2022年，是加密世界多元化创新的一年，但创新的背后，也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2022年全球Web3行业安全研究报告》，回顾了2022年Web3行业全球政策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解Web3安全现状，提高网络安全意识，保护好数字资产，做好安全预防措施。

1、2022年，全球Web3行业加密货币总市值最高达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降，但整体资产数量规模正在不断扩大。

2、据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。

3、Web3六大主要赛道：公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件136起，造成损失超40.21亿美元。此外，新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件不断，损失严重。

4、2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。其中典型代表有：跨链互操作协议Poly Network，损失6.25亿美元；交易所FTX，损失6亿美元；Solona生态钱包，损失5.8亿美元。

5、2022年，全球Web3安全事件攻击类型多样，从安全事件数量看，典型攻击类型Top5为：黑客攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看，典型攻击类型Top5为：资产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。

6、本年度最具有代表性的监管案例为：美国财政部下属外国资产控制办公室 (OFAC) 对Tornado Cash协议实施制裁，禁止美国实体或个人使用Tornado Cash服务。根据美财政部披露，自2019年成立以来，Tornado Cash已帮助洗钱超70亿美元。

一、全球Web3行业回顾与安全态势概览

Web3是指基于加密技术的新一代网络，融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想，由以太坊联合创始人Gavin Wood在2014年提出。Web3基于区块链搭建，从2008年至今，区块链技术已发展14余年。Web3行业在2022年的爆发离不开区块链产业发展多年的积淀。

从用户视角看Web3生态，可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主，为Web3提供网络基础设施；应用层则以APP（中心化应用程序）和DAPP（去中心化应用程序）为主，即用户常用来交互的应用程序，包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了Web3生态的繁荣，但也为Web3带来巨大的安全隐患。服务生态是Web3行业的第三方，其中媒体、教育孵化和投资机构为行业提供助力，安全服务机构如零时科技，是为Web3安全保驾护航不可或缺的一部分。

截至2022年12月，据coinmarketcap数据统计，全球Web3行业加密货币总市值最高时达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降。虽总市值有波动，但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出，Web3正在沦为黑客的“提款机”。

据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件136起，造成损失超40.21亿美元。

除了以上六大主要赛道外，其他安全事件共计170起，损失金额达60.79亿美元，如新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT，未来，链上资产规模还将持续增长，Web3网络安全侵害数字可能继续飙升。

据零时科技数据统计，2022年全球Web3生态六大主要赛道中：公链发生安全事件10起，共计损失约1.57亿美元；跨链桥发生安全事件14起，共计损失13.38亿美元；交易所发生安全事件19起，共计损失11.92亿美元；钱包发生安全事件25起，共计损失6.93亿美元；DeFi发生安全事件25起，共计损失5.93亿美元；NFT发生安全事件44起，损失超4256万美元。

从主要赛道发生的安全事件数量来看，NFT安全事件最多，这和它成为2022业界追捧的热门赛道脱不开关系。另一方面，由于进入Web3行业人数的增多，钱包和DeFi成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。

2022年，从全球Web3发生的安全事件数量看，典型攻击类型Top5为：黑客攻击，占比37%；资产被盗，占比19%；安全漏洞，占比13%；私钥窃取，占比9%；钓鱼攻击，占比7%。

从损失金额看，全球Web3安全事件典型攻击类型Top5为：资产被盗，损失金额为55.81亿美元；黑客攻击，损失金额30.29亿美元；私钥窃取，损失金额为12.5亿美元；价格操纵，损失金额为2.32亿美元；闪电贷攻击，损失金额1.37亿美元。

值得注意的是，2022年发生的多起安全事件不只受到一种攻击，有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。

注：主要攻击类型释义如下

资产被盗：虚拟币被盗，平台被盗

黑客攻击：黑客等多种类型攻击

信息泄露：私钥泄露等

安全漏洞：合约漏洞、功能漏洞

错误权限：系统权限设置错误，合约权限错误等

钓鱼攻击：网络钓鱼

价格操纵：价格操纵

据零时科技区块链安全情报平台监控消息，2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。

二、全球Web3监管政策

2022年，基于区块链的下一代互联网Web3迎来增长高峰，面对这个拥有金融科技特征的新兴行业，全球政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高，加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一，为全球金融监管带来了巨大挑战。2022年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发，金额庞大，损失严重，影响广泛。为确保Web3的安全性和合规性，各国纷纷出台监管政策。

从全球对Web3整体的监管政策来看，投资者保护和反洗钱(AML）是全球共识，对加密货币交易所的接受和监管，各国差异较大。美国国会议员提出“确保Web3发生在美国”，正加速监管创新；欧盟各国政策较为明确和积极；日本、新加坡、韩国受2022暴雷事件影响，监管趋严；中国大陆依旧鼓励区块链技术应用，严禁金融机构和支付组织参与虚拟货币交易和非法集资，加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展，实施牌照制；阿联酋在全球最为积极，拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域，全球正处于监管探索状态。

三、2022年Web3各生态安全现状

Web3是一个比较特殊的行业，最突出的特点就是涉及大量数字加密资产的管理，动辄千万上亿的资产全部存在链上，通过一个特有的私钥来确权，谁掌握了这个私钥，谁就是资产的主人。如果生态中某一应用或协议被黑客攻击，就可能造成巨额损失。随着生态的快速发展，各种新型攻击手法和诈骗手段层出不穷，整个行业在安全的边缘中博弈前进。零时科技安全团队对Web3存在的攻击类型进行了观察统计，目前主要有以下攻击类型对Web3安全造成威胁：APT攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web端漏洞攻击、零日（0day）漏洞、网络诈骗。

接下来，我们将从基础设施公链、跨链桥，应用端APP和DAPP的代表：交易平台、钱包、DeFi、NFT，监管重地反洗钱，web3安全教育角度，来解析2022年Web3各生态安全现状，解读攻击事件，并针对每个生态给出相应的安全措施建议。