SharkTeam：2023年第二季度Web3安全報告

2023-06-21 16:06:15

根據SharkTeam鏈上安全分析平臺ChainAegis數據，2023年第二季度Web3領域共發生了超過228起安全事件，損失金額累計超過3.07億美元。在新的季度中，Web3安全事件依舊呈現高發態勢，較上一季度（211起）上漲約8.05%，但損失資金較上一季度（3.83億美元）下降了19.79%。

在本季度中，合約漏洞類安全事件明顯上漲，同比上漲64%，環比上漲105%。SharkTeam在此提醒項目方要重視對合約的審計，以免造成不必要的損失。

Rug Pull事件和其他類安全事件與上一季度數量上變化不大。安全事件類型呈現多樣性，黑客攻擊手段依舊花哨，攻擊方法層出不窮，望廣大用戶在面對投資項目時萬不能掉以輕心。

在第二季度中，合約漏洞事件發生比例較上一季度明顯上漲。

一、合約漏洞

2023年第二季度因合約漏洞造成的安全事件共41起，累計造成超過7,419.69萬美元的資金損失。

6月11日，Floating Point Group (FPG)遭到攻擊，損失超過2000萬美元，是本季度因合約漏洞損失最嚴重的一起安全事件。

4月13日，Yearn Finance遭黑客攻擊，損失金額約為1160萬美元，為本季度由合約漏洞引起的損失排名第二的事件。此次攻擊的原因在於攻擊者利用yUSDT合約被錯誤設置了fulcrum地址，從而操控yUSDT合約中的穩定幣儲備余額，通過在yUSDT中存入USDT，以獲得大量的非預期的yUSDT代幣進行獲利。本季度其他因合約漏洞造成的安全事件損失具體如下：

2023年第二季度合約安全漏洞包括：權限漏洞、邏輯漏洞、重入攻擊、價格操控及其他。由邏輯漏洞造成的安全事件佔比依舊最高，達54%，較上一季度漲幅達175%。2023年5月6日，DEUS的穩定幣DEI合約存在burn邏輯漏洞，攻擊者已獲利約630萬美元。邏輯漏洞在合約安全審計階段是可以被發現的，項目方應該選擇更專業的第三方專業審計機構進行審計，減少因合約漏洞造成的損失。

權限漏洞指合約在檢查授權時存在紕漏，使得攻擊者在獲得低權限用戶账戶後，利用一些方式繞過權限檢查，竊取更高的操作權限。2023年第二季度因權限漏洞造成損失的安全事件佔比7%。6月15日，Hashflow遭遇與授權有關的攻擊，損失金額約為41萬美元。

閃電貸攻擊事件仍舊時有發生，造成較大影響的攻擊手法主要有閃電貸+治理攻擊、閃電貸+價格操縱攻擊、閃電貸+重入攻擊等。在本季度中價格操控類與重入攻擊類合約漏洞事件佔比均為10%。6月12日，DeFi借貸協議Sturdy遭黑客攻擊，損失約$770,000，黑客使用了閃電貸+價格操縱的攻擊手段。5月20日，Tornado.Cash遭受閃電貸+治理攻擊，攻擊者獲利約68萬美元。

二、 Rug pull

2023年第二季度Rug pull事件共有31起，累計造成超過1,518.83萬美元的資金損失。建構在Arbitrum生態上的項目XIRTAM，是一個無需KYC的聲譽建立平臺，主張透過XIRTAM系統以匿名和去中心化方式一步步建立數字聲譽，同時用戶參與XIRTAM上的活動可獲得獎勵。該項目方在5月3號Rug Pull，部署者竊取了約1,909ETH的用戶資金，是本季度損失最嚴重的一起Rug pull事件。此外，本季度Swaprum、Merlin及$KOKO損失金額均超過150萬美元。

項目方詐騙主要集中於ETH鏈，部分發生在BSC鏈上，少數事件發生在Arbitrum和其他平臺上。

三、其他風險

2023年第二季度其他類型的安全事件共發生了156起，其中服務器遭攻擊發生78起，佔比最大達50%，較上一季度增長了12%。其次為釣魚攻擊，累積發生50起，佔比32%，較上一季度減少了16%。其他事件較上月略有增長，如熱錢包被盜、NFT被盜、版稅漏洞、交易應用程序被破壞等等。黑客詐騙手段不斷更新，涉及領域愈發廣泛，在進行項目投資時，仍要小心提防，避免因小失大。

4月14日，數字資產交易平臺Bitrue發推稱在一個熱錢包中發現漏洞，攻擊者已盜取價值約2300萬美元的ETH、MATIC等。

4月20日，@aidogenft是僞造官方ArbDoge AI的虛假账戶，正在發布釣魚鏈接hxxps://aidoge.me/。

5月20日，美國司法部公告稱，一名內華達州男子因涉嫌參與CoinDeal而受到指控，CoinDeal是一項投資欺詐計劃，騙取了10,000多名受害者超過4500萬美元。

5月31日，LSD協議unshETH合約的其中一個部署私鑰被泄露。出於謹慎起見，官方緊急暫停了unshETHETH的提款。

6月14日，Atomic Wallet用戶在黑客攻擊中已遭受超過1億美元的損失。這是自一年前Horizon Bridge遭受1億美元攻擊以來的首次重大加密貨幣盜竊事件。

6月12日，瑞士政府表示，聯邦行政機構遭受DDOS攻擊。一些網站和應用程序不可用。

6月16日，@ShellProtocol Discord服務器遭攻擊。

不斷變化和豐富的攻擊手段反映出黑客、詐騙分子的欺詐和入侵手段正在不斷演進。因此，用戶對風險更要時刻保持敬畏，杜絕貪婪和僥幸心理，時刻保持警惕，避免資產損失。

About Us

SharkTeam的愿景是全面保護Web3世界的安全。團隊由來自世界各地的經驗豐富的安全專業人士和高級研究人員組成，精通區塊鏈和智能合約的底層理論，提供包括智能合約審計、鏈上分析、應急響應等服務。已與區塊鏈生態系統各個領域的關鍵參與者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立長期合作關系。

官網：https://www.sharkteam.org

Twitter：https://twitter.com/sharkteamorg

Discord：https://discord.gg/jGH9xXCjDZ

Telegram：https://t.me/sharkteamorg