2022年全球Web3行业安全研究报告
AI智能总结
Web3 行业安全研充报告 2022 全年安全态势/行业典型安全案例/区块链安全解决方案 零时科技 CONTENTS目录 报告摘要3 、研究背景 1.1全球Web3行业回顾与安全态势概览 1.1.1Web3行业生态概览 1.1.22022年全球Web3安全趋势 1.2全球Web3监管政策及标准概览 1.3研究方法与工具 S 二、2022年Web3各生态安全现状 2.1公链一Web3生态安全的命脉 ECOS 2.1.1公链释义和生态规模 2.1.2公链安全事件数量及损失金额10 KCHAIN B 2.1.3公链被攻击类型、损失及分布10 2.1.4典型公链攻击案例11 2.1.5公链安全风险及措施建议11 2.2跨链桥一黑客✁新型提款机12 YOUR S 2.2.1跨链桥释义和生态规模12 2.2.2跨链桥安全事件及损失总额13 2.2.3跨链桥生态安全事件及损失分布13 2.2.4跨链桥被攻击类型、损失及分布13 2.2.5典型跨链桥攻击案例一 零时科技 CONTENTS目录 2.2.6跨链桥安全风险及措施建议14 2.3交易平台一巨额诱惑之源15 2.3.1交易平台释义和生态规模15 2.3.2交易平台安全事件及损失总额16 2.3.3交易平台生态安全事件及损失分布16 2.3.4交易平台被攻击类型、损失及分布17 2.3.5典型交易平台攻击案例18 2.3.6交易平台安全风险及措施建议18 2.4钱包一加密资产管理之伤19 2.4.1钱包释义和生态规模19 2.4.2数字钱包安全事件及损失总额19 ECOSY 2.4.3数字钱包生态安全事件及损失分布19 BLO 2.5.3数字钱包被攻击类型、损失及分布20 2.5.4典型数字钱包攻击案例20 2.5.5数字钱包安全风险及措施建议21 YOUR S eFi一Web3安全重灾区22 2.5.1DeFi释义和生态规模 22 2.5.2DeFi安全事件及损失总额 23 2.5.3DeFi生态安全事件及损失分布 23 2.5.4DeFi攻击类型、损失及分布 24 2.5.5典型DeFi攻击案例 25 2.5.6DeFi安全风险及措施建议 25 零时科技 2.6D CONTENTS目录 2.6NFT一钓鱼攻击的池塘26 2.6.1NFT释义和生态规模27 2.6.2NFT安全事件及损失总额27 2.6.3NFT生态安全事件及损失分布27 2.6.4NFT被攻击类型、损失及分布28 2.6.5典型NFT安全事件案例29 2.6.6NFT安全风险及措施建议29 2.7虚拟币一滋生违法活动✁温床30 2.8安全教育-Web3安全盾牌31 三、Web3热点安全事件攻击手法详细解析及措施建议32 3.1RoninNetwork侧链被盗6.25亿美金流向分析32 ECOSY BI 3.2警惕恶意聊天软件!聊天记录被劫持损失数千万资产追踪分析34 3.3分布式资本创始人4200万美金资产被盗分析及追踪40 结语43 免责声明43 零时科技简介44 零时科技 YOUR FOCUSONBLOCKCHAINECOSYSTEMSECURITY 策,主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型,并对典型安全事件进行了详细剖析,提出了安全预防方案和措施建议。零时科技安全团队旨在通过本报告帮助从业者和用户了解Web3安全现状,全球各 国Web3法律法规,从而提高网络安全意识,保护好数字资产,做好安全 预防措施。 报告摘要 2022年,全球Web3行业加密货币总市值最高达2.4万亿美元,受行业爆雷事件影响,相比去年 最高总市值2.97万亿美元,今年有所下降,但整体资产数量规模正在不断扩大。 据零时科技数据统计,2022年共发生安全事件306起,累计损失达101亿美元。相比2021年,今 年Web3安全事件新增64起,同比增长26%。 Web3六大主要赛道:公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件136起,造成 5损失超40.21亿美元。此外,新兴领域如GameFi、DAO成为黑客频扰✁对象,诈骗和跑路事件 不断,损失严重。 2022年损失超1亿美金✁典型安全事件共损失28.45亿美元,占2022年总损失金额28%。其中典型代表有:跨链互操作协议PolyNetwork,损失6.25亿美元;交易所FTX,损失6亿美元;Solona生态钱包,损失5.8亿美元。 52022年,全球Web3安全事件攻击类型多样,从安全事件数量看,典型攻击类型Top5为:黑客 攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看,典型攻击类型Top5为:资 产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。 本年度最具有代表性✁监管案例为:美国财政部下属外国资产控制办公室(OFAC)对TornadoCash协议实施制裁,禁止美国实体或个人使用TornadoCash服务。根据美财政部披露,自2019年成立以来,TornadoCash已帮助洗钱超70亿美元。 零时科技03 FOCUSONBLOCKCHAINECOSYSTEMSECURITY 一、研究背景 1.1全球Web3行业回顾与安全态势概览 1.1.1Web3行业生态概览 Web3是指基于加密技术✁新一代网络,融合了区块链技术、代币经济学、去中心化组织、博奔论等多种 技术和思想,由以太坊联合创始人GavinWood在2014年提出。Web3基于区块链搭建,从2008年至今 区块链技术已发展14余年。Web3行业在2022年✁爆发离不开区块链产业发展多年✁积淀。 从用户视角看Web3生态,可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为 主,为Web3提供网络基础设施;应用层则以APP(中心化应用程序)和DAPP(去中心化应用程序)为 主,即用户常用来交互✁应用程序,包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软 件等。基础层和应用层促进了Web3生态✁繁荣,但也为Web3带来巨大✁安全隐患。服务生态是Web3行 业✁第三方,其中媒体、教育孵化和投资机构为行业提供助力,安全服务机构如零时科技,是为Web3安全保驾护航不可或缺✁一部分。 Web3行业生态 第三方服务媒体教育孵化安全服务投资机构 应用层 DAPP和APP 交易平台DeFiGameFi存储钱包NFTDAO社交软件 基础层公链跨链桥联盟链 O零时科技 1.1.22022年全球Web3安全态势 截至2022年12月,据coinmarketcap数据统计,全球Web3行业加密货币总市值最高时达2.4万亿美元, 受行业爆雷事件影响,相比去年最高总市值2.97万亿美元,今年有所下降。虽总市值有波动,但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出,Web3正在沦为黑客✁“提款机”。 据零时科技数据统计,2022年共发生安全事件306起,累计损失达101亿美元。相比2021年,今年Web3安全事件新增64起,同比增长26%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件136起,造成损失超40.21亿美元。 除了以上六大主要赛道外,其他安全事件共计170起,损失金额达60.79亿美元,如新兴领域如GameFi、DAO成为黑客频扰✁对象,诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT,未来,链上资产规模还将持续增长,Web3网络安全侵害数字可能继续升。 ①零时科技04 FOCUSONBLOCKCHAINECOSYSTEMSECURITY 2021-2022Web3全年安全事件数量对比2021-2022Web3全年安全事件损失对比 400 300 200 100 242 306 /美元 单位/ 102 100 99 101 安全事件数量/起 0 98 2021年2022年2021年2022年 ①零时科技 据零时科技数据统计,2022年全球Web3生态六大主要赛道中:公链发生安全事件10起,共计损失约 1.57亿美元;跨链桥发生安全事件14起,共计损失13.38亿美元;交易所发生安全事件19起,共计损失 11.92亿美元;钱包发生安全事件25起,共计损失6.93亿美元;DeFi发生安全事件25起,共计损失5.93亿 美元;NFT发生安全事件44起,损失超4256万美元。 从主要赛道发生✁安全事件数量来看,NFT安全事件最多,这和它成为2022业界追捧✁热门赛道脱不开关系。另一方面,由于进入Web3行业人数✁增多,钱包和DeFi成为安全事件✁重灾区。从损失金额看,跨链桥位列第一,遭受损失最大。 2022Web3主要赛道安全事件数量占比2022Web3主要赛道安全事件损失占比 ■DeFiDeFi NFTNFT ■公链■公链 ■交易所■交易所 ■跨链桥■跨链桥 ■钱包■钱包 O零时科技 2022年,从全球Web3发生✁安全事件数量看,典型攻击类型Top5为:黑客攻击,占比37%;资产被盗, 占比19%;安全漏洞,占比13%;私钥窃取,占比9%;钓鱼攻击,占比7%。 从损失金额看,全球Web3安全事件典型攻击类型Top5为:资产被盗,损失金额为55.81亿美元;黑客攻 击,损失金额30.29亿美元;私钥窃取,损失金额为12.5亿美元;价格操纵,损失金额为2.32亿美元;闪 电贷攻击,损失金额1.37亿美元。值得注意✁是,2022年发生✁多起安全事件不只受到一种攻击,有些 事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。 )零时科技05 FOCUSONBLOCKCHAINECOSYSTEMSECURITY 2022Web3安全事件主要攻击类型数量占比2022Web3安全事件主要攻击类型损失占比 ■私钥窃取■私钥窃取 ■闪电贷攻击■闪电贷攻击 ■黑客攻击■黑客攻击 ■诈骗■诈骗 ■钓鱼攻击■钓鱼攻击 ■劫持■劫持 ■安全漏洞■安全漏洞 ■资产被盗■资产被盗 ■错误权限■错误权限 ■价格操纵■价格操纵 ■信息泄露■信息泄露 O零时科技 注:主要攻击类型释义如下 资产被盗:虚拟币被盗,平台被盗黑客攻击:黑客等多种类型攻击信息泄露:私钥泄露等 安全漏洞:合约漏洞、功能漏洞 错误权限:系统权限设置错误,合约权限错误等 钓鱼攻击:网络钓鱼 价格操纵:价格操纵 据零时科技区块链安全情报平台监控消息,2022年损失超1亿美金✁典型安全事件共损失28.45亿美元, 占2022年总损失金额28%。 2022全球Web3损失上亿美元典型重大安全事件 6.256 5.8 3.2 损失金额/亿美元 1.81.81.6 ①零时科技 零时科技06 FOCUSONBLOCKCHAINECOSYSTEMSECURITY 1.2全球Web3监管政策及标准概览 政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高,加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一,为全球金融监管带来了巨大挑战。2022年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发,金额庞大,损失严重,影响广泛。为确保Web3✁安全性和合规性,各国纷纷出台监管政策。 从全球对Web3整体✁监管政策来看,投资者保护和反洗钱(AML)是全球共识,对加密货币交易所✁接 受和监管,各国差异较大。美国国会议员提出“确保Web3发生在美国”,正加速监管创新;欧盟各国政策较为明确和积极;日本、新加坡、韩国受2022暴雷事件影响,监管趋严;中国大陆依旧鼓励区块链技 术应用,严禁金融机构和支付组织参与虚拟货币交易和非法集资,加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展,实施牌照制;阿联酉在全球最为积极,拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域,全球正处于监管探索状态。 2022年Web3行业全球主要国家监管政策概览 日期法案/其他内容 《关于确保负责任地发展」美国总统拜登签署了第1
