2022 年第三季度 Web3 行业安全报告

撰文：CertiK

2022 年第三季度，黑客从 Web3.0 领域中盗取了总价值约 5 亿美元的资产，这个数字相比上季度减少了 32.32%，同时今年的损失总额增长至 28.8 亿美元。

第三季度共发生了 98 起退出骗局，导致了 5619 万美元的资产损失，23 起闪电贷攻击则导致了 1737 万美元的资产损失。

仅 6 起多链安全事件造成的高达 4.3 亿美元的损失金额就占到了本季度总损失的 85.3%。

第三季度 CertiK 审计的 Web3.0 项目数量新增了 537 个，同时 CertiK 审计的项目总数达到了 4737 个。37 个 Web3.0 项目成功通过 KYC 项目背景调查，47 个项目入驻 CertiK Skynet。

截至目前，2022 年 CertiK 已完成了 183 个项目的 KYC 项目背景调查服务，同时有 846 个新的 Web3.0 项目入驻 CertiK Skynet。

第三季度攻击损失清单

① 以攻击类型分类

② 以生态系统分类

③ 以时间分类 

概要

7 月是今年到目前为止安全态势最为良好的一个月，黑客攻击、诈骗行为、漏洞利用和其他安全事件仅造成了 6600 万美元损失，但该数量在之后两个月内再次攀升。8 月总损失的 74% 源于 Nomad Finance 跨链桥攻击事件，而 9 月总损失的 89% 源于做市商 Wintermute 钱包被盗的 1.62 亿美元。

2022 年第三季度，Web3.0 行业仍然多受退出骗局的困扰。本季度，CertiK 共记录了 169 起独立安全事件，其中 58% 被归类为退出骗局。

如果仍然有一些经验不足的用户考虑把钱投资到未经审计的项目中，或是甘愿冒着风险急于成为代币早期持有人，那么退出骗局就会持续扩散，整个产业也将被其阴影笼罩。  

跑路的过程其实非常简单明了，欺诈团队所要做的仅仅是复制粘贴现成的骗局项目代码并将其部署，为去中心化交易所（DEX）的交易对增加流动性，然后将代币推销给用户，直到他们投入了足以让欺诈团队脱身的大量资金。

代码审计很容易就能发现项目钱包所存在的中心化风险及访问特权，从而根据一些疑点揭露团队欺诈。我们建议 Web3.0 用户不要投资任何未经审计，或者那些审计发现了中心化和特权风险却未修复的项目。

其实所有退出骗局基本都遵循着类似的套路，要规避那些明显有退出骗局迹象的项目并不困难，因此退出骗局并不能提供 Web3.0 安全方面的最具启发性案例分析。 

但是第三季度还发生了许多其他不寻常的事件，可以让 Web3.0 用户和开发者汲取到新的经验。本报告将分享三个案例，就其事件进行分析并从中为读者提取安全相关的重要启示。

Nomad 跨链桥黑客攻击事件：损失 1.9 亿美元，成为本季度最严重的安全事件；做市商 Wintermute 钱包私钥泄露事件：被盗 1.62 亿美元；Slope 被黑事件：损失 800 万美元，其是 Solana 生态中比较流行的热钱包，被黑数额相对较小。然而，以上所有损失都是由于不安全的应用程序代码所致，这就表明要实现 Web3.0 的全面安全不仅关乎智能合约，技术堆栈的各个层面也必须保证安全。 

实际上，Nomad 跨链桥被黑和 Wintermute 私钥泄露事件的资产损失合计占据了第三季度总损失的近 70%，这说明成功的漏洞攻击很可能不需要黑客付出过多「努力」，而其所得的回报有可能是巨大的。换句话说，无论目标钱包存有 162 美元还是 1.62 亿美元，如果攻击者想要暴力破解其私钥，所要付出的算力都是一样的。而在 Nomad 被黑事件中，任何普通用户都能简单复制原始攻击者的交易，并换成自己的钱包地址实施攻击，这也更加凸显 Web3.0 世界的残酷性。毫无疑问，所有漏洞都会受到最大程度地利用。Web3.0 开发者必须认真对待安全问题，不仅是为了保护用户资金，也是为了保障整个项目的长期生存和发展。

重大安全事件

私钥安全危机四伏