区块链安全联盟 2022 年第三季度区块链安全报告

1 Q3 2022 区块链安全概述

共监测到 37 起重大漏洞，总损失约 4.05 亿美元

2022 年第三季度，Beosin EagleEye 监测到 Web3 领域超过 37 次重大攻击，总损失约 4.05 亿美元，较 2022 年第二季度的 7.1834 亿美元下降约 43.6%，较 2022 年第二季度的损失 10.0258 亿美元下降 59.6% 2021 年第三季度。

从 2022 年 1 月到 2022 年 9 月，Web3 空间因攻击而损失的资产总计 23.1791 亿美元。

Q 超过/Q 增长

从每个月来看， 7月攻击明显减少，是2022年以来攻击损失最少的一年。8月和9月黑客活动明显增加。

从项目类型来看 , 92% 的损失金额来自跨链桥接和 DeFi 协议。 37 次攻击中有 22 次发生在 DeFi 领域。

在TVL方面 ，经过5-6月TVL大幅下滑后，本季度各连锁TVL走势趋于稳定。 7月下旬至8月初TVL呈现小幅上升趋势，也是本季度攻击次数和损失金额最高的时期。

在连锁方面， 本季度以太坊的损失金额达到 3.7428 亿美元，占总损失的 92%。被攻击次数最多的链是BNB Chain，达到了16次。

在攻击类型方面， 92%的损失金额是由合约漏洞利用和私钥泄露造成的。

在资金流向方面， 大约 2.042 亿美元的被盗资金流入了 Tornado Cash，约占本季度被盗资金的 50.4%。本季度只有约 4% 的被盗资金被追回。

在审计方面， 只有 40% 的 rekt 项目被审计。

2 漏洞利用概述

与第二季度相比，第三季度的总体攻击有所下降

2022 年第三季度，Web3 领域监测到 37 起重大攻击事件，总损失约为 4.05 亿美元。损失超过 1 亿美元的攻击有 2 次，损失超过 1000 万美元的攻击有 3 次，损失超过 100 万美元的攻击有 14 次。损失超过1亿美元的安全事件是游牧桥 （1.9 亿美元）和冬寂 （1.6 亿美元）。

Q3项目亏损额

2022 年 8 月是本季度黑客最活跃的月份，损失约 2.1062 亿美元。 7 月份的攻击总损失为 3005 万美元，是 2022 年以来的最低一个月损失额。

Q3每月损失金额&数数

3 类型的 rekt 项目

跨链桥接和 DeFi 项目占损失金额的 92%

Q3损失金额&按类别计数

2022年第三季度发生3次跨链桥接攻击，共计损失约1.9025亿美元； DeFi 领域的 22 次攻击导致总损失 1.8679 亿美元。大约 92% 的攻击损失量来自跨链桥接和 DeFi 协议。

截至2022年9月，2022年共发生10起重大跨链桥安全事件，损失超过14亿美元。跨链桥是 2022 年受攻击影响最大的区域。

除了跨链桥接和DeFi协议，本季度被攻击的项目类型还包括NFT、交易所、DAO、钱包和MEV bot，整体类型较上一季度更加多样化。

4 链损失量

以太坊的损失达 3.743 亿美元

Q3损失金额&链式计数

本季度以太坊共发生12起重大攻击事件，总损失3.7428亿美元，在所有链中排名第一。 Solana 因 3 次攻击损失了 1837 万美元。

连续两个季度遭受重大攻击的链有以太坊、BNB Chain、Fantom、Avalanche。

BNB Chain 受到的攻击最多，有 16 个 exploit，其对应的项目都是未经审计的。这16起漏洞涉及的金额较小，单次损失低于50万美元的事件有14起。

在经历了5-6月TVL大幅下滑后，本季度跨链TVL走势趋于稳定。 TVL在7月下旬至8月初期间呈小幅上升趋势，也是本季度攻击和损失金额最多的时期。加密货币市场在 9 月份总体上略有下行。 9 月 15 日以太坊合并后，以太坊 TVL 持续小幅下跌。

链TVL

5 攻击类型分析

92%的损失是由合约漏洞利用和私钥泄露造成的

Q3损失金额&按攻击类型计算

第三季度，合约漏洞仍然是最常见的攻击类型。约有15起攻击为合约漏洞利用，占总数的40.5%。合同漏洞造成的总损失达 2.016 亿美元，占总损失的 50.9%。

本季度四次私钥泄露造成约 1.6724 亿美元的损失，是仅次于合约漏洞利用的第二大损失。

与上一季度相比，本季度的攻击类型更加多样化。本季度出现的新攻击类型包括 BGP 劫持、错误配置和供应链攻击。

Q3 按攻击类型划分的损失金额市场份额

Q3 按攻击类型统计的市场份额

从合约漏洞来看，本季度被利用的主要漏洞包括：验证问题、重入、权限问题、业务逻辑或功能设计不当、溢出漏洞。这些漏洞在审计阶段都是可以发现和修复的。

Q3损失金额&按合约漏洞计算

6 典型安全事件回顾

6.1 游牧桥价值 1.9 亿美元的事件

8 月 2 日，支持跨以太坊、Moonbeam、Avalanche、Evmos 和 Milkomeda 资产转移的跨链平台 Nomad Bridge 遭遇大规模黑客攻击，该项目损失了 1.9 亿美元。

6.2 坡度Solana 上的钱包事件

8月3日，Solana发生大规模Slope钱包盗窃事件，估计损失约600万美元。

6.3冬寂私钥泄密事件

9 月 20 日，加密货币做市商 Wintermute 因私钥泄露而遭受攻击，损失 1.6 亿美元。

7 资金流向分析

大约 2.042 亿美元的被盗资金流入了 Tornado Cash

8 月 8 日，美国财政部外国资产控制办公室 (OFAC) 对 Tornado Cash 实施制裁，禁止美国个人或组织与其互动。 2022 年第三季度，仍有约 2.042 亿美元的被盗资金流入 Tornado Cash，占该季度被盗资金的 50.4%，低于第二季度。

大约 1.823 亿美元的被盗资金作为余额留在了黑客的地址中。一些被盗资金被桥接到其他链上的地址，这部分仍然被算作黑客的地址余额。

通过链上谈判和白帽黑客主动返还，追回了约 1660 万美元的资产。 2022 年第三季度，仅约 4% 的被盗资金被追回，这一比例远低于第二季度。

大约 192 万美元的被盗资产流入了 Binance 和 FixedFloat 等交易所。此类事件一般涉及小额资产（通常在$10K到$100K左右），黑客在攻击后第一时间将被盗资金转移至交易所，导致项目方未能及时联系交易所冻结资金。

Q3 资金流向

8 项目审计分析

只有40%的项目被审计

2022年审核的rekt项目比例为：一季度70%，二季度52%，三季度40%。未经审计的rekt项目百分比呈逐季上升趋势。

是否审核-计数

是否审计——金额

在所有rekt项目中，经过审计的项目共损失了3.7548亿美元，未经审计的项目在攻击中损失了约2956万美元。乍一看，审计似乎并没有起到保护项目安全运行的作用。但深入分析发现，这些被审计的项目大多受到私钥泄露、供应链攻击、DNS攻击、BGP劫持、错误配置等非合约层面问题的攻击。在未经审计的项目中，85% 是由合约漏洞或闪贷攻击引起的。

由此可见，专业审计在一定程度上对合约层面的安全保障还是有效的，但协议的安全运行还需要做好线下风控、保管好私钥、警惕传统网络安全攻击，谨慎使用第三方组件。当然，本季度也存在一些本应在审计阶段发现，但在审计报告中没有体现的漏洞，建议项目寻求专业的安全公司进行审计。

关于区块链安全联盟

区块链安全联盟由高校机构、区块链安全公司、行业协会、金融科技服务商等多家具有不同行业背景的单位发起成立，首批联盟理事单位包括Beosin、SUSS NiFT、NUS AIDF、BAS、FOMO Pay 、Onchain Custodian、Semisand、Coinhako、ParityBit 和华为云。目前成员包括：火币大学、Moledao、Least Authority、PlanckX、Coding Girls、Coinlive、Footprint Analytics、Web3Drive、Digital Treasures Center。安全联盟成员将携手合作，以各自的技术优势，持续为全球区块链生态系统保驾护航。联盟理事会也欢迎更多区块链相关领域人士的加入，共同捍卫区块链生态的安全。

联盟注册

https://forms.gle/pb3NaUgS3a2Sswnc8

接触

电报：@kristenbeosin, @Web3Donny

邮箱：[email protected]

联盟成员 - Beosin

Beosin 是一家总部位于新加坡的全球领先的区块链安全公司，拥有 100 多名形式验证和区块链安全方面的安全专家。 Beosin以“保护Web3.0生态系统”为使命，提供包括代码安全审计、风险监控、告警预警在内的一体化区块链安全产品和服务。阻止项目，安全合规 KYT & KYC，以及被盗资产追回。 Beosin 目前已为全球 2000 多家区块链企业提供安全服务，审计超过 2500 份智能合约，为客户保护超过 5000 亿美元的资产。

联盟成员 - 足迹分析

Footprint Analytics 是一种用于发现和可视化整个区块链数据的工具，包括 NFT 和 GameFi 数据。它目前收集、解析和清理来自 18 个链的数据，并允许用户使用拖放界面以及 SQL 或 Python 无需代码即可构建图表和仪表板。

数据来源：https://www.footprint.network/@Beosin/Footprint-Beosin-Q3-Report-Beosin

下载完整报告：

https://beosin.com/resources/Q3_2022_BLOCKCHAIN_SECURITY_REPORT.pdf