2024年Q3,Web3领域因黑客攻击、钓鱼诈骗和项目方Rug Pull造成的总损失达到了7.3亿美元。其中主要攻击事件23起,总损失金额约4.3亿美元;项目方Rug Pull事件3起,总损失约424万美元;钓鱼诈骗总损失金额约2.95亿美元。
钓鱼造成的损失大幅上涨,攻击与Rug Pull相比上半年持续下降。
从被攻击项目类型来看,损失最高的项目类型为CEX,3次针对CEX的攻击共造成了约2.97亿美元的损失,约占所有攻击损失金额的40.6%。
从各链损失金额来看,Ethereum依旧为损失金额最高、攻击事件最多的链。21次Ethereum上的攻击与钓鱼事件造成了3.48亿美元的损失,约占总损失的47.6%。
从攻击手法来看,Q3共发生5次私钥泄露事件,造成损失达到了3.05亿美元,约占总攻击损失金额的41.7%,是占比最高的攻击类型。
从资金流向来看,仅约有1690万美元被盗资金被冻结或追回。绝大部分(约78.9%)被盗资金仍存储在攻击者的链上地址。
从审计情况来看,被攻击的项目中,经过审计的项目方比例有所增加。
2024年Q3,损失最高的项目类型为CEX,3次针对CEX的攻击共造成了约2.97亿美元的损失,占所有攻击损失金额的40.6%。CEX安全事件虽然次数不多,但每次被盗金额都巨大,凸显了当前交易所生态的安全态势不容乐观。
紧随其后损失排在第二位的受害者类型为用户钱包。8次针对用户钱包的钓鱼与社会工程学攻击对普通用户造成了约2.95亿美元的损失,占比约40.3%。和2024年上半年相比,Q3针对普通用户的攻击和造成的损失有了大幅增加。
23起黑客攻击事件中,共有12起事件发生在DeFi领域,占比约52.1%,是攻击次数最多的项目类型,这12次DeFi攻击事件共导致了超过4560万美元的损失,排在所有项目类型的第四位。
其他被攻击的项目类型还包括:基础设施、代币等。其中针对公链及跨链桥的攻击造成的损失金额达8500万美元,排在所有项目类型的第三位。
和2024上半年相同的是,在Q3,Ethereum依旧是损失金额最高的公链。21次Ethereum上的攻击与钓鱼事件造成了3.48亿美元的损失,占到了总损失的47.6%。
损失金额排名第二的公链为BTC,共计损失2.38亿美元,约占总损失的32.5%。BTC损失金额来自于一次针对某巨鲸地址的社会工程学攻击。
损失金额排名第三的公链为Luna(6500万美元),攻击者利用了ibc-hooks超时回调中的重入漏洞对Luna进行了攻击。
按照安全事件数量排名,前两名分别为Ethereum(21次)、BNB Chain(4次)。各链生态的安全事件数量较上半年有所下降。
2024年Q3,共发生5次私钥泄露事件,造成损失达到了3.05亿美元,约占总攻击损失金额的41.7%。和上半年相同,私钥泄露事件造成的损失依旧是所有攻击类型的第一位。造成较大损失的私钥泄露事件有:WazirX(2.3亿美元)、BingX(4500万美元)、Indodax(2200万美元)。
损失金额排名第二的攻击手法为社会工程学攻击,1次社会工程学攻击造成损失2.38亿美元。
23起攻击事件中,有18起来自合约漏洞利用,占比约78%。合约漏洞利用总损失达1.28亿美元,排名第三。
按照漏洞细分,造成损失前三名的漏洞分别为:重入漏洞(9346万美元)、业务逻辑漏洞(约209万美元)、校验漏洞(1001万美元)。出现次数最高的漏洞为业务逻辑漏洞,18起合约漏洞攻击中有7次是业务逻辑漏洞。
据Beosin KYT反洗钱平台分析显示,2024年Q3被盗的资金中,仅有1690万美元被盗资金被冻结或追回。该比例较上半年年显著下降。
约有5.77亿美元(约78.9%)的被盗资金还保留在黑客地址。随着全球监管机构反洗钱力度的加大,黑客清洗赃款变得更加困难,因此相当一部分黑客选择暂时将盗取资金保留在链上地址。
约有1.02亿美元的被盗资金转入了各交易所,占比约13.9%,该比例高于2024上半年。
共有3471.3万美元(5.4%)转入了混币器。和上半年相比,2024年Q3通过混币器清洗的被盗资金再次大幅减少。
2024年Q3,23起攻击事件里,有4起事件的项目方没有经过审计,16起事件的项目方经过了审计。经过审计的项目方比例高于上半年,这表明整个Web3行业项目方对安全的重视程度有所提高。
4个没有经过审计的项目中,合约漏洞事件占了3起(75%)。16个经过审计的项目中,合约漏洞事件占了11起(68.75%)。两者整体比例大致相当。和上半年相比,2024年整体安全审计质量有所下滑。
和2023年同期相比,2024年Q3因黑客攻击、钓鱼诈骗、项目方Rug Pull造成的总损失略有下降,达到了7.3亿美元(2023年Q3这一数字为8.89亿美元)。2024年Q3币价下跌等因素对总金额的减少有一定的影响,但总体而言,Web3安全领域形势依旧不容乐观。
和上半年相同,2024 Q3造成危害最大的攻击类型依旧为私钥泄露。约41.7%的损失金额来自私钥泄露事件。从项目类型来看,私钥泄露事件遍布于Web3各个领域:游戏平台、代币合约、个人钱包、基础设施、交易所等。各个Web3项目方/个人用户都需要提高警惕,离线存储私钥、使用多重签名、谨慎使用第三方服务、对特权员工进行定期安全培训。
Q3仅有5.4%的被盗资产转入了各类混币器,另外有78.9%的资产还保留在黑客地址,这进一步说明了黑客清洗赃款难度的增加。
Q3依旧有13.9%的被盗资金转入了各交易所,这需要交易所及时识别黑客行为,积极配合执法机构和项目方冻结资金和进行调证。目前交易所和执法机构、项目方、安全团队的合作已经有了较为明显的成果,相信未来会有更多被盗资金能够追回。
Q3的23起攻击事件中,依然有18起来自合约漏洞利用,建议项目方在上线前寻求专业的安全公司进行审计。
墨染苍穹
回复Web3安全形势依然严峻,私钥泄露依然是主要威胁,需要用户和项目方共同提高警惕。
雨夜回忆
回复感谢分享Web3安全事件分析报告!虽然总损失金额略有下降,但钓鱼诈骗的损失大幅上涨,针对普通用户的攻击事件也明显增多,这需要所有参与者提高警惕,做好安全防范。希望未来能看到更多被盗资金能够追回。
流光溢彩
回复感谢分享 Web3 安全领域 Q3 的数据报告。数据显示,虽然总损失较上半年有所下降,但私钥泄露问题依然严峻,需要用户和项目方共同提高安全意识。希望未来能看到更多合作和创新,共同构建更加安全的 Web3 生态。
风中飘零
回复感谢分享详细的Web3安全现状报告!数据显示,尽管总损失略有下降,但钓鱼攻击和私钥泄露造成的损失依然很高。CEX和用户钱包依然是主要受害者。看来Web3的安全问题依然不容忽视,需要加强安全意识和技术防范。
云水禅心
回复Web3安全形势依然严峻,钓鱼攻击造成损失大幅上涨。CEX和用户钱包成为主要受害者。私钥泄露依旧是最大威胁,需要各方重视安全措施。
流年若水
回复Web3安全形势依旧不容乐观,私钥泄露依然是主要攻击方式,项目方和用户都要提高安全意识。
暮色孤影
回复感谢分享Web3领域的安全状况分析!数据显示今年Q3损失金额略有下降,但私钥泄露仍然是主要攻击类型。项目方和用户都需要提高安全意识,加强安全防范措施。
星空中的传说
回复Web3安全形势依旧严峻,尤其私钥泄露风险高,项目方需提高安全意识,用户也要加强安全防范。
流光溢彩
回复Web3安全形势依然严峻,尤其私钥泄露问题,提醒大家提高警惕,做好安全防护。
流光溢彩
回复Web3安全形势依然严峻,私钥泄露依然是主要攻击手段,CEX的安全问题也值得关注。希望未来Web3安全领域能够加强安全意识和措施,降低损失。