2023 年第二季：Web3 和 DeFi 詐騙和駭客竊取 2.65 億美元

去中心化金融 (DeFi)和Web3的世界已經成為一個高風險的戰場，黑帽駭客和詐騙者不斷地制定策略來利用不斷增長的生態系統。 2023 年第二季度再次發生了相當多的攻擊和盜竊，導致加密貨幣投資者遭受總計超過 3.3 億美元的重大加密貨幣損失，其中 2.65 億美元可歸因於 Web3 領域。

這是根據 Immunefi 2023 年第二季的調查結果得出的，Immunefi 是領先的漏洞賞金和安全服務平台，保護 600 億美元的加密資產，我們將在下面更詳細地討論。此外，我們還添加了Certik和Beosin於 2023 年 7 月發布的新的 2023 年第二季度 Web3 安全報告中的見解，這些報告為 Web3 生態系統中損失的規模和類型提供了更廣泛的視角。

2023 年第二季加密貨幣損失概況

Immunifi 報告稱，2023 年第二季度，Web3 生態系統被挪用了 2.655 億美元，令人不安。然而，Certik 的報告表明，2023 年4 月至6 月期間，加密項目中超過3.13 億美元被盜。高達2.205 億美元。

根據 Beosin 報告，2023 年上半年，Web3 產業因駭客、網路釣魚詐騙和拉扯而損失了約 6.56 億美元。光是駭客攻擊就造成了約 4.71 億美元的損失，其中最著名的是 3 月北韓駭客 Lazarus 發起的大規模 Euler 駭客攻擊，據稱 Lazarus 還於今年 6 月拿下了 Atomic 錢包。

詐欺雖然不太常見，但在 18 起事件中佔六分之一，價值約 4,500 萬美元。儘管這些數字高得驚人，但值得注意的是一線希望 - 與 2022 年第二季度相比，損失減少了 60%，表明安全措施正在改善。

兩個項目在這些攻擊中首當其衝——我們之前報道過Atomic Wallet 的 1 億美元黑客攻擊，以及據稱由摩根士丹利打造的區塊鏈金融平台Fintoch 的攻擊。

它們合計造成了近一半的損失，其中 1.316 億美元消失在網路深淵。雖然這可能證明了駭客所採用的複雜程度，但它也引發了有關這些專案固有漏洞和安全調查的問題。

主要漏洞：Atomic 錢包和 Fintoch

2023 年第二季的兩項最重大損失值得仔細研究。由於北韓國家支持的駭客組織 Lazarus Group 發起的攻擊，去中心化的 Atomic 錢包損失了 1 億美元。它們先前曾與其他大規模漏洞有關，包括 2022 年 6 月價值 1 億美元的 Harmony Bridge 駭客攻擊事件。

另一方面，芬托克則成為所謂的內部「地毯拉動」的受害者，金額達 3,160 萬美元。在這裡，該團隊被指控將被盜資產轉移到其他區塊鏈，包括 Tron 和以太坊，導致用戶無法存取他們的資金。

加密貨幣駭客攻擊減少，但詐騙激增 200%

當談到加密貨幣損失時，駭客事件始終掩蓋著詐欺、騙局和騙局。這一趨勢在 2023 年第二季持續存在，駭客造成的損失遠遠超過詐欺造成的損失。

• Certik 發現了大約 212 個安全漏洞案例，每個案例的平均損失為 140 萬美元。
• 大約 98 起案件被發現後，退出騙局損失翻了一番，達到 7,000 萬美元以上。
• 儘管總損失較 2022 年第二季下降 60.4%，但單次事故數量較去年同期激增 65.3%。

DeFi 繼續被 DeFid

去中心化金融 (DeFi)代表了 2023 年第二季成功利用的大部分，佔總損失的驚人比例為 86%。相較之下，中心化金融（CeFi）僅佔 14%，這是繼 2024 年 FTX、3AC 和攝氏度損失投資者數十億美元的託管恐怖之後的一個可喜變化。然而，CeFi 損失比去年同期增加了 3700 萬美元。

Beosin 報告顯示，2023 年上半年，合約漏洞是 60 起攻擊中最大的駭客攻擊媒介，損失超過 5,300 萬美元。

對 DeFi 的新關注可能是由於其固有的透明度和可訪問性，使其成為黑帽駭客的有吸引力的目標，他們希望利用專案及其用戶的薄弱安全措施。

BNB 鍊和以太坊成為最具針對性的目標

由於生態系統中鎖定瞭如此多的價值，因此BNB 鍊和以太坊成為2023 年第二季度最受攻擊的目標也就不足為奇了，其中BNB 鏈遭受了36 起事件，以太坊遭受了26 起事件。以太坊第 2 層鏈Arbitrum最終於 2023 年 3 月底推出了其代幣，今年發生了 10 起事件，排名第三，一年前沒有發生過一起事件，其次是Polygon和ZKSync，各發生兩起事件。

當然，騙子也會繼續詐騙。 Beosin 報告稱，2023 年上半年，使用成本較低的 BNB 鏈上發生了 80 次拉動事件，其次是以太坊，這表明用戶在處理 DeFi 協議時應特別警惕，並對團隊進行更多研究。

第二季被竊資金僅追回 4%

追回被盜資金仍然是一項艱鉅的任務。總損失中，8起事件僅追回1,045萬美元，僅佔總損失的4%。儘管明顯低於損失，但每一次復甦的勝利都是朝著正確方向邁出的一步。

與 2023 年第二季度相比，在 2022 年第二季度的大背景下，DeFi 損失和黑客相關損失均下降了約66%，而隨著網絡釣魚詐騙變得更加複雜且針對非託管，與欺詐相關的損失飆升了225%錢包用戶。

加密貨幣流失者不斷增加

Web3 反詐騙平台 Scam Sniffer 也透露，今年有 6,600 萬美元被所謂的「加密貨幣流失者」或掃蕩者竊取，這些基於智能合約的惡意軟體透過網路釣魚誘騙用戶同意進行惡意交易，從而轉移全部或部分資金。 DeFi 和 Web3 用戶在盲簽名或批准任何交易時應格外小心，不應點擊任何可疑連結。

MEV Bot 被利用，MPC 受到審查

Certik 的報告還詳細介紹了惡意驗證者在以太坊上利用MEV 機器人漏洞獲取2500 萬美元（MEV 指ETH 驗證者可以獲得的獎勵）以及針對ZenGo 上的多方計算(MPC) 漏洞的賞金，該漏洞可能會導致更多損失毀滅性的損失。

Kang 表示，雖然多方運算安全性受到機構投資者的青睞，並且在Web3 中有很多應用，但新的MPC 解決方案的實施為加密錢包設計帶來了新的複雜性，可能會導致新的安全威脅，必須仔細審核和監控。因此，確保您的託管人使用最好的 MPC 安全措施應該是任何投資者的首要任務。

最後的想法

總之，儘管 DeFi 和 web3 生態系統持續發展並提供無與倫比的機會，但它仍然是邪惡活動的沃土。正如 Immunefi 創始人兼首席執行官 Mitchell Amador 恰當地指出的那樣，“用戶必須徹底評估項目”，因為“不良行為者繼續擴大其惡意活動並採用日益複雜的騙局”。

因此，利害關係人必須積極主動、保持警惕，並採取嚴格的安全措施，以盡量減少此類漏洞的風險。

CoolWallet：抵禦 Web3 駭客和詐騙的盾牌

隨著 Web3 和 DeFi 專案不斷建立其生態系統，使用像CoolWallet Pro這樣信譽良好且經過實戰考驗的 Web3 硬體錢包是應對智慧合約和自我託管風險的明智選擇。其 EAL6+ 安全元件、軍用級加密藍牙通訊以及 2+1 FA 生物識別驗證等附加措施確保未經您透過按下按鈕進行實體批准，任何交易都無法授權。

透過CoolWallet App與Kekkai 的即時 Web3 區塊鏈分析和智慧合約評估的新集成，您現在可以比以往更安全地與您最喜歡的鏈上最喜歡的 Dapp 進行互動。