盘点 | 2022 年 10 月 Web3.0 领域发生超 40 起重大黑客攻击事件,平均损失接近千万美元
2022-11-10 11:45
2022 年至今,Web3.0 领域因欺诈骗局与漏洞所导致的安全事件已造成约28 亿美元的损失,今年共有508 起攻击事件记录在案。9 月记录的攻击事件为 28 起,10 月则共记录了40 起大型攻击事件,平均损失为724.5 万美元,攻击事件数量与上月相比有明显上升,增幅达 42.8%。虽然 10 月大型攻击事件有所增加,但退出骗局略见下降,共有 25 起事件记录,损失总额约为628 万美元,而在 9 月发生了 26 起退出骗局,共计损失 706 万美元。继 4 月之后,10 月的闪电贷攻击共发生 16 起,位列本年度闪电贷攻击事件数量第二。虽然攻击数量明显增加,但其所造成的损失金额与其他月份相比有所下降,为156 万美元。在过去两个月中,Discord 及相关骗局数量明显减少,10 月共记录了 35 起事件,而 8 月和 9 月分别有 97 起和 57 起。在 10 月记录的 68 起漏洞事件中,25 起已确认是退出骗局,16 起为闪电贷攻击,27 起被归于其他类别。10 月发生的大型攻击事件共造成约2.9 亿美元损失,比 9 月增长了 61%,也成为了今年第 6 个因大型攻击事件而损失超 2.5 亿美元的月份。与前月损失的 2.5 亿美元一样,10 月份的大部分损失来源于损失最大的两起攻击事件。10 月最大的攻击事件是Mango Markets 攻击事件。黑客强行操纵了 Mango 项目价格,并以约合 1.16 亿美元的价格将其出售。随后黑客利用刚刚获得的 MNGO 提交了一份提案,以此保留了价值约 4000 万美元的资产。与其说这是一起智能合约漏洞事件,不如说是一起金融骗局。10 月发生的25 起已确认退出骗局共计造成约628 万美元损失,攻击数量与 9 月持平,但损失金额比 9 月下降了 10.7%。本年度有6 个月的退出骗局损失在 600 万美元至 800 万美元之间,因此可以看出 10 月628 万美元的损失金额接近本年度平均值。其中最大的一起退出骗局是JumpN事件。JumpN 项目跑路卷走了总价值约 310 万美元资产,其先后在 10 月 8 日和 11 日分别转走了 110 万美元和 200 万美元。CertiK 曾在今年 5 月发布一条预警推文,提醒用户注意 JumpN 可能是蜜罐陷阱,当时已有很多社区报告称其项目资产已很难售出。与前几个月相似,本月也发现了多起未被计入月度统计的洗钱事件,这些日常事件全都具有潜在的洗钱成分。10 月事故频发,闪电贷攻击也不例外,其数量达到了本年度最高的16 起,其次是 4 月的 12 起。然而,10 月因闪电贷攻击而造成的损失总金额较低,为 156 万美元,与 9 月相比减少了35.5%。所以这也是个总体状况良好的月份,但闪电贷攻击数量的明显增长仍然令人担忧。10 月份与今年其他月份之间的差异在于其是今年迄今为止唯一一个所有攻击事件的平均损失金额低于 10 万美元的月份,为9.8 万美元。从整年度所发生的闪电贷攻击状况来看,2021 年共记录约 48 起闪电贷攻击事件,如今 2022 年还剩下两个月,却已经记录了 82 起事件。最主要的闪电贷攻击发生在EFLever Vault。2022 年 10 月 14 日,黑客向 EFLever Vault 合约中存入了 0.1 枚 ETH,随后从 Balancer Vault借入一笔闪电贷至 EFLever。接着黑客试图提取这笔微小存款并清空了 EFLever 的全部余额,包括 560 枚 ETH 闪电贷。最终损失约为 268 枚 ETH,当时价值约 34.8 万美元。闪电贷攻击仍然是 2022 年总攻击损失的最大元凶,将可能导致 1.82 亿美元以上的损失,Beanstalk Farms 所遭受的闪电贷攻击有目共睹,因此必须对此保持警惕。从现有趋势来看,损失金额正在减少,但攻击数量明显增加了。根据目前数据,2022 年由于闪电贷攻击造成的损失总额预计为4.1 亿美元。自上次 9 月份的预测以来下降了 4.3 万美元(约 9.5%),这也显示出了闪存贷攻击的获利速度正在持续减缓。10 月的 Discord 服务器遭攻击的事件记录继续呈下降趋势。9 月记录在案的 Discord 攻击事件为 57 个,与 8 月的 97 个相比已有显著下降,如今在 10 月只有35 个。这一现象的部分原因是在 10 月 12 日,五名法国诈骗犯成功被捕。其中名为“Mathys”和“Camille”的两名骗子涉嫌参与了价值数百万美元的非同质化 Token盗窃案,其中包括大量 Bored Ape非同质化 Token。另外值得注意的是,在钓鱼骗局中,非同质化 Token 批准转账的方法发生了轻微改变。在 Metamask 更新之前,对于批准交易的授权非常明确,钓鱼网站会直接要求用户批准一项交易,从而允许骗子转移资产。在这些交易中,骗子的钱包会被清楚显示出来。但在过去两个月内发生了转变,因为 Metamask 不提供任何关于用户签名的详细信息,所以如今钓鱼网站转而要求用户批准签名。这一变化使得骗子的钱包地址得到保密,用户也更难识别钓鱼钱包了。虽然 Discord 攻击事件总体有所下降,但很多规模较大的钓鱼骗局仍时有出现。10 月 25 日,一个名为“Monkey Drainer”的诈骗者通过在 Twitter 发布的钓鱼链接,成功从受害者身上骗取了 700 多枚 ETH。总体而言,10 月是今年大型攻击事件发生率中排名第五高的月份,损失总额约为2.9 亿,占 2022 年总损失的 10.2%。作为区块链安全领域的领军者,CertiK 致力于提高 Web3.0 的安全和透明等级。现今 CertiK 承诺:预计耗时 20 日内可完成的安全审计,可于10 日内开启审计服务。欢迎点击 CertiK 公众号底部对话框,留言免费获取咨询及报价!
相关Wiki
【免责声明】市场有风险,投资需谨慎。本文不构成投资建议,用户应考虑本文中的任何意见、观点或结论是否符合其特定状况。据此投资,责任自负。
