【#區(qū)塊鏈# #2023年全球Web3安全研究報(bào)告：各生態(tài)安全現(xiàn)狀分析#】

來源：深圳零時(shí)科技

摘要

2023年，是加密世界多元化創(chuàng)新的一年，但創(chuàng)新的背后，也發(fā)生了許多讓人咋舌的安全事件。零時(shí)科技安全團(tuán)隊(duì)發(fā)布了《2023年全球Web3行業(yè)安全研究報(bào)告》，回顧了2023年Web3行業(yè)全球政策，主要賽道所涵蓋基本概念、安全事件、損失金額和攻擊類型，并對(duì)典型安全事件進(jìn)行了詳細(xì)剖析，提出了安全預(yù)防方案和措施建議。希望幫助從業(yè)者和用戶能夠了解Web3安全現(xiàn)狀，提高網(wǎng)絡(luò)安全意識(shí)，保護(hù)好數(shù)字資產(chǎn)，做好安全預(yù)防措施。

1、2023年，全球Web3行業(yè)加密貨幣總市值最高達(dá)1.3萬億美元，受行業(yè)爆雷事件影響，相比去年最高總市值2.4萬億美元，今年有所下降，但整體資產(chǎn)數(shù)量規(guī)模正在不斷擴(kuò)大。

2、據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，2023年共發(fā)生安全事件506起，累計(jì)損失達(dá)110億美元。相比2022年，今年Web3安全事件新增110起，同比增長65.3%。

3、Web3六大主要賽道：公鏈、跨鏈橋、錢包、交易所、NFT、DeFi共發(fā)生安全事件435起，造成損失超79.83億美元。此外，新興領(lǐng)域如GameFi、DAO成為黑客頻擾的對(duì)象，詐騙和跑路事件不斷，損失嚴(yán)重。

4、2023年損失超1億美金的典型安全事件共損失32億美元，占2023年總損失金額29 %。其中典型代表有：加密交易所Bitzlato聯(lián)創(chuàng)承認(rèn)7億美元洗錢罪；VenusProtoco 利用 Binance Bridge 漏洞竊取了價(jià)值近6 億美元的BNB；跨鏈橋Wormhole遭到攻擊，約有價(jià)值3.23億美元ETH被盜；多鏈去中心化交易所 (DEX) Dfyn 漏洞被利用, 造成3億美元損失。

5、2023年，全球Web3安全事件攻擊類型多樣，從安全事件數(shù)量看，典型攻擊類型Top5為：黑客攻擊、安全漏洞、資產(chǎn)被盜、釣魚、錯(cuò)誤權(quán)限。從損失金額看，典型攻擊類型Top5為：黑客攻擊、安全漏洞、資產(chǎn)被盜、閃電貸攻擊、詐騙。

6、本年度最具有代表性的監(jiān)管案例為：朝鮮黑客組織Lazarus已成為影響Web 3社區(qū)最嚴(yán)重的APT組織。2023年，Lazarus組織造成了至少7.5億美元的損失，占2023年加密貨幣領(lǐng)域被竊總額的20%。CertiK分析了2023年五起主要的加密貨幣攻擊事件，包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx，造成了2.9億美元的損失。

一、全球Web3行業(yè)回顧與安全態(tài)勢(shì)概覽

Web3是指基于加密技術(shù)的新一代網(wǎng)絡(luò)，融合了區(qū)塊鏈技術(shù)、代幣經(jīng)濟(jì)學(xué)、去中心化組織、博弈論等多種技術(shù)和思想，由以太坊聯(lián)合創(chuàng)始人Gavin Wood在2014年提出。Web3基于區(qū)塊鏈搭建，從2008年至今，區(qū)塊鏈技術(shù)已發(fā)展15余年。Web3行業(yè)在2023年的爆發(fā)離不開區(qū)塊鏈產(chǎn)業(yè)發(fā)展多年的積淀。

從用戶視角看Web3生態(tài)，可分為基礎(chǔ)層、應(yīng)用層和第三方服務(wù)。基礎(chǔ)層以公鏈、跨鏈橋和聯(lián)盟鏈等鏈為主，為Web3提供網(wǎng)絡(luò)基礎(chǔ)設(shè)施；應(yīng)用層則以APP（中心化應(yīng)用程序）和DAPP（去中心化應(yīng)用程序）為主，即用戶常用來交互的應(yīng)用程序，包含交易平臺(tái)、錢包、DeFi、NFT、GameFi、DAO、存儲(chǔ)和社交軟件等?；A(chǔ)層和應(yīng)用層促進(jìn)了Web3生態(tài)的繁榮，但也為Web3帶來巨大的安全隱患。服務(wù)生態(tài)是Web3行業(yè)的第三方，其中媒體、教育孵化和投資機(jī)構(gòu)為行業(yè)提供助力，安全服務(wù)機(jī)構(gòu)如零時(shí)科技，是為Web3安全保駕護(hù)航不可或缺的一部分。

截至2023年12月，據(jù)CoinMarketCap數(shù)據(jù)統(tǒng)計(jì)，全球Web3行業(yè)加密貨幣總市值最高時(shí)達(dá)2.4萬億美元，受行業(yè)爆雷事件影響，相比去年最高總市值2.97萬億美元，今年有所下降。雖總市值有波動(dòng)，但整體資產(chǎn)數(shù)量規(guī)模正在不斷擴(kuò)大。由于行業(yè)創(chuàng)新節(jié)奏快、用戶安全意識(shí)薄弱、監(jiān)管有待完善、安全問題突出，Web3正在淪為黑客的“提款機(jī)”。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，2023年共發(fā)生安全事件506起，累計(jì)損失達(dá)110億美元。相比2022年，今年Web3安全事件新增116起，同比增長38%。其中公鏈、跨鏈橋、錢包、交易所、NFT、DeFi這六大主要賽道發(fā)生安全事件152起，造成損失超40.8億美元。

除了以上六大主要賽道外，其他安全事件共計(jì)354起，損失金額達(dá)69.2億美元，如新興領(lǐng)域如GameFi、DAO成為黑客頻擾的對(duì)象，詐騙和跑路事件層出不窮。隨著多個(gè)巨頭入局元宇宙與NFT，未來，鏈上資產(chǎn)規(guī)模還將持續(xù)增長，Web3網(wǎng)絡(luò)安全侵害數(shù)字可能繼續(xù)飆升。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，2023年全球Web3生態(tài)六大主要賽道中：公鏈發(fā)生安全事件13起，共計(jì)損失約2.8億美元；跨鏈橋發(fā)生安全事件18起，共計(jì)損失12.1億美元；交易所發(fā)生安全事件19起，共計(jì)損失12.08億美元；錢包發(fā)生安全事件35起，共計(jì)損失6億美元；DeFi發(fā)生安全事件21起，共計(jì)損失7.2億美元；NFT發(fā)生安全事件43起，損失超6200萬美元。

從主要賽道發(fā)生的安全事件數(shù)量來看，NFT安全事件最多，這和它成為2023業(yè)界追捧的熱門賽道脫不開關(guān)系。另一方面，由于進(jìn)入Web3行業(yè)人數(shù)的增多，錢包和DeFi成為安全事件的重災(zāi)區(qū)。從損失金額看，跨鏈橋位列第一，遭受損失最大。

2023年，從全球Web3發(fā)生的安全事件數(shù)量看，典型攻擊類型Top5為：黑客攻擊，占比47%；資產(chǎn)被盜，占比29.6%；安全漏洞，占比20.1%；釣魚攻擊，占比13.8%；錯(cuò)誤權(quán)限，占比13.4%。

從損失金額看，全球Web3安全事件典型攻擊類型Top5為：黑客攻擊，損失金額為60.5億美元；安全漏洞，損失金額48億美元；資產(chǎn)被盜，損失金額為30.4億美元；閃電貸攻擊，損失金額為12.6億美元；詐騙，損失金額7.5億美元。

值得注意的是，2023年發(fā)生的多起安全事件不只受到一種攻擊，有些事件可能同時(shí)出現(xiàn)資產(chǎn)被盜、私鑰竊取、黑客攻擊、私鑰泄漏及安全漏洞等。

注：主要攻擊類型釋義如下

資產(chǎn)被盜：虛擬幣被盜，平臺(tái)被盜

黑客攻擊：黑客等多種類型攻擊

信息泄露：私鑰泄露等

安全漏洞：合約漏洞、功能漏洞

錯(cuò)誤權(quán)限：系統(tǒng)權(quán)限設(shè)置錯(cuò)誤，合約權(quán)限錯(cuò)誤等

釣魚攻擊：網(wǎng)絡(luò)釣魚

價(jià)格操縱：價(jià)格操縱

據(jù)零時(shí)科技區(qū)塊鏈安全情報(bào)平臺(tái)監(jiān)控消息，2023年損失超1億美金的典型安全事件共損失32億美元，占2023年總損失金額29%。

二、全球Web3監(jiān)管政策

2023年，基于區(qū)塊鏈的下一代互聯(lián)網(wǎng)Web3迎來增長高峰，面對(duì)這個(gè)擁有金融科技特征的新興行業(yè)，全球政府和監(jiān)管機(jī)構(gòu)對(duì)其密切關(guān)注。Web3應(yīng)用領(lǐng)域廣泛、全球分布協(xié)作、技術(shù)含量較高，加之全球各國及其內(nèi)部各地監(jiān)管機(jī)構(gòu)對(duì)Web3產(chǎn)業(yè)發(fā)展方向和數(shù)字資產(chǎn)定義不統(tǒng)一，為全球金融監(jiān)管帶來了巨大挑戰(zhàn)。2023年金融犯罪、黑客攻擊、詐騙勒索、洗錢事件頻發(fā)，金額龐大，損失嚴(yán)重，影響廣泛。為確保Web3的安全性和合規(guī)性，各國紛紛出臺(tái)監(jiān)管政策。

從全球?qū)eb3整體的監(jiān)管政策來看，投資者保護(hù)和反洗錢(AML）是全球共識(shí)，對(duì)加密貨幣交易所的接受和監(jiān)管，各國差異較大。美國國會(huì)議員提出“確保Web3發(fā)生在美國”，正加速監(jiān)管創(chuàng)新；歐盟各國政策較為明確和積極；日本、新加坡、韓國受2023暴雷事件影響，監(jiān)管趨嚴(yán)；中國大陸依舊鼓勵(lì)區(qū)塊鏈技術(shù)應(yīng)用，嚴(yán)禁金融機(jī)構(gòu)和支付組織參與虛擬貨幣交易和非法集資，加大加密貨幣犯罪事件打擊。中國香港則全面扶持虛擬資產(chǎn)發(fā)展，實(shí)施牌照制；阿聯(lián)酋在全球最為積極，擁抱加密貨幣資產(chǎn)。對(duì)于NFT、穩(wěn)定幣、DeFi、資產(chǎn)協(xié)議和DAO領(lǐng)域，全球正處于監(jiān)管探索狀態(tài)。

三、2023年Web3各生態(tài)安全現(xiàn)狀

Web3是一個(gè)比較特殊的行業(yè)，最突出的特點(diǎn)就是涉及大量數(shù)字加密資產(chǎn)的管理，動(dòng)輒千萬上億的資產(chǎn)全部存在鏈上，通過一個(gè)特有的私鑰來確權(quán)，誰掌握了這個(gè)私鑰，誰就是資產(chǎn)的主人。如果生態(tài)中某一應(yīng)用或協(xié)議被黑客攻擊，就可能造成巨額損失。隨著生態(tài)的快速發(fā)展，各種新型攻擊手法和詐騙手段層出不窮，整個(gè)行業(yè)在安全的邊緣中博弈前進(jìn)。零時(shí)科技安全團(tuán)隊(duì)對(duì)Web3存在的攻擊類型進(jìn)行了觀察統(tǒng)計(jì)，目前主要有以下攻擊類型對(duì)Web3安全造成威脅：APT攻擊、社工釣魚、供應(yīng)鏈攻擊、閃電貸攻擊、智能合約攻擊、Web端漏洞攻擊、零日（0day）漏洞、網(wǎng)絡(luò)詐騙。

接下來，我們將從基礎(chǔ)設(shè)施公鏈、跨鏈橋，應(yīng)用端APP和DAPP的代表：交易平臺(tái)、錢包、DeFi、NFT，監(jiān)管重地反洗錢，web3安全教育角度，來解析2023年Web3各生態(tài)安全現(xiàn)狀，解讀攻擊事件，并針對(duì)每個(gè)生態(tài)給出相應(yīng)的安全措施建議。

1、公鏈－Web3生態(tài)安全的命脈

公鏈?zhǔn)荳eb3行業(yè)的基礎(chǔ)設(shè)施，承載著整個(gè)行業(yè)的協(xié)議、應(yīng)用及資產(chǎn)記賬，隨著業(yè)內(nèi)對(duì)公鏈性能、互操作、兼容性、擴(kuò)容的旺盛需求，多鏈發(fā)展迸發(fā)呈強(qiáng)勁勢(shì)頭，安全問題，刻不容緩。

根據(jù)零時(shí)科技不完全統(tǒng)計(jì)數(shù)據(jù)，截至2023年12月，目前公鏈有194條。以公鏈生態(tài)應(yīng)用數(shù)量來看，據(jù)rootdata數(shù)據(jù)，Ethereum，應(yīng)用2203個(gè)，Polygon，應(yīng)用數(shù)1301個(gè)，BNB Chian，應(yīng)用數(shù)1239個(gè)，穩(wěn)居前三，Solana、Avalanche、ICP等新公鏈緊追其后呈現(xiàn)快速增長趨勢(shì)。

以公鏈生態(tài)市值來看，據(jù)coingecko數(shù)據(jù)，以太坊、BNB Chain、Solana 生態(tài)分別以3343億美元、477億美元、420億美元位居前三。當(dāng)前，公鏈生態(tài)總市值已超萬億美元，如此龐大的資金誘惑，讓黑客對(duì)其虎視眈眈。

截至2023年12月，據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，公鏈賽道發(fā)生安全事件13起，累計(jì)損失資產(chǎn)金額超2.8億美元。

從數(shù)量來看，公鏈的攻擊類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、閃電貸攻擊和詐騙，其對(duì)應(yīng)占比為：46.1%、30.7 %、23%、15.4%、15.4%。從損失金額來看，黑客攻擊造成損失最高，為1.67億美元，占比60.1%；安全漏洞造成損失位居第二，為1.31億美元，占比46.7%。（注：部分項(xiàng)目遭受多種類型攻擊）

據(jù)零時(shí)科技區(qū)塊鏈安全情報(bào)平臺(tái)監(jiān)控消息，下圖為部分2023公鏈攻擊的典型案例：

公鏈安全風(fēng)險(xiǎn)及措施建議

零時(shí)科技安全團(tuán)隊(duì)分析，公鏈安全風(fēng)險(xiǎn)主要來自以下三點(diǎn)：

1）技術(shù)復(fù)雜性：涉及技術(shù)領(lǐng)域多，安全風(fēng)險(xiǎn)點(diǎn)多。

2）開發(fā)人員不確定性：代碼由開發(fā)者所寫，過程難免出現(xiàn)漏洞。

3）開源漏洞透明性：公鏈代碼開源，黑客發(fā)現(xiàn)漏洞更為便利。

零時(shí)科技安全團(tuán)隊(duì)對(duì)公鏈安全建議，有以下四點(diǎn)：

1）主網(wǎng)上線前，針對(duì)公鏈各風(fēng)險(xiǎn)點(diǎn)，需要設(shè)立豐富的安全機(jī)制：

在P2P和RPC方面，需要注意劫持攻擊，拒絕服務(wù)攻擊，權(quán)限配置錯(cuò)誤等；

在共識(shí)算法及加密這塊，需要注意51%攻擊，長度擴(kuò)展攻擊等；

在交易安全方面，需要注意假充值攻擊，交易重放攻擊，惡意后門等；

在錢包安全方面，需要注意私鑰的安全管理，資產(chǎn)的安全監(jiān)控，交易的安全風(fēng)控等；

在公鏈項(xiàng)目的相關(guān)工作人員方面，需要有良好的安全意識(shí)，辦公安全，開發(fā)安全等常識(shí)。

2）進(jìn)行源代碼和智能合約審計(jì)，確保彌補(bǔ)原則性和明顯的漏洞：

源代碼審計(jì)可以是全量代碼，也可以是部分模塊。零時(shí)科技安全團(tuán)隊(duì)擁有一套完整的公鏈安全測(cè)試標(biāo)準(zhǔn)，采用人工+工具的策略對(duì)目標(biāo)代碼的安全測(cè)試，使用開源或商業(yè)代碼掃描器檢查代碼質(zhì)量，結(jié)合人工安全審計(jì)，以及安全漏洞驗(yàn)證。支持所有流行語言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。

3）主網(wǎng)上線后，進(jìn)行實(shí)時(shí)安全檢測(cè)，預(yù)警系統(tǒng)風(fēng)險(xiǎn)；

4）發(fā)生黑客事件后，及時(shí)通過溯源分析，找出問題所在，減少未來發(fā)生攻擊可能性；迅速源追蹤監(jiān)控?fù)p失流向，盡可能找回資產(chǎn)。

2、跨鏈橋－黑客的新型提款機(jī)

跨鏈橋，也稱區(qū)塊鏈橋，連接兩條區(qū)塊鏈，允許用戶將加密貨幣從一條鏈發(fā)送到另一條鏈?？珂湗蛲ㄟ^在兩個(gè)獨(dú)立平臺(tái)之間啟用代幣轉(zhuǎn)移、智能合約和數(shù)據(jù)交換以及其他反饋和指令來進(jìn)行資金跨鏈操作。

截至2023年 12月 ，根據(jù)Dune Analytics 數(shù)據(jù)統(tǒng)計(jì)，以太坊中主要跨鏈橋的鎖定總價(jià)值（TVL）約65億美元。當(dāng)前TVL最高的是Polygon Bridges，為29.9億美元，Aritrum Bridge緊跟其后，為20.4 億美元，Optimism Bridges排名第三，為10 億美元。

隨著區(qū)塊鏈及鏈上程序的增長，多鏈資金轉(zhuǎn)換需求迫切，跨鏈橋的協(xié)同特征可以讓各區(qū)塊鏈發(fā)揮更大的協(xié)同潛力，跨鏈橋?yàn)橛脩籼峁┍憷耐瑫r(shí)，也為黑客提供了另一扇大門。由于跨鏈橋傳遞資產(chǎn)的特性，其鎖定、鑄造、銷毀及解鎖等流程環(huán)節(jié)一旦出現(xiàn)問題，就會(huì)威脅到用戶資產(chǎn)安全。貌似并不復(fù)雜的跨鏈資金轉(zhuǎn)移操作，但在多個(gè)跨鏈橋項(xiàng)目中，不同步驟均發(fā)生過安全漏洞。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，截至12月，跨鏈橋因受到攻擊發(fā)生安全事件18起，累計(jì)損失資產(chǎn)金額為12.1億美元。

2023年，發(fā)生安全事件損失Top5的跨鏈橋?yàn)椋篐armony、Wormhole、MultiChain、Aave fork、HECO，分別損失金額為：3.5億美元、3億美元、2.1億美元、1.5億美元和1億美元。

從安全事件發(fā)生的數(shù)量看，跨鏈橋攻擊的類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、錯(cuò)誤權(quán)限和閃電貸攻擊，分別占比61%、33%、28%、17%和11%。從損失金額來看，黑客攻擊占比最大，為55%；資產(chǎn)被盜次之，占比29%；安全漏洞占比14%，位居第三。

下圖為部分2023年典型跨鏈橋攻擊案例：

跨鏈橋安全風(fēng)險(xiǎn)及措施建議

零時(shí)科技安全團(tuán)隊(duì)從跨鏈橋多次攻擊事件中得出，跨鏈之前和簽名處攻擊較多，存在官方馬虎大意造成的被盜事件。對(duì)于越來越多的跨鏈項(xiàng)目及項(xiàng)目合約安全，零時(shí)科技給出以下安全措施建議：

1）項(xiàng)目上線前對(duì)合約進(jìn)行安全審計(jì)；

2）合約調(diào)用接口需要嚴(yán)格排查其適配性；

3）版本更新時(shí)需要對(duì)相關(guān)接口及簽名安全進(jìn)行重新評(píng)估；

4）需要對(duì)跨鏈簽名者進(jìn)行嚴(yán)格審查以保證簽名不被惡意人員控制。

3、交易平臺(tái)－巨額誘惑之源

Web3的交易平臺(tái)也稱數(shù)字貨幣交易所或加密貨幣交易所，是區(qū)塊鏈行業(yè)的重要組成部分，為不同數(shù)字貨幣之間，數(shù)字貨幣與法定貨幣之間的交易提供服務(wù)，同時(shí)也是數(shù)字貨幣定價(jià)和流通的主要場(chǎng)所。

據(jù)coingecko數(shù)據(jù)，截至2023年12月，加密貨幣交易所共有887個(gè)，其中中心化交易所有224個(gè)，24小時(shí)總交易量為80 億美金；去中心化交易所有663個(gè)，24小時(shí)總交易量為37 億美金；衍生產(chǎn)品交易所94個(gè)，24小時(shí)交易量為1.93萬億美金。

數(shù)據(jù)顯示，24小時(shí)交易量排名前10名的交易所分別為：Binance、Bybit、Coinbase Exchange、OKX、MEXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中Binance以24交易量135.95億穩(wěn)居第一。

交易量排名前10名的去中心化交易所分別為：Uniswap V3（Ethereum）、Orca、Uniswap V3（Arbitrum One）、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3（Ethereum）、THORWallet DEX、THORSwap 、Raydium、Ferro Protocol，其中Uniswap以一己之力占據(jù)前十名多位。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)，計(jì)2023年，加密貨幣交易所發(fā)生安全事件19起，累計(jì)損失資產(chǎn)金額超12億美元。

據(jù)零時(shí)科技區(qū)塊鏈安全威脅情報(bào)平臺(tái)數(shù)據(jù)統(tǒng)計(jì)，2023年，發(fā)生安全事件損失Top6的交易平臺(tái)為：Curve，Coinbase, OKX，Platypus Finanace, Uniswap，Coins.ph ，損失金額分別為4.4億美元，3.6億美元，1.8億美元，1億美元，6000萬美元和4000萬美元。

以各交易平臺(tái)安全事件損失分布來看，Couve占比36.6%，CoinBase占比30%，Platypus Finanace占比15%，位居前三。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，從安全事件數(shù)量來看，交易平臺(tái)的攻擊類型主要為黑客攻擊安全漏洞、資產(chǎn)被盜、釣魚攻擊、閃電貸攻擊，分別占比59%、31.8%、27%、9%、9%。從損失金額大小分布來看，黑客攻擊占據(jù)59%，為安全事件主要類型，安全漏洞占比40%，資產(chǎn)被盜占比33.3%。

下圖為部分2023年交易所安全事件典型案例：

交易平臺(tái)安全風(fēng)險(xiǎn)及措施建議

回顧以往所有交易所的安全事件，零時(shí)科技安全團(tuán)隊(duì)認(rèn)為，從一個(gè)交易平臺(tái)整體安全架構(gòu)來看，交易平臺(tái)面臨的安全風(fēng)險(xiǎn)主要有：開發(fā)、服務(wù)器配置、運(yùn)維、團(tuán)隊(duì)安全意識(shí)、內(nèi)部人員、市場(chǎng)以及供應(yīng)鏈風(fēng)險(xiǎn)。

零時(shí)科技安全團(tuán)隊(duì)曾出版《區(qū)塊鏈安全入門與實(shí)戰(zhàn)》，其中對(duì)加密貨幣交易平臺(tái)的安全問題進(jìn)行了全面、細(xì)致的分析。包括滲透測(cè)試的步驟，如信息收集、社會(huì)工程等，還介紹了各種攻擊面，如業(yè)務(wù)邏輯、輸入輸出、安全配置、信息泄露、接口安全、用戶認(rèn)證安全、App安全等。

對(duì)于交易所安全風(fēng)險(xiǎn)，零時(shí)科技安全團(tuán)隊(duì)給出如下措施建議：

從交易平臺(tái)角度：

1）培養(yǎng)內(nèi)部人員的安全意識(shí)，加強(qiáng)交易所的生產(chǎn)環(huán)境、測(cè)試環(huán)境和調(diào)試環(huán)境安全隔離，盡量使用專業(yè)的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。

2）通過與專業(yè)安全公司展開合作，進(jìn)行代碼審計(jì)、滲透測(cè)試，了解系統(tǒng)是否存在隱性漏洞和安全風(fēng)險(xiǎn)，建立完善和全面的安全防護(hù)機(jī)制。日常運(yùn)營中，進(jìn)行定期安全測(cè)試，加強(qiáng)安全加固工作。

3）升級(jí)賬戶的密鑰結(jié)構(gòu)及風(fēng)控措施，建立適當(dāng)?shù)亩嘀睾灻荑€結(jié)構(gòu)并建立嚴(yán)格的風(fēng)險(xiǎn)控制及檢測(cè)預(yù)警機(jī)制，加強(qiáng)后端冷熱錢包安全加固，比如控制轉(zhuǎn)賬頻率、大額轉(zhuǎn)賬、冷熱錢包隔離等。

由于大部分用戶除了使用交易所進(jìn)行交易外，更多時(shí)候充當(dāng)錢包存儲(chǔ)數(shù)字資產(chǎn)。

因此，從用戶角度：

1）不要隨意安裝未知來源的軟件。

2）電腦服務(wù)器應(yīng)避免打開不必要的端口，相應(yīng)漏洞應(yīng)及時(shí)打補(bǔ)丁，主機(jī)建議安裝有效可靠的殺毒或其他安全軟件，在WEB瀏覽器上安裝挖礦腳本隔離插件等。

3）不要隨意點(diǎn)擊陌生人發(fā)的不明鏈接。

4、 錢包－加密資產(chǎn)管理之傷

Web3的錢包即區(qū)塊鏈數(shù)字錢包，也稱加密貨幣錢包或數(shù)字資產(chǎn)錢包，是存儲(chǔ)和管理、使用數(shù)字貨幣的工具，在區(qū)塊鏈領(lǐng)域有舉足輕重的地位，是用戶接觸數(shù)字貨幣的入口。如今，隨著生態(tài)的發(fā)展，數(shù)字錢包已經(jīng)成為多鏈多資產(chǎn)的管理平臺(tái)。

據(jù)零時(shí)科技區(qū)塊鏈安全威脅情報(bào)平臺(tái)數(shù)據(jù)統(tǒng)計(jì)，截至2023年12月，數(shù)字錢包項(xiàng)目數(shù)量共有153個(gè)。據(jù) Blockchain.com數(shù)據(jù)統(tǒng)計(jì)，2023 年全球有超過 4 億人在使用加密資產(chǎn)。其中擁有加密錢包的用戶在 2022 年達(dá)到 8100 萬，而到 2023 年 11 月加密錢包用戶數(shù)已經(jīng)達(dá)到2.21 億，數(shù)量呈指數(shù)級(jí)增長。

作為Web3的入口，錢包早已成為黑客眼中的“香餑餑”。據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，2023年，數(shù)字錢包發(fā)生安全事件35起，累計(jì)損失資產(chǎn)金額超6億美元。

2023年，被攻擊損失Top5的錢包安全事件主要來自：BitKeep、Solana、Cropto.com 、Transit、Bable Finanace，分別損失金額為：2億美元、1.3億美元、1.2億美元、1億美元和4000萬美元。其中BitKeep被攻擊損失金額最高。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，從安全事件數(shù)量來看，數(shù)字錢包的攻擊類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、釣魚攻擊和詐騙，分別占比44.9%、35.5%、27%、13.4%、9.8%。攻擊占比最高，居于首位。

其中各主要攻擊類型對(duì)應(yīng)的安全事件損失占比分別為：黑客攻擊造成損失最高，占比48.2%；安全漏洞造成損失其次，占比41%；資產(chǎn)被盜損失位列第三，占比28%。

錢包被攻擊，一般分為兩種情況。一種是機(jī)構(gòu)的錢包，另外一種是個(gè)人錢包。

數(shù)字錢包安全風(fēng)險(xiǎn)及措施建議

經(jīng)零時(shí)科技安全團(tuán)隊(duì)分析，區(qū)塊鏈數(shù)字錢包存在多種形式，主要面臨的安全風(fēng)險(xiǎn)包括但不限于如下幾方面：

機(jī)構(gòu)端方面：運(yùn)行環(huán)境的安全風(fēng)險(xiǎn)、網(wǎng)絡(luò)傳輸?shù)陌踩L(fēng)險(xiǎn)、文件存儲(chǔ)方式的安全風(fēng)險(xiǎn)、應(yīng)用自身的安全風(fēng)險(xiǎn)、數(shù)據(jù)備份的安全風(fēng)險(xiǎn)等。

用戶端方面：面臨私鑰丟失或被盜：如偽裝客服騙取私鑰、黑客通過錢包升級(jí)定向攻擊收集用戶助記詞等信息、發(fā)送惡意二維碼引導(dǎo)客戶轉(zhuǎn)賬盜取資產(chǎn)、通過攻擊客戶存儲(chǔ)信息的云平臺(tái)盜取私鑰/助記詞、惡意軟件、空投欺騙、網(wǎng)絡(luò)釣魚、其他釣魚（預(yù)售、APP下載、中簽陷阱）等風(fēng)險(xiǎn)。

面對(duì)這些風(fēng)險(xiǎn)如何保護(hù)錢包安全？

從機(jī)構(gòu)端，零時(shí)科技安全團(tuán)隊(duì)建議：

無論是中心化還是去中心化錢包， 軟件錢包還是硬件錢包在安全性方面必須有充分的安全測(cè)試，針對(duì)數(shù)字錢包的安全審計(jì)，零時(shí)科技安全團(tuán)隊(duì)包括但不限于如下測(cè)試項(xiàng)：

1、網(wǎng)絡(luò)和通信安全測(cè)試.網(wǎng)絡(luò)節(jié)點(diǎn)應(yīng)達(dá)到及時(shí)發(fā)現(xiàn)和抵抗網(wǎng)絡(luò)攻擊的功能；

2、錢包運(yùn)行環(huán)境安全.錢包能夠?qū)Σ僮飨到y(tǒng)進(jìn)行已知重大漏洞進(jìn)行檢測(cè)，虛擬機(jī)檢測(cè)，完整性檢測(cè)；數(shù)字錢包需具有第三方程序劫持檢測(cè)功能，防止第三方程序劫持錢包盜取相關(guān)用戶信息。

3、錢包交易安全.錢包發(fā)出的所有交易必須進(jìn)行簽名，簽名時(shí)必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內(nèi)存中解密后的私鑰，防止內(nèi)存中的私鑰被竊取而泄漏等。

4、錢包日志安全.為了方便用戶進(jìn)行審計(jì)錢包操作行為，防止異常操作和未授權(quán)的操作，需記錄錢包的操作日志，同時(shí)錢包日志必須通過脫敏處理，不得含有機(jī)密信息。

5、節(jié)點(diǎn)接口安全審計(jì).接口需要對(duì)數(shù)據(jù)進(jìn)行簽名，防止黑客對(duì)數(shù)據(jù)被篡改；接口訪問需要添加token認(rèn)證機(jī)制，防止黑客進(jìn)行重放攻擊；節(jié)點(diǎn)接口需要對(duì)用戶連接速率進(jìn)行限制，防止黑客模擬用戶操作進(jìn)行CC攻擊。

對(duì)用戶端，零時(shí)科技安全團(tuán)隊(duì)建議：

1)做好私鑰存儲(chǔ)措施：如私鑰盡量手抄和備份，或使用云平臺(tái)和郵件等社交網(wǎng)絡(luò)傳輸或存儲(chǔ)私鑰。

2)使用強(qiáng)密碼，并且盡可能開啟兩步驗(yàn)證MFA（或2FA），時(shí)刻保持安全意識(shí)提高警惕。

3)在更新程序版本時(shí)注意驗(yàn)證 hash 值。安裝殺毒軟件，并盡可能使用防火墻。監(jiān)視你的賬戶/錢包，確認(rèn)沒有惡意交易。

4)其中硬件錢包適合數(shù)字資產(chǎn)額度較大，需要更高安全保護(hù)等級(jí)的用戶。通常的建議是使用軟件錢包保存自己的小額資產(chǎn)，供日常使用，硬件錢包保存大額資產(chǎn)，這樣可以實(shí)現(xiàn)便利性和安全性兼?zhèn)洹?/p>

如果資金被盜怎么辦？

如果發(fā)生無意的授權(quán)操作，在資金未被盜之前，盡快將錢包資金轉(zhuǎn)出，并且取消授權(quán)；如果已經(jīng)發(fā)生授權(quán)之后的資金被盜或者私鑰被盜資金轉(zhuǎn)移情況，請(qǐng)立即聯(lián)系零時(shí)科技安全團(tuán)隊(duì)進(jìn)行資產(chǎn)追蹤。

5、 DeFi－Web3安全重災(zāi)區(qū)

DeFi全稱：Decentralized Finance，一般翻譯為分布式金融或去中心化金融。DeFi項(xiàng)目大體分為五類：預(yù)言機(jī)、DEX、抵押借貸、穩(wěn)定幣資產(chǎn)、合成衍生品。

TVL全稱：Total Value Locked 即總鎖定價(jià)值。用戶所抵押的資產(chǎn)總值，是衡量DeFi生態(tài)發(fā)展的最重要指標(biāo)之一，通常TVL增長代表項(xiàng)目發(fā)展的越好。

零時(shí)科技區(qū)塊鏈安全威脅情報(bào)平臺(tái)數(shù)據(jù)統(tǒng)計(jì)，截至2023年12月，DeFi項(xiàng)目共計(jì)1297個(gè)。據(jù)DeFi Llama 數(shù)據(jù)顯示，DeFi 總鎖倉價(jià)值達(dá)到390.51 億美元規(guī)模。其中以太坊占比58.59%，以230.2億美元的 TVL排名第一，其次是Tron，占比11.1%，以40.36億美元的TVL排名第二，BSC緊追其后，占比10.47%，以40.12億美元TVL排名第三。許多新興公鏈如Avalanche、Ploygon、Optimism 等通過擁抱 DeFi 快速發(fā)展鏈上生態(tài)，也吸引了 大量用戶和資金沉淀。

DeFi突出的智能合約安全問題已成為DeFi行業(yè)的最大挑戰(zhàn)。此外，沒有任何DeFi 服務(wù)商或監(jiān)管機(jī)構(gòu)可以退回錯(cuò)誤轉(zhuǎn)移的資金。當(dāng)黑客在智能合約或 DeFi 服務(wù)的其他方面發(fā)現(xiàn)漏洞盜取用戶資產(chǎn)時(shí)，也不一定有 DeFi 服務(wù)商來賠償投資者，加之很多隱秘互連的問題，可能引起一連串的金融事故。

根據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，截至2023年12月 ，共發(fā)生DeFi安全事件24起，累計(jì)損失資產(chǎn)金額超7.2億美元。

以各生態(tài)發(fā)生的DeFi安全事件數(shù)量分布來看，Ethereum生態(tài)分別發(fā)生6起，占比均為25%，位列第一，BSC（BNB Chian）共發(fā)生5起，占比20%，占比均為24%，位列第二，Solana生態(tài)發(fā)生3起，占比15%，位列第三。

以各DeFi發(fā)生安全事件損失分布來看，排名前三的公鏈生態(tài)是，Ethereum生態(tài)DeFi事件損失金額超2.16億美元，占比30%，位列第一；Solana位列第二，損失金額1.44億美元，占比20%；BNB Chain位列第三，損失金額為1.3億美元，占比18%。由此可見，生態(tài)越是活躍，越受到黑客關(guān)注，損失也最為突出。

據(jù)零時(shí)科技數(shù)據(jù)統(tǒng)計(jì)，從DeFi攻擊類型來看，主要為：黑客攻擊、資產(chǎn)被盜、閃電貸攻擊和安全漏洞。其中各主要攻擊類型對(duì)應(yīng)的安全事件數(shù)量分布占比分別為：黑客攻擊占比50%，居于首位；安全漏洞占比29%，位居第二；資產(chǎn)被盜占比20%，位居第三；閃電貸攻擊占比 16%， 位居第四。

從主要攻擊類型損失分布來看，黑客攻擊造成損失最高，占比48.6%，資產(chǎn)被盜次之，占比34.7%，安全漏洞位列第三，占比43%。

DeFi安全風(fēng)險(xiǎn)及措施建議

DeFi項(xiàng)目面對(duì)多重安全風(fēng)險(xiǎn)，從群體來分，分別為項(xiàng)目端（協(xié)議執(zhí)行）和用戶端；從安全種類來分，分別為各協(xié)議之間組合性的安全，包括組合之間的一些缺陷、智能合約安全、開源的安全，高收益伴隨著高風(fēng)險(xiǎn)，缺乏監(jiān)管等導(dǎo)致的一些安全問題。

從安全審計(jì)角度看，DeFi項(xiàng)目面臨的風(fēng)險(xiǎn)見下圖：

從協(xié)議執(zhí)行過程，DeFi風(fēng)險(xiǎn)包括：智能合約攻擊風(fēng)險(xiǎn)、經(jīng)濟(jì)激勵(lì)中的設(shè)計(jì)問題、保管風(fēng)險(xiǎn)、原協(xié)議的重新構(gòu)建、缺乏隱私等風(fēng)險(xiǎn)。

從用戶角度，DeFi用戶面臨的風(fēng)險(xiǎn)有：技術(shù)風(fēng)險(xiǎn)：智能合約存在漏洞，受到安全性攻擊；流動(dòng)性風(fēng)險(xiǎn)：平臺(tái)的流動(dòng)性耗盡；密鑰管理風(fēng)險(xiǎn)：平臺(tái)的主私鑰可能被盜取。安全意識(shí)風(fēng)險(xiǎn)：被釣魚，遇到套利跑路欺詐項(xiàng)目等。

零時(shí)科技安全團(tuán)隊(duì)建議，作為項(xiàng)目方和用戶，可以從以下四點(diǎn)應(yīng)對(duì)風(fēng)險(xiǎn)：

1）項(xiàng)目方在上線DeFi項(xiàng)目時(shí)，一定得找專業(yè)的安全團(tuán)隊(duì)去做全面的代碼審計(jì)，而且盡可能地找多家共同審計(jì)，盡可能多地發(fā)現(xiàn)項(xiàng)目設(shè)計(jì)缺陷，以免在上線之后出現(xiàn)不必要的損失。

2）建議用戶參與這些項(xiàng)目投資時(shí)一定要做好把關(guān)，要對(duì)這個(gè)項(xiàng)目有一定的了解，或者是看它有沒有經(jīng)過安全審計(jì)后再上線。

3）增加個(gè)人安全意識(shí)，包括上網(wǎng)的行為和資產(chǎn)保存以及錢包使用等習(xí)慣，養(yǎng)成良好的安全意識(shí)習(xí)慣。

4）項(xiàng)目高收益高風(fēng)險(xiǎn)，參與需謹(jǐn)慎，不懂項(xiàng)目，盡量不參與，避免造成損失。

6、 NFT－釣魚攻擊的池塘

NFT是Non-Fungible Token的簡稱，是基于區(qū)塊鏈的非同質(zhì)化代幣，同時(shí)它是存儲(chǔ)在區(qū)塊鏈上的一種獨(dú)特的數(shù)字資產(chǎn)，常作為虛擬商品所有權(quán)的電子認(rèn)證或憑證，可以購買或出售。

根據(jù)NFTScan數(shù)據(jù)，截至12月31日，已收錄的NFT項(xiàng)目4624個(gè)，共計(jì)1,476,479,394個(gè)NFT。當(dāng)前NFT總市值達(dá)到256億美元，持有者達(dá)到473.38萬人。從各類項(xiàng)目市值分布來看，PFP（Picture for proof），即個(gè)人資料圖片類NFT市值遙遙領(lǐng)先，這也是目前使用場(chǎng)景最多的NFT，其次是收藏品。從目前八大主流公鏈上看NFT資產(chǎn)和合約，Polygon在資產(chǎn)和合約數(shù)上遙遙領(lǐng)先。

從交易規(guī)模來看：在24小時(shí)內(nèi)按銷量排名前 10 位的NFT交易平臺(tái)中，Blur排名第一，OKX NFT緊跟其后，OpenSea排名第三。從交易商來看，24小時(shí)內(nèi)按交易者、買家和賣家數(shù)量排名前 10 的市場(chǎng)中，Blur位列第一，OKX NFT排名第二、OpenSea排名第三。

隨著NFT價(jià)值凸顯，黑客也盯上了這塊肥肉。盡管目前整個(gè)加密市場(chǎng)正經(jīng)歷著劇烈的震蕩下行趨勢(shì)，但NFT的熱度不減。

據(jù)零時(shí)科技不完全統(tǒng)計(jì)，截至2023年12月，NFT賽道發(fā)生安全事件共計(jì)44起，累計(jì)損失資產(chǎn)金額約為6200萬美元。

從NFT賽道的攻擊類型來看，主要為：黑客攻擊、安全漏洞、資產(chǎn)被盜、釣魚攻擊和，對(duì)應(yīng)安全事件數(shù)量占比分別為50%、35%、25%、23%。

從NFT主要攻擊類型損失金額占比看，黑客攻擊造成損失最多，占比50%；資產(chǎn)被盜次之，占比30%；安全漏洞居于第三，占比30%。

NFT安全風(fēng)險(xiǎn)及措施建議

目前在NFT賽道，黑客攻擊方式多種多樣。以群體來分，面臨風(fēng)險(xiǎn)的對(duì)象一般為平臺(tái)和用戶。

對(duì)于中心化平臺(tái)端，可能面臨的安全風(fēng)險(xiǎn)有：賬號(hào)風(fēng)險(xiǎn)、商業(yè)化競(jìng)爭風(fēng)險(xiǎn)、安全意識(shí)風(fēng)險(xiǎn)、內(nèi)部人員風(fēng)險(xiǎn)、市場(chǎng)風(fēng)險(xiǎn)等。

對(duì)于用戶端，Discord攻擊成為今年的主要攻擊手法。

對(duì)于以上安全風(fēng)險(xiǎn)，零時(shí)科技安全團(tuán)隊(duì)給出以下措施建議：

對(duì)于普通用戶，保護(hù)好自己的Discord，需要注意以下幾點(diǎn)：確保密碼足夠安全，使用字母數(shù)字特殊字符創(chuàng)建長的隨機(jī)密碼；開啟2FA身份驗(yàn)證，密碼雖然本身足夠復(fù)雜但是不能依靠一個(gè)方式來保護(hù)；不要點(diǎn)擊來自未知發(fā)件人或看起來可疑的鏈接，考慮限制誰可以與您私信；不要下載程序或復(fù)制/粘貼你不認(rèn)識(shí)的代碼；不要分享或屏幕共享你的授權(quán)令牌；不要掃描任何來自你不認(rèn)識(shí)的人或你無法驗(yàn)證其合法性的QR碼。

對(duì)于服務(wù)器所有者：審核您的服務(wù)器權(quán)限，尤其是對(duì)于 WebHook 等更高級(jí)別的工具；進(jìn)行任何更改時(shí)，請(qǐng)保持官方服務(wù)器邀請(qǐng)更新并在所有平臺(tái)上可見，尤其是當(dāng)大多數(shù)新服務(wù)器成員來自Discord 以外的社區(qū)時(shí)；同樣，不要點(diǎn)擊可疑或未知的鏈接！如果賬戶遭到入侵，可能會(huì)對(duì)管理的社區(qū)產(chǎn)生更大的影響。

對(duì)于項(xiàng)目：建議合約應(yīng)嚴(yán)格判斷用戶輸入購買數(shù)量合理性；建議合約限制零資金購買NFT的可能性；建議對(duì)于ERC721及ERC1155協(xié)議的NFT Token進(jìn)行嚴(yán)格區(qū)分，避免混淆情況發(fā)生假冒Discord官方案例。目前多個(gè)聊天軟件均會(huì)發(fā)現(xiàn)惡意 mint 鏈接，也有不少用戶資金被盜，為了避免此類盜幣事件，建議大家在進(jìn)行mint 操作時(shí)，驗(yàn)證鏈接來源可靠性，同時(shí)確保實(shí)際簽署交易的內(nèi)容和預(yù)期相符。

7、安全教育-Web3安全盾牌

知名的搜狐全體員工遭遇工資補(bǔ)助釣魚郵件詐騙案例讓很多企業(yè)認(rèn)識(shí)到，網(wǎng)絡(luò)安全意識(shí)如果不提高，未來面臨的商業(yè)機(jī)密等各項(xiàng)安全事件勢(shì)必會(huì)影響企業(yè)發(fā)展。Web3去中心化自組織的參與方式，讓個(gè)人意識(shí)到，如果不提高安全意識(shí)，就會(huì)淪為黑客的提款機(jī)。

目前市場(chǎng)已經(jīng)有電視劇、電影、社區(qū)等多種方式來提高個(gè)人的網(wǎng)絡(luò)安全意識(shí)，零時(shí)科技也在各平臺(tái)布道了上百篇網(wǎng)絡(luò)安全知識(shí)。

除此外，零時(shí)科技也自研了安全意識(shí)評(píng)估管理平臺(tái)，主要面向包括政府、公安、教育、金融、電力等對(duì)網(wǎng)絡(luò)安全意識(shí)有需求的行業(yè)機(jī)構(gòu)，網(wǎng)絡(luò)安全意識(shí)評(píng)估平臺(tái)以網(wǎng)絡(luò)釣魚技術(shù)為基礎(chǔ)，幫助企業(yè)構(gòu)建私有云化的網(wǎng)絡(luò)安全意識(shí)評(píng)估管理平臺(tái)，集成理論系統(tǒng)、釣魚演練、主機(jī)檢測(cè)、管理考核、場(chǎng)景定制的系統(tǒng)，實(shí)現(xiàn)企業(yè)持續(xù)系統(tǒng)化提升全員網(wǎng)絡(luò)安全意識(shí)。除此之外，基于零時(shí)科技安全團(tuán)隊(duì)的專業(yè)實(shí)力，也為企業(yè)網(wǎng)絡(luò)安全咨詢和培訓(xùn)服務(wù)，從源頭堅(jiān)實(shí)安全盾牌。

結(jié)語

Web3因其巨大的創(chuàng)新能力和開源優(yōu)勢(shì)成為蓬勃發(fā)展的新一代網(wǎng)絡(luò)基礎(chǔ)設(shè)施，為整個(gè)互聯(lián)網(wǎng)世界帶來更加可信，可傳遞價(jià)值的生態(tài)系統(tǒng)。盡管Web3行業(yè)安全事件不斷，黑客和犯罪分子各種手法層出不窮，但這并不能阻礙Web3行業(yè)的健康發(fā)展。

相反，如同對(duì)弈的雙方，Web3世界的“白帽子”，像我們零時(shí)科技一樣的安全機(jī)構(gòu)，一定會(huì)為這一繁茂的生態(tài)保駕護(hù)航，守護(hù)新世界用戶的資產(chǎn)，與黑客斗智斗勇，為建立起更加完善的機(jī)制、更強(qiáng)的技術(shù)系統(tǒng)、更加安全交易而不斷努力。

漏洞常在，安全無價(jià)，發(fā)展與安全的博弈不會(huì)停止，但愿我們都能為自己裝上一個(gè)安全盾，來應(yīng)對(duì)這未來復(fù)雜的技術(shù)世界！