TOR:成都鏈安 x Footprint聯合發布2022 Web3安全研報_HADO NFT

報告完整版：2022上半年Web3安全態勢深度研報

數據來源：FootprintAnalytics

FootprintAnalytics-上半年安全事件數量及損失金額

我們可以從以下這組數據看到上半年的Web3安全領域的整體概況：

上半年發生7起跨鏈橋攻擊事件，共損失11億3599萬美元；53%的攻擊方式為合約漏洞利用；約26.6%的攻擊方式為閃電貸；上半年共發生5起損失過億的安全事件；整個DeFi市場TVL從1月初的2760億美元跌到了6月末的800億美元，下跌71%；黑客通過TornadoCash共洗錢11億4070萬美元；約71%的攻擊發生在DeFi領域。

在第一季度和第二季度的安全報告中，我們已經從各個維度展示和分析了區塊鏈安全領域的總體態勢，包括總損失金額、被攻擊項目類型、各鏈平臺損失金額、攻擊手法、資金流向、項目審計情況等。

數據一

2022年上半年，共發生了7起跨鏈橋攻擊事件

2022年上半年，共發生了7起跨鏈橋攻擊事件，共計損失金額約11億3599萬美元，占了上半年總損失金額的59%。

FootprintAnalytics-上半年跨鏈橋損失金額

FootprintAnalytics-上半年跨鏈橋損失金額

數據二

53%的攻擊方式為合約漏洞利用

2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，約53%的攻擊方式為合約漏洞利用。

通過統計，2022上半年共監測到因合約漏洞造成的主要攻擊案例42次，總損失達到了6億4404萬美元。

在所有被利用的漏洞中，邏輯或函數設計不當被黑客利用次數最多，其次為驗證問題、重入漏洞。

FootprintAnalytics-各漏洞利用次數及造成的損失金額

單次損失金額最高的是簽名驗證漏洞。2022年2月3日，Solana跨鏈橋項目Wormhole遭到攻擊，累計損失約3.26億美元。黑客利用了Wormhole合約中的簽名驗證漏洞，這個漏洞允許黑客偽造sysvar帳戶來鑄造wETH。

單次金額損失第二的漏洞是重入漏洞。2022年4月30日，FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊，總共造成了8034萬美元的損失。

在審計過程中最常見出現的總體來說分為四大類：1.ERC721/ERC1155重入攻擊；2.邏輯漏洞；3.鑒權缺失；4.價格操控。

成都鏈安：BAYC項目具有被無限鑄幣的風險:據成都鏈安安全輿情監控數據顯示，BAYC項目具有被無限鑄幣的風險。成都鏈安安全團隊分析發現，合約的擁有者并非多簽錢包，合約擁有者可以任意調用reserveApes()函數進行鑄幣，每次調用函數可以直接鑄造30枚無聊猿NFT，如果合約所有者遭到釣魚攻擊或私鑰泄露等，可能會導致大量無聊猿NFT被鑄造并售賣。后面成都鏈安會持續監控該合約擁有者的動向。[2022/6/6 4:04:55]

根據成都鏈安鷹眼區塊鏈安全態勢感知平臺所感知的安全事件統計，審計過程中出現的漏洞幾乎都實際場景中被黑客利用過，其中合約邏輯漏洞利用仍然為主要部分。

數據三

2022年上半年，使用閃電貸進行攻擊的案例達到了21次

今年上半年使用閃電貸進行黑客攻擊的案例總計21次，占比26.6%，涉及金額高達3億3291萬美元。其中上半年影響較大的攻擊手法主要有閃電貸加治理攻擊，閃電貸加價格操縱攻擊，閃電貸加重入攻擊等。

FootprintAnalytics-上半年各月閃電貸攻擊次數及損失金額

FootprintAnalytics-各鏈平臺閃電貸攻擊頻次及損失金額

1）2022年4月17日，算法穩定幣項目BeanstalkFarms遭到閃電貸加治理攻擊，黑客獲利7600萬美元，協議損失達1億8200萬美元。

2）2022年4月28日?，多鏈衍生品平臺DEUSFinance遭遇閃電貸加價格操縱攻擊，造成了約1570萬美元的損失。

3）2022年4月30日，FeiProtocol官方的RariFusePool遭受閃電貸加重入攻擊，黑客獲利28380ETH，價值約8000萬美元。

閃電貸攻擊頻出不窮，那么項目方應該如何防范或者減緩閃電貸攻擊呢？我們這里提出幾條可能的建議：

要求關鍵交易跨越兩個區塊

如果一個資本密集型交易需要跨越至少兩個區塊，用戶需要至少在兩個區塊時間段取出貸款，那么閃電貸攻擊將會失效。但是要達到這一效果，兩個區塊之間用戶價值必須鎖定，以防止其償還貸款。

時間加權平均定價

在價格操縱案例中，建議使用時間加權平均價格來跨多個區塊計算流動性池中的價格。因為整個攻擊交易序列需要在同一個區塊內處理，但如果不操縱整個區塊鏈就無法操縱TWAP，從而可以避免閃電貸導致的瞬時價格異常。

更高頻率的價格更新機制

同樣在價格操作案例中，可以適當增加流動性池向預言機查詢并更新價格的頻率，隨著更新次數的增加，池中代幣的價格會更新得更快，并使價格操縱無效。

成都鏈安：fomo-dao項目遭受攻擊，攻擊者獲利11萬美元，目前已轉至Tornado.cash:金色財經消息，據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示，fomo-dao項目遭受攻擊。攻擊者地址:

0xbb8bd674e4b2ea3ab7f068803f68f6c911b78c0a

攻擊交易bsc：0xbbccd687a00bef0c305b8ebb1db4c40460894f75cdaebd306a2f62e0c86b7ba5

攻擊合約:0xe62b2dfc54972354fac2511d8103c23883c746c4

目前攻擊者獲利11萬美元，已經轉至Tornado.cash[2022/6/4 4:01:44]

更嚴格的治理邏輯

在涉及到項目治理時，應該多方面考慮治理邏輯的嚴謹性，避免出現BeanstalkFarms那樣的邏輯漏洞，一旦有個微小的漏洞，就有可能通過閃電貸無限放大，最后造成巨大的損失。

業務邏輯設計和實現時確保安全可靠

項目方在進行業務邏輯的設計和開發人員進行開發實現時，應充分考慮業務邏輯的完整性和安全性，注意極端情況。必要時，應找專業的審計機構進行審計和研究，防范各種可能的風險。

數據四

上半年共發生5起損失過億的安全事件

2022年上半年，共發生了5起損失過億的安全事件，分別為：

RoninNetwork:6.25億美元

Wormhole：3.26億美元

BeanstalkFarms:1.82億美元

Elrond:1.13億美元

Harmony:1億美元

這5起黑客攻擊事件造成的總損失就達到了13.46億美元，占2022年上半年總損失金額的70%。

在Q2的季報里，我們看到了一些項目在被攻擊后TVL直接歸零，后續也沒有再重啟。那么這些損失過億的項目被攻擊后都如何了呢？

Ronin:損失6.25億美元，資產已轉入TornadoCash

3月29日，AxieInfinity的以太坊側鏈RoninNetwork遭到黑客攻擊，損失約6.25億美元。Ronin側鏈由9個驗證器節點組成，要確認存款或取款，需要五個驗證者簽名。攻擊者設法控制了SkyMavis的四個Ronin驗證器和一個由AxieDAO運行的第三方驗證器。

攻擊發生之后，Ronin攻擊者將部分盜取資金轉入Huobi、FTX、Binance、Crypto.com等交易所，但各大交易所均發文表示將全力協助追回被盜資金。

仙人掌CTS智能合約已通過Beosin(成都鏈安）安全審計:據官方消息，Beosin（成都鏈安）近日已完成仙人掌CTS智能合約項目的安全審計服務。

?仙人掌CTS是基于波場底層打造的一個去中心化開放金融底層基礎設施。結合跨鏈，同時包含去中心化穩定數字貨幣，去中心化預言機，去中心化保險，流動性挖礦，智能挖礦等等功能的創新和聚合，進而打造全面的去中心化金融平臺。仙人掌CTS代幣無ICO、零預挖且零私募，社區高度自治。仙人掌CTS將會在9月28日晚20點上線Justswap,并開啟流動性挖礦。

合約地址：TST5pvck2DSYXJk3hkuGH3t1AisCAT4t1s

審計報告編號：202009262149[2020/9/28]

隨后，攻擊者對被盜資產分散到了多個地址，并分批次通過TornadoCash進行清洗。5月20日，Ronin攻擊者將最后一筆盜取資金轉入TornadoCash，所有資產清洗完成。此時的ETH單價已從3,330美元下降到了約2,000美元，黑客實際獲利比攻擊時少了1.6億美元。

使用鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行分析，可以看到最終所有被盜資金都流向了TornadoCash。

Harmony：4.2萬枚ETH轉入TornadoCash

6月24日，Harmony跨鏈橋HorizonBridge遭到攻擊，損失金額逾1億美元。

6月26日，Harmony創始人表示，Horizon被攻擊并非因為智能合約漏洞，而是由私鑰泄露導致。資金從跨鏈橋的以太坊一側被盜。雖然Harmony對私鑰進行了加密存儲，但攻擊者還是解密了其中部分私鑰并簽名了一些未經授權的交易。

Harmony表示已經開始聯合執法部門和所有交易平臺對黑客進行全球追查。與此同時，Harmony也將黑客盜幣返還讓利的金額從最初的100萬美元提升至1000萬美元。然而黑客還是通過TornadoCash對贓款進行了洗錢。

截止到6月30日，通過鏈必追-虛擬貨幣案件智能研判平臺對被盜資金進行分析，可以看到黑客已將約4.2萬枚ETH轉移至TornadoCash。

數據五

整個DeFiTVL從1月初的2798億美元跌到了6月末的824億美元，下跌70.5%

整個DeFiTVL從1月初的2798億美元跌到了6月末的824億美元，半年下跌70.5%。其中，TVL在5月和6月累計跌幅就達到了63.2%，光是5月5日至5月13日幾天內就跌去了44.5%。

從攻擊活動損失金額和攻擊次數綜合來看，3月、4月為黑客活躍程度最高的月份，同樣3月、4月的TVL也處在半年的相對高點。5月TVL驟降，黑客攻擊頻次和盜取金額隨之大幅降低。6月TVL持續降低，黑客活躍度較5月有所增加，但相對于3、4月仍是低位。

分析 | 成都鏈安：錢包Safuwallet服務器是否存儲了用戶的私鑰是關鍵:針對“網頁加密貨幣錢包Safuwallet被黑與幣安服務器出現問題是否存在關聯”一事，成都鏈安在接受金色財經采訪時指出：“safuwallet是第三方extension插件錢包，用戶資產被盜，主要原因還是私鑰被盜，發生了這樣的問題，對于錢包服務器而言只要不存儲用戶的私鑰，只做相關交易數據的處理的話，兩者之間就沒有關系，如果服務器存儲了用戶的私鑰，那黑客就有可能通過攻擊服務器獲取到用戶的私鑰。推特消息稱是safuwallet被注入了惡意代碼，黑客可能先將惡意代碼注入到safuwallet中，然后引誘受害者安裝錢包，再獲取到受害者的私鑰后，進行相關代幣的轉移。事實上，對于非官方錢包，安全性確實不太好保障。對于此類錢包，私鑰被盜的時間時有發生。對于這個事件，后續的影響主要是用戶的損失、錢包和交易所的聲譽。”[2019/10/12]

1月TVL雖然處于半年來最高位，但黑客活躍程度卻相對較低。通過比對2021年1月的數據，我們發現2021年1月因黑客活動造成的損失約為25萬美元，也處于全年相對的低位。因此，2022年1月黑客活躍度較低的原因或是因為1月是歷來黑客活動的淡季。

拋開淡季的因素，黑客攻擊事件與市場行情走勢是有一定關聯性的。鏈上資金的增加會吸引更多黑客的目光。

FootprintAnalytics-上半年DeFi損失金額及TVL走勢

FootprintAnalytics-上半年DeFi被攻擊次數及TVL走勢

除了DeFi以外，NFT、GameFi等各大賽道上半年也出現了明顯的周期波動。其中GameFi的市值走勢與加密貨幣市值走勢大致趨同，均在五六月份出現了比較明顯的市值縮水。而NFT的交易量在2月達到了今年上半年以來的最高峰，隨后持續走低，直至上半年結束時都處于比較低迷的狀態。

FootprintAnalytics-以太坊NFT市場交易量走勢

FootprintAnalytics-上半年GameFi及BTC市值走勢

數據六

黑客通過TornadoCash共洗錢11億4070萬美元

2022年上半年，約有11億4070萬美元的被盜資金被黑客轉進了TornadoCash，約占總損失金額的60%。約有6億3536萬美元的被盜資金暫時還存放在黑客地址。

Flow-fp-26563?channel=Beosin">FootprintAnalytics-上半年被盜資金流向

聲音 | Beosin（成都鏈安）預警：某EOS競猜類游戲遭受攻擊 損失超1200枚EOS:根據成都鏈安區塊鏈安全態勢感知系統Beosin-Eagle Eye檢測發現，今日上午 8:53:15開始，黑客yunmen****對EOS競猜類游戲th****sgames發起攻擊。截止到現在，該黑客已經獲利超過1200枚EOS。Beosin建議游戲項目方應該加強項目運維工作，在收到安全公司的安全提醒之后第一時間排查項目安全性，才能及時止損，同時也呼吁項目開發者應該重視游戲邏輯嚴謹性及代碼安全性。Beosin提醒類似項目方全方面做好合約安全審計并加強風控策略，必要時可聯系第三方專業審計團隊，在上鏈前進行完善的代碼安全審計，防患于未然。[2019/4/3]

數據統計顯示，2022年上半年共有95000枚以太坊存入了TornadoCash。也就是說，存入TornadoCash里的資金至少有48.7%都來源于黑客。這還是在假設剩余所有人使用TornadoCash作為交易隱私工具的情況下。事實上還有相當一部分人使用TornadoCash進行加密貨幣犯罪交易，此類數據不在本報告的統計范圍之內。

雖然混幣技術增強了鏈上交易的匿名性和隱私性，但也被濫用于洗錢等犯罪，混幣技術增加了犯罪資產的鏈上追蹤難度。但是黑客采用TornadoCash進行洗錢過程中，也會暴露出一些數據痕跡。通過對黑客所有轉到Tornado的地址和金額進行金額聚合，同時對單位時間內所有從TornadoCash轉出的目的地址和金額進行金額聚合，進而對混幣充幣金額與混幣提幣金額進行關聯匹配，從而達到黑客入金地址與出金地址關聯進行違法資金的追蹤。

成都鏈安同時致力于全鏈條打擊虛擬貨幣犯罪能力建設體系，提供全鏈條打擊虛擬貨幣犯罪的服務產品，在虛擬貨幣反洗錢和監管方面很有經驗，曾協助執法機構完成數起進入TornadoCash案件的技術支持。

數據七

約71%的攻擊發生在DeFi領域

根據數據顯示，2022年上半年，整個區塊鏈生態共發生79起較大的安全事件，其中涉及DeFi安全的共有56起，占比71%；損失金額達5.5億美元。在web3.0世界里，DeFi已經成為黑客攻擊的重災區。

FootprintAnalytics-被攻擊項目分類及損失金額

那么，DeFi為何成為了web3.0世界里黑客攻擊的重災區呢？

第一，DeFi活躍度高。作為區塊鏈最火的領域，DeFi從誕生開始就備受關注。活躍度高，參與的項目和用戶自然也越多，也就更容易被黑客列為攻擊目標。

第二，資金量大。統計數據顯示，截止6月30日，DeFi總鎖倉量高達824億美元。雖然今年以來，加密行業市值縮水，DeFi的TVL也大量下滑，在加密行業整體市值下跌的大背景下，DeFi相對來說仍保持著巨額資金。如此巨大的資金量，則無疑是對黑客最好的吸引。

開發者缺乏安全意識，低估了漏洞的風險。數據顯示，上半年DeFi項目中共發生33起因合約漏洞遭受的攻擊。其中，最常見的是由代碼邏輯錯誤引發的安全問題。

FootprintAnalytics-各鏈平臺因合約漏洞造成的損失占該鏈平臺平均TVL百分比

全面的外部安全審計、符合安全規范的編碼和測試網絡環境下的模擬測試是確保DeFi項目安全的最佳實現。

上述提到的代碼級別技術規范問題，如果在項目上線前，接受第三方安全審計，是可以將問題扼殺在搖籃之中。或許正是出于這樣的考慮，許多DeFi項目逐漸開始認識到安全審計的重要性，并選擇資質過硬的安全公司加以執行。

數據八

NFT領域主要安全事件10起，損失約為6490萬美元；

2022年上半年，共監測到NFT領域主要安全事件10起，統計到的損失約為6490萬美元，主要攻擊方式為合約漏洞利用、私鑰泄露、釣魚等。而上半年Discord釣魚事件頻發，幾乎每天都有Discord服務器受到攻擊，個人用戶因點擊釣魚鏈接而遭受損失的情況頻繁發生。

FootprintAnalytics-NFT攻擊事件損失

NFT合約安全

上半年發生了多起NFT合約相關的安全事件，主要原因還是沒有進行全面的安全審計。那么NFT合約在審計過程中都會出現哪些常見問題呢？

成都鏈安審計團隊在審計NFT系列合約時，發現NFT合約主要的問題包括以下幾類：

(1)簽名冒用和復用：

簽名數據缺少重復執行驗證(例如：缺少用戶nonce)，導致可以重復使用簽名數據鑄造NFT；

簽名檢查不合理(例如：未檢查簽名者為零地址的情況)，導致任意用戶均可通過檢查進行鑄幣；

(2)邏輯漏洞：

合約管理員可以通過私募等特殊方式鑄幣而不受總量的限制，導致NFT的實際量超過預期；

拍賣NFT時，獲勝者可在領取交易順序依賴攻擊，修改競拍價格，導致競拍獲勝者可以低價獲取NFT；

(3)ERC721&ERC1155重入攻擊

當合約使用轉賬通知功能時(onERC721Received函數)，NFT合約會主動向轉賬的目標合約發送一次調用，那么這就可能導致重入攻擊；

(4)授權范圍過大

用戶在進行質押或者拍賣時，僅需要對單個代幣授權，但合約要求_operatorApprovals授權，一旦用戶授權成功，那么就存在NFT被盜的風險。

(5)價格操控

NFT的價格依賴于某合約的代幣持有量，導致攻擊者利用閃電貸拉高代幣價格，使得質押的NFT被異常清算。

從上半年發生的NFT合約安全事件來看，審計過程中經常出現的漏洞在實際中也會被黑客利用。因此尋求專業的安全公司對NFT合約進行審計也是非常有必要的。

錢包安全

區塊鏈中錢包安全的重要性不言而喻，對于個人用戶而言，今年由于釣魚事件頻發造成大量用戶錢包資產被盜；對于項目方而言，今年也發生多起私鑰泄露相關事件，造成大量項目資產被盜。下面將針對危害個人用戶的釣魚攻擊和危害項目方的私鑰泄露事件分別進行介紹。

釣魚

目前的釣魚手法通常會以各種方式誘騙用戶對錢包授權，從而危害錢包安全，以下是幾種常見的釣魚手法：

假空投

該類釣魚網站主要是利用假空投等手段，誘騙用戶訪問釣魚網站。在用戶連接錢包后，就會出現“CLAIMNOW”等引誘用戶進行點擊的按鈕，用戶點擊之后就會對釣魚網站的黑地址進行授權。

誘騙用戶填寫助記詞

該類釣魚網站主要是在網頁連接錢包處，或者其他位置誘騙用戶點擊，之后彈出一個偽造的網頁，提示用戶諸如“MetaMask插件版本需要升級”等信息。如果用戶相信并填寫了自己的錢包助記詞，那么用戶的私鑰就會上傳到攻擊者服務器導致用戶錢包被盜。

APP假錢包

該類假APP錢包通常通過以下三種方式誘騙用戶下載，第一種方式是通過購買搜索引擎的廣告位，誘騙用戶訪問虛假的錢包官網進行下載；第二種方式是向受害者發送郵件、海報等，引誘用戶下載假錢包；第三種方式是通過社工的方式，首先獲取受害者信任，然后再誘騙其下載假APP錢包。

Discord釣魚

該類釣魚方式主要是NFT項目的Discord被攻擊，攻擊者獲取到Discord的管理員權限，然后在Discord中發布釣魚鏈接，誘騙用戶點擊從而危害其錢包安全。或者直接獲取到服務器的管理員權限，要求用戶通過共享屏幕等方式進行身份驗證，從而盜取用戶私鑰等信息。

結語

從整個加密貨幣市場上半年行情走勢來看，DeFi、NFT、GameFi等各大賽道發展總趨勢都是持續走低。整個DeFi總鎖倉量從1月初的2798億美元跌到了6月末的824億美元，半年下跌70.5%。分析發現，黑客攻擊事件頻率與市場行情走勢呈現出一定的關聯性。五六月份在TVL大幅縮水的情況下，黑客攻擊事件相對于前幾個月有所減少，更多的鏈上資金會吸引更多黑客的目光。

上半年發生7起跨鏈橋攻擊事件，共損失11億3599萬美元。跨鏈橋的攻擊手法主要為合約漏洞利用、私鑰泄露和線下程序缺陷。對項目方而言，安全審計、線下風控、定期檢查簽名服務器、對簽名者嚴格審查、版本更新時重新進行安全評估、制定漏洞賞金計劃等都是保障跨鏈橋項目安全運行的有效手段。

在上半年的攻擊事件中，約53%的攻擊方式為合約漏洞利用。通過對審計過程中常見漏洞和實際被利用漏洞進行比對，可以發現，大部分漏洞在審計階段都能檢測出來，如邏輯漏洞、重入漏洞等。

另外還有26.6%的閃電貸攻擊事件造成了3億3291萬美元的損失，除了采用一些措施如時間加權平均定價、更高頻率的價格更新機制、更嚴格的治理邏輯等之外，還可使用一些工具及時監控閃電貸。

上半年，共發生了5起損失過億的安全事件，而好消息是，這5個被攻擊的項目均在一段時間后發布了補救措施并重新上線。在過往的事件里，反倒是一些資金量中小規模的項目方，在遭到了重大攻擊后將會很難重啟。

2022年上半年，約有11億4070萬美元的被盜資金被黑客轉進了TornadoCash，約占總損失金額的60%。雖然混幣技術增強了鏈上交易的匿名性和隱私性，但也被黑客濫用于洗錢等犯罪。成都鏈安在過往的案例中，已有數次成功分析黑客數據痕跡并追蹤TornadoCash的經驗。截止報告發布時，美國財政部已經宣布將TornadoCash列入制裁名單。

作為一家致力于區塊鏈安全生態建設的全球領先區塊鏈安全公司，也是最早將形式化驗證技術應用到區塊鏈安全的公司，成都鏈安目前已與國內外頭部區塊鏈企業建立了深度合作；為全球2000多份智能合約、100多個區塊鏈平臺和落地應用系統提供了安全審計與防御部署服務。自主研發的“鏈必安”一站式區塊鏈安全服務平臺可為執法監管機構、金融機構、區塊鏈企業等提供安全審計、安全防護、安全監管、安全預警、安全咨詢等全生命周期安全保障解決方案。

FootprintAnalytics用于發現和可視化區塊鏈數據的工具，涵蓋了NFT和GameFi等領域的相關數據。目前為止，Footprint采集、解析和清理了17條公鏈的數據，為用戶構建了無代碼拖拽式做表面板，與此同時，Footprint也支持使用SQL、Python進行數據分析。

Twitter:https://twitter.com/Footprint_Data

Discord:https://discord.com/invite/3HYaR6USM7

Tags：EFINFTTORADOWeFilmChainBeyondNFTTORJ幣HADO NFT

AVAX