5、 DeFi－Web3安全重灾区

DeFi全称：Decentralized Finance，一般翻译为分布式金融或去中心化金融。DeFi 项目大体分为五类：预言机、DEX、抵押借贷、稳定币资产、合成衍生品。

TVL全称：Total Value Locked 即总锁定价值。用户所抵押的资产总值，是衡量DeFi生态发展的最重要指标之一，通常TVL增长代表项目发展的越好。

零时科技区块链安全威胁情报平台数据统计，截至2022年12月，DeFi项目共计1297个。据 DeFi Llama 数据显示，DeFi 总锁仓价值达到 390.51 亿美元规模。其中以太坊占比58.59%，以230.2亿美元的 TVL排名第一，其次是Tron，占比11.1%，以40.36亿美元的TVL排名第二，BSC紧追其后，占比10.47%，以40.12亿美元TVL排名第三。许多新兴公链如Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态，也吸引了 大量用户和资金沉淀。

DeFi突出的智能合约安全问题已成为DeFi行业的最大挑战。此外，没有任何 DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时，也不一定有 DeFi 服务商来赔偿投资者，加之很多隐秘互连的问题，可能引起一连串的金融事故。

根据零时科技数据统计，截至2022年12月 ，共发生DeFi安全事件25起，累计损失资产金额超5.93亿美元。

以各生态发生的DeFi安全事件数量分布来看，Ethereum和BSC（BNB Chian）生态分别发生6起，占比均为24%，并列第一，Solana生态发生3起，占比12%，位列第二。

以各DeFi发生安全事件损失分布来看，排名前三的公链生态是，Ethereum生态DeFi事件损失金额超4.38亿美元，占比74%，位列第一；Terra位列第二，损失金额9000万美元，占比15%；Solana位列第三，损失金额为1354万美元，占比2%。由此可见，生态越是活跃，越受到黑客关注，损失也最为突出。

据零时科技数据统计，从DeFi攻击类型来看，主要为：黑客攻击、闪电贷攻击、资产被盗和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为：黑客攻击占比44%，居于首位；闪电贷攻击占比16%，位居第二；资产被盗和安全漏洞均占比14%，并列第三。

从主要攻击类型损失分布来看，黑客攻击造成损失最高，占比53%，安全漏洞次之，占比25%，资产位列第三，占比17%。

下图为部分2022DeFi安全事件典型案例：

DeFi安全风险及措施建议

DeFi项目面对多重安全风险，从群体来分，分别为项目端（协议执行）和用户端；从安全种类来分，分别为各协议之间组合性的安全，包括组合之间的一些缺陷、智能合约安全、开源的安全，高收益伴随着高风险，缺乏监管等导致的一些安全问题。

从安全审计角度看，DeFi项目面临的风险见下图：

从协议执行过程，DeFi风险包括：智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。

从用户角度，DeFi用户面临的风险有：技术风险：智能合约存在漏洞，受到安全性攻击；流动性风险：平台的流动性耗尽；密钥管理风险：平台的主私钥可能被盗取。安全意识风险：被钓鱼，遇到套利跑路欺诈项目等。

零时科技安全团队建议，作为项目方和用户，可以从以下五点应对风险：

1）项目方在上线DeFi项目时，一定得找专业的安全团队去做全面的代码审计，而且尽可能地找多家共同审计，尽可能多地发现项目设计缺陷，以免在上线之后出现不必要的损失。

2）建议用户参与这些项目投资时一定要做好把关，要对这个项目有一定的了解，或者是看它有没有经过安全审计后再上线。

3）增加个人安全意识，包括上网的行为和资产保存以及钱包使用等习惯，养成良好的安全意识习惯。

4）项目高收益高风险，参与需谨慎，不懂项目，尽量不参与，避免造成损失。

6、 NFT－钓鱼攻击的池塘

NFT是Non-Fungible Token的简称，是基于区块链的非同质化代币，同时它是存储在区块链上的一种独特的数字资产，常作为虚拟商品所有权的电子认证或凭证，可以购买或出售。2022年12月15日，美国前总统特朗普宣布推出一系列印有特朗普肖像NFT数字藏品，不到24小时4.5万件就被抢购一空。

根据NFTgo数据，截至12月31日，已收录的NFT项目4624个，共计38,693,506个NFT。当前NFT总市值达到210亿美元，持有者达到373.38万人。从各类项目市值分布来看，PFP（Picture for proof），即个人资料图片类NFT市值遥遥领先，这也是目前使用场景最多的NFT，其次是收藏品。从目前八大主流公链上看NFT资产和合约，Polygon在资产和合约数上遥遥领先。

从交易规模来看：在24小时内按销量排名前 10 位的NFT交易平台中，Blur排名第一，Opensea紧跟其后，LooksRare排名第三。从交易商来看，24小时内按交易者、买家和卖家数量排名前 10 的市场中，Opensea位列第一，Blur排名第二、Blur aggregator排名第三。

随着NFT价值凸显，黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势，但NFT的热度不减。

据零时科技不完全统计，截至2022年12月，NFT赛道发生安全事件共计44起，累计损失资产金额约为4256万美元。

2022年，NFT安全事件损失Top10中，BAYC、BAKC系列成为黑客主要的攻击目标，持有此类NFT的收藏者损失较大。其中不乏周杰伦NFT被盗，损失54万美元等热点事件。

从NFT赛道的攻击类型来看，主要为：黑客攻击、资产被盗、钓鱼攻击和私钥窃取，对应安全事件数量占比分别为33%、18%、16%、10%。

从NFT主要攻击类型损失金额占比看，资产被盗造成损失最多，占比23%；黑客攻击次之，占比22%；私钥窃取居于第三，占比19%。值得注意的是，以个人被盗事件看，多数都是由于 Discord/Twitter 等媒体平台被黑后黑客发布钓鱼链接。

除损失Top10的NFT安全事件案例外，行业典型NFT安全事件案例如下：

NFT安全风险及措施建议

目前在NFT赛道，黑客攻击方式多种多样。以群体来分，面临风险的对象一般为平台和用户。

对于中心化平台端，可能面临的安全风险有：账号风险、商业化竞争风险、安全意识风险、内部人员风险、

市场风险等。用户端，Discord攻击成为今年的主要攻击手法。

对于以上安全风险，零时科技安全团队给出以下措施建议：

对于普通用户，保护好自己的Discord，需要注意以下几点：

确保密码足够安全，使用字母数字特殊字符创建长的随机密码；开启2FA身份验证，密码虽然本身足够复杂但是不能依靠一个方式来保护；不要点击来自未知发件人或看起来可疑的链接，考虑限制谁可以与您私信；不要下载程序或复制/粘贴你不认识的代码；不要分享或屏幕共享你的授权令牌；不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。

对于服务器所有者：审核您的服务器权限，尤其是对于 webhook 等更高级别的工具；进行任何更改时，请保持官方服务器邀请更新并在所有平台上可见，尤其是当大多数新服务器成员来自 Discord 以外的社区时；同样，不要点击可疑或未知的链接！如果账户遭到入侵，可能会对管理的社区产生更大的影响。

对于项目：建议合约应严格判断用户输入购买数量合理性；建议合约限制零资金购买NFT的可能性；建议对于ERC721及ERC1155协议的NFT Token进行严格区分，避免混淆情况发生假冒Discord官方案例。目前多个聊天软件均会发现恶意 mint 链接，也有不少用户资金被盗，为了避免此类盗币事件，建议大家在进行 mint 操作时，验证链接来源可靠性，同时确保实际签署交易的内容和预期相符。