攻击数量创历史之最 | 《Web3安全季度报告》解读
source link: https://netsecurity.51cto.com/article/715138.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
攻击数量创历史之最 | 《Web3安全季度报告》解读-51CTO.COM
CertiK近期发布了《Web3 安全季度报告》(2022年第二季度版),报告描述了2022年第二季度的Web3网络安全质量的状况,并指出2022年第一、二季度与web3网络相关的经济损失已超20亿美元,超越2021年全年创历史新高。同时在网络攻击方面,“闪电贷”攻击和互联网钓鱼攻击也在突破历史记录,“闪电贷”攻击在第二季度造成了高达3.08亿美元的损失,远超过去的季度高峰。而网络钓鱼攻击虽损失金额略低于一季度,但攻击频次与第一季度相比却上升了170%。
当然报告中也存在着一些好消息,受到NFT市场的整体萎靡影响,虽然与第一季度相比地毯骗局(Rug pulls)与退市骗局的攻击次数略微上升16%,达到89次,但损失金额大幅度下降,仅仅造成了3800万美元的损失。而针对特定漏洞的大规模攻击也有同样的趋势,虽然攻击频次上升了6次达到39次,攻击损失5.2亿美元,但均次的损失仅有1330万元。
屡防不止的钓鱼攻击
整个第二季度,CertiK记录到了共计290次钓鱼攻击,与第一季度的106次攻击相比相比,整体频次增加了170%,这些攻击绝大部分是针对Discord和Telegram这样的社交媒体平台。那么为什么这些社交平台出现钓鱼攻击的频率如此之高呢?首先NFT与这些社交媒体平台高度关联,是用户普遍首选的NFT 社交平台,其次由于Discord和Telegram这样的社交媒体平台并不支持账户验证,因而长期存在相关的安全隐患。
快速上升的闪贷式攻击
“闪电贷”攻击趋势在快速地攀升,已经成为NFT领域攻击的新威胁,这种去金融中心化的机制,使得攻击者能够在极端短的时间内访问大量的加密代币,以此来操纵某种NFT货币的价格。根据CertiK的统计记录,第二季度总共有27次攻击共造成308,002,694美元的损失。与第一季度相比,无论从攻击的数量,还是从每次攻击的损失金额来看,都有惊人的增长。在攻击次数上第一季度仅发生14次,第二季度则增长了66.7%达到27次,损失的资金从第一季度的14,178,471美元增加到第二季度的308,002,694美元,增长了2000%以上。第二季度还发生了两起特大“闪电贷”攻击事件,Fei Protocol在攻击中损失了0.79亿美元。而Beanstalk Farms在攻击中甚至占到了本季度损失的59%,金额高达1.82亿美元。
2022年第二季度闪贷式攻击损失前十
但即使在排除了这两件超大规模的“闪电贷”攻击事件,第二季度的平均损失金额也远高于第一季度,可以说第二季度“闪电贷”攻击造成攻击损失是毁灭性的,是自“闪电贷”攻击出现以来的一个历史高峰。可以预见到“闪电贷”攻击的威胁形势远不止如此,CertiK预计今年全年“闪电贷”攻击造成的损失相比21年很可能会增长78%,达到约6.57亿美元。甚至由于大部分小型“闪电贷”攻击(金额低于10万美元)难以被统计到,所以NFT市场的整体损失很可能不止于此,具体金额只高不低。
萎缩的地毯骗局与退市骗局
地毯骗局与退市骗局在统计中仍是一种相当常见的攻击形式,第二季度CertiK统计到的相关骗局共有89起攻击事件,共计损失3700万美元,与去年同期高达2.65亿美元的经济损失相比,损失金额出现断崖式下跌。而在攻击频次方面相关骗局的频次与一季度相比小幅度上升16%。总体而言在地毯骗局与退市骗局骗局方面,第二季度继续延续了总体下降趋势,虽然在攻击次数方面小幅度回弹,但损失金额仍然处于下降趋势。之所以这两个骗局会出现这样的趋势,要得益于NFT市场的萎缩低迷,鲜少有大笔新的活跃资金进入市场,而原有的投资者在经历过多家公司破产倒闭后也变得相当谨慎,最终使得骗局难以实现,自然就会趋于萎缩状态。
稍有缓解的传统漏洞攻击
第二季度Certi记录到的39次漏洞攻击总计造成了超过5.2亿美元的漏洞损失。与第一季度相比,该方面的损失存在明显下降,与第一季度的12亿美元相比下降了57%。但令实际上,漏洞攻击的数量没有下降,反而是从33次略微增加到39次。 这一差异大部分是由对Ronin网络的6.24亿美元的地震式攻击造成的,该事件的经济损失占第一季度漏洞损失的一半以上。不过好消息是,即使在不计算针对Ronin网络攻击造成的损失,第二季度每个漏洞的平均资金损失也从一季度的1900万下降到1330万。
2022年第二季度漏洞攻击损失前十
2022年Web3损失惨重,基于第一季度与第二季度的损失情况,全年的损失金额可能会创历史之最。当前各类攻击令人防不甚防,不仅要应对各类旧有的,如漏洞攻击、钓鱼攻击、退市骗局等攻击,新兴的“闪电贷”攻击也成为了极为严峻的挑战,倘若不做好各类防护措施,那么势必会出现各类的问题,造成大量经济损失。虽然在退市攻击和漏洞攻击上,第二季度的损失呈现下降趋势,但同样也需要持续关注并做好。要维护好Web3网络安全仍是一条极为漫长的道路,需要我们不断关注防备,才能避免各类损失。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK