根据SharkTeam链上安全分析平台ChainAegis数据，2023年第二季度Web3领域共发生了超过228起安全事件，损失金额累计超过3.07亿美元。在新的季度中，Web3安全事件依旧呈现高发态势，较上一季度（211起）上涨约8.05%，但损失资金较上一季度（3.83亿美元）下降了19.79%。

在本季度中，合约漏洞类安全事件明显上涨，同比上涨64%，环比上涨105%。SharkTeam在此提醒项目方要重视对合约的审计，以免造成不必要的损失。

Rug Pull事件和其他类安全事件与上一季度数量上变化不大。安全事件类型呈现多样性，黑客攻击手段依旧花哨，攻击方法层出不穷，望广大用户在面对投资项目时万不能掉以轻心。

在第二季度中，合约漏洞事件发生比例较上一季度明显上涨。

一、 合约漏洞

2023年第二季度因合约漏洞造成的安全事件共41起，累计造成超过7,419.69万美元的资金损失。

6月11日，Floating Point Group (FPG)遭到攻击，损失超过2000万美元，是本季度因合约漏洞损失最严重的一起安全事件。

4月13日，Yearn Finance遭黑客攻击，损失金额约为1160万美元，为本季度由合约漏洞引起的损失排名第二的事件。此次攻击的原因在于攻击者利用yUSDT合约被错误设置了fulcrum地址，从而操控yUSDT合约中的稳定币储备余额，通过在yUSDT中存入USDT，以获得大量的非预期的yUSDT代币进行获利。本季度其他因合约漏洞造成的安全事件损失具体如下：

2023年第二季度合约安全漏洞包括：权限漏洞、逻辑漏洞、重入攻击、价格操控及其他。由逻辑漏洞造成的安全事件占比依旧最高，达54%，较上一季度涨幅达175%。2023年5月6日，DEUS的稳定币DEI合约存在burn逻辑漏洞，攻击者已获利约630万美元。逻辑漏洞在合约安全审计阶段是可以被发现的，项目方应该选择更专业的第三方专业审计机构进行审计，减少因合约漏洞造成的损失。

权限漏洞指合约在检查授权时存在纰漏，使得攻击者在获得低权限用户账户后，利用一些方式绕过权限检查，窃取更高的操作权限。2023年第二季度因权限漏洞造成损失的安全事件占比7%。6月15日，Hashflow遭遇与授权有关的攻击，损失金额约为41万美元。

闪电贷攻击事件仍旧时有发生，造成较大影响的攻击手法主要有闪电贷+治理攻击、闪电贷+价格操纵攻击、闪电贷+重入攻击等。在本季度中价格操控类与重入攻击类合约漏洞事件占比均为10%。6月12日，DeFi借贷协议Sturdy遭黑客攻击，损失约$770,000，黑客使用了闪电贷+价格操纵的攻击手段。5月20日，Tornado.Cash遭受闪电贷+治理攻击，攻击者获利约68万美元。

二、 Rug pull

2023年第二季度Rug pull事件共有31起，累计造成超过1,518.83万美元的资金损失。建构在Arbitrum生态上的项目XIRTAM，是一个无需KYC的声誉建立平台，主张透过XIRTAM系统以匿名和去中心化方式一步步建立数字声誉，同时用户参与XIRTAM上的活动可获得奖励。该项目方在5月3号Rug Pull，部署者窃取了约1,909ETH的用户资金，是本季度损失最严重的一起Rug pull事件。此外，本季度Swaprum、Merlin及$KOKO损失金额均超过150万美元。

项目方诈骗主要集中于ETH链，部分发生在BSC链上，少数事件发生在Arbitrum和其他平台上。

三、 其他风险

2023年第二季度其他类型的安全事件共发生了156起，其中服务器遭攻击发生78起，占比最大达50%，较上一季度增长了12%。其次为钓鱼攻击，累积发生50起，占比32%，较上一季度减少了16%。其他事件较上月略有增长，如热钱包被盗、NFT被盗、版税漏洞、交易应用程序被破坏等等。黑客诈骗手段不断更新，涉及领域愈发广泛，在进行项目投资时，仍要小心提防，避免因小失大。

4月14日，数字资产交易平台Bitrue发推称在一个热钱包中发现漏洞，攻击者已盗取价值约2300万美元的ETH、MATIC等。

4月20日，@aidogenft是伪造官方ArbDoge AI的虚假账户，正在发布钓鱼链接hxxps\://aidoge.me/。

5月20日，美国司法部公告称，一名内华达州男子因涉嫌参与CoinDeal而受到指控，CoinDeal是一项投资欺诈计划，骗取了10,000多名受害者超过4500万美元。

5月31日，LSD协议unshETH合约的其中一个部署私钥被泄露。出于谨慎起见，官方紧急暂停了unshETHETH的提款。

6月14日，Atomic Wallet用户在黑客攻击中已遭受超过1亿美元的损失。这是自一年前Horizon Bridge遭受1亿美元攻击以来的首次重大加密货币盗窃事件。

6月12日，瑞士政府表示，联邦行政机构遭受DDOS攻击。一些网站和应用程序不可用。

6月16日，@ShellProtocol Discord服务器遭攻击。

不断变化和丰富的攻击手段反映出黑客、诈骗分子的欺诈和入侵手段正在不断演进。因此，用户对风险更要时刻保持敬畏，杜绝贪婪和侥幸心理，时刻保持警惕，避免资产损失。

About Us

SharkTeam的愿景是全面保护Web3世界的安全。团队由来自世界各地的经验丰富的安全专业人士和高级研究人员组成，精通区块链和智能合约的底层理论，提供包括智能合约审计、链上分析、应急响应等服务。已与区块链生态系统各个领域的关键参与者,如Polkadot、Moonbeam、polygon、OKC、Huobi Global、imToken、ChainIDE等建立长期合作关系。

官网：https://www.sharkteam.org

Twitter：<https://twitter.com/sharkteamorg>

Discord：<https://discord.gg/jGH9xXCjDZ>

Telegram：<https://t.me/sharkteamorg>