造Beeple的推特账号，宣布将免费赠送一些NFT作品给粉丝，只要他们点击一个链接，并输入自己的MetaMask钱包密码。不幸的是，有不少人上当受，导致他们的钱包被盗取了所有的资金和代币。

为了避免这种局，用户应该保护好自己的私钥、助记词、密码等，不要向任何人透露或输入。用户也应该仔细检查网站、邮件、消息或电话的真实性，比如是否有拼写错误、是否有安全证书、是否与官方信息一致等。

04 Bitconnect庞氏局

Bitconnect是一个于2016年推出的Web3平台，它声称可以让用户通过借贷和交易其代币BCC来获得高达40%的月收益。

行情 | 救赎说币：比特看涨居多 第一压力位6600美金:据救赎分析，比特看涨居多，第一压力位6600美金，第二压力位6820美金。比特目前的价格来说,是属于强压力位的一个位置，如图历史的123低点以前属于支撑，现在就属于压力位了。然后是4这个交易密集区，也是属于压力位。所以现在的比特价格就属于重重的压力位。但是我们看5这里的成交量发现，是属于缩量的一个走势。证明前面说的压力位根本就没有多大的卖盘。卖盘不大，上涨就容易了。我们再看看macd走势，macd马上要上0轴，但是还没有上去，所以比特看涨居多，买入点就是macd柱子再次变成空心的时候。前面的第一压力位是6600美金，第二压力位是前高6820美金。[2018/7/16]

该平台还设立了一个多层次的推荐计划，来奖励那些推荐新用户加入的人。由于Bitconnect承诺了过于美好的回报，它很快吸引了数以万计的投资者，BCC代币在2017年年底达到了4.3亿美元的市值。

然而，在2018年1月16日，Bitconnect突然宣布关闭其借贷和交易平台，并停止发行BCC代币。原来，Bitconnect是一个典型的庞氏局，它利用新投资者的资金来支付旧投资者的收益，并没有真正的商业模式或价值创造。当新投资者不足以支撑旧投资者时，局就崩溃了，导致大部分人损失惨重。

为了避免这种局，用户应该警惕那些过于美好的承诺，比如无风险、保本保息、每日分红等。用户也应该了解项目的收益来源，是否有真实的商业模式或价值创造。用户还应该检查项目的合法性，是否有合规的许可证或监管机构的认可。

比特币闪电网络节点数量最多 达到7万美元容量:据4月1日Fresh statistics显示，比特币主网闪电网络现在的容量为10.476 BTC（7万美元）。这归功于一个新的窗口小部件工具LightningTip，任何人都可以使用它来接受网站上的闪电付款。它的首个测试版已发布。截至目前，有超过1500个节点，其中1126个是公开的，这已经超过了其他数字货币的节点数。[2018/4/2]

05 重入攻击

2016年6月17日，著名的DAO被攻击事件发生。以太坊上的一个去中心化自治组织The DAO被黑客攻击，市值五千万美元的以太币被转移。当日，以太坊价格从19.42美元跌至11.32美元，跌幅41%。黑客利用了The DAO智能合约中一个名为splitDAO的函数的漏洞，该函数允许用户退出The DAO并获得相应的以太坊代币。黑客在退出The DAO的同时，多次调用了splitDAO函数，从而在合约更新自己的余额之前，多次提取了以太坊代币。

而后，以太坊社区发起了一项是否支持硬分叉的投票，近 97% 的 ETH 持有者投出了赞成票，只有少数人不同意分叉，最终硬分叉方案一致通过，硬分叉的结果就是--以太经典ETC。

重入攻击是指一种利用智能合约在执行过程中可以被多次调用的特性，来重复执行某些操作，从而窃取或操纵资金的方式。重入攻击通常发生在智能合约在转移资金之前没有更新自己的状态或余额，导致黑客可以利用同一个交易来多次请求转账。

06 闪电贷攻击

2022年2月，有一个叫做PancakeBunny的DeFi平台遭到了一次闪电贷攻击，导致其代币BUNNY的价格暴跌了95%。黑客利用了PancakeBunny的流动性挖矿池的设计缺陷，通过闪电贷借入大量的BNB代币，并用它们来换取BUNNY代币。然后，黑客又将BUNNY代币兑换成BNB代币，并还清了闪电贷。这样一来，黑客就获得了大量的BNB代币，而PancakeBunny的流动性池和市场则被严重扰乱。

闪电贷是指一种利用智能合约在一个区块内完成借贷和还款的操作，不需要任何抵押或信用的方式。闪电贷可以为用户提供一些有趣和创新的金融策略，比如套利、杠杆、流动性挖矿等。然而，闪电贷也可以被用来发动攻击，利用一些去中心化金融（DeFi）平台的漏洞或缺陷，来窃取或操纵资金。

07 BadgerDAO黑客攻击

这是一起发生在2022年12月2日的去中心化金融（DeFi）项目BadgerDAO遭到黑客攻击的事件，导致超过1.19亿美元的资金被盗。

黑客利用了BadgerDAO的网站和DNS服务器的漏洞，将其劫持并重定向到一个伪造的网站。在这个网站上，黑客诱用户连接自己的MetaMask钱包，并授权一个恶意的智能合约来转移用户的资金。这是一种比较传统的网络钓鱼攻击，但却对BadgerDAO造成了巨大的损失。

08 Meerkat Finance跑路

2022年3月4日，基于币安智能链（BSC）的DeFi项目Meerkat Finance发起的跑路局，导致大约3100万美元的用户资金被盗。

Meerkat Finance是一个提供流动性挖矿和收益优化服务的项目，它声称可以让用户通过存入或借出代币来获得高额收益。然而，在项目上线不到一天后，Meerkat Finance就宣布遭到了黑客攻击，并将其网站和社交媒体账号全部删除。

事实上，这是一个精心策划的局，Meerkat Finance的开发者利用自己对合约代码的控制权，修改了合约中存储私钥的变量，并将用户存入的代币转移走。这是BSC上最大规模的局之一，也引发了对BSC安全性和可靠性的质疑。

09 RugZombie局

2022年10月31日，基于BSC的NFT项目RugZombie发起的跑路局，导致大约1000万美元的用户资金被盗。

RugZombie是一个声称可以让用户通过购买和铸造NFT来复活被“拉毯”的代币项目的平台。然而，在项目方宣布将在10月31日发布一个新的NFT系列之前，他们突然将流动性池中的所有资金转走，并删除了所有的社交媒体账号和网站。这导致RugZombie代币的价格暴跌，许多投资者无法出售自己的代币，损失惨重。

10 稳定币攻击

2022年4月5日，去中心化借贷平台Liquity被攻击，导致大约1100万美元的用户资金被盗。

Liquity是一个基于以太坊的借贷平台，它声称可以让用户通过抵押ETH来借出其自有稳定币LUSD，并获得其治理代币LQTY作为奖励。

然而，在项目上线后不久，就有人发现了一个漏洞，可以让用户通过利用Liquity合约中的一个函数来创建无限量的LUSD，并将它们兑换成其他代币。

这导致了LUSD代币的价格暴跌，以及Liquity合约中存储的ETH被大量转移走。项目方声称是由于合约代码中存在一个错误导致的漏洞，并承诺将尽快修复并赔偿受影响的用户。然而，有分析显示，项目方在漏洞发生前就已经将部分资金转移走了。

总结

Web3是一种新兴的技术和金融领域，它们有着巨大的潜力和创新，但也伴随着很多的风险和挑战。

在这篇文章中，分别介绍了十个Web3安全事件，这些事件涉及了不同的平台、项目、通证和合约，但都反映了一些共同的问题，比如代码质量、审计机制、用户教育、监管缺失等。通过分析这些事件的原因、过程和后果，给出了一些防范和应对的建议，比如谨慎选择项目、保护好私钥、检查网站真实性、警惕过度承诺等。这篇文章对于Web3的爱好者和投资者来说，是一份很有价值的参考资料，可以帮助他们提高自己的安全意识和能力。

W3C DAO

个人专栏

阅读更多

金色财经

金色荐读

区块链骑士

金色财经 善欧巴

Block unicorn

Foresight News

深潮TechFlow

标签：QUOENTSTAESSQuotientMOMENTOstarlink币销毁机制USELESS币

pepe最新价格热门资讯