概要
2023年第一季度,惡意行為者從Web3.0協議中盜取了超過3.2億美元的價值。
這個數字約為2022年第四季度9.5億美元資產損失的的三分之一,約為2022年第一季度13億美元資產損失的四分之一。
2023年第一季度,僅僅一個安全事件就造成了超過60%的損失——1.97億美元的EulerFinance漏洞事件。
90起退出騙局的“幕后黑手”共計盜取約3100萬美元資產,而52起閃電貸攻擊及預言機操縱漏洞事件造成了超過2.2億美元的損失。Euler事件直接拉高了閃電貸攻擊事件的平均損失——達到了428.8萬美元,而退出騙局造成的平均資產損失較低,為34.5萬美元。
在區塊鏈領域之外,2023年第一季度也發生了可被載入Web3.0貨幣史冊的重大事件:從作為Web3.0貨幣行業與傳統金融行業最強聯系之一的Silvergate銀行倒閉,到因硅谷銀行危機導致的USDC穩定幣脫鉤。
簡介
總體而言,2023年第一季度相對較為平靜。損失僅為2022年同期的24%,并且相比去年第四季度的9.5億美元有了顯著下降。如果將造成第一季度超過60%損失的EulerFinance事件減去,2023年第一季度因黑客和欺詐事件所造成損失創下了Web3.0歷史中的新低。
盡管與去年同期相比,blue-chip資產的價值顯著較低,但是其價格卻在第一季度中得到了強力的復蘇。主要網絡的日交易量也在保持穩定或增長。以太坊平均每天處理約110萬筆交易,BNB鏈也在年初時扭轉了日交易量的持續下降趨勢,從225萬筆日交易的低點反彈到3月底平均近400萬筆。
來源:DuneAnalytics
值得注意的是,Arbitrum生態系統在2月底成為第一個在日交易量方面超過以太坊的L2,并且在3月份向用戶進行空投后,又引起了另一次交易量激增。第一季度,Arbitrum的安全事件造成了約426.1萬美元的損失,占據所有Web3.0區塊鏈總損失價值的1.45%。
盡管EulerFinance黑客事件是本季度規模最大的安全事件,但其中大部分資金最終被返還,削弱了此事件帶來的影響。雖然我們無法精準描繪或猜測本季度因黑客、欺詐和漏洞利用導致損失降低的原因,但其中一個很大的可能性也是因為資產價格降低,外加大眾對對Web3.0安全重要性的認識在雖然緩慢但持續地增長著。我們希望這個趨勢一直保持到第二季度乃至2023全年。
Ronin錢包新增暗黑模式和NFT轉賬功能:金色財經報道,Ronin Network宣布Ronin錢包新增暗黑模式和NFT轉賬功能。用戶可以在錢包中進行RON質押、取消質押、比較驗證節點、領取獎勵等。NFT轉賬功能現已與app.axie集成,并支持直接在通訊錄中發送NFT給聯系人。[2023/4/5 13:46:07]
Euler損失額:1.97億美元,然后"所有可復原資金"被歸還
EulerFinance是“以太坊上的一個允許用戶借出和借入幾乎任何Web3.0貨幣資產的非托管協議”。2023年3月13日,攻擊者利用閃電貸攻擊了多個EulerFinance池。他們最終盜取了大約1.97億美元。僅這一事件,就讓Web3.0在第一季度的安全事件損失總額翻了一番以上。
Euler的漏洞在于EulerPool合約中的donateToReserve函數。該函數缺乏對流動性抵押狀況的適當檢查,結果導致用戶可以自主放棄一部分杠桿存款,使資金池變得資不抵債。
此外,盡管Euler白皮書中的mint函數被描述為其價值上限是存款的19倍,但當它被多次調用時,對杠桿倍數并沒有實際控制。
攻擊流程
攻擊者從AAVE閃電貸到3000萬DAI,通過eDAI合約向Euler存入2000萬DAI,并收到2000萬eDAI。在攻擊者存入2000萬DAI之前,Euler池中的DAI余額為890萬。隨后攻擊者調用`eDAI.mint()`。該特定的`mint`功能是EuleFinancer獨有的,可允許用戶反復借款和還款。這是一種創建借貸循環的方法,其結果是帶杠桿的借貸倉位。當調用`mint`后,收到2億dDAI和1.95.6億eDAI。(注:dTokens代表債務代幣,eTokens代表抵押股權)。調用"repay",將eDAI池中的1000萬DAI償還給Euler,這就將1000萬dDAI銷毀了。隨后再次調用"mint",為攻擊合約創造另一個2億dDAI和1.956億eDAI形式的借貸倉位。此時攻擊者的倉位為:?3.9億dDAI和4億eDAI。
調用`donateToReserves`,將1億eDAI轉給Euler。由于沒有對這一行為的抵押狀況進行適當的檢查,"donate"后的攻擊者成為了“違規者”,其風險調整后負債遠超過了的抵押品價值,因此可以對其進行清算。攻擊者部署的清算人合約開始清算“違規者”,清算人員利用了平臺運作方式獲得了20%的利潤。
攻擊發生后,一個與RoninBridge攻擊有關的錢包通過鏈上信息與Euler攻擊者進行了溝通,并附上了一條加密信息以及一個“解密工具”的鏈接。這很可能是意圖從Euler攻擊者那里竊取資金的惡意軟件。
Justin Sun從Binance提取4900萬USDC存入Aave V2:金色財經報道,據PeckShieldAlert監測,鏈上標記為 Justin Sun 的地址從 Binance 提取約 4900 萬枚 USDC 并存入 Aave V2。
此前報道,北京時間15:03,近4900萬枚USDC已從幣安轉移到鏈上標記為Justin Sun的地址。[2023/3/8 12:49:34]
這是該起案件中一個耐人尋味的發展,也揭示了專業黑客在Web3.0領域中采用的多種不同戰術和策略。
3月20日,黑客在區塊鏈上發送了一條消息,宣布他們愿意進行談判。
“我們希望讓所有受影響的人都可以輕松一些解決這些問題。我們無意于保留那些不屬于我們的東西。建立安全通信,讓我們達成協議吧。”
——交易ID:0xcc73...6a1c0
攻擊事件發生兩周后,攻擊者退還了一大筆資金,將價值超過8500萬美元的55,000ETH轉回給了該協議。雖然目前尚不清楚其與Euler達成的具體協議條款,但看起來受影響的用戶們將會得到部分或全部的賠償。
雖然這起事件相比于Web3.0領域中的另外許多黑客攻擊事件,擁有了一個“皆大歡喜”的結局,但這并不意味著項目可以寄希望于黑客的“善心”。積極主動的安全防范措施至關重要,畢竟絕大部分被盜取的價值永遠不會被返還。
來源:推特
KokomoFinance和其他89起退出騙局
退出騙局的持續威脅在第一季度尤為明顯。在2023年的前三個月中,89起退出騙局從投資者那里竊取了超過3100萬美元。
退出騙局,我們俗稱的項目跑路。又被形象地稱為“拉地毯”,通常欺詐者在將項目“喂肥”之后會突然撤回項目中的大量資金并關閉項目,最終導致投資者持有的代幣失去價值。雖然有大量的統計信息呈現了多年來退出騙局的普遍性和造成的影響,但研究其特點和犯罪分子的數據和報告較少。CertiK從退出騙局開始到結束整個周期,研究了40個RugPull以便更好地了解導致其最終移除流動性的共同點和差異。通過確定項目特征并且進行定性和定量分析,我們能夠識別和分析RugPull的共同特征。
Sui Name Service已上線Sui測試網:1月31日消息,Sui生態域名服務Sui Name Service已上線Sui測試網,用戶可在測試網進行域名注冊。官網數據顯示,目前Sui Name Service獨立錢包數量已超27萬,注冊的域名數量超32萬。
此前消息,Sui的Wave 2測試網已上線,與Wave 1類似,新的測試網將運行數周,專注于測試Sui網絡的epoch管理、Gas機制、代幣經濟學和權益質押等等內容。[2023/1/31 11:38:54]
KokomoFinance是部署在Optimism上Ethereum的Layer2擴展解決方案。2023年3月26日,KokomoFinance實施退出騙局。由項目團隊控制的部署者合約實施了一個惡意合約,允許他們暫停協議的借貸功能,并將存款轉移到一個外部地址,從而導致了141wBTC遭受損失。和經典的退出騙局一樣,事后該團隊刪除了他們所有的社交媒體賬戶,項目網站也不再可訪問。
這不是第一季度最大的漏洞,也并不獨特。但是它反而代表了這類騙局的持續性:一直從Web3.0用戶那里竊取金額從而積少成多。
詐騙者多次Web3.0河塘釣魚
Web3.0和加密世界在不斷發展。而隨著這種發展,社區也開始面臨新的和更加復雜的威脅與挑戰。其中一個威脅就是假錢包的泛濫,其目的是欺騙用戶送出他們的寶貴資產。這些假錢包對Web3.0社區來說是一個持續的問題,我們需要專門的努力和研究才能識別和揭露它們。
BombFlower
CertiK發現了一個有組織的詐騙集團。該集團組織利用部署的假錢包以欺騙用戶來竊取用戶資產。由于該團體使用的特殊逃逸性反取證功能較為罕見,因此我們將其命名為BombFlower。由于該集團組織使用了檢測逃逸技術,這些假錢包移動應用程序很可能會被主流的惡意軟件檢測工具所忽略。
BombFlower集團通常將這些假錢包設計的與合法錢包非常相似,例如使用與原始網站類似的設計和布局,只在域名上有輕微的變化。以至于用戶難以區分。
假錢包包括后門,Hook鉤子技術的生成功能,直接向錢包的Javascript代碼或smali代碼中注入惡意代碼。
用戶應仔細檢查下載錢包應用程序的網站域名,并將其作為一項基本預防措施讓任何用于Web3.0貨幣交易的計算機上都運行反惡意軟件。
MonkeyDrainer
我們已經發現一些騙子利用一種俗稱為MonkeyDrainer的網絡釣魚工具包。這些網絡釣魚工具包為惡意行為者從Web3.0社區竊取資產提供了一個快捷方便的工具。這種工具包由惡意供應商出售給那些希望竊取用戶資金的潛在詐騙者,即便你對“詐騙專業”不熟悉,你也依然可以使用釣魚工具包釣到一些“獵物”。MonkeyDrainer工具包和類似的一個釣魚工具使用一種叫做“IcePhishing”的技術來欺騙用戶,騙子可以擁有無限權限來花費代幣。
自7月以來約有14%的比特幣供應量被重新分配:金色財經報道,據區塊鏈分析公司Glassnode最新報告數據顯示,自7月以來約有14%的比特幣供應量被重新分配,共有20.1%的比特幣供應商在平衡價格(1.65萬美元/BTC)和實現價格(2.11萬美元/BTC)之間被收購。與2018-19年周期結束時相比,在2022年周期中,無論是財富再分配的規模,還是最終的供應集中在底部,都要低一些。這進一步證明,要完全形成熊市底部,可能還需要更多的盤整和持續時間。不過,到目前為止發生的重新分配非常重大,當然也表明堅韌的持有人基礎正在這個范圍內積極積累比特幣。[2022/11/3 12:11:52]
IcePhishing是一種Web3.0世界獨有的攻擊類型,用戶被誘騙簽署權限,允許欺詐者直接消費用戶賬戶內的資產。這與傳統的網絡釣魚攻擊不同,后者作為一種社會工程學攻擊手段,通常用于竊取用戶數據,包括登錄憑證和錢包或資產信息,如私人鑰匙或密碼。這使得IcePhishing對Web3.0用戶具備更大的威脅,因為與DeFi協議的互動需要用戶授予權限,欺詐者只需要讓用戶相信他們所批準的惡意地址是合法的。一旦用戶批準欺詐者花費其資產,那么賬戶就有可能被盜。
用戶可以通過使用revoke.cash或Etherscan的TokenApprovalChecker這樣的網站來檢查他們所授予的權限,從而保護自己免受IcePhishing的侵害。如果有一個不被承認的地址或一個未經批準就啟動交易的地址,那么授予它的所有權限都應被撤銷。
傳統金融體系遭到打擊
美國銀行系統在第一季度的事件中顯示了諸多弊端和脆弱性,貼現窗口借貸也創下了新高,并在3月份推出了銀行定期融資計劃。硅谷銀行和簽名銀行的倒閉進一步顯示了當前金融系統的脆弱性。而Web3.0貨幣生態系統顯然在這些挑戰中更能從容應對。
增加貼現窗口借款和建立緊急備用金可謂突出了銀行系統內部持續的脆弱性,各機構也都在努力解決存款遷移和流動性問題。相比之下,Web3.0貨幣生態系統已經證明了其在這些動蕩時期有效運作的能力。例如,那些擔心SVB拉垮Circle存款的用戶可以在Web3.0貨幣的24/7市場上交易USDC,而那些愿意承擔這筆交易的用戶可以相應獲得回報。
風投機構1confirmation創始合伙人Nick Tomaino推特名改為“1492.eth”:金色財經消息,風投機構1confirmation創始合伙人Nick Tomaino將推特昵稱改為“1492.eth”,并表示1492年哥倫布開始第一次航海。同時他稱ENS是完美的NFT系列,有些人不認為ENS是NFT,但事實是它是最廣泛持有的NFT。
此前報道,6月份1confirmation推出1億美元NFT基金,該基金將直接投資NFT并擁有10年生命周期,主要專注于投資其所支持的公司的新項目,如游戲、藝術、攝影和音樂等類別的項目。[2022/9/5 13:08:41]
來源:CoinMarketCap
Web3.0貨幣生態系統的主要目標一直是建立一個去中心化、自由和公平的傳統金融替代品。通過開發更多的Web3.0貨幣原生解決方案,該行業可以與日益脆弱的傳統金融系統較為隔離開來。其中,后者往往需要政府干預和停止交易來維持穩定。
最近美國和歐洲金融系統中引起的一些事件無疑暴露了傳統銀行的弱點,而Web3.0貨幣生態系統已經證明了其較大的彈性和效率。通過減少對傳統金融的依賴,Web3.0貨幣生態系統將有機會更加繁榮,成為日益脆弱的傳統銀行系統的一個強大且去中心化的替代品。
SkynetforCommunity:概述
2023年第一季度,CertiK非常榮幸地宣布推出SkynetforCommunity,這是一個集安全、盡職調查和數據于一體的平臺,旨在提高Web3.0生態系統中的信任和透明度。該平臺致力于為社區用戶、投資者和項目團隊提供所需的工具和資源,讓他們可以輕松地調查并了解Web3.0生態系統。
由于數以千計的Web3.0項目每天都在創造數以百萬計的數據點,因此用戶很容易迷失在噪音中。SkynetforCommunity豐富的數據驅動的洞察力幫助用戶發現新的項目,對感興趣的項目進行盡職調查,并及時了解Web3.0領域的最新新聞和發展。該平臺將大量的數據匯總到Web3.0的最容易獲得的以安全為重點的盡職調查工具。無論是對可操作的鏈上數據和社交數據進行全面的盡職調查、發現最新完成智能合約審計的項目,還是挖掘最具價值的行業見解和安全最佳實踐,SkynetforCommunity均實現了流程簡化并將這些數據全部整合于一個平臺供用戶瀏覽。憑借全新設計的界面和強大的功能,SkynetforCommunity是做出明智決策以及在Web3.0生態系統中促進信任和透明度的終極工具。
SkynetforCommunity:解決方案
SkynetforCommunity的主頁默認為“探索新項目”。從這個頁面開始,你可以隨時隨地輕松檢索你感興趣的項目以及搜尋那些全新的項目。
Web3.0安全榜根據項目的安全分數和市場表現列出項目并對其進行排名。安全分數是通過一種專有算法產生的分數,該算法的計算和考量包含了項目的代碼安全、基本健康、運營彈性、社區信任、市場穩定性和治理強度。安全評分排行榜能夠讓用戶根據項目的安全狀況迅速確定表現最佳的項目,并將其與同類項目進行對比。
Web3.0KYC團隊榜則根據項目所獲取的CertiKKYC徽章狀態進行公示和排名。已通過嚴格背景調查的項目團隊將獲得CertiKKYC徽章,CertiK將根據項目團隊提供的可驗證信息和信息等級授予其KYC黃金徽章、KYC白銀徽章或KYC青銅徽章。KYC徽章會表明我們知曉項目背后的團隊并已經做過了符合CertiKKYC標準的調查和驗證,也代表項目團隊對履行合規措施的承諾。
Web3.0KOL榜根據各個KOL的影響力得分進行了排名,這一排名體現了他們作為KOL輸出的內容影響力和影響范圍。此排行榜對那些有興趣識別正在塑造Web3.0業內風向標KOL的用戶很有幫助。此外,它還提供了與KOL具備相關可能性的社區及項目概覽,讓用戶更加了解該領域的熱門及趨勢。
交易所審計分析允許用戶通過顯示其鏈上資產持有量對中心化交易所進行盡職調查。這是儲量證明驗證的第一步,也是最為關鍵的一步。
天網項目預警系統可對Web3.0貨幣領域的RugPull攻擊和漏洞事件提供第一時間的預警。該系統將實時監控各類信息來源,以識別和報告潛在的RugPull攻擊和漏洞惡意利用。用戶也可以通過“探索新項目”頁面上的“Web3.0熱門智能資金榜”訪問錢包分析器,或者點擊項目詳情頁面中代幣鏈上監控和治理與自治模塊中的任何錢包地址進行查看。
智能資金向導是智能貨幣錢包分析器功能的接入點,可以讓用戶直接搜索錢包地址并查看錢包搜索趨勢、智能資金榜及流動性交易對榜。錢包分析器提供了對錢包地址的分析,并通過顯示關鍵錢包特征、錢包之間的關系和代幣交易活動的可視化圖片,使用戶更容易解讀錢包之間的鏈上交易。
現在就來登錄SkynetforCommunity平臺,閱讀Skyneteducationhub和觀看masterclass的教學并做一個高水平的盡職調查吧!
CertiK端到端安全解決方案
在致力于保護Web3.0的道路上,CertiK開發了許多幫助項目采取端到端安全解決方案的工具。
CertiK安全排行榜讓Web3.0用戶能夠利用CertiK的審計和安全團隊的專業知識,對投資項目的安全風險有更深入的了解并做出更明智的決策,這些用戶將整個生態系統推向了新的高度。
目前CertiK安全排行榜已全面升級為安全排行榜360,為數以千計的榜上項目提供完整而即時的安全狀況“全景圖”。由于整個系統進行了全面的更新,用戶訪問和分析這些安全數據將前所未有地便捷。此外,我們還利用量化工具為個人投資者提供合理的決策建議。歡迎訪問certik.com了解詳情。
Skynet天網動態掃描系統可結合鏈上交易監測與鏈下數據,對數百個Web3.0平臺進行實時、全面的安全監測和分析。Skynet天網動態掃描系統高級版SkynetPremium由CertiK于2021年正式推出,其威脅檢測模型會通過機器學習與不斷變化的智能合約風險環境同步進化。這也意味著,隨著威脅情報庫和智能合約漏洞庫的不斷積累,這一平臺也會變得愈發先進,從而適應變化無常的智能合約風險環境。目前Skynet天網動態掃描系統已全面升級,添加了更多維度的Skynet天網信任評分及專屬于項目的項目亮點和預警等全新功能。
SkyTrace則是一種智能、直觀的追蹤工具,可幫助分析和可視化以太坊和BSC錢包的交易數據。該工具為識別和追蹤進出自己的個人錢包或項目團隊錢包的可疑流量提供了深入的分析。
CertiKKYC項目背景調查服務可為項目團隊提供身份驗證,包括使用基于AI的檢測系統進行ID真實性檢查,以確保個人身份真實并與ID相匹配。除了在身份驗證過程中進行實時有效性檢查外,CertiK還將與每個項目團隊成員進行實時視頻溝通,以驗證他們的身份和其他必要參數。由于團隊的匿名性越來越高,項目的風險行為也越來越具有可能。除此之外,CertiK安全排行榜賦予通過KYC調查的項目團隊以青銅、白銀、黃金等級的KYC徽章,最大程度上使項目團隊去匿名化,建立更完善的問責制,從而增強項目的可信度。
CertiK滲透測試是確保運行環境中Web3.0應用程序安全綜合解決方案的重要組成部分。我們的滲透測試服務由經驗豐富的道德黑客團隊通過利用專有工具來發現代碼中即便是最為微小的易受攻擊之處。
CertiK于近期推出的漏洞賞金計劃招募并遴選了一批世界頂級的白帽黑客,收集情報以在惡意行為者利用漏洞之前將其及時發現。CertiK的安全專家團隊將負責篩查和鑒定所有提交材料,并協助客戶進行正確的修復。我們的0%費用模式降低了項目團隊的支付負擔,白帽黑客可因此獲取全額賞金。
SkyHarbor提供了一個多合一的解決方案來保護和監控數字資產。憑借其先進的監控和威脅檢測系統,SkyHarbor可以快速識別系統中的任何漏洞或可疑活動,確保你的資產始終是安全的。
生態系統
CertiK的審計及端到端解決方案已覆蓋目前市面上大部分生態系統,并支持幾乎所有主流編程語言,就區塊鏈平臺、Web3.0資產交易平臺、智能合約的安全性等領域為各個生態鏈提供安全技術支持。目前與我們合作的生態系統包括:
通過與CertiK咨詢進行合作,在我們經驗豐富的分析師團隊提供包括技術評估、專有研究和戰略建議全面服務的同時,盡可能獲得Web3.0最大收益。
CertiK致力于守護Web3.0世界,將以安全數據為重心,持續分析Web3.0的安全未來及發展。助力用戶遠離“土狗”以及人為踏空,以科技賦予科技價值和載舟之路。
該報告PDF版本已收錄并生成鏈接,歡迎下載查閱。
下載方式??
復制鏈接至瀏覽器:https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn
即刻下載!
原文作者:Leo、Jaleel,BlockBeats誰能想到,在短短幾天里,募集了921個ETH被社區極度看好的新項目因合約寫錯導致資產被鎖死,募集了300個ETH的項目直接RUG.
1900/1/1 0:00:00Apr.2023,Daniel數據來源:NFTMonthlyReport三月份的NFT市場上出現了兩個有趣的趨勢.
1900/1/1 0:00:00“溫州缺兩樣東西,一是技術,二是文化。AIGC就是科技和文化雙引擎,合在一起變成一塊巨大的石頭,撲通一下砸到溫州這潭水里,一定要翻出一個水花.
1900/1/1 0:00:00原文作者:Leo,BlockBeats以太坊上海升級結束,啟用了質押提款功能,用戶質押的ETH可以贖回,意味著ETH質押將成為主流敘事,也徹底為LSD賽道鋪平道路,帶動更多的LSD賽道協議發展.
1900/1/1 0:00:00扎克伯格說,生成式人工智能“實際上將觸及我們的每一個產品”,“隨著時間的推移,這也將擴展到我們在元宇宙方面的工作,人們將更容易創造化身、物品、世界,以及將所有這些聯系起來的代碼.
1900/1/1 0:00:00前美國總統特朗普最開始或許都沒想到,原來自己在加密貨幣圈子這么受歡迎——盡管他曾經對該行業發表過不那么友好的言論.
1900/1/1 0:00:00