{"content":{"title":"零时科技 ||《2023年全球Web3行业安全研究报告》正式发布！","body":"![image](https://image.3001.net/images/20240130/1706610854_65b8d0a6c0fa55be36057.jpg!small)\r\n\r\n# 摘要\r\n\r\n2023年，是加密世界多元化创新的一年，但创新的背后，也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2023年全球Web3行业安全研究报告》，回顾了2023年Web3行业全球政策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解Web3安全现状，提高网络安全意识，保护好数字资产，做好安全预防措施。\r\n\r\n1、2023年，全球Web3行业加密货币总市值最高达1.3万亿美元，受行业爆雷事件影响，相比去年最高总市值2.4万亿美元，今年有所下降，但整体资产数量规模正在不断扩大。\r\n\r\n2、据零时科技数据统计，2023年共发生安全事件506起，累计损失达110亿美元。相比2022年，今年Web3安全事件新增110起，同比增长65.3%。\r\n\r\n3、Web3六大主要赛道：公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件435起，造成损失超79.83亿美元。此外，新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件不断，损失严重。\r\n\r\n4、2023年损失超1亿美金的典型安全事件共损失32亿美元，占2023年总损失金额29 %。其中典型代表有：加密交易所Bitzlato联创承认7亿美元洗钱罪；VenusProtoco 利用 Binance Bridge 漏洞窃取了价值近 6 亿美元的BNB；跨链桥Wormhole遭到攻击，约有价值3.23亿美元ETH被盗；多链去中心化交易所 (DEX) Dfyn 漏洞被利用, 造成3亿美元损失。\r\n\r\n5、2023年，全球Web3安全事件攻击类型多样，从安全事件数量看，典型攻击类型Top5为：黑客攻击、安全漏洞、资产被盗、钓鱼、错误权限。从损失金额看，典型攻击类型Top5为：黑客攻击、安全漏洞、资产被盗、闪电贷攻击、诈骗。\r\n\r\n6、本年度最具有代表性的监管案例为：朝鲜黑客组织Lazarus已成为影响Web 3社区最严重的APT组织。2023年，Lazarus组织造成了至少7.5亿美元的损失，占2023年加密货币领域被窃总额的20%。CertiK分析了2023年五起主要的加密货币攻击事件，包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx，造成了2.9亿美元的损失。\r\n\r\n# 一、全球Web3行业回顾与安全态势概览\r\n\r\nWeb3是指基于加密技术的新一代网络，融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想，由以太坊联合创始人Gavin Wood在2014年提出。Web3基于区块链搭建，从2008年至今，区块链技术已发展15余年。Web3行业在2023年的爆发离不开区块链产业发展多年的积淀。\r\n\r\n从用户视角看Web3生态，可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主，为Web3提供网络基础设施；应用层则以APP（中心化应用程序）和DAPP（去中心化应用程序）为主，即用户常用来交互的应用程序，包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了Web3生态的繁荣，但也为Web3带来巨大的安全隐患。服务生态是Web3行业的第三方，其中媒体、教育孵化和投资机构为行业提供助力，安全服务机构如零时科技，是为Web3安全保驾护航不可或缺的一部分。\r\n![image](https://image.3001.net/images/20240130/1706610917_65b8d0e58c10ab531a147.png!small)\r\n\r\n\r\n截至2023年12月，据CoinMarketCap数据统计，全球Web3行业加密货币总市值最高时达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降。虽总市值有波动，但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出，Web3正在沦为黑客的“提款机”。\r\n\r\n![image](https://image.3001.net/images/20240130/1706610931_65b8d0f3a1e8a8489df52.png!small)\r\n\r\n据零时科技数据统计，2023年共发生安全事件506起，累计损失达110亿美元。相比2022年，今年Web3安全事件新增116起，同比增长38%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件152起，造成损失超40.8亿美元。\r\n\r\n除了以上六大主要赛道外，其他安全事件共计354起，损失金额达69.2亿美元，如新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT，未来，链上资产规模还将持续增长，Web3网络安全侵害数字可能继续飙升。\r\n\r\n据零时科技数据统计，2023年全球Web3生态六大主要赛道中：公链发生安全事件13起，共计损失约2.8亿美元；跨链桥发生安全事件18起，共计损失12.1亿美元；交易所发生安全事件19起，共计损失12.08亿美元；钱包发生安全事件35起，共计损失6亿美元；DeFi发生安全事件21起，共计损失7.2亿美元；NFT发生安全事件43起，损失超6200万美元。\r\n\r\n从主要赛道发生的安全事件数量来看，NFT安全事件最多，这和它成为2023业界追捧的热门赛道脱不开关系。另一方面，由于进入Web3行业人数的增多，钱包和DeFi成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。\r\n![image](https://image.3001.net/images/20240130/1706610951_65b8d107a682a21e895e1.png!small)\r\n2023年，从全球Web3发生的安全事件数量看，典型攻击类型Top5为：黑客攻击，占比47%；资产被盗，占比29.6%；安全漏洞，占比20.1%；钓鱼攻击，占比13.8%；错误权限，占比13.4%。\r\n\r\n从损失金额看，全球Web3安全事件典型攻击类型Top5为：黑客攻击，损失金额为60.5亿美元；安全漏洞，损失金额48亿美元；资产被盗，损失金额为30.4亿美元；闪电贷攻击，损失金额为12.6亿美元；诈骗，损失金额7.5亿美元。\r\n\r\n值得注意的是，2023年发生的多起安全事件不只受到一种攻击，有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。\r\n![image](https://image.3001.net/images/20240130/1706610970_65b8d11a55aea4eb8b0df.png!small)\r\n\r\n\r\n注：主要攻击类型释义如下\r\n\r\n资产被盗：虚拟币被盗，平台被盗\r\n\r\n黑客攻击：黑客等多种类型攻击\r\n\r\n信息泄露：私钥泄露等\r\n\r\n安全漏洞：合约漏洞、功能漏洞\r\n\r\n错误权限：系统权限设置错误，合约权限错误等\r\n\r\n钓鱼攻击：网络钓鱼\r\n\r\n价格操纵：价格操纵\r\n\r\n据零时科技区块链安全情报平台监控消息，2023年损失超1亿美金的典型安全事件共损失32亿美元，占2023年总损失金额29%。\r\n![image](https://image.3001.net/images/20240130/1706611060_65b8d174569db4595950f.png!small)\r\n\r\n# 二、全球Web3监管政策\r\n\r\n2023年，基于区块链的下一代互联网Web3迎来增长高峰，面对这个拥有金融科技特征的新兴行业，全球政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高，加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一，为全球金融监管带来了巨大挑战。2023年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发，金额庞大，损失严重，影响广泛。为确保Web3的安全性和合规性，各国纷纷出台监管政策。\r\n\r\n从全球对Web3整体的监管政策来看，投资者保护和反洗钱(AML）是全球共识，对加密货币交易所的接受和监管，各国差异较大。美国国会议员提出“确保Web3发生在美国”，正加速监管创新；欧盟各国政策较为明确和积极；日本、新加坡、韩国受2023暴雷事件影响，监管趋严；中国大陆依旧鼓励区块链技术应用，严禁金融机构和支付组织参与虚拟货币交易和非法集资，加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展，实施牌照制；阿联酋在全球最为积极，拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域，全球正处于监管探索状态。\r\n![image](https://image.3001.net/images/20240130/1706611031_65b8d1578469a5090b537.png!small)\r\n\r\n\r\n# 三、2023年Web3各生态安全现状\r\n\r\nWeb3是一个比较特殊的行业，最突出的特点就是涉及大量数字加密资产的管理，动辄千万上亿的资产全部存在链上，通过一个特有的私钥来确权，谁掌握了这个私钥，谁就是资产的主人。如果生态中某一应用或协议被黑客攻击，就可能造成巨额损失。随着生态的快速发展，各种新型攻击手法和诈骗手段层出不穷，整个行业在安全的边缘中博弈前进。零时科技安全团队对Web3存在的攻击类型进行了观察统计，目前主要有以下攻击类型对Web3安全造成威胁：APT攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web端漏洞攻击、零日（0day）漏洞、网络诈骗。\r\n\r\n接下来，我们将从基础设施公链、跨链桥，应用端APP和DAPP的代表：交易平台、钱包、DeFi、NFT，监管重地反洗钱，web3安全教育角度，来解析2023年Web3各生态安全现状，解读攻击事件，并针对每个生态给出相应的安全措施建议。\r\n\r\n## 1、公链－Web3生态安全的命脉\r\n\r\n公链是Web3行业的基础设施，承载着整个行业的协议、应用及资产记账，随着业内对公链性能、互操作、兼容性、扩容的旺盛需求，多链发展迸发呈强劲势头，安全问题，刻不容缓。\r\n\r\n根据零时科技不完全统计数据，截至2023年12月，目前公链有194 条。以公链生态应用数量来看，据rootdata数据，Ethereum，应用2203个，Polygon，应用数1301个，BNB Chian，应用数1239个，稳居前三，Solana、Avalanche、ICP等新公链紧追其后呈现快速增长趋势。\r\n![image](https://image.3001.net/images/20240130/1706611107_65b8d1a32a1bef43ed834.png!small)\r\n\r\n以公链生态市值来看，据coingecko数据，以太坊、BNB Chain、Solana 生态分别以3343亿美元、477亿美元、420亿美元位居前三。当前，公链生态总市值已超万亿美元，如此庞大的资金诱惑，让黑客对其虎视眈眈。\r\n![image](https://image.3001.net/images/20240130/1706611123_65b8d1b38b9e70e40fe06.png!small)\r\n\r\n\r\n截至2023年12月，据零时科技数据统计，公链赛道发生安全事件13起，累计损失资产金额超2.8亿美元。\r\n\r\n从数量来看，公链的攻击类型主要为：黑客攻击、资产被盗、安全漏洞、闪电贷攻击和诈骗，其对应占比为：46.1%、30.7 %、23%、15.4%、15.4%。从损失金额来看，黑客攻击造成损失最高，为1.67亿美元，占比60.1%；安全漏洞造成损失位居第二，为1.31亿美元，占比46.7%。（注：部分项目遭受多种类型攻击）\r\n![image](https://image.3001.net/images/20240130/1706611154_65b8d1d2d740d9d8d0a56.png!small)\r\n\r\n\r\n据零时科技区块链安全情报平台监控消息，下图为部分2023公链攻击的典型案例：\r\n\r\n![image](https://image.3001.net/images/20240130/1706611170_65b8d1e2ca13306d5a2f0.png!small)\r\n\r\n### 公链安全风险及措施建议\r\n### \r\n零时科技安全团队分析，公链安全风险主要来自以下三点：\r\n1）技术复杂性：涉及技术领域多，安全风险点多。\r\n\r\n2）开发人员不确定性：代码由开发者所写，过程难免出现漏洞。\r\n\r\n3）开源漏洞透明性：公链代码开源，黑客发现漏洞更为便利。\r\n\r\n### 零时科技安全团队对公链安全建议，有以下四点：\r\n### \r\n**1）主网上线前，针对公链各风险点，需要设立丰富的安全机制：**\r\n\r\n在P2P和RPC方面，需要注意劫持攻击，拒绝服务攻击，权限配置错误等；\r\n\r\n在共识算法及加密这块，需要注意51%攻击，长度扩展攻击等；\r\n\r\n在交易安全方面，需要注意假充值攻击，交易重放攻击，恶意后门等；\r\n\r\n在钱包安全方面，需要注意私钥的安全管理，资产的安全监控，交易的安全风控等；\r\n\r\n在公链项目的相关工作人员方面，需要有良好的安全意识，办公安全，开发安全等常识。\r\n\r\n**2）进行源代码和智能合约审计，确保弥补原则性和明显的漏洞：**\r\n\r\n源代码审计可以是全量代码，也可以是部分模块。零时科技安全团队拥有一套完整的公链安全测试标准，采用人工+工具的策略对目标代码的安全测试，使用开源或商业代码扫描器检查代码质量，结合人工安全审计，以及安全漏洞验证。支持所有流行语言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。\r\n\r\n**3）主网上线后，进行实时安全检测，预警系统风险；\r\n**\r\n**4）发生黑客事件后，及时通过溯源分析，找出问题所在，减少未来发生攻击可能性；迅速源追踪监控损失流向，尽可能找回资产。**\r\n\r\n## 2、跨链桥－黑客的新型提款机\r\n## \r\n跨链桥，也称区块链桥，连接两条区块链，允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操作。\r\n\r\n截至2023年 12月 ，根据Dune Analytics 数据统计，以太坊中主要跨链桥的锁定总价值（TVL）约65亿美元。当前TVL最高的是Polygon Bridges，为29.9亿美元，Aritrum Bridge紧跟其后，为20.4 亿美元，Optimism Bridges排名第三，为10 亿美元。\r\n\r\n![image](https://image.3001.net/images/20240130/1706611349_65b8d29511a61a7bc6e3f.png!small)\r\n\r\n随着区块链及链上程序的增长，多链资金转换需求迫切，跨链桥的协同特征可以让各区块链发挥更大的协同潜力，跨链桥为用户提供便利的同时，也为黑客提供了另一扇大门。由于跨链桥传递资产的特性，其锁定、铸造、销毁及解锁等流程环节一旦出现问题，就会威胁到用户资产安全。貌似并不复杂的跨链资金转移操作，但在多个跨链桥项目中，不同步骤均发生过安全漏洞。\r\n\r\n据零时科技数据统计，截至12月，跨链桥因受到攻击发生安全事件18起，累计损失资产金额为12.1亿美元。\r\n\r\n2023年，发生安全事件损失Top5的跨链桥为：Harmony、Wormhole、MultiChain、Aave fork、HECO，分别损失金额为：3.5亿美元、3亿美元、2.1亿美元、1.5亿美元和1亿美元。\r\n\r\n![image](https://image.3001.net/images/20240130/1706611370_65b8d2aa6103472d18a9c.png!small)\r\n\r\n从安全事件发生的数量看，跨链桥攻击的类型主要为：黑客攻击、资产被盗、安全漏洞、错误权限和闪电贷攻击，分别占比61%、33%、28%、17%和11%。从损失金额来看，黑客攻击占比最大，为55%；资产被盗次之，占比29%；安全漏洞占比14%，位居第三。\r\n![image](https://image.3001.net/images/20240130/1706611392_65b8d2c0c4759fe2368da.png!small)\r\n\r\n\r\n下图为部分2023年典型跨链桥攻击案例：\r\n![image](https://image.3001.net/images/20240130/1706611411_65b8d2d303ae625658f63.png!small)\r\n\r\n\r\n### 跨链桥安全风险及措施建议\r\n### \r\n零时科技安全团队从跨链桥多次攻击事件中得出，跨链之前和签名处攻击较多，存在官方马虎大意造成的被盗事件。对于越来越多的跨链项目及项目合约安全，零时科技给出以下安全措施建议：\r\n\r\n1）项目上线前对合约进行安全审计；\r\n\r\n2）合约调用接口需要严格排查其适配性；\r\n\r\n3）版本更新时需要对相关接口及签名安全进行重新评估；\r\n\r\n4）需要对跨链签名者进行严格审查以保证签名不被恶意人员控制。\r\n\r\n## 3、交易平台－巨额诱惑之源\r\n## \r\nWeb3的交易平台也称数字货币交易所或加密货币交易所，是区块链行业的重要组成部分，为不同数字货币之间，数字货币与法定货币之间的交易提供服务，同时也是数字货币定价和流通的主要场所。\r\n\r\n据coingecko数据，截至2023年12月，加密货币交易所共有887个，其中中心化交易所有224个，24小时总交易量为80 亿美金；去中心化交易所有663个，24小时总交易量为37 亿美金；衍生产品交易所94个，24小时交易量为1.93万亿美金。\r\n\r\n数据显示，24小时交易量排名前10名的交易所分别为：Binance、Bybit、Coinbase Exchange、OKX、MEXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中Binance以24交易量135.95亿稳居第一。\r\n![image](https://image.3001.net/images/20240130/1706611464_65b8d3087aad1decd600a.png!small)\r\n交易量排名前10名的去中心化交易所分别为：Uniswap V3（Ethereum）、Orca、Uniswap V3（Arbitrum One）、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3（Ethereum）、THORWallet DEX、THORSwap 、Raydium、Ferro Protocol，其中Uniswap以一己之力占据前十名多位。\r\n![image](https://image.3001.net/images/20240130/1706611504_65b8d330ef670398f4713.png!small)\r\n据零时科技数据统，计2023年，加密货币交易所发生安全事件19起，累计损失资产金额超12亿美元。\r\n\r\n据零时科技区块链安全威胁情报平台数据统计，2023年，发生安全事件损失Top6的交易平台为：Curve，Coinbase, OKX，Platypus Finanace, Uniswap，Coins.ph ，损失金额分别为4.4亿美元，3.6亿美元，1.8亿美元，1亿美元，6000万美元和4000万美元。\r\n![image](https://image.3001.net/images/20240130/1706611535_65b8d34f673ee83fb6814.png!small)\r\n以各交易平台安全事件损失分布来看，Couve占比36.6%，CoinBase占比30%，Platypus Finanace占比15%，位居前三。\r\n![image](https://image.3001.net/images/20240130/1706611558_65b8d3662ed973c8e00e5.png!small)\r\n据零时科技数据统计，从安全事件数量来看，交易平台的攻击类型主要为黑客攻击安全漏洞、资产被盗、钓鱼攻击、闪电贷攻击，分别占比59%、31.8%、27%、9%、9%。从损失金额大小分布来看，黑客攻击占据59%，为安全事件主要类型，安全漏洞占比40%，资产被盗占比33.3%。\r\n![image](https://image.3001.net/images/20240130/1706611572_65b8d374b2744e22c7f11.png!small)\r\n下图为部分2023年交易所安全事件典型案例：\r\n![image](https://image.3001.net/images/20240130/1706611591_65b8d3870554e69ee8f0e.png!small)\r\n### 交易平台安全风险及措施建议\r\n### \r\n回顾以往所有交易所的安全事件，零时科技安全团队认为，从一个交易平台整体安全架构来看，交易平台面临的安全风险主要有：开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。\r\n\r\n零时科技安全团队曾出版《区块链安全入门与实战》，其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤，如信息收集、社会工程等，还介绍了各种攻击面，如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。\r\n\r\n### 对于交易所安全风险，零时科技安全团队给出如下措施建议：\r\n### \r\n#### 从交易平台角度：\r\n#### \r\n1）培养内部人员的安全意识，加强交易所的生产环境、测试环境和调试环境安全隔离，尽量使用专业的网络安全防护产品。\r\n\r\n2）通过与专业安全公司展开合作，进行代码审计、渗透测试，了解系统是否存在隐性漏洞和安全风险，建立完善和全面的安全防护机制。日常运营中，进行定期安全测试，加强安全加固工作。\r\n\r\n3）升级账户的密钥结构及风控措施，建立适当的多重签名密钥结构并建立严格的风险控制及检测预警机制，加强后端冷热钱包安全加固，比如控制转账频率、大额转账、冷热钱包隔离等。\r\n\r\n由于大部分用户除了使用交易所进行交易外，更多时候充当钱包存储数字资产。\r\n\r\n#### 因此，从用户角度：\r\n#### \r\n1）不要随意安装未知来源的软件。\r\n\r\n2）电脑服务器应避免打开不必要的端口，相应漏洞应及时打补丁，主机建议安装有效可靠的杀毒或其他安全软件，在WEB浏览器上安装挖矿脚本隔离插件等。\r\n\r\n3）不要随意点击陌生人发的不明链接。\r\n\r\n## 4、 钱包－加密资产管理之伤\r\n## \r\nWeb3的钱包即区块链数字钱包，也称加密货币钱包或数字资产钱包，是存储和管理、使用数字货币的工具，在区块链领域有举足轻重的地位，是用户接触数字货币的入口。如今，随着生态的发展，数字钱包已经成为多链多资产的管理平台。\r\n\r\n据零时科技区块链安全威胁情报平台数据统计，截至2023年12月，数字钱包项目数量共有153个。据 Blockchain.com数据统计，2023 年全球有超过 4 亿人在使用加密资产。其中拥有加密钱包的用户在 2022 年达到 8100 万，而到 2023 年 11 月加密钱包用户数已经达到2.21 亿，数量呈指数级增长。\r\n\r\n作为Web3的入口，钱包早已成为黑客眼中的“香饽饽”。据零时科技数据统计，2023年，数字钱包发生安全事件35起，累计损失资产金额超6亿美元。\r\n\r\n2023年，被攻击损失Top5的钱包安全事件主要来自：BitKeep、Solana、Cropto.com 、Transit、Bable Finanace，分别损失金额为：2亿美元、1.3亿美元、1.2亿美元、1亿美元和4000万美元。其中BitKeep被攻击损失金额最高。\r\n![image](https://image.3001.net/images/20240130/1706611789_65b8d44d42290cc290422.png!small)\r\n据零时科技数据统计，从安全事件数量来看，数字钱包的攻击类型主要为：黑客攻击、资产被盗、安全漏洞、钓鱼攻击和诈骗，分别占比44.9%、35.5%、27%、13.4%、9.8%。攻击占比最高，居于首位。\r\n\r\n其中各主要攻击类型对应的安全事件损失占比分别为：黑客攻击造成损失最高，占比48.2%；安全漏洞造成损失其次，占比41%；资产被盗损失位列第三，占比28%。\r\n![image](https://image.3001.net/images/20240130/1706611815_65b8d467b162b8c4be89a.png!small)\r\n\r\n钱包被攻击，一般分为两种情况。一种是机构的钱包，另外一种是个人钱包。\r\n\r\n#### 数字钱包安全风险及措施建议\r\n#### \r\n经零时科技安全团队分析，区块链数字钱包存在多种形式，主要面临的安全风险包括但不限于如下几方面：\r\n\r\n机构端方面：运行环境的安全风险、网络传输的安全风险、文件存储方式的安全风险、应用自身的安全风险、数据备份的安全风险等。\r\n\r\n用户端方面：面临私钥丢失或被盗：如伪装客服骗取私钥、黑客通过钱包升级定向攻击收集用户助记词等信息、发送恶意二维码引导客户转账盗取资产、通过攻击客户存储信息的云平台盗取私钥/助记词、恶意软件、空投欺骗、网络钓鱼、其他钓鱼（预售、APP下载、中签陷阱）等风险。\r\n\r\n面对这些风险如何保护钱包安全？\r\n\r\n#### 从机构端，零时科技安全团队建议：\r\n#### \r\n无论是中心化还是去中心化钱包， 软件钱包还是硬件钱包在安全性方面必须有充分的安全测试，针对数字钱包的安全审计，零时科技安全团队包括但不限于如下测试项：\r\n\r\n1、网络和通信安全测试.网络节点应达到及时发现和抵抗网络攻击的功能；\r\n\r\n2、钱包运行环境安全.钱包能够对操作系统进行已知重大漏洞进行检测，虚拟机检测，完整性检测；数字钱包需具有第三方程序劫持检测功能，防止第三方程序劫持钱包盗取相关用户信息。\r\n\r\n3、钱包交易安全.钱包发出的所有交易必须进行签名，签名时必须通过输入支付密码解密私钥，交易签名生成后必须清除内存中解密后的私钥，防止内存中的私钥被窃取而泄漏等。\r\n\r\n4、钱包日志安全.为了方便用户进行审计钱包操作行为，防止异常操作和未授权的操作，需记录钱包的操作日志，同时钱包日志必须通过脱敏处理，不得含有机密信息。\r\n\r\n5、节点接口安全审计.接口需要对数据进行签名，防止黑客对数据被篡改；接口访问需要添加token认证机制，防止黑客进行重放攻击；节点接口需要对用户连接速率进行限制，防止黑客模拟用户操作进行CC攻击。\r\n\r\n#### 对用户端，零时科技安全团队建议：\r\n#### \r\n1)做好私钥存储措施：如私钥尽量手抄和备份，或使用云平台和邮件等社交网络传输或存储私钥。\r\n\r\n2)使用强密码，并且尽可能开启两步验证MFA（或2FA），时刻保持安全意识提高警惕。\r\n\r\n3)在更新程序版本时注意验证 hash 值。安装杀毒软件，并尽可能使用防火墙。监视你的账户/钱包，确认没有恶意交易。\r\n\r\n4)其中硬件钱包适合数字资产额度较大，需要更高安全保护等级的用户。通常的建议是使用软件钱包保存自己的小额资产，供日常使用，硬件钱包保存大额资产，这样可以实现便利性和安全性兼备。\r\n\r\n#### 如果资金被盗怎么办？\r\n#### \r\n如果发生无意的授权操作，在资金未被盗之前，尽快将钱包资金转出，并且取消授权；如果已经发生授权之后的资金被盗或者私钥被盗资金转移情况，请立即联系零时科技安全团队进行资产追踪。\r\n\r\n## 5、 DeFi－Web3安全重灾区\r\n## \r\nDeFi全称：Decentralized Finance，一般翻译为分布式金融或去中心化金融。DeFi项目大体分为五类：预言机、DEX、抵押借贷、稳定币资产、合成衍生品。\r\n\r\nTVL全称：Total Value Locked 即总锁定价值。用户所抵押的资产总值，是衡量DeFi生态发展的最重要指标之一，通常TVL增长代表项目发展的越好。\r\n\r\n零时科技区块链安全威胁情报平台数据统计，截至2023年12月，DeFi项目共计1297个。据DeFi Llama 数据显示，DeFi 总锁仓价值达到390.51 亿美元规模。其中以太坊占比58.59%，以230.2亿美元的 TVL排名第一，其次是Tron，占比11.1%，以40.36亿美元的TVL排名第二，BSC紧追其后，占比10.47%，以40.12亿美元TVL排名第三。许多新兴公链如Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态，也吸引了 大量用户和资金沉淀。\r\n![image](https://image.3001.net/images/20240130/1706611901_65b8d4bd998d34e01e145.png!small)\r\n\r\nDeFi突出的智能合约安全问题已成为DeFi行业的最大挑战。此外，没有任何DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时，也不一定有 DeFi 服务商来赔偿投资者，加之很多隐秘互连的问题，可能引起一连串的金融事故。\r\n\r\n根据零时科技数据统计，截至2023年12月 ，共发生DeFi安全事件24起，累计损失资产金额超7.2亿美元。\r\n\r\n以各生态发生的DeFi安全事件数量分布来看，Ethereum生态分别发生6起，占比均为25%，位列第一，BSC（BNB Chian）共发生5起，占比20%，占比均为24%，位列第二，Solana生态发生3起，占比15%，位列第三。\r\n![image](https://image.3001.net/images/20240130/1706612017_65b8d531dc629251e4347.png!small)\r\n以各DeFi发生安全事件损失分布来看，排名前三的公链生态是，Ethereum生态DeFi事件损失金额超2.16亿美元，占比30%，位列第一；Solana位列第二，损失金额1.44亿美元，占比20%；BNB Chain位列第三，损失金额为1.3亿美元，占比18%。由此可见，生态越是活跃，越受到黑客关注，损失也最为突出。\r\n![image](https://image.3001.net/images/20240130/1706612101_65b8d585e5776bffb231e.png!small)\r\n据零时科技数据统计，从DeFi攻击类型来看，主要为：黑客攻击、资产被盗、闪电贷攻击和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为：黑客攻击占比50%，居于首位；安全漏洞占比29%，位居第二；资产被盗占比20%，位居第三；闪电贷攻击占比 16%， 位居第四。\r\n![image](https://image.3001.net/images/20240130/1706612128_65b8d5a08875124c315fc.png!small)\r\n从主要攻击类型损失分布来看，黑客攻击造成损失最高，占比48.6%，资产被盗次之，占比34.7%，安全漏洞位列第三，占比43%。\r\n![image](https://image.3001.net/images/20240130/1706612171_65b8d5cbd833595b8dbe5.png!small)\r\n### DeFi安全风险及措施建议\r\n### \r\nDeFi项目面对多重安全风险，从群体来分，分别为项目端（协议执行）和用户端；从安全种类来分，分别为各协议之间组合性的安全，包括组合之间的一些缺陷、智能合约安全、开源的安全，高收益伴随着高风险，缺乏监管等导致的一些安全问题。\r\n\r\n### 从安全审计角度看，DeFi项目面临的风险见下图：\r\n### \r\n![image](https://image.3001.net/images/20240130/1706612216_65b8d5f873656f00a4c3e.png!small)\r\n从协议执行过程，DeFi风险包括：智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。\r\n\r\n从用户角度，DeFi用户面临的风险有：技术风险：智能合约存在漏洞，受到安全性攻击；流动性风险：平台的流动性耗尽；密钥管理风险：平台的主私钥可能被盗取。安全意识风险：被钓鱼，遇到套利跑路欺诈项目等。\r\n\r\n### 零时科技安全团队建议，作为项目方和用户，可以从以下四点应对风险：\r\n### \r\n1）项目方在上线DeFi项目时，一定得找专业的安全团队去做全面的代码审计，而且尽可能地找多家共同审计，尽可能多地发现项目设计缺陷，以免在上线之后出现不必要的损失。\r\n\r\n2）建议用户参与这些项目投资时一定要做好把关，要对这个项目有一定的了解，或者是看它有没有经过安全审计后再上线。\r\n\r\n3）增加个人安全意识，包括上网的行为和资产保存以及钱包使用等习惯，养成良好的安全意识习惯。\r\n\r\n4）项目高收益高风险，参与需谨慎，不懂项目，尽量不参与，避免造成损失。\r\n\r\n## 6、 NFT－钓鱼攻击的池塘\r\n## \r\nNFT是Non-Fungible Token的简称，是基于区块链的非同质化代币，同时它是存储在区块链上的一种独特的数字资产，常作为虚拟商品所有权的电子认证或凭证，可以购买或出售。\r\n\r\n根据NFTScan数据，截至12月31日，已收录的NFT项目4624个，共计1,476,479,394个NFT。当前NFT总市值达到256亿美元，持有者达到473.38万人。从各类项目市值分布来看，PFP（Picture for proof），即个人资料图片类NFT市值遥遥领先，这也是目前使用场景最多的NFT，其次是收藏品。从目前八大主流公链上看NFT资产和合约，Polygon在资产和合约数上遥遥领先。\r\n\r\n从交易规模来看：在24小时内按销量排名前 10 位的NFT交易平台中，Blur排名第一，OKX NFT紧跟其后，OpenSea排名第三。从交易商来看，24小时内按交易者、买家和卖家数量排名前 10 的市场中，Blur位列第一，OKX NFT排名第二、OpenSea排名第三。\r\n\r\n随着NFT价值凸显，黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势，但NFT的热度不减。\r\n\r\n据零时科技不完全统计，截至2023年12月，NFT赛道发生安全事件共计44起，累计损失资产金额约为6200万美元。\r\n![image](https://image.3001.net/images/20240130/1706612285_65b8d63d24ab9e0f70311.png!small)\r\n从NFT赛道的攻击类型来看，主要为：黑客攻击、安全漏洞、资产被盗、钓鱼攻击和，对应安全事件数量占比分别为50%、35%、25%、23%。\r\n![image](https://image.3001.net/images/20240130/1706612302_65b8d64e4e60bcfb38ff1.png!small)\r\n从NFT主要攻击类型损失金额占比看，黑客攻击造成损失最多，占比50%；资产被盗次之，占比30%；安全漏洞居于第三，占比30%。\r\n![image](https://image.3001.net/images/20240130/1706612343_65b8d6775a03c9aa56e4f.png!small)\r\n**NFT安全风险及措施建议**\r\n目前在NFT赛道，黑客攻击方式多种多样。以群体来分，面临风险的对象一般为平台和用户。\r\n\r\n对于中心化平台端，可能面临的安全风险有：账号风险、商业化竞争风险、安全意识风险、内部人员风险、市场风险等。\r\n\r\n对于用户端，Discord攻击成为今年的主要攻击手法。\r\n\r\n对于以上安全风险，零时科技安全团队给出以下措施建议：\r\n\r\n对于普通用户，保护好自己的Discord，需要注意以下几点：确保密码足够安全，使用字母数字特殊字符创建长的随机密码；开启2FA身份验证，密码虽然本身足够复杂但是不能依靠一个方式来保护；不要点击来自未知发件人或看起来可疑的链接，考虑限制谁可以与您私信；不要下载程序或复制/粘贴你不认识的代码；不要分享或屏幕共享你的授权令牌；不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。\r\n\r\n对于服务器所有者：审核您的服务器权限，尤其是对于 WebHook 等更高级别的工具；进行任何更改时，请保持官方服务器邀请更新并在所有平台上可见，尤其是当大多数新服务器成员来自Discord 以外的社区时；同样，不要点击可疑或未知的链接！如果账户遭到入侵，可能会对管理的社区产生更大的影响。\r\n\r\n对于项目：建议合约应严格判断用户输入购买数量合理性；建议合约限制零资金购买NFT的可能性；建议对于ERC721及ERC1155协议的NFT Token进行严格区分，避免混淆情况发生假冒Discord官方案例。目前多个聊天软件均会发现恶意 mint 链接，也有不少用户资金被盗，为了避免此类盗币事件，建议大家在进行mint 操作时，验证链接来源可靠性，同时确保实际签署交易的内容和预期相符。\r\n\r\n## 7、安全教育-Web3安全盾牌\r\n## \r\n知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到，网络安全意识如果不提高，未来面临的商业机密等各项安全事件势必会影响企业发展。Web3去中心化自组织的参与方式，让个人意识到，如果不提高安全意识，就会沦为黑客的提款机。\r\n\r\n目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识，零时科技也在各平台布道了上百篇网络安全知识。\r\n\r\n除此外，零时科技也自研了安全意识评估管理平台，主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构，网络安全意识评估平台以网络钓鱼技术为基础，帮助企业构建私有云化的网络安全意识评估管理平台，集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统，实现企业持续系统化提升全员网络安全意识。除此之外，基于零时科技安全团队的专业实力，也为企业网络安全咨询和培训服务，从源头坚实安全盾牌。\r\n![image](https://image.3001.net/images/20240130/1706612382_65b8d69e4e82852f9c490.png!small)\r\n# 结语\r\n\r\nWeb3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施，为整个互联网世界带来更加可信，可传递价值的生态系统。尽管Web3行业安全事件不断，黑客和犯罪分子各种手法层出不穷，但这并不能阻碍Web3行业的健康发展。\r\n\r\n相反，如同对弈的双方，Web3世界的“白帽子”，像我们零时科技一样的安全机构，一定会为这一繁茂的生态保驾护航，守护新世界用户的资产，与黑客斗智斗勇，为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。\r\n\r\n漏洞常在，安全无价，发展与安全的博弈不会停止，但愿我们都能为自己装上一个安全盾，来应对这未来复杂的技术世界！\r\n\r\n# 免责声明\r\n\r\n本报告版权为零时科技所有，报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析，由于区块链具有匿名性特征，虽零时安全团队认为报告中所引用数据具有可靠性，但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同，本报告中所得结论可能与市场存在一定偏差。\r\n\r\n本报告中的内容仅供参考，报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议，读者应具有独立的判断能力，不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失，均不由零时科技承担。\r\n\r\n本报告所涉及的项目及第三方，对本报告的客观性和独立性不造成任何影响。\r\n\r\n本报告中信息具有时效性，所载数据、资料及观点仅限于定稿日前。\r\n\r\n本报告的目的旨在帮助用户了解Web3安全现状，提高网络安全意识，进而降低用户直接或间接可能面临的风险。限于各种局限因素，内容恐有疏漏，烦请各位读者不吝指正。"},"author":{"user":"https://learnblockchain.cn/people/52","address":null},"history":null,"timestamp":1706612656,"version":1}