CertiK：2022年第三季度Web3.0行業安全報告_CER:BSP

2022年第三季度，黑客從Web3.0領域中盜取了總價值約5億美元的資產，這個數字相比上季度減少了32.32%，同時今年的損失總額增長至28.8億美元。

第三季度共發生了98起退出騙局，導致了5619萬美元的資產損失，23起閃電貸攻擊則導致了1737萬美元的資產損失。

僅6起多鏈安全事件造成的高達4.3億美元的損失金額就占到了本季度總損失的85.3%。

第三季度CertiK審計的Web3.0項目數量新增了537個，同時CertiK審計的項目總數達到了4737個。37個Web3.0項目成功通過KYC項目背景調查，47個項目入駐CertiK Skynet。

截至目前，2022年CertiK已完成了183個項目的KYC項目背景調查服務，同時有846個新的Web3.0項目入駐CertiK Skynet。

98起退出騙局，共計損失5619萬美元

23起閃電貸攻擊，共計損失1737萬美元

50起其他攻擊事件，共計損失4.3億美元

② 以生態系統分類

Avalanche：4起事件，共計損失316萬美元

BNB Chain：105起事件，共計損失5389萬美元

Ethereum：25起事件，共計損失2838萬美元

Fantom：2起事件，共計損失39萬美元

Multichain：6起事件，共計損失3.53億美元

Polygon：3起事件，共計損失106萬美元

Solana：4起事件，共計損失2102萬美元

其他/非區塊鏈：11起事件，共計損失531萬美元

③ 以時間分類 

7月：59起事件，共計損失6673萬美元

8月：56起事件，共計損失2.55億美元

9月：53起事件，共計損失1.82億美元

7月是今年到目前為止安全態勢最為良好的一個月，黑客攻擊、詐騙行為、漏洞利用和其他安全事件僅造成了6600萬美元損失，但該數量在之后兩個月內再次攀升。8月總損失的74%源于Nomad Finance跨鏈橋攻擊事件，而9月總損失的89%源于做市商Wintermute錢包被盜的1.62億美元。

CertiK：NEO TOKYO項目Discord服務器遭到攻擊:金色財經消息，據CertiK監測，NEO TOKYO項目Discord服務器遭到攻擊，并發布了一條釣魚鏈接。請社區用戶在頻道修復之前不要點擊任何鏈接。[2022/12/18 21:52:23]

2022年第三季度，Web3.0行業仍然多受退出騙局的困擾。本季度，CertiK共記錄了169起獨立安全事件，其中58%被歸類為退出騙局。

如果仍然有一些經驗不足的用戶考慮把錢投資到未經審計的項目中，或是甘愿冒著風險急于成為代幣早期持有人，那么退出騙局就會持續擴散，整個產業也將被其陰影籠罩。  

跑路的過程其實非常簡單明了，欺詐團隊所要做的僅僅是復制粘貼現成的騙局項目代碼并將其部署，為去中心化交易所（DEX）的交易對增加流動性，然后將代幣推銷給用戶，直到他們投入了足以讓欺詐團隊脫身的大量資金。

代碼審計很容易就能發現項目錢包所存在的中心化風險及訪問特權，從而根據一些疑點揭露團隊欺詐。我們建議Web3.0用戶不要投資任何未經審計，或者那些審計發現了中心化和特權風險卻未修復的項目。

其實所有退出騙局基本都遵循著類似的套路，要規避那些明顯有退出騙局跡象的項目并不困難，因此退出騙局并不能提供Web3.0安全方面的最具啟發性案例分析。 

但是第三季度還發生了許多其他不尋常的事件，可以讓Web3.0用戶和開發者汲取到新的經驗。本報告將分享三個案例，就其事件進行分析并從中為讀者提取安全相關的重要啟示。

Nomad跨鏈橋黑客攻擊事件：損失1.9億美元，成為本季度最嚴重的安全事件；做市商Wintermute錢包私鑰泄露事件：被盜1.62億美元；Slope被黑事件：損失800萬美元，其是Solana生態中比較流行的熱錢包，被黑數額相對較小。然而，以上所有損失都是由于不安全的應用程序代碼所致，這就表明要實現Web3.0的全面安全不僅關乎智能合約，技術堆棧的各個層面也必須保證安全。 

實際上，Nomad跨鏈橋被黑和Wintermute私鑰泄露事件的資產損失合計占據了第三季度總損失的近70%，這說明成功的漏洞攻擊很可能不需要黑客付出過多“努力”，而其所得的回報有可能是巨大的。換句話說，無論目標錢包存有162美元還是1.62億美元，如果攻擊者想要暴力破解其私鑰，所要付出的算力都是一樣的。而在Nomad被黑事件中，任何普通用戶都能簡單復制原始攻擊者的交易，并換成自己的錢包地址實施攻擊，這也更加凸顯Web3.0世界的殘酷性。毫無疑問，所有漏洞都會受到最大程度地利用。Web3.0開發者必須認真對待安全問題，不僅是為了保護用戶資金，也是為了保障整個項目的長期生存和發展。

去中心化數據庫協議Ceramic添加對Solana的支持:金色財經報道，據官方推特消息，去中心化數據庫協議Ceramic宣布添加了對Solana的支持。在Solana上構建的開發人員現在可以將Ceramic的主權數據網絡用于跨鏈身份和動態數據。[2021/12/10 7:29:12]

導致Slope錢包被黑的漏洞并不常見，該事件涉及了9000多個錢包地址，損失金額高達800萬美元。大部分因退出騙局或智能合約代碼錯誤造成的損失只發生在區塊鏈上，但這次事件卻源自一個鏈下漏洞。 

8月2日晚，Solana用戶錢包中的資產開始神秘消失，且每筆轉賬都是有效交易，就像是錢包主人自己操作簽名轉移了所有代幣。調查人員在調查被黑錢包之間共性的過程中，關于漏洞起源的一系列假設也開始流傳。 

這些假設和結論讓那些擔憂大型DeFi平臺被黑導致數十萬用戶和價值數十億美元的資產都將處于險境之中的人們松了口氣。因為就在前一天剛剛發生了Nomad跨鏈橋被黑事件，人們仍然處于神經緊繃的狀態中。最終Slope的漏洞是在其錢包應用程序的代碼中被發現的——該程序會在服務器上以明文形式存儲用戶的助記詞。當攻擊者獲得該數據庫的訪問權時，就能完全控制所有受到影響的錢包，并立即卷走資產。

一些反應迅速的用戶已將資金轉移到了硬件錢包或其他不受Slope漏洞影響的熱錢包中。 

安全啟示：使用硬件錢包或者網絡隔離（airgapped）電腦離線生成密鑰是最安全的做法，而在熱錢包中生成或導入的私鑰都不宜用于存放任何重要資產。

9月20日，最大數字資產做市商之一的Wintermute因私鑰泄露造成1.62億美元損失，原因是Wintermute使用第三方工具生成的“vanity”地址存在漏洞，并遭到黑客利用。造成這次意外事件的原因不同于由智能合約漏洞所致的常見情況，而是來自外部的基礎設施問題。

大多數以太坊地址看起來是一串完全隨機的字母和數字，開頭都為0x。這樣的好處是提供了一定程度的隱私性，但這并不能滿足想要一個獨特地址的用戶。基于人們對“vanity地址”（如靚號車牌）的追求，一個名為“Profanity”的vanity生成器應運而生，它可幫助用戶為包含指定單詞或字符串的地址生成密鑰。 

除此之外，Profanity還可以被用來創建錢包地址，以優化手續費，這也是Wintermute團隊創建0x00000000AE347......b92280f9e75地址的初衷，但卻最終導致了錢包被黑。開頭那串冗長的0簡化了地址，減少了以太坊網絡的算力需求，從而在一定程度上降低了交易手續費——這些節省下來的手續費看似微小，卻會在成千上萬的交易中積少成多。

ZKN跨鏈應用Cering將于9月11日發布:據官方消息，ZKN跨鏈應用Cering將于9月11日發布，Cering跨鏈聚合平臺是ZireKing集團去中心化金融戰略布局的落地，也將為NFT元宇宙生態板塊中的唯一通證ZKN不斷賦能。Cering支持任意異構鏈和同構鏈接入和交易，能完整兼容各種跨鏈技術和標準。[2021/9/4 22:59:57]

2022年1月，用戶k06a曾在Profanity的GitHub（已被開發者放棄三年以上）：https://github.com/johguse/profanity/issues/61，提出了一個關于私鑰生成方式的問題：Profanity使用一個隨機的32位種子數來生成256位私鑰。

2022年9月15日，1Inch發表了一篇文章，詳細介紹了如何破解Profanity生成的錢包私鑰的方法。

僅過兩天，該漏洞就在眾目睽睽之下遭到黑客利用。0x6...b93錢包賬戶抽空了多個vanity錢包，包括來自0x0Babe...B05的500枚ETH、0x888888888...597的100枚ETH、0x000000...422的104.4枚ETH，以及更多其他錢包的資產，總價值為330萬美元。 

在技術發展瞬息萬變的Web3.0世界，只需要四天就能借助這一漏洞攻破一個Wintermute的DeFi交易錢包，其損失的1.62億美元也是今年因私鑰泄露造成的最高資產損失。  

事發后，攻擊者迅速將價值1.14億美元的穩定幣轉入Curve Finance的3Pool（USDC、USDT和DAI）。有人猜測這是為了避免被盜資金被USDT和USDC列入黑名單并凍結。 

但問題還沒解決：所有基于Profanity創建的錢包都存在風險。9月25日，vanity地址0x000000000......Ff3791338975被黑，攻擊者卷走了錢包中價值超過95萬美元的各種代幣，將其換成732.3枚ETH后，又通過15次交易把這些代幣全部存入Tornado Cash。

Balancer Grants DAO已上線并接受贈款申請:官方消息，BalancerDAO治理投票通過后，Balancer Grants DAO已上線并接受贈款申請。Balancer Grants DAO將作為一個獨立的社區擁有的Balancer生態系統的贈款計劃。第一個周期將持續3個月，預算為20,000 BAL（按今天的估值約為50萬美元）分配給Balancer Grantees。[2021/8/20 22:25:37]

通過SkyTrace可視化追蹤黑客錢包 

數字金融服務提供商Amber Group稱其團隊能夠在48小時內利用一臺M1處理器和16G內存的MacBook復現黑客構建的漏洞并發起攻擊。

安全啟示：所有使用Profanity生成錢包的用戶都應盡快將資產轉移到可離線生成密鑰的錢包中。 

8月1日，Nomad Finance在Ethereum、Moonbeam、Avalanche、Evmos和Milkomeda之間的跨鏈橋遭到攻擊，涉案金額約1.9億美元。

在一次常規升級部署后，由于一個錯誤配置允許黑客繞過驗證信息，最終導致了這起悲劇發生。最初攻擊的消息被傳開以后，其他黑客、機器人以及社區成員也紛紛效仿，通過克隆原始黑客的交易數據、換上他們自己的地址發起攻擊，幾乎抽空了跨鏈橋的所有資產。 

百聞不如一見：人們對一個持有9位數資產的跨鏈橋實施了去中心化式搶劫？

–@0xfoobar 

這次的漏洞本質上源于acceptableRoot(messages[_messageHash])函數中的一個錯誤，它允許用戶繞過從跨鏈橋上提取資金所需要的驗證。關于此次事件的完整技術分析，歡迎閱讀CertiK官方公眾號發布的Nomad事件分析報告[驚天魔盜，近2億美金損失！Nomad Bridge攻擊事件分析]。

跨鏈橋為巨額資金提供托管服務，是其成為黑客主要目標的原因。今年初，Wormhole跨鏈橋遭漏洞利用，損失超過3.2億美元，是有史以來第二大DeFi被黑事件。

Gate.io獲CER三星認證 全球百家交易平臺安全測評排名第一:據CER的最新交易所安全測評排名顯示，Gate.io的網絡安全分數升至9.38分，在全球100個交易平臺中排名第一。Gate.io同時獲得三星認證，目前全球僅6所交易平臺獲此等級。另Gate.io已攜手CER同公司旗下的HackenProof推出漏洞獎勵計劃。

CER是公開批評交易量指標的交易所排名平臺，其安全標準被CoinGecko、CoinMarketCap等權威行情網站所使用。[2020/7/16]

值得注意的是，在這場混亂不堪的攻擊中，所有對相關技術稍有了解的投機用戶都能輕松復制原始攻擊者的交易，這些人蜂擁而上將跨鏈橋洗劫一空。 

作為回應，Nomad宣布向所有歸還贓款的用戶提供10%的白帽賞金，同時將對那些不歸還資金的人采取法律行動。

安全啟示：某個漏洞一旦被公開，就別指望惡意者不會抓緊機會聞風而動，因為開源的代碼意味著所有人都可以對其進行最大程度的惡意利用。

9月15日凌晨，無數目光聚焦在以太坊。Web3.0史上最重大的網絡升級順利完成，以太坊的共識機制正式轉為PoS權益證明。關閉PoW工作證明后，以太坊的網絡能耗從112 TW/年驟降為0.01 TW/年。這99.95%的能耗降幅不僅減少了以太坊網絡對環境的影響，也讓ETH在面對那些曾因環保顧慮而放棄了合作的用戶和投資者時更具吸引力。

本次合并是一項了不起的技術成就，此次升級的巨大成功也得益于開發者與網絡成員多年的精心準備。如果升級失敗，整個網絡都將承受災難性的后果。 

盡管人們仍然擔心驗證者的中心化問題，但如果消除了對昂貴挖礦設備的需求，更加多樣的網絡參與者會被吸引加入。雖然還有許多其他PoS網絡也在運行，但對于鎖定價值數千億美元資產的以太坊網絡來說，其雄心勃勃的發展計劃已經箭在弦上。

8月8日，美國財政部下屬海外資產控制辦公室（簡稱 OFAC）宣布將以太坊混幣隱私應用Tornado Cash和相關44個錢包地址納入制裁名單（Specially Designated Nationals, SDN） ，禁止任何美國個人和實體與Tornado Cash相關地址進行交互，并要求Tornado Cash向OFAC報告其平臺上所有的美國資產。 

與此同時，現年29歲的Tornado Cash軟件開發者Alexey Pertsev被荷蘭當局逮捕，理由是“涉嫌利用Tornado Cash以太坊混合服務參與洗錢和隱瞞犯罪資金流動”。截至發稿前，Pertsev尚未被正式指控任何罪行，而荷蘭法律規定犯罪嫌疑人在未受指控的情況下最長可被羈押110天。

美國財政部對Tornado Cash采用“聲名狼藉”的描述也并非毫無理由。Tornado Cash自2019年成立以來，已被用于價值超過70億美元的數字貨幣洗錢活動。其中包括由朝鮮國家支持的黑客組織Lazarus Group所盜取的超過4.55億美元、來自Harmony Bridge漏洞攻擊的9600萬美元，以及2022年8月2日Nomad Heist事件中的至少780萬美元等事件。 

但美國財政部將Tornado Cash的所有應用均概括為洗錢活動就有失偏頗了。雖然Tornado Cash的確成了犯罪分子清洗不義之財的首選工具，但在區塊鏈技術的開放世界中，該平臺也作為重要的金融隱私工具之一發揮著作用。以太坊聯合創始人Vitalik Buterin在制裁后透露，他曾使用Tornado Cash進行過私人捐款。而僅在今年，反對金融監管的斗爭已經贏得了來自不同意識形態的個人和團體支持，如美國的支持選擇權活動家和加拿大的反疫苗授權抗議者。

在禁令宣布后，Tornado Cash在GitHub上的開源代碼被迅速刪除，但在OFAC就此事作出了澄清后，代碼又被重新恢復。9月13日，OFAC在其常見問題頁面中發布了指導意見：

“雖然美國被禁止與Tornado Cash或其被封鎖的財產或財產權益進行任何交易，但只要不涉及禁止交易，與Tornado Cash開源代碼本身的互動就是被允許的。例如，美國制裁法規不會禁止人們復制開源代碼并將其在線提供給他人查看、討論以及教學，或將開源代碼收錄于書面出版物（如教科書）中。” 

這個仍在繼續的Web3.0傳奇故事凸顯了Web3.0資產與行業相關實體（如GitHub）所面臨的挑戰：在試圖遵守嚴格的政府行動的同時，又要對事后遲來的指導意見及時作出反應。

為了實行“守護Web3.0世界”的使命，CertiK推出整套安全工具系列服務，讓項目與投資者能夠使用端到端的全方位安全解決方案。 

CertiK安全排行榜結合了CertiK的審計和安全團隊的專業知識，讓Web3.0用戶對安全威脅擁有更深入地了解。用戶可以根據我們所提供的安全數據做出更明智的決策，將整個生態系統推向新的安全高度。

在第三季度，CertiK安全排行榜已全面升級為安全排行榜360，為數以千計的榜上項目提供完整而即時的安全狀況“全景圖”。界面改版后，用戶可以更容易地讀取和理解這些信息。此外，我們還利用量化工具為個人投資者提供合理的決策建議。歡迎訪問certik.com了解詳情。

Skynet天網動態掃描系統結合鏈上交易監測與鏈下數據（如社會輿情），對數百個Web3.0平臺進行實時、全面的安全監測和分析。Skynet Premium由CertiK于2021年正式推出，其威脅檢測模型會通過機器學習與不斷變化的智能合約風險環境同步進化。這也意味著，隨著威脅情報庫和智能合約漏洞庫的不斷積累，這一平臺也會變得愈發先進，從而適應變化無常的智能合約風險環境。目前Premium平臺包括一個分析儀表板，可幫助企業客戶實時監控和管理其項目風險。

SkyTrace則是一種智能、直觀的追蹤工具，可幫助分析和可視化以太坊和BSC錢包的交易數據。該工具為識別和追蹤進出自己的個人錢包或項目團隊錢包的可疑流量提供了深入的分析。

CertiK KYC項目背景調查服務可為項目團隊提供身份驗證，包括使用基于AI的檢測系統進行ID真實性檢查，以確保個人身份真實并與ID相匹配。除了在身份驗證過程中進行實時有效性檢查外，CertiK還將與每個項目團隊成員進行實時視頻溝通，以驗證他們的身份和其他必要參數。由于團隊的匿名性越來越高，項目的風險行為也越來越具有可能性。CertiK KYC能夠使項目團隊去匿名化，并建立更大的問責制，從而協助建立項目的可信度。

CertiK漏洞賞金計劃則從世界頂級的白帽黑客當中收集情報，以在惡意行為者利用漏洞之前將其及時發現。CertiK的安全專家團隊將負責篩查和鑒定所有提交材料，并協助客戶進行正確的修復。我們的0%費用模式降低了項目團隊的支付負擔，白帽黑客可因此獲取全額賞金。

CertiK支持的生態系統

CertiK的審計及端到端解決方案已覆蓋目前市面上大部分生態系統，并支持幾乎所有主流編程語言，就區塊鏈平臺、Web3.0資產交易平臺、智能合約的安全性等領域為各個生態鏈提供安全技術支持。

CertiK中文社區

企業專欄

閱讀更多

金色早8點

區塊律動BlockBeats

金色財經

1435Crypto

吳說區塊鏈

blockin

比推 Bitpush News

Block unicorn

Foresight News

Odaily星球日報

Bankless

DeFi之道

Tags：CERERTNBSBSPInfluencer DogeHertz Networknbs幣官網BSP價格

火幣交易所