Web3 安全报告：牛市时期网络攻击频发，损失超 3.5 亿美元

近期比特币价格再创新高，逼近 10 万美元大关。然而，回顾历史数据显示，在加密货币牛市期间，Web3 领域的诈骗和钓鱼活动也随之增多，造成的总损失超过 3.5 亿美元。分析表明，黑客主要针对以太坊网络进行攻击，稳定币成为主要目标。本文将深入探讨这些攻击的方法、目标选择和成功率。

加密安全生态概览

2024 年的加密安全生态项目可分为几个主要领域。智能合约审计方面，Halborn、Quantstamp 和 OpenZeppelin 等老牌机构继续发挥重要作用。由于智能合约漏洞仍是加密领域的主要攻击途径之一，提供全面代码审查和安全评估服务的项目各有特色。

在 DeFi 安全监控领域，一些专业工具如 DeFiSafety 和 Assure DeFi 专注于去中心化金融协议的实时威胁检测和预防。值得注意的是，人工智能驱动的安全解决方案正在兴起。

随着近期 Meme 代币交易的火热，Rugcheck 和 Honeypot.is 等安全检查工具可帮助交易者提前识别潜在风险。

USDT 成为被盗最多的资产

数据显示，基于以太坊的攻击约占所有事件的 75%。其中，USDT 是最常被攻击的资产，盗窃总额达 1.12 亿美元，平均每次攻击价值约 470 万美元。第二大受影响资产是 ETH，损失约 6660 万美元，其次是 DAI，损失 4220 万美元。

值得注意的是，一些市值较低的代币也遭受了大量攻击，表明攻击者会利用安全性较低资产的漏洞。最大规模的单次事件发生在 2023 年 8 月 1 日，是一起复杂的欺诈攻击，造成 2010 万美元的损失。

Polygon 成为第二大受攻击链

尽管以太坊在所有钓鱼事件中占据主导地位，约占 80% 的交易量，但其他区块链上也观察到了盗窃活动。Polygon 成为第二大目标链，交易量约占 18%。攻击者往往根据链上总锁仓量（TVL）和日活跃用户数来选择目标，这些指标与流动性和用户活跃度密切相关。

攻击时间分析和演变

攻击的频率和规模呈现不同模式。2023 年是高价值攻击最集中的一年，多起事件的损失超过 500 万美元。同时，攻击手段逐渐演变，从简单的直接转移变为更复杂的基于批准的攻击。重大攻击（损失超过 100 万美元）之间的平均间隔约为 12 天，通常集中在重大市场事件和新协议发布前后。

主要钓鱼攻击类型

代币转移攻击

这是最直接的攻击方法，攻击者诱导用户将代币直接转移到他们控制的账户。这类攻击通常单笔价值较高，利用用户信任、虚假页面和诈骗话术来说服受害者自愿转账。攻击者通常会通过相似域名模仿知名网站，并在用户交互时营造紧迫感。此类直接代币转移攻击的平均成功率约为 62%。

批准网络钓鱼

这是一种技术上较为复杂的攻击手段，利用智能合约交互机制。攻击者诱骗用户提供交易批准，从而获得对特定代币的无限消费权。与直接转账不同，这种方式会造成长期漏洞，攻击者可能逐步耗尽受害者的资金。

虚假代币地址

这种攻击策略综合了多方面因素，攻击者创建与合法代币同名但地址不同的代币进行交易。这类攻击利用了用户对地址检查的疏忽。

NFT 零元购

这种攻击专门针对 NFT 生态系统。攻击者操纵用户签署交易，导致高价值 NFT 以极低甚至零价格出售。研究期间发现了 22 起重大 NFT 零元购事件，平均每起损失 378,000 美元。这些攻击利用了 NFT 市场固有的交易签名流程漏洞。

受害钱包分析

数据显示，交易价值与受影响钱包数量之间存在明显的反比关系。随着交易金额增加，受影响的钱包数量逐渐减少。

每笔交易在 500-1000 美元范围内的受害钱包数量最多，约有 3,750 个，占总数的三分之一以上。这可能是因为小额交易时用户往往不太注意细节。1000-1500 美元范围的交易受害钱包数降至 2140 个。3000 美元以上的交易仅占总攻击数的 13.5%。这表明，交易金额越大，用户采取的安全措施可能更严格，或者在涉及大额交易时会更加谨慎。

结语

随着加密货币市场进入牛市，复杂攻击的频率和平均损失可能会进一步增加，对项目方和投资者的经济影响也会更加显著。因此，区块链网络需要不断加强安全措施，同时用户在交易时也应保持高度警惕，以防止成为钓鱼攻击的受害者。