CertiK最近发布了《Web3 安全季度报告》(2022年第二季度版),报告描述了2022年第二季度Web3网络安全质量状况,并指出在第一季度和第二季度,与web3网络相关的经济损失已经超过20亿美元,超过了2021年全年的历史新高。同时,在网络攻击方面,“闪电贷”攻击和网络钓鱼攻击也在打破历史记录.“闪贷”攻击导致第二季度损失高达3.08亿美元,远超此前的季度峰值。虽然钓鱼攻击量较一季度略有下降,但攻击频率较一季度增加了170%。当然,报告中也不乏好消息。受NFT市场整体低迷的影响,虽然地毯式诈骗(Rugpulls)和下架诈骗的攻击次数较第一季度小幅增长16%至89次,但损失金额大幅下降导致亏损只有3800万美元。针对特定漏洞的大规模攻击也呈现出同样的趋势。虽然攻击频率增加了6倍至39次,攻击损失5.2亿美元,但平均损失仅为1330万元。多次钓鱼攻击在整个第二季度,CertiK共记录了290次钓鱼攻击。与一季度的106次相比,整体频率增加了170%。这些攻击大多针对Discord和Telegram等社交媒体平台。那么为什么这些社交平台会出现如此高频率的钓鱼攻击呢?首先,NFT与这些社交媒体平台的关联度很高,是用户首选的NFT社交平台。其次,由于Discord、Telegram等社交媒体平台不支持账号验证,长期存在安全隐患。闪电贷攻击风起云涌“闪电贷”攻击风潮正在迅速兴起,成为NFT领域新的攻击威胁。这种去中心化的金融机制使得攻击者可以在极短的时间内获取大量的加密资金。操纵某种NFT货币价格的代币。根据CertiK的统计记录,第二季度共有27次攻击,共造成308,002,694美元的损失。与第一季度相比,无论是攻击次数还是每次攻击的损失金额,都有了惊人的增长。从攻击次数来看,一季度只有14起,二季度增长66.7%至27起,损失资金由一季度的14,178,471美元增至二季度的308,002,694美元,增幅超过2000%。第二季度,发生了两次规模特别大的“闪贷”攻击,FeiProtocol在此次攻击中损失了7900万美元。BeanstalkFarms甚至占该季度攻击损失的59%,总计1.82亿美元。2022年二季度闪贷攻击损失前十但即使剔除这两次超大规模“闪贷”攻击,二季度的平均损失也远高于一季度。可以说,第二季度“闪贷”攻击造成的攻击损失是毁灭性的,是“闪贷”攻击出现以来的历史高峰。可以预见,“闪电贷”攻击的威胁情况远不止于此。CertiK预测,今年全年因“闪贷”攻击造成的损失很可能比21年增加78%,达到约6.57亿美元。甚至因为大部分小额“闪贷”攻击(金额低于10万美元)难以统计,NFT市场的整体损失很可能不止于此,具体金额也只是高或不低。缩减地毯诈骗和退市诈骗地毯诈骗和退市诈骗在统计数据中仍然是一种相当常见的攻击形式。第二季度,CertiK统计了89次相关诈骗攻击,与去年相比,总损失为3700万美元。与同期高达2.65亿美元的经济损失相比,损失金额断崖式下跌。从攻击频率来看,相关诈骗的频率较一季度微增16%。总体而言,在地毯式骗局和退市骗局方面,二季度总体呈下降趋势。虽然攻击次数略有回升,但损失金额仍呈下降趋势。这两个骗局之所以有这样的趋势,是因为NFT市场的萎缩和低迷。新入场的大型主动基金少之又少,原有投资人也纷纷倒闭。变得相当谨慎,最终使骗局难以实现,自然就趋于萎缩。略微减轻了传统漏洞利用Certi在第二季度记录的39项漏洞利用造成的违规损失总计超过5.2亿美元。与第一季度相比,这方面的亏损明显减少,与第一季度的12亿美元相比减少了57%。但实际上,漏洞利用的数量并没有减少,反而从33次略微增加到39次。造成这种差异的主要原因是Ronin网络遭受了价值6.24亿美元的地震攻击,该攻击占第一季度违规损失的一半以上。但好消息是,即使不计算浪人网络攻击造成的损失,每个漏洞的平均经济损失也从第一季度的1900万下降到第二季度的1330万。2022年二季度Top10漏洞攻击损失总结2022年Web3损失惨重,按照一、二季度的损失来看,全年损失可能是历史最高。目前,各种攻击防不胜防。不仅要应对各种老掉牙的攻击,比如漏洞攻击、钓鱼攻击、下架诈骗等,而且新兴的“闪贷”攻击也成为非常严峻的挑战。如果各种防护措施没有做好,那么就不可避免地会出现各种问题,造成很大的经济损失。虽然二季度亏损在退市攻击和漏洞攻击方面呈现下降趋势,但也需要持续关注和做好。维护Web3网络安全的路还很长,需要时刻注意防范,避免各种损失。
