Web3 加密安全报告：牛市风险提示

比特币近期再度刷新历史高点，逼近 10 万美元大关。历史数据显示，在牛市期间 Web3 领域的欺诈和钓鱼活动频发，造成的总损失超过 3.5 亿美元。分析表明，黑客主要针对以太坊网络发起攻击，稳定币是首要目标。基于历史交易和钓鱼数据，我们对攻击手法、目标选择和成功率进行了深入研究。

加密安全生态概览

2024 年加密安全生态项目可分为几个主要领域。智能合约审计方面，有一些资深参与者提供全面的代码审查和安全评估服务。DeFi 安全监控领域则有专门针对去中心化金融协议的实时威胁检测和预防工具。值得关注的是人工智能驱动的安全解决方案逐渐兴起。

近期热门的 Meme 代币交易也催生了一些安全检查工具，帮助交易者提前识别潜在风险。

USDT 成为被盗最多的资产

数据显示，以太坊网络上的攻击约占所有事件的 75%。USDT 是遭受攻击最多的资产，被盗金额达 1.12 亿美元，平均每次攻击损失约 470 万美元。其次是 ETH，损失约 6660 万美元，第三是 DAI，损失 4220 万美元。

值得注意的是，一些市值较低的代币也遭受了大量攻击，表明黑客会针对安全性较低的资产下手。最大规模的单次事件发生在 2023 年 8 月 1 日，是一起复杂的欺诈攻击，造成 2010 万美元的损失。

Polygon 成为第二大受攻击网络

虽然以太坊在所有钓鱼事件中占据主导地位，占据 80% 的交易量，但其他区块链也出现了盗窃活动。Polygon 成为第二大目标网络，交易量约占 18%。盗窃活动通常与链上总锁仓价值(TVL)和日活跃用户数密切相关，攻击者会根据流动性和用户活跃度做出判断。

攻击时间分析与演变趋势

攻击频率和规模呈现不同模式。2023 年是高价值攻击最集中的一年，多起事件损失超过 500 万美元。同时，攻击手法逐渐演变，从简单的直接转移发展为更复杂的基于授权的攻击。重大攻击（损失超过 100 万美元）之间的平均间隔约为 12 天，主要集中在重要市场事件和新协议发布前后。

主要钓鱼攻击类型

代币直接转移

这是最直接的攻击方式。黑客诱导用户将代币直接转移到他们控制的账户。数据显示，这类攻击的单笔损失往往很高，利用用户信任、虚假页面和欺骗性话术来说服受害者自愿发起转账。

这类攻击通常遵循以下模式：通过相似域名完全复制知名网站以建立信任，同时在用户交互时制造紧迫感，提供看似合理的转账指令。分析显示，此类直接转账攻击的平均成功率为 62%。

授权钓鱼

授权钓鱼主要利用智能合约交互机制，是技术上较为复杂的攻击手段。攻击者诱骗用户授予对特定代币的无限制支配权。与直接转账不同，授权钓鱼会造成长期漏洞，攻击者可以逐步耗尽受害者的资金。

虚假代币地址

地址中毒是一种综合性攻击策略，攻击者使用与合法代币同名但地址不同的代币创建交易。这类攻击利用用户疏于检查地址的漏洞来获利。

NFT 零元购

零元购钓鱼专门针对 NFT 生态系统中的数字艺术和收藏品市场。攻击者诱导用户签署交易，导致其高价值 NFT 以极低甚至零价格出售。

研究期间发现了 22 起重大 NFT 零元购钓鱼事件，平均每起损失 378,000 美元。这些攻击利用了 NFT 市场固有的交易签名流程漏洞。

被盗钱包分布分析

数据揭示了被盗钱包在不同交易价格区间的分布模式。发现交易价值与受影响钱包数量之间存在明显的反比关系——随着价格上升，受影响的钱包数量逐渐减少。

每笔交易 500-1000 美元区间的受害钱包数量最多，约有 3,750 个，占比超过三分之一。小额交易中受害者往往不太注意细节。1000-1500 美元区间的受害钱包数降至 2140 个。3000 美元以上的交易仅占总攻击数的 13.5%。这表明，交易金额越大，安全措施可能更严格，或者用户在涉及大额交易时会更加谨慎。

总的来说，这些数据揭示了加密货币生态系统中复杂且不断演变的攻击模式。随着牛市来临，复杂攻击的频率和平均损失可能会增加，对项目方和投资者的经济影响也将加大。因此，不仅区块链网络需要加强安全措施，用户在交易时也要格外警惕，防范钓鱼等安全事件的发生。