WEB:黑客攻击频频 Web3的安全在哪里？

今年以来，黑客攻击事件频繁，仅10月20日到10月25日就发生了5余起安全事件，这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件。那么，今年哪些板块和生态黑客攻击事件最为频繁？最近加密领域又有哪些安全事件值得注意？这些安全事件折射出加密市场有哪些亟需弥补的短板？未来Web3将朝着哪些方向发展？作为用户，我们又能做些什么来保证我们的资产安全呢？本文将就这些问题进行探讨。

加密世界愁云惨淡，下半年黑客攻击异常猖獗

今年毫无疑问是加密市场的熊市之年，不少散户和项目方本就因币价下跌而损失惨重，可“屋漏偏又逢阴雨”，整个加密市场又不断遭受黑客“洗劫”。到了今年下半年，黑客攻击更是异常猖獗，下面就将今年主要黑客攻击事件进行汇总梳理。

据派盾数据统计，2022 年上半年黑客攻击总共加密市场总损失达 11.3599 亿美元，其中大约 53% 的攻击是利用合约漏洞，大约 26.6% 的攻击涉及闪电贷。从黑客攻击领域看，大约 71% 的攻击发生在 DeFi 领域，受多方面因素影响， DeFi 市场 TVL 从 1 月初的 2760 亿美元下降到 6 月底的 800 亿美元，下降了 71%。

Bitcoin Magazine谴责推特拒绝为遭黑客攻击的编辑账户提供支持:金色财经报道，Bitcoin Magazine在社交媒体发起抗议，声称旗下编辑账户遭黑客攻击，但推特拒绝提供任何支持。Twitter Blue可以验证所有信息，但推特却允许其编辑账户被加密欺诈者劫持。Bitcoin Magazine 由以太坊联合创始人 Vitalik Buterin 与 Mihai Alisie 在 2011 年 9 月创办的比特币网上杂志，是最早一篇提供数字资产、区块链技术综合信息服务的平台，包括新闻洞察、分析统计等。[2023/6/19 21:46:08]

进入到今年三季度，黑客事件更是频发。从攻击类型看，加密市场总共发生98起退出局，共计损失5619万美元，发生23起闪电贷攻击，共计损失1737万美元，发生50起其他攻击事件，共计损失4.3亿美元。从生态系统上看，BNB Chain生态黑客安全事件最多，共发生105起，其次是以太坊生态，共发生25起，黑客攻击造成生态损失最大的是Multichain，共发生6起事件，共计损失3.53亿美元。从时间上看，7月发生59起安全事件，8月发生56起安全事件，9月发生53起安全事件。十月也是多事之秋，仅10月20日到10月25日就发生了5余起，这还是除去各类的钓鱼网站、虚假账户以及项目方跑路等安全事件，以下是近期相对典型的安全事件：

密码管理平台LastPass遭到黑客攻击，用户密码恐遭泄露:12月25日消息，LastPass表示，一个未知的黑客利用之前他们在2022年8月披露的事件中获得的信息访问了一个基于云的存储环境，一些消息来源代码和技术信息被盗，并被用于攻击另一名员工，以获取用于访问和解密基于云存储服务中的某些存储凭证和密钥。

LastPass已经确定，黑客一旦获得云存储访问密钥和双存储容器解密密钥，就会从备份中复制信息，其中包含客户账户信息和相关元数据，例如公司名称、最终用户名称、账单地址、客户访问LastPass服务时使用的电子邮件地址、电话号码和IP地址。 此外，黑客还能从加密存储容器中复制客户保险库数据的备份。

黑客可能会尝试使用蛮力猜测用户的主密码并解密他们获取的保险库数据副本，还可能针对与LastPass保险库关联的在线帐户进行网络钓鱼攻击。[2022/12/25 22:06:07]

10月20日，以太坊闹钟服务（Ethereum Alarm Clock）漏洞被利用，导致约 26 万美元被黑客盗取。

公链Sui：Discord遭黑客攻击，请不要点击任何链接:8月27日消息，公链Sui发推表示其Discord服务器已被黑客入侵，请用户不要点击过去8小时在该Discord服务器内发布的任何链接，Sui团队正在努力尽快解决这个问题。[2022/8/28 12:53:08]

10月23日，Optimism生态投资项目Layer2DAO遭遇黑客攻击，黑客通过获取Layer2DAO的多重签名权限盗走约4995万枚L2DAO Token并将部分抛售，使得L2DAO价格一度下跌约90%。

10月24日，SBF发推称一些用户在虚假网站上注册交易，并泄露了自己的FTX API密钥。

10月24日，QuickSwap因闪电贷攻击损失22万美元。

10月25日，Web3音乐项目Melody合约受到黑客攻击，代币SNS被盗。

跨链桥Wormhol受到黑客攻击，被盗3.26亿美元:金色财经报道，跨链桥Wormhole从Solana那一侧被黑客攻击，whETH被无限增发并且从以太坊上提走了所有的ETH。Wormhole被盗资金价值超过3.26亿美元。该项目的官方推特证实了这一消息，官方称，团队正在调查一个潜在的漏洞，该桥目前处于关闭状态，而官方网站只有：”门户网站暂时不可用”的提示。（Coindesk）[2022/2/3 9:28:52]

Web3安全该如何保障，听一听行业大V的建议

在Web2向Web3的发展过程中，区块链带来了诸多好处，比如公开透明、自己掌控资产和数据等；但是，合约代码开源、链上数据不可篡改以及权力下放等似乎又给了黑客可乘之机。那么该如何看待区块链技术这把双刃剑？未来Web3的安全问题又该如何解决呢？笔者整理了部分行业KOL的观点，供读者参考。

慢雾初步分析得出黑客攻击Eminence流程:9月29日消息，区块链安全团队慢雾根据初步分析，得出了黑客攻击Eminence的流程：

1. 攻击者购买了 1500w个DAI，换取约1383650487个EMN，并转移1500w个DAI到EMN 合约中。

2. 拿换取的一半EMN到 eAAVE合约中burn 掉（调用buy函数），换取eAAVE中的通证。eAAVE中调用buy函数时会燃烧EMN合约中的对应代币，但是合约中的DAI没有减少。

3. 把剩余的一半EMN到EMN合约中卖掉，换取1000w个DAI，由于上一步燃烧EMN的时候EMN合约中的DAI的金额没有减少，所以相同份额的EMN能从合约中取回更多的 DAI。

4. 把eAAVE合约中换取的通证卖掉，取回约600w个EMN。

5. 继续把600w个EMN卖掉，换回约660w个DAI。

相关合约：

EMN：0x5ade7ae8660293f2ebfcefaba91d141d72d221e8

Bancor合约：0x16f6664c16bede5d70818654defef11769d40983

eAAVE: 0xc08f38f43adb64d16fe9f9efcc2949d9eddec198

交易分析源头点击原文链接。[2020/9/30]

Polygon首席安全官Mudit Gupta认为，完美的代码和密码学是不够的，希望Web3公司聘请传统安全专家来结束容易预防的黑客攻击。最近发生的几起加密攻击最终是Web2安全漏洞的结果，例如私钥管理和网络钓鱼攻击以获取登录信息，而不是设计不良的区块链技术；在不采用标准Web2网络安全实践的情况下获得经过认证的智能合约安全审计并不足以保护协议和用户的钱包不被攻击。我一直建议所有大公司至少聘请一位真正重视密钥管理的专门安全人员。

Beosin安全团队子玉表示，一定要对运维等内部人员做好安全培训，因为人其实是安全环节里最充满可变性和不稳定性的一个环节；前阵子有一个跨链桥遭受了攻击，当时大家都以为是私钥被盗/泄露了，结果后来发现是社工钓鱼。团队中的一个工程师想找工作，随后收到了一个高薪 offer，当他打开 offer 文档时，电脑就被入侵了，导致了数据泄露。

BAI Capital合伙人Will表示：这个行业强调 code is law，立法和执法都是没有的。之前的 Web3 用户以程序员为主，大家需要对自己完全负责。现在用户圈层逐渐扩大到了小白，这类用户是带着传统移动端时代对于应用的盲性/体验上的惯性来到 Web3 的。所以我觉得安全问题更应该是面向C端解决的，在开发者端、网站端和项目端也需要有安全对策。

安全公司 Trail of Bits 前顾问、数字支付公司安全工程师Bobby Tonic认为，对于Web3公司来说，最重要的是了解系统技术的复杂性以及确保其应用程序设计的正确性。对于 Web3 组织而言，不能保证代码的复杂性和正确性会产生灾难性的后果，因为攻击者可以随时查看其系统和应用程序的源代码。因此，Web3 将他们开发的应用程序提交给第三方安全研究公司进行审查已经成为了一种共识：即向用户承诺该应用已经通过了安全测试，可以放心使用。

给用户的一些小建议

在Web3世界，权力下放到用户手中，要想在Web3世界中畅游，安全意识是必不可少的。笔者在此给出一些安全指南，希望可以给刚进入行业的小白一些帮助。

在钱包的使用方面：1、邮箱密码要至少12位以上，并且开启二步验证；2、不要告诉任何人你的任何数字货币信息；3、使用硬件钱包管理账户；4、注意使用chrome插件；5、使用VPN保护你的连接免受窥探者的侵害；6、使用2FA（谷歌验证器）；7、把日常用钱包和主要钱包分开；8、经常换钱包；9、结合使用冷热钱包。

另外，用户也要持续保持防范意识，谨防假网站钓鱼、电信、跑路风险等类型。对所参与项目的最新进展可以多加关注，日常刷刷官方通告渠道（官网、Twitter 等）或社区（Discord、TG 等），一旦有技术升级、产品更新、服务暂停、漏洞预警或事故披露，也能第一时间获悉，并行动起来保护资产。

作者：比推Asher Zhang

比推 Bitpush News

媒体专栏

阅读更多

金色早8点

1435Crypto

区块律动BlockBeats

吴说区块链

金色财经

blockin

Block unicorn

Foresight News

Odaily星球日报

Bankless

DeFi之道

标签：WEBWEB3DAI区块链Web3 InuMETAWEB3PA币MEDAI价格区块链存证怎么弄

比特币价格实时行情热门资讯