2022年10月Web3.0领域发生超40起重大黑客攻击事件 平均损失接近千万美元

2022年至今,Web3.0领域因欺诈骗局与漏洞所导致的安全事件已造成约28亿美元的损失,今年共有508起攻击事件记录在案。

9月记录的攻击事件为28起,10月则共记录了40起大型攻击事件,平均损失为724.5万美元,攻击事件数量与上月相比有明显上升,增幅达42.8%。

虽然10月大型攻击事件有所增加,但退出骗局略见下降,共有25起事件记录,损失总额约为628万美元,而在9月发生了26起退出骗局,共计损失706万美元。

继4月之后,10月的闪电贷攻击共发生16起,位列本年度闪电贷攻击事件数量第二。虽然攻击数量明显增加,但其所造成的损失金额与其他月份相比有所下降,为156万美元。在过去两个月中,Discord及相关骗局数量明显减少,10月共记录了35起事件,而8月和9月分别有97起和57起。在10月记录的68起漏洞事件中,25起已确认是退出骗局,16起为闪电贷攻击,27起被归于其他类别。

大型攻击事件

10月发生的大型攻击事件共造成约2.9亿美元损失,比9月增长了61%,也成为了今年第6个因大型攻击事件而损失超2.5亿美元的月份。与前月损失的2.5亿美元一样,10月份的大部分损失来源于损失最大的两起攻击事件。

10月最大的攻击事件是Mango Markets攻击事件。黑客强行操纵了Mango项目价格,并以约合1.16亿美元的价格将其出售。随后黑客利用刚刚获得的MNGO提交了一份提案,以此保留了价值约4000万美元的资产。与其说这是一起智能合约漏洞事件,不如说是一起金融骗局。

退出骗局

10月发生的25起已确认退出骗局共计造成约628万美元损失,攻击数量与9月持平,但损失金额比9月下降了10.7%。本年度有6个月的退出骗局损失在600万美元至800万美元之间,因此可以看出10月628万美元的损失金额接近本年度平均值。

其中最大的一起退出骗局是JumpN事件。JumpN项目跑路卷走了总价值约310万美元资产,其先后在10月8日和11日分别转走了110万美元和200万美元。CertiK曾在今年5月发布一条预警推文,提醒用户注意JumpN可能是蜜罐陷阱,当时已有很多社区报告称其项目资产已很难售出。

与前几个月相似,本月也发现了多起未被计入月度统计的洗钱事件,这些日常事件全都具有潜在的洗钱成分。

闪电贷攻击

10月事故频发,闪电贷攻击也不例外,其数量达到了本年度最高的16起,其次是4月的12起。然而,10月因闪电贷攻击而造成的损失总金额较低,为156万美元,与9月相比减少了35.5%。所以这也是个总体状况良好的月份,但闪电贷攻击数量的明显增长仍然令人担忧。

10月份与今年其他月份之间的差异在于其是今年迄今为止唯一一个所有攻击事件的平均损失金额低于10万美元的月份,为9.8万美元。从整年度所发生的闪电贷攻击状况来看,2021年共记录约48起闪电贷攻击事件,如今2022年还剩下两个月,却已经记录了82起事件。

最主要的闪电贷攻击发生在EFLever Vault。2022年10月14日,黑客向EFLever Vault合约中存入了0.1枚ETH,随后从Balancer Vault借入一笔闪电贷至EFLever。接着黑客试图提取这笔微小存款并清空了EFLever的全部余额,包括560枚ETH闪电贷。最终损失约为268枚ETH,当时价值约34.8万美元。

闪电贷攻击仍然是2022年总攻击损失的最大元凶,将可能导致1.82亿美元以上的损失,Beanstalk Farms所遭受的闪电贷攻击有目共睹,因此必须对此保持警惕。从现有趋势来看,损失金额正在减少,但攻击数量明显增加了。

根据目前数据,2022年由于闪电贷攻击造成的损失总额预计为4.1亿美元。自上次9月份的预测以来下降了4.3万美元(约9.5%),这也显示出了闪存贷攻击的获利速度正在持续减缓。

Discord及相关骗局

10月的Discord服务器遭攻击的事件记录继续呈下降趋势。9月记录在案的Discord攻击事件为57个,与8月的97个相比已有显著下降,如今在10月只有35个

这一现象的部分原因是在10月12日,五名法国诈骗犯成功被捕。其中名为“Mathys”和“Camille”的两名骗子涉嫌参与了价值数百万美元的非同质化Token盗窃案,其中包括大量Bored Ape非同质化Token。

另外值得注意的是,在钓鱼骗局中,非同质化Token批准转账的方法发生了轻微改变。在Metamask更新之前,对于批准交易的授权非常明确,钓鱼网站会直接要求用户批准一项交易,从而允许骗子转移资产。在这些交易中,骗子的钱包会被清楚显示出来。

但在过去两个月内发生了转变,因为Metamask不提供任何关于用户签名的详细信息,所以如今钓鱼网站转而要求用户批准签名。

这一变化使得骗子的钱包地址得到保密,用户也更难识别钓鱼钱包了。虽然Discord攻击事件总体有所下降,但很多规模较大的钓鱼骗局仍时有出现。10月25日,一个名为“Monkey Drainer”的诈骗者通过在Twitter发布的钓鱼链接,成功从受害者身上骗取了700多枚ETH。

写在最后

总体而言,10月是今年大型攻击事件发生率中排名第五高的月份,损失总额约为2.9亿,占2022年总损失的10.2%。

Mango MarketTransit Finance、JumpN和Moola Market这类大型骗局以及其他漏洞事件占据了其中的绝大部分损失。

如今保卫Web3.0领域的安全比以往任何时候都更为重要,CertiK智能安全审计KYC服务不仅有助于确保协议的安全,还能将普通投资者们引向更加安全可信的项目。

24小时热点

“PAXG数字黄金”实为诈骗资金盘

最近很多朋友咨询“PAXG数字黄金”这个项目,其实到了现在这 ...

68585

非小号

以太坊现货ETF获批或将推动ETH大幅上涨

美国证券交易委员会(SEC)批准以太坊现货交易所交易基金(E ...

13413

波场区块链浏览器

热点专题

NFT艺术品到底是什么?

Beeple,“EVERYDAYS: THE FIRST 5 ...

2318557

Opera House

最全的NFT发展史

当我们理解一个新生事物,必须要首先了解其起源,通过对其源头以 ...

1752801

iBox

“华英会”诈骗圈钱5000亿!崩盘后将会凄惨无比

“华英会”崩盘的预警已多次发出,尽管尚未正式宣布崩盘,但大家 ...

1328854

Magic Eden

什么是IDO?这种模式会带来怎样的影响?

要理解IDO(Initial DeFi Offering)初 ...

1158056

Bitstamp交易所

链圈百科:韩国政府机构组织图

一、行政院 韩国行政院是一个由政府的行政机构组成的中央政府 ...

1045720

BitKeep钱包

有黑客采取新型 USDT 假充值手法

根据慢雾区情报,有黑客采取新型 USDT 假充值手法,黑客采 ...

1015812

区块链博客

元宇宙平台合法吗

现在,元宇宙平台备受热捧,但有人质疑其合法性。在此,我们将对 ...

988901

T网

4种利用永续合约资金费率套利的策略

下文将介绍在保持市场中立的条件下,如何从永续掉期资金费率中套 ...

948964

DCG区块链孵化器

国内NFT平台是怎么赚钱的?

2021年被称为NFT的“元年”,互联网巨头、各大企业、艺术 ...

813235

CoinBene满币网

宝二爷郭宏才的乘风破浪之旅

10年后的比特币会涨到10万美元吗?宝二爷说过:“先吹吹牛B ...

727516

QuillAudits