攻擊數(shù)量創(chuàng)歷史之最 | 《Web3安全季度報(bào)告》解讀
CertiK近期發(fā)布了《Web3 安全季度報(bào)告》(2022年第二季度版),報(bào)告描述了2022年第二季度的Web3網(wǎng)絡(luò)安全質(zhì)量的狀況,并指出2022年第一、二季度與web3網(wǎng)絡(luò)相關(guān)的經(jīng)濟(jì)損失已超20億美元,超越2021年全年創(chuàng)歷史新高。同時(shí)在網(wǎng)絡(luò)攻擊方面,“閃電貸”攻擊和互聯(lián)網(wǎng)釣魚攻擊也在突破歷史記錄,“閃電貸”攻擊在第二季度造成了高達(dá)3.08億美元的損失,遠(yuǎn)超過(guò)去的季度高峰。而網(wǎng)絡(luò)釣魚攻擊雖損失金額略低于一季度,但攻擊頻次與第一季度相比卻上升了170%。
當(dāng)然報(bào)告中也存在著一些好消息,受到NFT市場(chǎng)的整體萎靡影響,雖然與第一季度相比地毯騙局(Rug pulls)與退市騙局的攻擊次數(shù)略微上升16%,達(dá)到89次,但損失金額大幅度下降,僅僅造成了3800萬(wàn)美元的損失。而針對(duì)特定漏洞的大規(guī)模攻擊也有同樣的趨勢(shì),雖然攻擊頻次上升了6次達(dá)到39次,攻擊損失5.2億美元,但均次的損失僅有1330萬(wàn)元。
屢防不止的釣魚攻擊
整個(gè)第二季度,CertiK記錄到了共計(jì)290次釣魚攻擊,與第一季度的106次攻擊相比相比,整體頻次增加了170%,這些攻擊絕大部分是針對(duì)Discord和Telegram這樣的社交媒體平臺(tái)。那么為什么這些社交平臺(tái)出現(xiàn)釣魚攻擊的頻率如此之高呢?首先NFT與這些社交媒體平臺(tái)高度關(guān)聯(lián),是用戶普遍首選的NFT 社交平臺(tái),其次由于Discord和Telegram這樣的社交媒體平臺(tái)并不支持賬戶驗(yàn)證,因而長(zhǎng)期存在相關(guān)的安全隱患。
快速上升的閃貸式攻擊
“閃電貸”攻擊趨勢(shì)在快速地攀升,已經(jīng)成為NFT領(lǐng)域攻擊的新威脅,這種去金融中心化的機(jī)制,使得攻擊者能夠在極端短的時(shí)間內(nèi)訪問(wèn)大量的加密代幣,以此來(lái)操縱某種NFT貨幣的價(jià)格。根據(jù)CertiK的統(tǒng)計(jì)記錄,第二季度總共有27次攻擊共造成308,002,694美元的損失。與第一季度相比,無(wú)論從攻擊的數(shù)量,還是從每次攻擊的損失金額來(lái)看,都有驚人的增長(zhǎng)。在攻擊次數(shù)上第一季度僅發(fā)生14次,第二季度則增長(zhǎng)了66.7%達(dá)到27次,損失的資金從第一季度的14,178,471美元增加到第二季度的308,002,694美元,增長(zhǎng)了2000%以上。第二季度還發(fā)生了兩起特大“閃電貸”攻擊事件,F(xiàn)ei Protocol在攻擊中損失了0.79億美元。而B(niǎo)eanstalk Farms在攻擊中甚至占到了本季度損失的59%,金額高達(dá)1.82億美元。
2022年第二季度閃貸式攻擊損失前十
但即使在排除了這兩件超大規(guī)模的“閃電貸”攻擊事件,第二季度的平均損失金額也遠(yuǎn)高于第一季度,可以說(shuō)第二季度“閃電貸”攻擊造成攻擊損失是毀滅性的,是自“閃電貸”攻擊出現(xiàn)以來(lái)的一個(gè)歷史高峰??梢灶A(yù)見(jiàn)到“閃電貸”攻擊的威脅形勢(shì)遠(yuǎn)不止如此,CertiK預(yù)計(jì)今年全年“閃電貸”攻擊造成的損失相比21年很可能會(huì)增長(zhǎng)78%,達(dá)到約6.57億美元。甚至由于大部分小型“閃電貸”攻擊(金額低于10萬(wàn)美元)難以被統(tǒng)計(jì)到,所以NFT市場(chǎng)的整體損失很可能不止于此,具體金額只高不低。
萎縮的地毯騙局與退市騙局
地毯騙局與退市騙局在統(tǒng)計(jì)中仍是一種相當(dāng)常見(jiàn)的攻擊形式,第二季度CertiK統(tǒng)計(jì)到的相關(guān)騙局共有89起攻擊事件,共計(jì)損失3700萬(wàn)美元,與去年同期高達(dá)2.65億美元的經(jīng)濟(jì)損失相比,損失金額出現(xiàn)斷崖式下跌。而在攻擊頻次方面相關(guān)騙局的頻次與一季度相比小幅度上升16%??傮w而言在地毯騙局與退市騙局騙局方面,第二季度繼續(xù)延續(xù)了總體下降趨勢(shì),雖然在攻擊次數(shù)方面小幅度回彈,但損失金額仍然處于下降趨勢(shì)。之所以這兩個(gè)騙局會(huì)出現(xiàn)這樣的趨勢(shì),要得益于NFT市場(chǎng)的萎縮低迷,鮮少有大筆新的活躍資金進(jìn)入市場(chǎng),而原有的投資者在經(jīng)歷過(guò)多家公司破產(chǎn)倒閉后也變得相當(dāng)謹(jǐn)慎,最終使得騙局難以實(shí)現(xiàn),自然就會(huì)趨于萎縮狀態(tài)。
稍有緩解的傳統(tǒng)漏洞攻擊
第二季度Certi記錄到的39次漏洞攻擊總計(jì)造成了超過(guò)5.2億美元的漏洞損失。與第一季度相比,該方面的損失存在明顯下降,與第一季度的12億美元相比下降了57%。但令實(shí)際上,漏洞攻擊的數(shù)量沒(méi)有下降,反而是從33次略微增加到39次。 這一差異大部分是由對(duì)Ronin網(wǎng)絡(luò)的6.24億美元的地震式攻擊造成的,該事件的經(jīng)濟(jì)損失占第一季度漏洞損失的一半以上。不過(guò)好消息是,即使在不計(jì)算針對(duì)Ronin網(wǎng)絡(luò)攻擊造成的損失,第二季度每個(gè)漏洞的平均資金損失也從一季度的1900萬(wàn)下降到1330萬(wàn)。
2022年第二季度漏洞攻擊損失前十
總結(jié)
2022年Web3損失慘重,基于第一季度與第二季度的損失情況,全年的損失金額可能會(huì)創(chuàng)歷史之最。當(dāng)前各類攻擊令人防不甚防,不僅要應(yīng)對(duì)各類舊有的,如漏洞攻擊、釣魚攻擊、退市騙局等攻擊,新興的“閃電貸”攻擊也成為了極為嚴(yán)峻的挑戰(zhàn),倘若不做好各類防護(hù)措施,那么勢(shì)必會(huì)出現(xiàn)各類的問(wèn)題,造成大量經(jīng)濟(jì)損失。雖然在退市攻擊和漏洞攻擊上,第二季度的損失呈現(xiàn)下降趨勢(shì),但同樣也需要持續(xù)關(guān)注并做好。要維護(hù)好Web3網(wǎng)絡(luò)安全仍是一條極為漫長(zhǎng)的道路,需要我們不斷關(guān)注防備,才能避免各類損失。?