零时科技 ||《2023 年全球 Web3 行业安全研究报告》正式发布！！

2024-01-30 15:44

零时科技

2024-01-30 15:44

来源链接

订阅此专栏

收藏此文章

摘要

2023 年，是加密世界多元化创新的一年，但创新的背后，也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2023 年全球 Web3 行业安全研究报告》，回顾了 2023 年 Web3 行业全球政策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解 Web3 安全现状，提高网络安全意识，保护好数字资产，做好安全预防措施。

1、2023 年，全球 Web3 行业加密货币总市值最高达 1.3 万亿美元，受行业爆雷事件影响，相比去年最高总市值 2.4 万亿美元，今年有所下降，但整体资产数量规模正在不断扩大。

2、据零时科技数据统计，2023 年共发生安全事件 506 起，累计损失达 110 亿美元。相比 2022 年，今年 Web3 安全事件新增 110 起，同比增长 65.3%。

3、Web3 六大主要赛道：公链、跨链桥、钱包、交易所、NFT、DeFi 共发生安全事件 435 起，造成损失超 79.83 亿美元。此外，新兴领域如 GameFi、DAO 成为黑客频扰的对象，诈骗和跑路事件不断，损失严重。

4、2023 年损失超 1 亿美金的典型安全事件共损失 32 亿美元，占 2023 年总损失金额 29 %。其中典型代表有：加密交易所 Bitzlato 联创承认 7 亿美元洗钱罪；VenusProtoco 利用 Binance Bridge 漏洞窃取了价值近 6 亿美元的 BNB；跨链桥 Wormhole 遭到攻击，约有价值 3.23 亿美元 ETH 被盗；多链去中心化交易所 (DEX) Dfyn 漏洞被利用, 造成 3 亿美元损失。

5、2023 年，全球 Web3 安全事件攻击类型多样，从安全事件数量看，典型攻击类型 Top5 为：黑客攻击、安全漏洞、资产被盗、钓鱼、错误权限。从损失金额看，典型攻击类型 Top5 为：黑客攻击、安全漏洞、资产被盗、闪电贷攻击、诈骗。

6、本年度最具有代表性的监管案例为：朝鲜黑客组织 Lazarus 已成为影响 Web 3 社区最严重的 APT 组织。2023 年，Lazarus 组织造成了至少 7.5 亿美元的损失，占 2023 年加密货币领域被窃总额的 20%。CertiK 分析了 2023 年五起主要的加密货币攻击事件，包括 Atomic Wallet、Alphapo、CoinsPaid、Stake.com 和 CoinEx，造成了 2.9 亿美元的损失。

一、全球 Web3 行业回顾与安全态势概览

Web3 是指基于加密技术的新一代网络，融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想，由以太坊联合创始人 GavinWood 在 2014 年提出。Web3 基于区块链搭建，从 2008 年至今，区块链技术已发展 15 余年。Web3 行业在 2023 年的爆发离不开区块链产业发展多年的积淀。

从用户视角看 Web3 生态，可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主，为 Web3 提供网络基础设施；应用层则以 APP（中心化应用程序）和 DAPP（去中心化应用程序）为主，即用户常用来交互的应用程序，包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了 Web3 生态的繁荣，但也为 Web3 带来巨大的安全隐患。服务生态是 Web3 行业的第三方，其中媒体、教育孵化和投资机构为行业提供助力，安全服务机构如零时科技，是为 Web3 安全保驾护航不可或缺的一部分。

截至 2023 年 12 月，据 CoinMarketCap 数据统计，全球 Web3 行业加密货币总市值最高时达 2.4 万亿美元，受行业爆雷事件影响，相比去年最高总市值 2.97 万亿美元，今年有所下降。虽总市值有波动，但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出，Web3 正在沦为黑客的“提款机”。

据零时科技数据统计，2023 年共发生安全事件 506 起，累计损失达 110 亿美元。相比 2022 年，今年 Web3 安全事件新增 116 起，同比增长 38%。其中公链、跨链桥、钱包、交易所、NFT、DeFi 这六大主要赛道发生安全事件 152 起，造成损失超 40.8 亿美元。

除了以上六大主要赛道外，其他安全事件共计 354 起，损失金额达 69.2 亿美元，如新兴领域如 GameFi、DAO 成为黑客频扰的对象，诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与 NFT，未来，链上资产规模还将持续增长，Web3 网络安全侵害数字可能继续飙升。

据零时科技数据统计，2023 年全球 Web3 生态六大主要赛道中：公链发生安全事件 13 起，共计损失约 2.8 亿美元；跨链桥发生安全事件 18 起，共计损失 12.1 亿美元；交易所发生安全事件 19 起，共计损失 12.08 亿美元；钱包发生安全事件 35 起，共计损失 6 亿美元；DeFi 发生安全事件 21 起，共计损失 7.2 亿美元；NFT 发生安全事件 43 起，损失超 6200 万美元。

从主要赛道发生的安全事件数量来看，NFT 安全事件最多，这和它成为 2023 业界追捧的热门赛道脱不开关系。另一方面，由于进入 Web3 行业人数的增多，钱包和 DeFi 成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。

2023 年，从全球 Web3 发生的安全事件数量看，典型攻击类型 Top5 为：黑客攻击，占比 47%；资产被盗，占比 29.6%；安全漏洞，占比 20.1%；钓鱼攻击，占比 13.8%；错误权限，占比 13.4%。

从损失金额看，全球 Web3 安全事件典型攻击类型 Top5 为：黑客攻击，损失金额为 60.5 亿美元；安全漏洞，损失金额 48 亿美元；资产被盗，损失金额为 30.4 亿美元；闪电贷攻击，损失金额为 12.6 亿美元；诈骗，损失金额 7.5 亿美元。

值得注意的是，2023 年发生的多起安全事件不只受到一种攻击，有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。

注：主要攻击类型释义如下

资产被盗：虚拟币被盗，平台被盗

黑客攻击：黑客等多种类型攻击

信息泄露：私钥泄露等

安全漏洞：合约漏洞、功能漏洞

错误权限：系统权限设置错误，合约权限错误等

钓鱼攻击：网络钓鱼

价格操纵：价格操纵

据零时科技区块链安全情报平台监控消息，2023 年损失超 1 亿美金的典型安全事件共损失 32 亿美元，占 2023 年总损失金额 29%。

二、全球 Web3 监管政策

2023 年，基于区块链的下一代互联网 Web3 迎来增长高峰，面对这个拥有金融科技特征的新兴行业，全球政府和监管机构对其密切关注。Web3 应用领域广泛、全球分布协作、技术含量较高，加之全球各国及其内部各地监管机构对 Web3 产业发展方向和数字资产定义不统一，为全球金融监管带来了巨大挑战。2023 年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发，金额庞大，损失严重，影响广泛。为确保 Web3 的安全性和合规性，各国纷纷出台监管政策。

从全球对 Web3 整体的监管政策来看，投资者保护和反洗钱 (AML）是全球共识，对加密货币交易所的接受和监管，各国差异较大。美国国会议员提出“确保 Web3 发生在美国”，正加速监管创新；欧盟各国政策较为明确和积极；日本、新加坡、韩国受 2023 暴雷事件影响，监管趋严；中国大陆依旧鼓励区块链技术应用，严禁金融机构和支付组织参与虚拟货币交易和非法集资，加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展，实施牌照制；阿联酋在全球最为积极，拥抱加密货币资产。对于 NFT、稳定币、DeFi、资产协议和 DAO 领域，全球正处于监管探索状态。

三、2023 年 Web3 各生态安全现状

Web3 是一个比较特殊的行业，最突出的特点就是涉及大量数字加密资产的管理，动辄千万上亿的资产全部存在链上，通过一个特有的私钥来确权，谁掌握了这个私钥，谁就是资产的主人。如果生态中某一应用或协议被黑客攻击，就可能造成巨额损失。随着生态的快速发展，各种新型攻击手法和诈骗手段层出不穷，整个行业在安全的边缘中博弈前进。零时科技安全团队对 Web3 存在的攻击类型进行了观察统计，目前主要有以下攻击类型对 Web3 安全造成威胁：APT 攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web 端漏洞攻击、零日（0day）漏洞、网络诈骗。

接下来，我们将从基础设施公链、跨链桥，应用端 APP 和 DAPP 的代表：交易平台、钱包、DeFi、NFT，监管重地反洗钱，web3 安全教育角度，来解析 2023 年 Web3 各生态安全现状，解读攻击事件，并针对每个生态给出相应的安全措施建议。

1、公链－Web3 生态安全的命脉

公链是 Web3 行业的基础设施，承载着整个行业的协议、应用及资产记账，随着业内对公链性能、互操作、兼容性、扩容的旺盛需求，多链发展迸发呈强劲势头，安全问题，刻不容缓。

根据零时科技不完全统计数据，截至 2023 年 12 月，目前公链有 194 条。以公链生态应用数量来看，据 rootdata 数据，Ethereum，应用 2203 个，Polygon，应用数 1301 个，BNB Chian，应用数 1239 个，稳居前三，Solana、Avalanche、ICP 等新公链紧追其后呈现快速增长趋势。

以公链生态市值来看，据 coingecko 数据，以太坊、BNBChain、Solana 生态分别以 3343 亿美元、477 亿美元、420 亿美元位居前三。当前，公链生态总市值已超万亿美元，如此庞大的资金诱惑，让黑客对其虎视眈眈。

截至 2023 年 12 月，据零时科技数据统计，公链赛道发生安全事件 13 起，累计损失资产金额超 2.8 亿美元。

从数量来看，公链的攻击类型主要为：黑客攻击、资产被盗、安全漏洞、闪电贷攻击和诈骗，其对应占比为：46.1%、30.7 %、23%、15.4%、15.4%。从损失金额来看，黑客攻击造成损失最高，为 1.67 亿美元，占比 60.1%；安全漏洞造成损失位居第二，为 1.31 亿美元，占比 46.7%。（注：部分项目遭受多种类型攻击）

据零时科技区块链安全情报平台监控消息，下图为部分 2023 公链攻击的典型案例：

公链安全风险及措施建议

零时科技安全团队分析，公链安全风险主要来自以下三点：

1）技术复杂性：涉及技术领域多，安全风险点多。

2）开发人员不确定性：代码由开发者所写，过程难免出现漏洞。

3）开源漏洞透明性：公链代码开源，黑客发现漏洞更为便利。

零时科技安全团队对公链安全建议，有以下四点：

1）主网上线前，针对公链各风险点，需要设立丰富的安全机制：

在 P2P 和 RPC 方面，需要注意劫持攻击，拒绝服务攻击，权限配置错误等；

在共识算法及加密这块，需要注意 51% 攻击，长度扩展攻击等；

在交易安全方面，需要注意假充值攻击，交易重放攻击，恶意后门等；

在钱包安全方面，需要注意私钥的安全管理，资产的安全监控，交易的安全风控等；

在公链项目的相关工作人员方面，需要有良好的安全意识，办公安全，开发安全等常识。

2）进行源代码和智能合约审计，确保弥补原则性和明显的漏洞：

源代码审计可以是全量代码，也可以是部分模块。零时科技安全团队拥有一套完整的公链安全测试标准，采用人工 + 工具的策略对目标代码的安全测试，使用开源或商业代码扫描器检查代码质量，结合人工安全审计，以及安全漏洞验证。支持所有流行语言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。

3）主网上线后，进行实时安全检测，预警系统风险；

4）发生黑客事件后，及时通过溯源分析，找出问题所在，减少未来发生攻击可能性；迅速源追踪监控损失流向，尽可能找回资产。

2、跨链桥－黑客的新型提款机

跨链桥，也称区块链桥，连接两条区块链，允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操作。

截至 2023 年 12 月，根据 Dune Analytics 数据统计，以太坊中主要跨链桥的锁定总价值（TVL）约 65 亿美元。当前 TVL 最高的是 Polygon Bridges，为 29.9 亿美元，Aritrum Bridge 紧跟其后，为 20.4 亿美元，OptimismBridges 排名第三，为 10 亿美元。

随着区块链及链上程序的增长，多链资金转换需求迫切，跨链桥的协同特征可以让各区块链发挥更大的协同潜力，跨链桥为用户提供便利的同时，也为黑客提供了另一扇大门。由于跨链桥传递资产的特性，其锁定、铸造、销毁及解锁等流程环节一旦出现问题，就会威胁到用户资产安全。貌似并不复杂的跨链资金转移操作，但在多个跨链桥项目中，不同步骤均发生过安全漏洞。

据零时科技数据统计，截至 12 月，跨链桥因受到攻击发生安全事件 18 起，累计损失资产金额为 12.1 亿美元。

2023 年，发生安全事件损失 Top5 的跨链桥为：Harmony、Wormhole、MultiChain、Aavefork、HECO，分别损失金额为：3.5 亿美元、3 亿美元、2.1 亿美元、1.5 亿美元和 1 亿美元。

从安全事件发生的数量看，跨链桥攻击的类型主要为：黑客攻击、资产被盗、安全漏洞、错误权限和闪电贷攻击，分别占比 61%、33%、28%、17% 和 11%。从损失金额来看，黑客攻击占比最大，为 55%；资产被盗次之，占比 29%；安全漏洞占比 14%，位居第三。

下图为部分 2023 年典型跨链桥攻击案例：

跨链桥安全风险及措施建议

零时科技安全团队从跨链桥多次攻击事件中得出，跨链之前和签名处攻击较多，存在官方马虎大意造成的被盗事件。对于越来越多的跨链项目及项目合约安全，零时科技给出以下安全措施建议：

1）项目上线前对合约进行安全审计；

2）合约调用接口需要严格排查其适配性；

3）版本更新时需要对相关接口及签名安全进行重新评估；

4）需要对跨链签名者进行严格审查以保证签名不被恶意人员控制。

3、交易平台－巨额诱惑之源

Web3 的交易平台也称数字货币交易所或加密货币交易所，是区块链行业的重要组成部分，为不同数字货币之间，数字货币与法定货币之间的交易提供服务，同时也是数字货币定价和流通的主要场所。

据 coingecko 数据，截至 2023 年 12 月，加密货币交易所共有 887 个，其中中心化交易所有 224 个，24 小时总交易量为 80 亿美金；去中心化交易所有 663 个，24 小时总交易量为 37 亿美金；衍生产品交易所 94 个，24 小时交易量为 1.93 万亿美金。

数据显示，24 小时交易量排名前 10 名的交易所分别为：Binance、Bybit、Coinbase Exchange、OKX、MEXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中 Binance 以 24 交易量 135.95 亿稳居第一。

交易量排名前 10 名的去中心化交易所分别为：Uniswap V3（Ethereum）、Orca、UniswapV3（Arbitrum One）、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3（Ethereum）、THORWallet DEX、THORSwap 、Raydium、FerroProtocol，其中 Uniswap 以一己之力占据前十名多位。

据零时科技数据统，计 2023 年，加密货币交易所发生安全事件 19 起，累计损失资产金额超 12 亿美元。

据零时科技区块链安全威胁情报平台数据统计，2023 年，发生安全事件损失 Top6 的交易平台为：Curve，Coinbase, OKX，Platypus Finanace, Uniswap，Coins.ph ，损失金额分别为 4.4 亿美元，3.6 亿美元，1.8 亿美元，1 亿美元，6000 万美元和 4000 万美元。

以各交易平台安全事件损失分布来看，Couve 占比 36.6%，CoinBase 占比 30%，Platypus Finanace 占比 15%，位居前三。

据零时科技数据统计，从安全事件数量来看，交易平台的攻击类型主要为黑客攻击安全漏洞、资产被盗、钓鱼攻击、闪电贷攻击，分别占比 59%、31.8%、27%、9%、9%。从损失金额大小分布来看，黑客攻击占据 59%，为安全事件主要类型，安全漏洞占比 40%，资产被盗占比 33.3%。

下图为部分 2023 年交易所安全事件典型案例：

交易平台安全风险及措施建议

回顾以往所有交易所的安全事件，零时科技安全团队认为，从一个交易平台整体安全架构来看，交易平台面临的安全风险主要有：开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。

零时科技安全团队曾出版《区块链安全入门与实战》，其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤，如信息收集、社会工程等，还介绍了各种攻击面，如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App 安全等。

对于交易所安全风险，零时科技安全团队给出如下措施建议：

从交易平台角度：

1）培养内部人员的安全意识，加强交易所的生产环境、测试环境和调试环境安全隔离，尽量使用专业的网络安全防护产品。

2）通过与专业安全公司展开合作，进行代码审计、渗透测试，了解系统是否存在隐性漏洞和安全风险，建立完善和全面的安全防护机制。日常运营中，进行定期安全测试，加强安全加固工作。

3）升级账户的密钥结构及风控措施，建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制，加强后端冷热钱包安全加固，比如控制转账频率、大额转账、冷热钱包隔离等。

由于大部分用户除了使用交易所进行交易外，更多时候充当钱包存储数字资产。

因此，从用户角度：

1）不要随意安装未知来源的软件。

2）电脑服务器应避免打开不必要的端口，相应漏洞应及时打补丁，主机建议安装有效可靠的杀毒或其他安全软件，在 WEB 浏览器上安装挖矿脚本隔离插件等。

3）不要随意点击陌生人发的不明链接。

4、钱包－加密资产管理之伤

Web3 的钱包即区块链数字钱包，也称加密货币钱包或数字资产钱包，是存储和管理、使用数字货币的工具，在区块链领域有举足轻重的地位，是用户接触数字货币的入口。如今，随着生态的发展，数字钱包已经成为多链多资产的管理平台。

据零时科技区块链安全威胁情报平台数据统计，截至 2023 年 12 月，数字钱包项目数量共有 153 个。据 Blockchain.com 数据统计，2023 年全球有超过 4 亿人在使用加密资产。其中拥有加密钱包的用户在 2022 年达到 8100 万，而到 2023 年 11 月加密钱包用户数已经达到 2.21 亿，数量呈指数级增长。

作为 Web3 的入口，钱包早已成为黑客眼中的“香饽饽”。据零时科技数据统计，2023 年，数字钱包发生安全事件 35 起，累计损失资产金额超 6 亿美元。

2023 年，被攻击损失 Top5 的钱包安全事件主要来自：BitKeep、Solana、Cropto.com 、Transit、Bable Finanace，分别损失金额为：2 亿美元、1.3 亿美元、1.2 亿美元、1 亿美元和 4000 万美元。其中 BitKeep 被攻击损失金额最高。

据零时科技数据统计，从安全事件数量来看，数字钱包的攻击类型主要为：黑客攻击、资产被盗、安全漏洞、钓鱼攻击和诈骗，分别占比 44.9%、35.5%、27%、13.4%、9.8%。攻击占比最高，居于首位。

其中各主要攻击类型对应的安全事件损失占比分别为：黑客攻击造成损失最高，占比 48.2%；安全漏洞造成损失其次，占比 41%；资产被盗损失位列第三，占比 28%。

钱包被攻击，一般分为两种情况。一种是机构的钱包，另外一种是个人钱包。

数字钱包安全风险及措施建议

经零时科技安全团队分析，区块链数字钱包存在多种形式，主要面临的安全风险包括但不限于如下几方面：

机构端方面：运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。

用户端方面：面临私钥丢失或被盗：如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥 / 助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼（预售、APP 下载、中签陷阱）等风险。

面对这些风险如何保护钱包安全？

从机构端，零时科技安全团队建议：

无论是中心化还是去中心化钱包，软件钱包还是硬件钱包在安全性方面必须有充分的安全测试，针对数字钱包的安全审计，零时科技安全团队包括但不限于如下测试项：

1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能；

2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测，虚拟机检测，完整性检测；数字钱包需具有第三方程序劫持检测功能，防止第三方程序劫持钱包盗取相关用户信息。

3、钱包交易安全.钱包发出的所有交易必须进行签名，签名时必须通过输入支付密码解密私钥，交易签名生成后必须清除内存中解密后的私钥，防止内存中的私钥被窃取而泄漏等。

4、钱包日志安全.为了方便用户进行审计钱包操作行为，防止异常操作和未授权的操作，需记录钱包的操作日志，同时钱包日志必须通过脱敏处理，不得含有机密信息。

5、节点接口安全审计.接口需要对数据进行签名，防止黑客对数据被篡改；接口访问需要添加 token 认证机制，防止黑客进行重放攻击；节点接口需要对用户连接速率进行限制，防止黑客模拟用户操作进行 CC 攻击。

对用户端，零时科技安全团队建议：

1) 做好私钥存储措施：如私钥尽量手抄和备份，或使用云平台和邮件等社交网络传输或存储私钥。

2) 使用强密码，并且尽可能开启两步验证 MFA（或 2FA），时刻保持安全意识提高警惕。

3) 在更新程序版本时注意验证 hash 值。安装杀毒软件，并尽可能使用防火墙。监视你的账户 / 钱包，确认没有恶意交易。

4) 其中硬件钱包适合数字资产额度较大，需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产，供日常使用，硬件钱包保存大额资产，这样可以实现便利性和安全性兼备。

如果资金被盗怎么办？

如果发生无意的授权操作，在资金未被盗之前，尽快将钱包资金转出，并且取消授权；如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况，请立即联系零时科技安全团队进行资产追踪。

5、 DeFi－Web3 安全重灾区

DeFi 全称：Decentralized Finance，一般翻译为分布式金融或去中心化金融。DeFi 项目大体分为五类：预言机、DEX、抵押借贷、稳定币资产、合成衍生品。

TVL 全称：Total Value Locked 即总锁定价值。用户所抵押的资产总值，是衡量 DeFi 生态发展的最重要指标之一，通常 TVL 增长代表项目发展的越好。

零时科技区块链安全威胁情报平台数据统计，截至 2023 年 12 月，DeFi 项目共计 1297 个。据 DeFi Llama 数据显示，DeFi 总锁仓价值达到 390.51 亿美元规模。其中以太坊占比 58.59%，以 230.2 亿美元的 TVL 排名第一，其次是 Tron，占比 11.1%，以 40.36 亿美元的 TVL 排名第二，BSC 紧追其后，占比 10.47%，以 40.12 亿美元 TVL 排名第三。许多新兴公链如 Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态，也吸引了大量用户和资金沉淀。

DeFi 突出的智能合约安全问题已成为 DeFi 行业的最大挑战。此外，没有任何 DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时，也不一定有 DeFi 服务商来赔偿投资者，加之很多隐秘互连的问题，可能引起一连串的金融事故。

根据零时科技数据统计，截至 2023 年 12 月，共发生 DeFi 安全事件 24 起，累计损失资产金额超 7.2 亿美元。

以各生态发生的 DeFi 安全事件数量分布来看，Ethereum 生态分别发生 6 起，占比均为 25%，位列第一，BSC（BNB Chian）共发生 5 起，占比 20%，占比均为 24%，位列第二，Solana 生态发生 3 起，占比 15%，位列第三。

以各 DeFi 发生安全事件损失分布来看，排名前三的公链生态是，Ethereum 生态 DeFi 事件损失金额超 2.16 亿美元，占比 30%，位列第一；Solana 位列第二，损失金额 1.44 亿美元，占比 20%；BNB Chain 位列第三，损失金额为 1.3 亿美元，占比 18%。由此可见，生态越是活跃，越受到黑客关注，损失也最为突出。

据零时科技数据统计，从 DeFi 攻击类型来看，主要为：黑客攻击、资产被盗、闪电贷攻击和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为：黑客攻击占比 50%，居于首位；安全漏洞占比 29%，位居第二；资产被盗占比 20%，位居第三；闪电贷攻击占比 16%，位居第四。

从主要攻击类型损失分布来看，黑客攻击造成损失最高，占比 48.6%，资产被盗次之，占比 34.7%，安全漏洞位列第三，占比 43%。

DeFi安全风险及措施建议

DeFi 项目面对多重安全风险，从群体来分，分别为项目端（协议执行）和用户端；从安全种类来分，分别为各协议之间组合性的安全，包括组合之间的一些缺陷、智能合约安全、开源的安全，高收益伴随着高风险，缺乏监管等导致的一些安全问题。

从安全审计角度看，DeFi 项目面临的风险见下图：

从协议执行过程，DeFi 风险包括：智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。

从用户角度，DeFi 用户面临的风险有：技术风险：智能合约存在漏洞，受到安全性攻击；流动性风险：平台的流动性耗尽；密钥管理风险：平台的主私钥可能被盗取。安全意识风险：被钓鱼，遇到套利跑路欺诈项目等。

零时科技安全团队建议，作为项目方和用户，可以从以下四点应对风险：

1）项目方在上线 DeFi 项目时，一定得找专业的安全团队去做全面的代码审计，而且尽可能地找多家共同审计，尽可能多地发现项目设计缺陷，以免在上线之后出现不必要的损失。

2）建议用户参与这些项目投资时一定要做好把关，要对这个项目有一定的了解，或者是看它有没有经过安全审计后再上线。

3）增加个人安全意识，包括上网的行为和资产保存以及钱包使用等习惯，养成良好的安全意识习惯。

4）项目高收益高风险，参与需谨慎，不懂项目，尽量不参与，避免造成损失。

6、 NFT－钓鱼攻击的池塘

NFT 是 Non-Fungible Token 的简称，是基于区块链的非同质化代币，同时它是存储在区块链上的一种独特的数字资产，常作为虚拟商品所有权的电子认证或凭证，可以购买或出售。

根据 NFTScan 数据，截至 12 月 31 日，已收录的 NFT 项目 4624 个，共计 1,476,479,394 个 NFT。当前 NFT 总市值达到 256 亿美元，持有者达到 473.38 万人。从各类项目市值分布来看，PFP（Picture for proof），即个人资料图片类 NFT 市值遥遥领先，这也是目前使用场景最多的 NFT，其次是收藏品。从目前八大主流公链上看 NFT 资产和合约，Polygon 在资产和合约数上遥遥领先。

从交易规模来看：在 24 小时内按销量排名前 10 位的 NFT 交易平台中，Blur 排名第一，OKXNFT 紧跟其后，OpenSea 排名第三。从交易商来看，24 小时内按交易者、买家和卖家数量排名前 10 的市场中，Blur 位列第一，OKX NFT 排名第二、OpenSea 排名第三。

随着 NFT 价值凸显，黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势，但 NFT 的热度不减。

据零时科技不完全统计，截至 2023 年 12 月，NFT 赛道发生安全事件共计 44 起，累计损失资产金额约为 6200 万美元。

从 NFT 赛道的攻击类型来看，主要为：黑客攻击、安全漏洞、资产被盗、钓鱼攻击和，对应安全事件数量占比分别为 50%、35%、25%、23%。

从 NFT 主要攻击类型损失金额占比看，黑客攻击造成损失最多，占比 50%；资产被盗次之，占比 30%；安全漏洞居于第三，占比 30%。

NFT安全风险及措施建议

目前在 NFT 赛道，黑客攻击方式多种多样。以群体来分，面临风险的对象一般为平台和用户。

对于中心化平台端，可能面临的安全风险有：账号风险、商业化竞争风险、安全意识风险、内部人员风险、市场风险等。

对于用户端，Discord 攻击成为今年的主要攻击手法。

对于以上安全风险，零时科技安全团队给出以下措施建议：

对于普通用户，保护好自己的 Discord，需要注意以下几点：确保密码足够安全，使用字母数字特殊字符创建长的随机密码；开启 2FA 身份验证，密码虽然本身足够复杂但是不能依靠一个方式来保护；不要点击来自未知发件人或看起来可疑的链接，考虑限制谁可以与您私信；不要下载程序或复制 / 粘贴你不认识的代码；不要分享或屏幕共享你的授权令牌；不要扫描任何来自你不认识的人或你无法验证其合法性的 QR 码。

对于服务器所有者：审核您的服务器权限，尤其是对于 WebHook 等更高级别的工具；进行任何更改时，请保持官方服务器邀请更新并在所有平台上可见，尤其是当大多数新服务器成员来自 Discord 以外的社区时；同样，不要点击可疑或未知的链接！如果账户遭到入侵，可能会对管理的社区产生更大的影响。

对于项目：建议合约应严格判断用户输入购买数量合理性；建议合约限制零资金购买 NFT 的可能性；建议对于 ERC721 及 ERC1155 协议的 NFT Token 进行严格区分，避免混淆情况发生假冒 Discord 官方案例。目前多个聊天软件均会发现恶意 mint 链接，也有不少用户资金被盗，为了避免此类盗币事件，建议大家在进行 mint 操作时，验证链接来源可靠性，同时确保实际签署交易的内容和预期相符。

7、安全教育 -Web3 安全盾牌

知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到，网络安全意识如果不提高，未来面临的商业机密等各项安全事件势必会影响企业发展。Web3 去中心化自组织的参与方式，让个人意识到，如果不提高安全意识，就会沦为黑客的提款机。

目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识，零时科技也在各平台布道了上百篇网络安全知识。

除此外，零时科技也自研了安全意识评估管理平台，主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构，网络安全意识评估平台以网络钓鱼技术为基础，帮助企业构建私有云化的网络安全意识评估管理平台，集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统，实现企业持续系统化提升全员网络安全意识。除此之外，基于零时科技安全团队的专业实力，也为企业网络安全咨询和培训服务，从源头坚实安全盾牌。

结语

Web3 因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施，为整个互联网世界带来更加可信，可传递价值的生态系统。尽管 Web3 行业安全事件不断，黑客和犯罪分子各种手法层出不穷，但这并不能阻碍 Web3 行业的健康发展。

相反，如同对弈的双方，Web3 世界的“白帽子”，像我们零时科技一样的安全机构，一定会为这一繁茂的生态保驾护航，守护新世界用户的资产，与黑客斗智斗勇，为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。

漏洞常在，安全无价，发展与安全的博弈不会停止，但愿我们都能为自己装上一个安全盾，来应对这未来复杂的技术世界！

免责声明

本报告版权为零时科技所有，报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析，由于区块链具有匿名性特征，虽零时安全团队认为报告中所引用数据具有可靠性，但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同，本报告中所得结论可能与市场存在一定偏差。

本报告中的内容仅供参考，报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议，读者应具有独立的判断能力，不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失，均不由零时科技承担。

本报告所涉及的项目及第三方，对本报告的客观性和独立性不造成任何影响。

本报告中信息具有时效性，所载数据、资料及观点仅限于定稿日前。

本报告的目的旨在帮助用户了解 Web3 安全现状，提高网络安全意识，进而降低用户直接或间接可能面临的风险。限于各种局限因素，内容恐有疏漏，烦请各位读者不吝指正。

👇扫描关注零时科技服务号👇

👇区块链安全威胁情报实时掌握👇