根据SharkTeam链上分析平台ChainAegis数据,2022年Web3领域安全事件频发,整体形势不容乐观。9月发生了近50起安全事件,相比上个月还在增加,达到今年安全事件历史数量最高。累计造成超1.8亿美元的资金损失。
通过与8月进行对比,可以看到项目方诈骗的安全事件明显减少。在一定程度上反映了本月大部分投资者面对投资项目变得更加谨慎。在项目投资前增强对项目核查与审计的力度,可以在根本上降低风险。
(资料图片)
一、合约漏洞
9月因合约漏洞造成的安全事件共有10起,原因包括重入攻击、逻辑漏洞等。据统计,9月份累计造成超383万美元的资金损失。部分损失如下图:
9月7日,New free dao攻击者首先利用闪电贷借出WBNB,将其全部换成NFD代币。然后反复创建多个攻击合约领取(0x8b068e22e9a4a9bca3c321e0ec428abf32691d1e)空投奖励,最后将其兑换为WBNB归还闪电贷套利离场。获利约4481枚WBNB。
9月份利用合约漏洞的攻击形式主要包含:逻辑漏洞、重入攻击、鉴权漏洞、价格操控等。9月份由逻辑漏洞造成的合约安全事件占45%。
二、项目方诈骗
9月因项目方诈骗造成的安全事件共有9起,累计造成171万美元的资金损失。
9月23日,Tiger项目代币价格暴跌96%,已被确认为退出骗局项目。该骗局获利至少113万美元,在项目方诈骗中损失金额最高。诈骗地址为0x5F351820674cCD9203Ee9b019031647f31EFd2d9
9月项目方诈骗主要集中在BSC链,少部分发生在ETH链上。
三、其他类型安全事件
9月其他类型的安全事件共发生了29起,与8月相比网络钓鱼事件明显减少。服务器被攻击事件仍高居不下,9月共发生发生了19起,占其他安全事件的66%。
9月1日,Kyber Network遭遇前端攻击,损失约26.5万枚amUSDC。
9月14日,一名为“PoW ETH”的诈骗代币暴跌99%,合约部署者铸造此代币后将其换成168枚ETH(约26.9万美元),之后发送至两个外部账户。
9月14日,一种伪造成BUSD的代币BUSDb被空投到15000个不同的钱包地址。该虚假代币合约为0xd0cae3cb951f69695e31885f63b26f57a940a95e。
除上述事件外,本月发生一起严重的私钥丢失事件。9月20日,加密做市商Wintermute在DeFi黑客攻击中损失1.63亿美元。被盗原因可能是其使用Profanity来创建EOA钱包。
关于我们:SharkTeam的愿景是全面保护Web3世界的安全。团队成员分布在北京、南京、苏州、硅谷,由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约的底层理论,提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。
Twitter:https://twitter.com/sharkteamorg
Discord:https://discord.gg/bFmbFy74
Telegram:https://t.me/sharkteamorg
更多区块链安全咨询与分析,点击下方链接查看
D查查|链上风险核查https://m.chainaegis.com
