Web3加密安全报告:牛市需谨慎，警惕收益被盗

比特币再次创下历史新高，接近99000美元，直逼10万美元大关。回顾历史数据，在牛市期间，Web3领域的诈骗和钓鱼活动频繁发生，总损失超过3.5亿美元。分析显示，黑客主要针对以太坊网络进行攻击，稳定币是首要目标。基于历史交易和钓鱼数据，我们对攻击方法、目标选择和成功率进行了深入研究。

加密安全生态概览

2024年加密安全生态项目可分为几个主要领域。智能合约审计方面，有一些知名的参与者。智能合约漏洞仍是加密领域的主要攻击媒介之一，提供全面代码审查和安全评估服务的项目各有特色。

DeFi安全监控领域有专业工具，专门针对去中心化金融协议进行实时威胁检测和预防。值得注意的是人工智能驱动的安全解决方案正在兴起。

近期Meme交易十分活跃，一些安全检查工具可以帮助交易者提前识别潜在问题。

USDT是被盗最多的资产

数据显示，基于以太坊的攻击约占所有攻击事件的75%，USDT是最常被攻击的资产，盗窃量达1.12亿美元，USDT平均每次攻击价值约为470万美元。受影响第二大的资产是ETH，损失约6660万美元，其次是DAI，损失4220万美元。

值得注意的是，市值较低的代币也遭受了大量攻击，这表明攻击者会伺机盗取安全性较低的资产。最大一起事件发生在2023年8月1日，是一次复杂的欺诈攻击，造成2010万美元的损失。

Polygon是攻击者的第二大目标链

虽然以太坊在所有钓鱼事件中占据主导地位，占80%的钓鱼交易量。但其他区块链上也观察到了盗窃活动。Polygon成为第二大目标链，交易量约占18%。通常，盗窃活动与链上TVL和每日活跃用户密切相关，攻击者会根据流动性和用户活动进行判断。

时间分析和攻击演变

攻击频率和规模呈现不同模式。2023年是高价值攻击最集中的一年，多起事件的价值超过500万美元。同时，攻击的复杂性逐渐提高，从简单的直接转移演变为更复杂的基于批准的攻击。重大攻击（超过100万美元）之间的平均间隔约为12天，主要集中在重大市场事件和新协议发布前后。

钓鱼攻击类型

代币转移攻击

代币转移是最直接的攻击方法。攻击者会诱导用户将代币直接转移到攻击者控制的账户。数据显示，这类攻击的单笔价值往往极高，利用用户信任，通过虚假页面和诈骗话术说服受害者自愿发起代币转移。

这类攻击通常遵循以下模式：通过相似域名完全模仿某些知名网站建立信任感，同时在用户交互时营造紧迫感，提供看似合理的代币转移指令。分析显示，这类直接代币转移攻击的平均成功率为62%。

批准网络钓鱼

批准网络钓鱼主要利用智能合约交互机制，是技术上较为复杂的攻击手段。在这种方法中，攻击者会诱骗用户提供交易批准，从而授予他们对特定代币的无限消费权。与直接转账不同，批准网络钓鱼会产生长期漏洞，被攻击者会逐步耗尽资金。

虚假代币地址

地址中毒是一种综合多方面的攻击策略，攻击者使用与合法代币同样名称但不同地址的代币创建交易。这些攻击利用用户对地址检查的疏忽，从而获利。

NFT零元购

零元购网络钓鱼专门针对NFT生态的数字艺术和收藏品市场进行攻击。攻击者会操纵用户签署交易，从而以大幅降低的价格甚至免费出售其高价值的NFT。

研究期间发现了22起重大NFT零购买网络钓鱼事件，平均每起事件损失378,000美元。这些攻击利用了NFT市场固有的交易签名流程。

被盗者钱包分布

数据揭示了被盗者钱包在不同交易价格范围内的分布模式。我们发现，交易价值与受害钱包数量之间存在明显的反比关系——随着价格的增加，受影响的钱包数量逐渐减少。

每次交易500-1000美元的受害钱包数量最多，约有3,750个，占三分之一以上。金额较小的每笔交易往往受害者并不会注意细节。1000-1500美元每笔交易下降至2140个钱包。3000美元以上总共只占受攻击总数的13.5%。由此可见，金额越大，安全措施更强，或者受害者在涉及较大金额时考虑也得更周全。

通过分析数据，我们揭示了加密货币生态系统中复杂且不断演变的攻击方式。随着牛市到来，复杂攻击的频率将会越来越高，平均损失也越来越大，对项目方和投资者的经济影响也会很大。因此，不仅区块链网络需要加强安全措施，我们自身在交易时也要多加注意，防止钓鱼事件的发生。