Web3 安全報告：牛市時期網路攻擊頻發，損失超 3.5 億美元

近期比特幣價格再創新高，逼近 10 萬美元大關。然而，回顧歷史數據顯示，在加密貨幣牛市期間，Web3 領域的詐騙和釣魚活動也隨之增多，造成的總損失超過 3.5 億美元。分析表明，黑客主要針對以太坊網路進行攻擊，穩定幣成爲主要目標。本文將深入探討這些攻擊的方法、目標選擇和成功率。

加密安全生態概覽

2024 年的加密安全生態項目可分爲幾個主要領域。智能合約審計方面，Halborn、Quantstamp 和 OpenZeppelin 等老牌機構繼續發揮重要作用。由於智能合約漏洞仍是加密領域的主要攻擊途徑之一，提供全面代碼審查和安全評估服務的項目各有特色。

在 DeFi 安全監控領域，一些專業工具如 DeFiSafety 和 Assure DeFi 專注於去中心化金融協議的實時威脅檢測和預防。值得注意的是，人工智能驅動的安全解決方案正在興起。

隨着近期 Meme 代幣交易的火熱，Rugcheck 和 Honeypot.is 等安全檢查工具可幫助交易者提前識別潛在風險。

USDT 成爲被盜最多的資產

數據顯示，基於以太坊的攻擊約佔所有事件的 75%。其中，USDT 是最常被攻擊的資產，盜竊總額達 1.12 億美元，平均每次攻擊價值約 470 萬美元。第二大受影響資產是 ETH，損失約 6660 萬美元，其次是 DAI，損失 4220 萬美元。

值得注意的是，一些市值較低的代幣也遭受了大量攻擊，表明攻擊者會利用安全性較低資產的漏洞。最大規模的單次事件發生在 2023 年 8 月 1 日，是一起復雜的欺詐攻擊，造成 2010 萬美元的損失。

Polygon 成爲第二大受攻擊鏈

盡管以太坊在所有釣魚事件中佔據主導地位，約佔 80% 的交易量，但其他區塊鏈上也觀察到了盜竊活動。Polygon 成爲第二大目標鏈，交易量約佔 18%。攻擊者往往根據鏈上總鎖倉量（TVL）和日活躍用戶數來選擇目標，這些指標與流動性和用戶活躍度密切相關。

攻擊時間分析和演變

攻擊的頻率和規模呈現不同模式。2023 年是高價值攻擊最集中的一年，多起事件的損失超過 500 萬美元。同時，攻擊手段逐漸演變，從簡單的直接轉移變爲更復雜的基於批準的攻擊。重大攻擊（損失超過 100 萬美元）之間的平均間隔約爲 12 天，通常集中在重大市場事件和新協議發布前後。

主要釣魚攻擊類型

代幣轉移攻擊

這是最直接的攻擊方法，攻擊者誘導用戶將代幣直接轉移到他們控制的帳戶。這類攻擊通常單筆價值較高，利用用戶信任、虛假頁面和詐騙話術來說服受害者自願轉帳。攻擊者通常會通過相似域名模仿知名網站，並在用戶交互時營造緊迫感。此類直接代幣轉移攻擊的平均成功率約爲 62%。

批準網絡釣魚

這是一種技術上較爲復雜的攻擊手段，利用智能合約交互機制。攻擊者誘騙用戶提供交易批準，從而獲得對特定代幣的無限消費權。與直接轉帳不同，這種方式會造成長期漏洞，攻擊者可能逐步耗盡受害者的資金。

虛假代幣地址

這種攻擊策略綜合了多方面因素，攻擊者創建與合法代幣同名但地址不同的代幣進行交易。這類攻擊利用了用戶對地址檢查的疏忽。

NFT 零元購

這種攻擊專門針對 NFT 生態系統。攻擊者操縱用戶簽署交易，導致高價值 NFT 以極低甚至零價格出售。研究期間發現了 22 起重大 NFT 零元購事件，平均每起損失 378,000 美元。這些攻擊利用了 NFT 市場固有的交易籤名流程漏洞。

受害錢包分析

數據顯示，交易價值與受影響錢包數量之間存在明顯的反比關係。隨着交易金額增加，受影響的錢包數量逐漸減少。

每筆交易在 500-1000 美元範圍內的受害錢包數量最多，約有 3,750 個，佔總數的三分之一以上。這可能是因爲小額交易時用戶往往不太注意細節。1000-1500 美元範圍的交易受害錢包數降至 2140 個。3000 美元以上的交易僅佔總攻擊數的 13.5%。這表明，交易金額越大，用戶採取的安全措施可能更嚴格，或者在涉及大額交易時會更加謹慎。

結語

隨着加密貨幣市場進入牛市，復雜攻擊的頻率和平均損失可能會進一步增加，對項目方和投資者的經濟影響也會更加顯著。因此，區塊鏈網路需要不斷加強安全措施，同時用戶在交易時也應保持高度警惕，以防止成爲釣魚攻擊的受害者。