2023年标志着Web3安全动态的一个关键时刻,凸显了在应对能力方面的进步和持久的挑战。
尽管如此,根据Salus 1月2日与Finbold分享的一份报告,Web3行业仍继续遭受网络攻击,导致2023年损失超过17亿美元,包括约453起报告的事件。
这些事件尽管低于2022年记录的数字,但揭示了各种威胁,强调了Web3社区持续保持警惕的必要性。
损失减少,但单个损失更大
尽管2023年的总体损失显著减少,但突出的漏洞引起了人们的关注。9月的损失最高,为3.6亿美元,其次是11月的3.5亿美元和7月的3.03亿美元,凸显了对桥梁和DeFi协议的持续威胁。
对月度损失的详细分析揭示了一个有趣的模式。虽然9月、11月和7月的损失最大,但10月和12月的损失显著下降,这表明人们越来越重视安全意识和实施强有力的保障措施。
2023年Web3行业最大的黑客攻击
2023年,十大网络事件暴露了一个常见的漏洞:访问控制问题,特别是私钥盗窃,占全年约12亿美元总损失的近70%。这些事件在今年下半年普遍存在,拉撒路集团在多起违规事件中发挥了重要作用。
Mixin Network面临重大漏洞,导致2亿美元损失,凸显了人们对云服务提供商安全的担忧。由于donateToReserves功能存在漏洞,欧拉金融遭受了1.97亿美元的损失,强调了DeFi协议中严格的智能合约审计的重要性。
Multichain见证了锁定资产的异常移动,这引发了人们对其安全实践的质疑。Poloniex成为Lazarus集团黑客攻击的受害者,造成1.26亿美元的损失,并促使加强安全措施。BonqDAO、Atomic Wallet和HECO Bridge也因利用各种漏洞进行攻击而遭受重大损失。
由于一个0天编译器错误,Curve面临6930万美元的损失,这突出了与特定语言漏洞相关的风险。AlphaPo在一次复杂的网络钓鱼攻击中损失了6000万美元,而CoinEx则因热钱包私钥泄露而损失5430万美元。
造成最大损失的攻击类型
此外,该报告强调了各种威胁,如“退出骗局”,占攻击的12.24%,在276起事件中造成2.08亿美元的损失。值得注意的案例涉及承诺高回报的项目,这些项目突然随着投资者的资金而消失。
访问控制问题占攻击的39.18%,导致29起事件损失6.66亿美元。Multichain、Poloniex和Atomic Wallet中利用了值得注意的漏洞。
网络钓鱼占攻击的3.98%,在13起事件中造成6760万美元的损失。Lazarus集团对AlphaPo的攻击体现了网络钓鱼技术的不断发展。
闪贷攻击占事件的16.12%,在37起案件中造成2.74亿美元的损失。精准闪贷攻击的目标是Euler Finance、KyberSwap和Yearn Finance。
再入漏洞造成了4.35%的攻击,导致15起事件损失7400万美元,其中Vyper漏洞和精确协议漏洞尤为突出。
Oracle问题占攻击的7.88%,在7起事件中造成1.34亿美元的损失,例如BonqDAO攻击操纵代币价格。其他漏洞占攻击的16.47%,导致76起事件损失2.8亿美元。
2024年,网络安全加强的一年
随着2023年的结束,总体损失的减少凸显了改进安全措施的必要性,尤其是在损失集中在前10名黑客中的情况下。由于存在各种漏洞,保护Web3生态系统需要一种全面的方法。
考虑到Lazarus Group攻击等新兴的渗透方法,严格的审计和提高对Web3渗透测试的认识至关重要。敦促用户和利益相关者优先考虑满足功能需求的平台和服务,同时遵守Web3未来安全的最高安全标准。