2023年标志着Web3安全动态的一个关键时刻，凸显了在应对能力方面的进步和持久的挑战。

尽管如此，根据Salus 1月2日与Finbold分享的一份报告，Web3行业仍继续遭受网络攻击，导致2023年损失超过17亿美元，包括约453起报告的事件。

这些事件尽管低于2022年记录的数字，但揭示了各种威胁，强调了Web3社区持续保持警惕的必要性。

损失减少，但单个损失更大

尽管2023年的总体损失显著减少，但突出的漏洞引起了人们的关注。9月的损失最高，为3.6亿美元，其次是11月的3.5亿美元和7月的3.03亿美元，凸显了对桥梁和DeFi协议的持续威胁。

对月度损失的详细分析揭示了一个有趣的模式。虽然9月、11月和7月的损失最大，但10月和12月的损失显著下降，这表明人们越来越重视安全意识和实施强有力的保障措施。

2023年Web3行业最大的黑客攻击

2023年，十大网络事件暴露了一个常见的漏洞：访问控制问题，特别是私钥盗窃，占全年约12亿美元总损失的近70%。这些事件在今年下半年普遍存在，拉撒路集团在多起违规事件中发挥了重要作用。

Mixin Network面临重大漏洞，导致2亿美元损失，凸显了人们对云服务提供商安全的担忧。由于donateToReserves功能存在漏洞，欧拉金融遭受了1.97亿美元的损失，强调了DeFi协议中严格的智能合约审计的重要性。

Multichain见证了锁定资产的异常移动，这引发了人们对其安全实践的质疑。Poloniex成为Lazarus集团黑客攻击的受害者，造成1.26亿美元的损失，并促使加强安全措施。BonqDAO、Atomic Wallet和HECO Bridge也因利用各种漏洞进行攻击而遭受重大损失。

由于一个0天编译器错误，Curve面临6930万美元的损失，这突出了与特定语言漏洞相关的风险。AlphaPo在一次复杂的网络钓鱼攻击中损失了6000万美元，而CoinEx则因热钱包私钥泄露而损失5430万美元。

造成最大损失的攻击类型

此外，该报告强调了各种威胁，如“退出骗局”，占攻击的12.24%，在276起事件中造成2.08亿美元的损失。值得注意的案例涉及承诺高回报的项目，这些项目突然随着投资者的资金而消失。

访问控制问题占攻击的39.18%，导致29起事件损失6.66亿美元。Multichain、Poloniex和Atomic Wallet中利用了值得注意的漏洞。

网络钓鱼占攻击的3.98%，在13起事件中造成6760万美元的损失。Lazarus集团对AlphaPo的攻击体现了网络钓鱼技术的不断发展。

闪贷攻击占事件的16.12%，在37起案件中造成2.74亿美元的损失。精准闪贷攻击的目标是Euler Finance、KyberSwap和Yearn Finance。

再入漏洞造成了4.35%的攻击，导致15起事件损失7400万美元，其中Vyper漏洞和精确协议漏洞尤为突出。

Oracle问题占攻击的7.88%，在7起事件中造成1.34亿美元的损失，例如BonqDAO攻击操纵代币价格。其他漏洞占攻击的16.47%，导致76起事件损失2.8亿美元。

2024年，网络安全加强的一年

随着2023年的结束，总体损失的减少凸显了改进安全措施的必要性，尤其是在损失集中在前10名黑客中的情况下。由于存在各种漏洞，保护Web3生态系统需要一种全面的方法。

考虑到Lazarus Group攻击等新兴的渗透方法，严格的审计和提高对Web3渗透测试的认识至关重要。敦促用户和利益相关者优先考虑满足功能需求的平台和服务，同时遵守Web3未来安全的最高安全标准。