根据SharkTeam链上分析平台ChainAegis数据,2022年Web3领域安全事件发生频繁,形势严峻。10月发生了46起安全事件,数量相比上个月有所减少,但损失金额达到今年安全事件历史最高,影响恶劣,累计造成超7.3亿美元的资金损失。
(资料图片仅供参考)
通过与9月进行对比,可以看到因合约漏洞造成的安全事件明显增加,在一定程度上反映了项目方未及时对项目进行严格的第三方安全审计,也可能是项目方误选用不专业的审计公司,未能及时发现合约漏洞。
一、合约漏洞
10月因合约漏洞造成的安全事件共有21起,主要问题是逻辑漏洞。据统计,10月份累计造成6亿2159万美元的资金损失。10月7日,BNB Chain内置的跨链桥BSC Token Hub被黑客攻击,被盗资金高达5.6亿美元,是影响最大的安全事件。10月2日,跨链交易平台聚合器Transit Swap遭到黑客攻击,攻击发生的主要原因在于Transit Swap协议在进行代币兑换时未对用户传入的数据进行严格检查,导致了任意外部调用的问题,损失金额接近2100万。除BNBChain事件外,其他因合约漏洞问题造成的损失金额分布如下图:
10月份暴露的合约安全漏洞问题包括(1)重入攻击(2)逻辑漏洞(3)鉴权漏洞(4)价格操控等。本月由逻辑漏洞造成的安全事件占52%。逻辑漏洞在审计阶段是可以被发现的,投资者在项目投资时应更加注重项目是否由第三方专业审计机构审计。
二、项目方诈骗
10月因项目方诈骗造成的安全事件共有9起,累计造成超过1亿191万美元的资金损失。
10月24日,Freeway项目发生Rug Pull,且删除了官方名单,涉案金额超1亿美元。
与9月相仿,10月项目方诈骗仍主要集中于BSC链,少部分发生在ETH链上。
三、其他风险
10月其他类型的安全事件共发生了16起,较上月相比,服务器被攻击事件明显减少,网络钓鱼类仍呈高发态势。
10月16日,LiveArtX在其官方社交平台表示,官方钱包被盗。NFT平台LiveArtX发行的Meta-morphic:Seven Treasures系列NFT地板价跌至0.2ETH,24小时跌幅83.87%。
10月24日,伪造推特账号@zksync_io发布虚假空投链接。
10月26日,Spookie Finance前端遭黑客攻击,GHOST币价几乎归零。
关于我们:SharkTeam的愿景是全面保护Web3世界的安全。团队成员分布在北京、南京、苏州、硅谷,由来自世界各地的经验丰富的安全专业人士和高级研究人员组成,精通区块链和智能合约的底层理论,提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。
Twitter:https://twitter.com/SharkTeamorg
Discord:https://discord.gg/bFmbFy74
Telegram:https://t.me/SharkTeamorg
更多区块链安全咨询与分析,点击下方链接查看
D查查|链上风险核查https://m.chainaegis.com
