SharkTeam：2022年度Web3安全报告

SharkTeam
更新于 2023-01-16 16:46
阅读 1875

根据SharkTeam链上分析平台ChainAegis数据，2022年Web3领域共发生了431起安全事件，平均每天发生1.2起，损失金额总计38亿美元。总的来看，2022年全年Web3安全事件仍呈高发态势，年增长率为59.09%，整体形式仍十分严峻。2022年度，合约漏洞与RugPull事件

根据SharkTeam链上分析平台ChainAegis数据，2022年Web3领域共发生了431起安全事件，平均每天发生1.2起，损失金额总计38亿美元。总的来看，2022年全年Web3安全事件仍呈高发态势，年增长率为59.09%，整体形式仍十分严峻。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/6c3cRh0s63c500739160a.png!/scale/50)
2022年度，合约漏洞与Rug Pull事件占比持平，均为27%，其他类型事件占比46%，安全事件类型呈多样性，黑客攻击手段错综复杂，用户需要增强自身安全意识，对所参与项目需进行尽职调查，避免上当受骗。同时，项目方不可掉以轻心，应加强对合约安全的审计力度，避免因合约漏洞造成不必要的损失。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/BPRvs84v63c50067ed86c.png!/scale/50)
# 一、合约漏洞
2022年因合约漏洞造成的安全事件共116起，据ChainAegis链上数据统计，2022年因合约漏洞累计造成超过17亿美元的资金损失。10月7日，BSC Token Hub遭遇黑客攻击。据统计，有5.66亿美元BNB被盗，是2022年因合约漏洞造成资产损失最严重的一起安全事件。4月17日，Beanstalk Farms遭到黑客攻击，损失超过4.5亿人民币。2月3日，跨链协议Wormhole遭黑客攻击，累计损失达12万枚ETH（约3.2亿美元）。此外，ChainAegis还统计了因合约漏洞造成损失超过1000万美元的安全事件，具体如下：

![image.png](https://img.learnblockchain.cn/attachments/2023/01/R4ZJS7eA63c5005f1194f.png!/scale/50)
2022年合约安全漏洞包括：逻辑漏洞、重入攻击、权限漏洞、价格操控及其他。2022年由逻辑漏洞造成的安全事件占比38%，2月8日，以太坊上的DeFi协议Superfluid遭黑客攻击，损失超1300万美元，此次攻击事件是由于逻辑漏洞引起的。逻辑漏洞在合约安全审计阶段是可以被发现的，项目方应该选择更专业的第三方专业审计机构进行审计，减少因合约漏洞造成的损失。
权限漏洞指合约在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，窃取更高的操作权限。2022年因权限漏洞造成损失的安全事件占比18%，Wormhole合约在铸币的过程中缺乏签名验证或者攻击者可以绕过验证进行铸币，就属于权限漏洞。
闪电贷攻击事件仍旧时有发生，造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等等。价格操控与重入攻击事件占比分别为12%，16%。5月21日，bDollar项目遭到价格操控攻击，攻击者获利2381 WBNB（价值约73万美元）；3月5日，BaconProtocol遭受黑客攻击损失约958,166美元，此次攻击便是利用重入漏洞，并凭借闪电贷扩大收益额。其他类型事件占比16%，如Beanstalk Farms事件（提案攻击）。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/9hCVe8On63c5004c23663.png!/scale/50)
# 二、Rug pull
2022年Rug pull事件共有112起，累计造成超过4亿美元的资金损失。其中损失金额最大的是DeFi AI项目，11月14日Rug pull，损失金额4000万美元。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/fJXMBdkU63c5003d8a2b5.png!/scale/50)
项目方诈骗仍主要集中于BSC链，部分发生在ETH链上，少数事件发生在Polygon和其他平台上。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/eq2DMwE963c5002fd3820.png!/scale/50)
# 三、其他风险
2022年其他类型的安全事件共发生了203起，其中服务器攻击占比最大，为50%，主要分布在下半年，9月份数量最多，占比全年18.7%，12月次之。钓鱼攻击占比16%，排名第二，每个月分布较为均匀。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/O5pmIc4r63c4fd2a0dc22.png!/scale/50)

![image.png](https://img.learnblockchain.cn/attachments/2023/01/y9pk3Nhr63c4feddad565.png!/scale/50)
3月18日，NFT项目Rare Bears官方Discord服务器遭攻击。
3月29日，Axie Infinity侧链Ronin发文表示验证者节点遭入侵，17.36万枚ETH和2550万USDC被盗，总金额约合6.2亿美元。
5月5日，Cronos生态DEX MM.Finance遭到攻击，黑客利用DNS漏洞从用户那里窃取超过200万美元的CRO Token。
6月9日，http://mint-samsung.com 是一个钓鱼网站。该钓鱼网站冒充三星(Samsung)铸造网 
站盗取了VeeFriends Series 2 #44451 NFT。
8月14日，Acala发文称黑客攻击系iBTC/aUSD池配置错误，相关被盗资产已被禁止转移。
8月25日，“胖企鹅”Pudgy Penguins 出现冒名推特账户@pudgypinguins 和钓鱼欺诈网站 pudgypengun-lcb[.]com，目前已有22枚NFT被盗，包括VeeFriends和Pudgy Penguins系列NFT。
11月2日，加密衍生品交易平台Deribit发布公告称其热钱包被盗，资金损失2800万美元。此次事件是由私钥保管不当引起的。
不断变化和丰富的攻击手段反映出黑客、诈骗分子的欺诈和入侵手段正在不断演进。因此，用户对风险更要时刻保持敬畏，杜绝贪婪和侥幸心理，时刻保持警惕，避免资产损失。
# About Us
SharkTeam的愿景是全面保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约的底层理论，提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。

![image.png](https://img.learnblockchain.cn/attachments/2023/01/92yI4X4f63c4fd21a4d1a.png!/scale/50)
Twitter：https://twitter.com/sharkteamorg 
Discord：https://discord.gg/jGH9xXCjDZ  
Telegram：https://t.me/sharkteamorg 
更多区块链安全咨询与分析，点击下方链接查看
D查查|链上风险核查https://m.chainaegis.com

2022年度，合约漏洞与Rug Pull事件占比持平，均为27%，其他类型事件占比46%，安全事件类型呈多样性，黑客攻击手段错综复杂，用户需要增强自身安全意识，对所参与项目需进行尽职调查，避免上当受骗。同时，项目方不可掉以轻心，应加强对合约安全的审计力度，避免因合约漏洞造成不必要的损失。

一、合约漏洞

2022年因合约漏洞造成的安全事件共116起，据ChainAegis链上数据统计，2022年因合约漏洞累计造成超过17亿美元的资金损失。10月7日，BSC Token Hub遭遇黑客攻击。据统计，有5.66亿美元BNB被盗，是2022年因合约漏洞造成资产损失最严重的一起安全事件。4月17日，Beanstalk Farms遭到黑客攻击，损失超过4.5亿人民币。2月3日，跨链协议Wormhole遭黑客攻击，累计损失达12万枚ETH（约3.2亿美元）。此外，ChainAegis还统计了因合约漏洞造成损失超过1000万美元的安全事件，具体如下：

2022年合约安全漏洞包括：逻辑漏洞、重入攻击、权限漏洞、价格操控及其他。2022年由逻辑漏洞造成的安全事件占比38%，2月8日，以太坊上的DeFi协议Superfluid遭黑客攻击，损失超1300万美元，此次攻击事件是由于逻辑漏洞引起的。逻辑漏洞在合约安全审计阶段是可以被发现的，项目方应该选择更专业的第三方专业审计机构进行审计，减少因合约漏洞造成的损失。权限漏洞指合约在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，窃取更高的操作权限。2022年因权限漏洞造成损失的安全事件占比18%，Wormhole合约在铸币的过程中缺乏签名验证或者攻击者可以绕过验证进行铸币，就属于权限漏洞。闪电贷攻击事件仍旧时有发生，造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等等。价格操控与重入攻击事件占比分别为12%，16%。5月21日，bDollar项目遭到价格操控攻击，攻击者获利2381 WBNB（价值约73万美元）；3月5日，BaconProtocol遭受黑客攻击损失约958,166美元，此次攻击便是利用重入漏洞，并凭借闪电贷扩大收益额。其他类型事件占比16%，如Beanstalk Farms事件（提案攻击）。

二、Rug pull

2022年Rug pull事件共有112起，累计造成超过4亿美元的资金损失。其中损失金额最大的是DeFi AI项目，11月14日Rug pull，损失金额4000万美元。

项目方诈骗仍主要集中于BSC链，部分发生在ETH链上，少数事件发生在Polygon和其他平台上。

三、其他风险

2022年其他类型的安全事件共发生了203起，其中服务器攻击占比最大，为50%，主要分布在下半年，9月份数量最多，占比全年18.7%，12月次之。钓鱼攻击占比16%，排名第二，每个月分布较为均匀。

3月18日，NFT项目Rare Bears官方Discord服务器遭攻击。 3月29日，Axie Infinity侧链Ronin发文表示验证者节点遭入侵，17.36万枚ETH和2550万USDC被盗，总金额约合6.2亿美元。 5月5日，Cronos生态DEX MM.Finance遭到攻击，黑客利用DNS漏洞从用户那里窃取超过200万美元的CRO Token。 6月9日，http://mint-samsung.com 是一个钓鱼网站。该钓鱼网站冒充三星(Samsung)铸造网站盗取了VeeFriends Series 2 #44451 NFT。 8月14日，Acala发文称黑客攻击系iBTC/aUSD池配置错误，相关被盗资产已被禁止转移。 8月25日，“胖企鹅”Pudgy Penguins 出现冒名推特账户@pudgypinguins 和钓鱼欺诈网站 pudgypengun-lcb[.]com，目前已有22枚NFT被盗，包括VeeFriends和Pudgy Penguins系列NFT。 11月2日，加密衍生品交易平台Deribit发布公告称其热钱包被盗，资金损失2800万美元。此次事件是由私钥保管不当引起的。不断变化和丰富的攻击手段反映出黑客、诈骗分子的欺诈和入侵手段正在不断演进。因此，用户对风险更要时刻保持敬畏，杜绝贪婪和侥幸心理，时刻保持警惕，避免资产损失。

About Us

SharkTeam的愿景是全面保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约的底层理论，提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。

Twitter：https://twitter.com/sharkteamorg Discord：https://discord.gg/jGH9xXCjDZ
Telegram：https://t.me/sharkteamorg 更多区块链安全咨询与分析，点击下方链接查看 D查查|链上风险核查https://m.chainaegis.com