Certik：2023年第一季度Web3.0行业安全报告

概要

● 2023 今年第一季度，恶意行为者来自Web3.0 在协议中盗取了超过 3.2 亿（320, 332, 058 ）美元的价值。

● 这个数字约为 2022 年第四季度 9.5 资产损失约为亿美元的三分之一 2022 年第一季度 13 四分之一的资产损失为1亿美元。

● 2023 在第一季度，仅仅一起安全事件就造成了超过 60% 的损失—— 1.97 亿美元的 Euler Finance 漏洞事件。

● 90 撤出骗局的“幕后黑手”共盗取了约会 3100 万（31, 043, 335 ）美元资产，而 52 闪电贷款攻击和预测机操作漏洞超过 2.2 亿（222, 963, 86 ）美元的损失。Euler 事件直接增加了闪电贷款攻击事件的平均损失——实现 428.8 退出骗局造成的平均资产损失为1万美元 34.5 万美元。

● 除区块链领域外， 2023 可以载入Web3.0的第一季度也发生了 货币史册的重大事件:从Web3.0开始 货币行业与传统金融业的最强联系之一 Silvergate 银行倒闭，到硅谷银行危机造成的 USDC 稳定货币脱钩。

文末附 PDF 下载链接

简介

总体而言， 2023 第一季度相对平静。损失仅为 2022 年同期的 24% ，与去年第四季度相比， 9.5 1亿美元大幅下跌。如果第一季度超过 60% 失去的Euler Finance事件减去(事件中损失的大部分资金最终已归还)， 2023 今年第一季度，由黑客和欺诈造成的损失创下了Web3.0 历史新低。

尽管与去年同期相比， blue-chip 资产价值明显较低，但价格在第一季度强劲复苏。主要网络的日交易量也保持稳定或增长。以太坊平均每天处理约会 110 万笔交易，BNB 从年初开始，链也扭转了日交易量的持续下降趋势 225 日交易的低点反弹到 3 月底平均近 400 万笔。

来源：Dune Analytics

值得注意的是，值得注意的是，Arbitrum 生态系统在 2 月底成为第一个日交易量超过以太坊的L2 3 在本月向用户进行空投后，又造成了另一次交易量激增。第一季度，Arbitrum 安全事件造成了约定 426.1 一万美元的损失占所有Web3.0 区块链的总损失价值 1.45% 。

尽管 Euler Finance 黑客事件是本季度最大的安全事件，但大部分资金最终被退还，削弱了事件的影响。虽然我们无法准确描述或猜测本季度黑客、欺诈和漏洞利用造成的损失减少的原因，但其中一个很大的可能性也是由于资产价格的下降，加上公众对Web3.0 对安全重要性的认识虽然缓慢，但却在不断增长。我们希望这一趋势一直持续到第二季度甚至第二季度 2023 全年。

Euler 损失额： 1.97 1亿美元，然后 所有可复原资金 “被归还

Euler Finance是“以太坊上几乎任何Web3.0都允许用户借出和借入 货币资产非托管协议”。2023 年 3 月 13 日，攻击者用闪电贷攻击了许多人 Euler Finance 池。他们终于偷了大约 1.97 亿美元。仅此事件就让Web3.0 第一季度安全事件损失总额翻了一番以上。

Euler 的漏洞在于 Euler Pool 合约中的 donateToReserve 函数。该函数缺乏对流动性抵押状况的适当检查，导致用户自主放弃部分杠杆存款，使资本池资不抵债。

此外，尽管 Euler 白皮书中的 mint 函数被描述为存款的价值上限 19 但当它被多次调用时，杠杆倍数没有实际控制。

攻击流程

攻击者从 AAVE 闪电贷到 3000 万 DAI，通过 eDAI 合约向 Euler 存入 2000 万 DAI，并收到 2000 万 eDAI。存入攻击者 2000 万 DAI 之前，Euler 池中的 DAI 余额为 890 万。然后攻击者调用`eDAI.mint()`。该特定的`mint`功能是 Eule Financer 独一无二的，用户可以反复借款还款。这是一种创建贷款周期的方法，其结果是杠杆贷款头寸。当调用`mint`后，收到 2 亿 dDAI 和 1.95.6 亿 eDAI。(注：dTokens 代表债务代币，eTokens 代表抵押股权)。调用 “r**”，将 eDAI 池中的 1000 万 DAI 偿还给 Euler，这就将 1000 万 dDAI 销毁了。然后再次调用 “mint为攻击合同创造另一个合同 2 亿 dDAI 和 1.956 亿 eDAI 正式的贷款头寸。此时攻击者的位置如下： 3.9 亿 dDAI 和 4 亿 eDAI。

调用`donateToReserves`(存在漏洞的函数是 2022 年 7 月被引入)，将 1 亿 eDAI 转给 Euler。因为这种行为的抵押状况没有得到适当的检查，”donate” 后来的攻击者成了“违规者”(非健康负债水平的地址)， 风险调整后，债务远远超过抵押品的价值，因此可以清算。攻击者部署的清算人合同开始清算“违规者”，清算人员通过平台操作获得 20% 的利润。

攻击发生后，一个和 Ronin Bridge 通过链上信息与攻击相关的钱包进行攻击 Euler 攻击者进行了沟通，并附上了加密信息和“解密工具”链接。这很可能是意图 Euler 恶意软件从攻击者那里窃取资金。

这是本案耐人寻味的发展，也揭示了Web3.0专业黑客的发展 该领域采用了多种不同的战术和策略。

3 月 20 黑客在区块链上发了一条消息，宣布他们愿意谈判。

“我们希望所有受影响的人都能更容易地解决这些问题。我们无意保留不属于我们的东西。建立安全通信，让我们达成协议。”

——交易 ID：0xcc73…6a1c0

攻击事件发生两周后，攻击者退还了大量资金，超过了价值 8500 万美元的 55, 000 ETH 转回协议。虽然目前还不清楚它的和谐 Euler 达成的具体协议条款，但似乎受影响的用户将得到部分或全部赔偿。

虽然这一事件与Web3.0相比 该领域的许多其他黑客攻击都有一个“快乐”的结局，但这并不意味着该项目可以希望黑客的“善良”。积极的安全预防措施至关重要，毕竟，绝大多数被盗的价值永远不会被归还。

40 个 Rug 为了更好地理解最终消除流动性的共同点和差异。我们可以通过确定项目特征和定性和定量分析来识别和分析 Rug Pull 共同特征。

Kokomo Finance 是部署在 Optimism 上 Ethereum 的 Layer 2 扩展解决方案。2023 年 3 月 26 日，Kokomo Finance 实施退出骗局。项目团队控制的部署合同实施了恶意合同，允许他们暂停协议的贷款功能，并将存款转移到外部地址，导致 141 wBTC 遭受损失。就像经典的退出骗局一样，团队删除了他们所有的社交媒体账户，项目网站不再可访问。

这不是第一季度最大的漏洞，也不是独一无二的。但它代表了这种骗局的可持续性：从 Web 3.0 用户窃取金额，从而积少成多。

诈骗者多次Web3.00 河塘钓鱼

Web3.0 随着加密世界的不断发展。随着这一发展，社区开始面临新的、更复杂的威胁和挑战。其中一个威胁是假钱包的泛滥，目的是欺骗用户发送他们的宝贵资产。这些假钱包是Web3.0 社区是一个持续的问题，我们需要特殊的努力和研究来识别和揭露它们。

BombFlower

CertiK 我发现了一个有组织的欺诈集团。该集团组织利用部署的假钱包欺骗用户窃取用户资产。由于该集团使用的特殊逃逸反收集功能相对罕见，我们将其命名为 BombFlower。这些假钱包移动应用程序很可能被主流恶意软件检测工具忽略，因为该集团组织使用了检测逃逸技术。

BombFlower 集团通常设计这些假钱包与合法钱包非常相似，比如使用类似于原始网站的设计和布局，域名只有轻微的变化。用户很难区分它。

假钱包括后门，Hook 钩技术的生成功能，直接到钱包 Javascript 代码（如 index.android.bundle）或 smali 恶意代码注入代码。

用户应仔细检查下载钱包应用程序的网站域名，并将其作为基本预防措施 Web 3.0 反恶意软件运行在货币交易的计算机上。

Monkey Drainer

我们已经发现一些骗子使用一种俗称的方法 Monkey Drainer 网络钓鱼工具包。这些网络钓鱼工具包括恶意行为者从Web3.0 社区窃取资产提供了快捷方便的工具。这个工具包是由恶意供应商出售给那些想要窃取用户资金的潜在欺诈者的。即使你不熟悉“欺诈专业”，你仍然可以用钓鱼工具包钓到一些“猎物”。Monkey Drainer 工具包和类似的钓鱼工具使用一种叫做“”Ice Phishing欺骗用户的技术，骗子可以有无限的权限来花费代币。

Ice Web3.00 世界上独特的攻击类型，用户被诱骗签署权限，允许欺诈者直接消耗用户账户中的资产。与传统的网络钓鱼攻击不同，后者通常用于窃取用户数据，包括登录凭证、钱包或资产信息，如私人钥匙或密码。这使得 Ice Phishing 对Web3.0 因为与用户有更大的威胁 DeFi 协议的互动需要用户授权，欺诈者只需要让用户相信他们批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产，账户可能会被盗。

用户可以使用它 revoke.cash 或 Etherscan 的 Token Approval Checker 这样的网站可以检查他们授予的权限，从而保护自己免受 Ice Phishing 侵权。如果有未经批准的地址或开始交易的地址，则应撤销授予它的所有权限。

传统金融体系受到打击

美国银行系统在第一季度的事件中表现出许多缺点和脆弱性，贴现窗口贷款也创下新高，并在 3 本月推出了银行定期融资计划。硅谷银行和签名银行的破产进一步显示了当前金融体系的脆弱性。而 Web 3.0 在这些挑战中，货币生态系统显然更能从容应对。

增加贴现窗口贷款和建立紧急备用金突出了银行系统的持续脆弱性，各机构也在努力解决存款迁移和流动性问题。相比之下，Web 3.0 货币生态系统已经证明了它在这些动荡时期有效运作的能力。例如，那些担心 SVB 拉垮 Circle 存款用户可以在那里 Web 3.0 货币的 24/7 市场上交易 USDC，愿意承担这笔交易的用户可以获得相应的回报。

来源：CoinMarketCap

Web 3.0 货币生态系统的主要目标一直是建立一个分散、自由和公平的传统金融替代品。通过开发更多 Web 3.0 本地货币解决方案可以与日益脆弱的传统金融体系隔离。其中，后者往往需要政府干预和停止交易以保持稳定。

美国和欧洲金融体系最近引发的一些事件无疑暴露了传统银行的弱点， Web 3.0 货币生态系统证明了其更大的弹性和效率。通过减少对传统金融的依赖，Web 3.0 货币生态系统将有机会更加繁荣，成为日益脆弱的传统银行系统的强大而分散的替代品。

Skynet for Community: 概述

2023 年度第一季度，CertiK 非常荣幸地宣布推出Skynet for Community，这是一个集安全、尽职调查和数据为一体的平台，旨在改进Web3.0 生态系统中的信任和透明度。该平台致力于为社区用户、投资者和项目团队提供所需的工具和资源，以便他们能够轻松调查和理解Web3.0 生态系统。

因为数以千计 Web 3.0 该项目每天创建数以百万计的数据点，因此用户很容易在噪音中迷失方向。Skynet for Community 丰富的数据驱动洞察力帮助用户找到新项目，尽职调查感兴趣的项目，及时了解 Web 3.0 该领域的最新消息和发展。该平台汇总了大量的数据 Web 3.0 以安全为重点的尽职调查工具是最容易获得的。无论是对可操作的链数据和社会数据进行全面的尽职调查，发现最新的智能合同审计项目，还是挖掘最有价值的行业见解和最佳安全实践，Skynet for Community 所有这些数据都实现了流程简化，并整合到用户浏览的平台上。新设计的界面和强大的功能，Skynet for Community 在Web3.0做出明智的决定 促进生态系统信任和透明度的终极工具。

Skynet for Community: 解决方案

Skynet for Community 主页默认为“探索新项目”。从这个页面开始，你可以随时随地轻松地搜索你感兴趣的项目和新项目。

Web3.0 安全列表根据项目的安全分数和市场表现列出项目并排名。安全分数是通过专有算法产生的分数。该算法的计算和考虑包括代码安全、基本健康、操作灵活性、社区信任、市场稳定性和治理强度。安全评分列表允许用户根据项目的安全情况快速确定最佳性能，并将其与类似项目进行比较。

Web3.0 KYC 根据项目获得的团队名单，根据项目获得的团队名单 CertiK KYC 公示和排名徽章状态。通过严格背景调查的项目团队将获得certik KYC 徽章，CertiK 授予项目团队提供的可验证信息和信息等级 KYC 黄金徽章、KYC 白银徽章或 KYC 青铜徽章。KYC 徽章会表明我们知道项目背后的团队，并且已经符合要求 CertiK KYC 标准的调查和验证也代表了项目团队履行合规措施的承诺。

Web3.0 KOL 榜根据各个 KOL 影响得分排名，这反映了他们的行为 KOL 内容影响和影响范围的输出。有兴趣识别的排名正在塑造web3.0 业内风向标 KOL 用户很有帮助。此外，它还提供了和 KOL 具有相关可能性的社区和项目概述，让用户更好地了解该领域的流行和趋势。

交易所的审计分析允许用户通过显示链上的资产持有量对集中交易所进行尽职调查。这是验证储量证书的第一步，也是最关键的一步。

Web3.0的天网项目预警系统 货币领域的 Rug Pull 第一时间提供攻击和漏洞事件的预警。该系统将实时监控各种信息来源，以识别和报告潜在信息来源 Rug Pull 恶意利用攻击和漏洞。用户还可以在“探索新项目”页面上的“Web3”.0 访问流行的智能基金列表中的钱包分析器，或点击项目详细信息页面中代币链上的任何监控、治理和自治模块中的钱包地址。

智能资本导向是智能货币钱包分析器功能的接入点，允许用户直接搜索钱包地址，查看钱包搜索趋势、智能资本列表和流动性交易列表。钱包分析器提供了对钱包地址的分析，通过显示关键钱包特征、钱包关系和代币交易活动的可视化图片，用户可以更容易地解释钱包之间的链交易。

现在就来登录 Skynet for Community 平台，阅读 Skynet education hub 和观看 masterclass 教学并进行高水平的尽职调查！

CertiK 端到端安全解决方案

致力于保护 Web 3.0 的道路上，CertiK 开发了许多帮助项目采用端到端安全解决方案的工具。

CertiK 让安全排行榜 Web 3.0 用户可以使用 CertiK 审计和安全团队的专业知识对投资项目的安全风险有了更深入的了解，并做出了更明智的决策，将整个生态系统推向了一个新的高度。

目前 CertiK 安全排名已全面升级为安全排名 360 ，为成千上万的项目提供完整和即时的安全“全景图”。由于整个系统的全面更新，用户访问和分析这些安全数据将是前所未有的方便。此外，我们还使用定量工具为个人投资者提供合理的决策建议。欢迎光临 certik.com 了解详情。

Skynet 天网动态扫描系统可以结合链上交易监控和链下数据(如舆论) Web 3.0 平台进行实时、全面的安全监控和分析。Skynet 天网动态扫描系统高级版 Skynet Premium 由 CertiK 于 2021 它的威胁检测模型将通过机器学习与不断变化的智能合约风险环境同步发展。这也意味着，随着威胁情报数据库和智能合约漏洞数据库的不断积累，该平台将变得越来越先进，以适应不断变化的智能合约风险环境。目前 Skynet 天网动态扫描系统已全面升级，增加了更多维度 Skynet 天网信任评分、项目亮点、专属项目预警等新功能。

SkyTrace是一种智能直观的跟踪工具，有助于以太坊和以太坊的分析和可视化 BSC 钱包的交易数据。该工具为识别和跟踪个人钱包或项目团队钱包的可疑流量提供了深入的分析。

CertiK KYC 项目背景调查服务可以为项目团队提供基于使用的身份验证 AI 进行检测系统 ID 真实性检查，确保个人身份真实并与之相匹配 ID 相匹配。除在身份验证过程中进行实时有效性检查外，CertiK 还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要的参数。随着团队的匿名性越来越高，项目的风险行为越来越有可能。除此之外，CertiK 通过了安全排行榜 KYC 以青铜、白银、黄金等级调查的项目团队 KYC 徽章，最大限度地使项目团队匿名，建立更完善的问责制，从而提高项目的可信度。

CertiK 在运行环境中，Web3.0 应用程序安全综合解决方案的重要组成部分。我们的渗透测试服务是由经验丰富的道德黑客团队通过使用专有工具找到代码中最小的攻击。

CertiK 在最近推出的漏洞赏金计划中，招募并选出了一批世界顶级白帽黑客，在恶意行为者利用漏洞之前，收集情报及时发现。CertiK 安全专家团队将负责筛选和识别所有提交的材料，并协助客户正确维修。我们的 0% 成本模式减轻了项目团队的支付负担，白帽黑客可以获得全额奖励。

SkyHarbor 为数字资产的保护和监控提供了多合一的解决方案。凭借其先进的监控和威胁检测系统，SkyHarbor 能够快速识别系统中的任何漏洞或可疑活动，确保您的资产始终安全。

生态系统

CertiK 在区块链平台上，审计和端到端解决方案已经覆盖了市场上大部分的生态系统，并支持几乎所有的主流编程语言Web 3.0 资产交易平台、智能合约安全等领域为各生态链提供安全技术支持。目前，与我们合作的生态系统包括：

通过与 CertiK 在我们经验丰富的分析师团队提供技术评估、专有研究和战略建议等综合服务的同时，尽可能多地进行咨询和合作 Web 3.0 最大收益。

CertiK 致力于保护Web3.0 世界将以安全数据为重点，不断分析 Web 3.0 安全的未来和发展。帮助用户远离“土狗”和人为踏空，赋予科技价值和载舟之路。

该报告 PDF 本版已收录并生成链接，欢迎下载查阅。

下载方式⬇️

将链接复制到浏览器：https://certik-2.hubspotpagebuilder.com/2023-q1-web3-cn 即刻下载！

本文的部分内容来自网络，仅供参考。如有侵权行为，请联系删除。