3、交易平台－巨额诱惑之源

Web3的交易平台也称数字货币交易所或加密货币交易所，是区块链行业的重要组成部分，为不同数字货币之间，数字货币与法定货币之间的交易提供服务，同时也是数字货币定价和流通的主要场所。

据coingecko数据，截至2022年12月，加密货币交易所共有717个，其中中心化交易所有553个，24小时总交易量为540亿美金；去中心化交易所有100个，24小时总交易量为17亿美金；衍生产品交易所64个，24小时交易量为1.78万亿美金。

Opensea作为全球最大的NFT交易平台，1月交易额最高，超48.5亿美金，因市场行情，12月有所回落，交易额约为1.38亿美金。（关于NFT交易平台更多信息，详见2.6）

数据显示，24小时交易量排名前10名的交易所分别为：Binance、Coinbase Exchange、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart、Crypto.com Exchange。其中Binance以24交易量41.48亿稳居第一。

交易量排名前10名的去中心化交易所分别为：Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap（Ploygon）、Uniswap(Arbitrum One)、Apex Pro，其中Uniswap以一己之力占据前十名多位。

2022年，Huobi被收购，FTX在与币安（Binance）的交锋中破产，随后币安被曝已接受美国司法部刑事调查4年，加密货币交易所处于监管的风口浪尖。加密货币交易所汇聚了来自全球的加密资产，在巨大的市场影响力下，无论是安全危机还是资金流动性危机，都牵一发而动全身，甚至影响整个加密市场的牛熊。

据零时科技数据统，计2022年，加密货币交易所发生安全事件19起，累计损失资产金额超11.92亿美元。

据零时科技区块链安全威胁情报平台数据统计，2022年，发生安全事件损失Top6的交易平台为：FTX，Babel Finance，Mango，Liquid Global，Crypto.com ，损失金额分别为6亿美元，2.8亿美元，1亿美元，7100万美元，3600万美元和3300万美元。

以各交易平台安全事件损失分布来看，FTX占比50%，Babel Finance占比24%%，Mango占比8%，位居前

三。

据零时科技数据统计，从安全事件数量来看，交易平台的攻击类型主要为黑客攻击、资产被盗、安全漏洞、钓鱼攻击、私钥窃取，分别占比38%、19%、12%、10%、10%。从损失金额大小分布来看，黑客攻击占据54%，为安全事件主要类型，资产被盗占比33%，价格操纵和闪电贷攻击分别占比5%。

下图为部分2022年交易所安全事件典型案例：

交易平台安全风险及措施建议

回顾以往所有交易所的安全事件，零时科技安全团队认为，从一个交易平台整体安全架构来看，交易平台面临的安全风险主要有：开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。

零时科技安全团队曾出版《区块链安全入门与实战》，其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤，如信息收集、社会工程等，还介绍了各种攻击面，如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。

对于交易所安全风险，零时科技安全团队给出如下措施建议：

从交易平台角度：

1）培养内部人员的安全意识，加强交易所的生产环境、测试环境和调试环境安全隔离，尽量使用专业的网络安全防护产品。

2）通过与专业安全公司展开合作，进行代码审计、渗透测试，了解系统是否存在隐性漏洞和安全风险，建立完善和全面的安全防护机制。日常运营中，进行定期安全测试，加强安全加固工作。

3）升级账户的密钥结构及风控措施，建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制，加强后端冷热钱包安全加固，比如控制转账频率、大额转账、冷热钱包隔离等。

由于大部分用户除了使用交易所进行交易外，更多时候充当钱包存储数字资产。

因此，从用户角度：

1）不要随意安装未知来源的软件。

2）电脑服务器应避免打开不必要的端口，相应漏洞应及时打补丁，主机建议安装有效可靠的杀毒或其他安全软件，在WEB浏览器上安装挖矿脚本隔离插件等。

3）不要随意点击陌生人发的不明链接。

4、 钱包－加密资产管理之伤

Web3的钱包即区块链数字钱包，也称加密货币钱包或数字资产钱包，是存储和管理、使用数字货币的工具，在区块链领域有举足轻重的地位，是用户接触数字货币的入口。如今，随着生态的发展，数字钱包已经成为多链多资产的管理平台。

据零时科技区块链安全威胁情报平台数据统计，截至2022年12月，数字钱包项目数量共有142个。据 Blockchain.com 数据统计，2022 年全球有超过 3 亿人在使用加密资产。其中拥有加密钱包的用户在 2021 年达到 6842 万，而到 2022 年 7 月加密钱包用户数已经达到 8100 万，数量呈指数级增长。

作为Web3的入口，钱包早已成为黑客眼中的“香饽饽”。据零时科技数据统计，2022年，数字钱包发生安全事件25起，累计损失资产金额超6.98亿美元。

2022年，被攻击损失Top5的钱包安全事件主要来自：Solana生态钱包、分布式资本创始人沈波个人钱包、Deribit、与Transit Swap互动的钱包、Lympo热钱包，分别损失金额为：5.8亿美元、4200万美元、2800万美元、2000万美元和1870万美元。其中Solana生态钱包被攻击损失金额最高。

据零时科技数据统计，从安全事件数量来看，数字钱包的攻击类型主要为：黑客攻击、资产被盗、私钥窃取、安全漏洞和信息泄露，分别占比38%、30%、13%、7%、6%。攻击占比最高，居于首位。

其中各主要攻击类型对应的安全事件损失占比分别为：黑客攻击造成损失最高，占比46%；私钥窃取造成损失其次，占比44%；资产被盗损失位列第三，占比8%。

钱包被攻击，一般分为两种情况。一种是机构的钱包，另外一种是个人钱包。如Lympo热钱包被盗，损失1870万美元，而个人钱包被盗经典则属近日分布式资本创始人沈波价值4200万美元个人钱包资产被盗。

除了Solana生态钱包被盗案例外，行业还有许多钱包安全事件，如下图。

数字钱包安全风险及措施建议

经零时科技安全团队分析，区块链数字钱包存在多种形式，主要面临的安全风险包括但不限于如下几方面：

机构端方面：运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。

用户端方面：面临私钥丢失或被盗：如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥/助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼（预售、APP下载、中签陷阱）等风险。

面对这些风险如何保护钱包安全？

从机构端，零时科技安全团队建议：

无论是中心化还是去中心化钱包， 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试，针对数字钱包的安全审计，零时科技安全团队包括但不限于如下测试项：

1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能；

2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测，虚拟机检测，完整性检测；数字钱包需具有第三方程序劫持检测功能，防止第三方程序劫持钱包盗取相关用户信息。

3、钱包交易安全.钱包发出的所有交易必须进行签名，签名时必须通过输入支付密码解密私钥，交易签名生成后必须清除内存中解密后的私钥，防止内存中的私钥被窃取而泄漏等。

4、钱包日志安全.为了方便用户进行审计钱包操作行为，防止异常操作和未授权的操作，需记录钱包的操作日志，同时钱包日志必须通过脱敏处理，不得含有机密信息。

5、节点接口安全审计.接口需要对数据进行签名，防止黑客对数据被篡改；接口访问需要添加token认证机制，防止黑客进行重放攻击；节点接口需要对用户连接速率进行限制，防止黑客模拟用户操作进行CC攻击。

对用户端，零时科技安全团队建议：

1) 做好私钥存储措施：如私钥尽量手抄和备份，或使用云平台和邮件等社交网络传输或存储私钥。

2) 使用强密码，并且尽可能开启两步验证MFA（或2FA），时刻保持安全意识提高警惕。

3) 在更新程序版本时注意验证 hash 值。安装杀毒软件，并尽可能使用防火墙。监视你的账户/钱包，确认没有恶意交易。

4) 其中硬件钱包适合数字资产额度较大，需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产，供日常使用，硬件钱包保存大额资产，这样可以实现便利性和安全性兼备。

如果资金被盗怎么办？

如果发生无意的授权操作，在资金未被盗之前，尽快将钱包资金转出，并且取消授权；如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况，请立即联系零时科技安全团队进行资产追踪。