CERT:2023年第二季度Web3.0行業安全報告發布_sui幣是國人盤嗎

總結

黑客等惡意行為者在2023年第二季度從Web3.0行業中榨取了3.1億美元的價值。

該數字與第一季度的3.2億美元損失接近，比2022年第二季度的7.45億美元損失下降了58%。

CertiK總共發現了212起安全事件，這也就意味著第二季度每起事件的平均損失為148萬美元。這一數字比第一季度每起事件的平均損失156萬美元略有下降。

98起退出騙局從投資者那里偷走了7,035萬美元，比第一季度退出騙局造成的3,100萬美元的損失增加了一倍多。

54起閃電貸攻擊及預言機操縱事件使攻擊者賺取了2,375萬美元。這比第一季度的52起預言機操縱總損失2.22億美元大幅下降了。當然，上個季度由于Euler Finance損失數額巨大，僅這一漏洞就占據了上一季度總金額的85%。

此外，行業內正在發生一些“鏈下”大事件：美國證券交易委員會對虛擬貨幣兩個最大交易所提出指控；而世界上最大的資產管理公司提交了一份比特幣ETF的申請。

國際證監會組織發布2023年加密監管路線圖:7月11日消息，國際證監會組織（IOSCO）發布了其未來幾年通過解決加密貨幣法規缺乏問題來管理該行業的框架。

7月7日發布的指南顯示，IOSCO董事會級金融科技工作組（FTF）的框架將專注于兩個工作流程，重點是Crypto和Digital Assets（CDA）和DeFi。每個工作組計劃在2023年底前發布一份包含政策建議的報告。

今年年初成立的特別工作組表示，今年出現投資者的損失是由于缺乏市場監管。因此，FTF指出，有必要保護投資者，并應對市場的完整性。考慮到加密貨幣的跨境性質，該組織還與金融穩定委員會（FSB）就金融穩定可能面臨的風險等問題進行合作。這種合作還需要在全球和區域兩級交換信息。（Finbold）[2022/7/11 2:05:24]

同時，CertiK安全研究人員還發現了主要區塊鏈協議和應用中的一些重大漏洞，包括Sui驗證器節點和ZenGo的MPC錢包中的安全風險。

部分數據展示

報告：60%的商家有意愿在2022年接受加密貨幣支付:2月23日消息，Crypto.com發布加密支付報告（Crypto for Payments Report），報告顯示，約60%的商家有意愿接受加密貨幣支付，75%的消費者有意愿采用加密貨幣支付。該報告基于Crypto.com的110,000名用戶和FIS的150萬商家。用戶年齡大多數在40歲以下，商家主要來自數字媒體和游戲領域。此外， 最受青睞的加密貨幣是比特幣、以太坊和USDC。截止目前，只有4%的商家接受加密貨幣支付，用戶對加密貨幣支付的需求和目前商家接受程度之間的差距會刺激商家對加密貨幣支付的接受度。（Beincrypto）[2022/2/23 10:10:51]

簡介

2023年第二季度Web3.0領域記錄的總損失為313,566,528美元，與上一季度幾乎相同，與去年同期相比下降了58%。每起事故的平均損失也出現了輕微下滑。 

美國眾議院撥款委員會公布了2022財年總值1.5萬億美元的年度支出法案大綱:美國眾議院撥款委員會發布了2022財年立法部門、金融服務和一般政府撥款法案和相關報告。這些報告和撥款法案將在明天的全體委員會會議上審議。其中金融服務和一般政府撥款法案在上周四由委員會口頭表決通過，內容包括通過小企業管理局和社區發展金融機構協助小企業和企業家，以及為應對氣候危機提供資金啟動聯邦車隊向電動和零排放車輛的過渡等。 （金十）[2021/6/29 0:12:52]

縱觀第二季度，預言機操縱事件數量明顯下降，而退出騙局的總損失卻有所上升，表明惡意行為者采用的戰術已發生了變化。

隨著行業的發展，像針對MEV機器人的攻擊和在Sui區塊鏈上發現“倉鼠輪”安全威脅這樣的案例，印證了持續深度鉆研安全、先發制人和持續保持警惕的重要性。每克服一個挑戰，我們就離更安全的Web3.0空間更近一步。

查看報告獲取更多細節內容及數據。

MEV機器人被惡意利用

BC科技集團2020年數字資產及區塊鏈平臺業務收入增長111%?:根據BC科技集團公告，截至2020年12月31日止年度，公司總收益2.17億元人民幣，同比增長31.5%；收益增長乃受到OSL數字資產及區塊鏈平臺業務所得交易收入增加所驅動。本年度，數字資產及區塊鏈平臺業務產生收入人民幣1億5,110萬元，較2019財政年度的收入人民幣7,160萬元增長111.0%。該大幅增長乃受集團數字資產交易服務的交易量增加及提供數字資產SaaS及相關服務所驅動。（格隆匯）[2021/3/30 19:27:55]

4月初，MEV機器人在以太坊的16964664區塊被黑客利用。一名惡意驗證者替換了數筆MEV交易，導致約2538萬美元損失。這一事件是迄今為止針對MEV機器人的最大攻擊。

該事件是在以太坊區塊16964664中發生的，有8個MEV交易被惡意驗證者利用。這個驗證者成立于2023年3月15日，由外部地址（EOA）0x687A9建立，并一直設法滲透到防止搶先交易的Flashbot中。

佟揚：2020年的行業發展態勢最顯著的一個特點是多元化:8月5日消息，BiKi 2周年|乘風破浪之夜私人酒會今日在深圳隆重開啟。

在以2020年區塊鏈行業的創新和發展趨勢為主題的圓桌論壇期間，金色財經合伙人兼IPFS100.com CEO-佟揚表示，2020年的行業發展態勢最顯著的一個特點是多元化，例如今年交易平臺也涉及到了期貨、云算力、合約創新玩法、保險和量化以及理財產品。

下半年自身會把礦業提升到一個新的高度，另外是IPFS，可以帶領我們開啟3.0時代。[2020/8/5]

然而，MEV-boost-relay中的一個漏洞使惡意驗證器可以重新進行捆綁交易，攔截MEV機器人部分夾層策略，特別是反向交易。由于上述漏洞，驗證者看到了詳細的交易信息。有了這些詳細的交易信息，惡意驗證者可以建立他們自己的區塊，并在最初的MEV機器人交易之前插入他們的前置交易。

總的來說，這個惡意驗證器成功地從5個MEV機器人中竊取了大約2500萬美元，這也是目前為止CertiK發現的MEV機器人損失金額最大的事件之一。在過去的12個月里，只有6個MEV機器人的漏洞被發現，而僅本次事件就占了總損失2750萬美元的92%。

惡意驗證者利用MEV-boost-relay漏洞，通過提交一個無效但正確簽名的區塊開始攻擊。在看到區塊內的交易后，驗證者可以重新捆綁它們，以從MEV機器人那里索取資產。該漏洞已于后續被修補。

更多關于MEV機器人及三明治攻擊的內容，請查看報告獲取。

Atomic Wallet被黑

今年6月初，5000多名Atomic Wallet用戶遭遇了本季度最大的安全事件，損失超1億美元。起初，Atomic Wallet表示不到1%的月活用戶成為此次事件的受害者，后來改成不到0.1%。如此規模的攻擊和巨大損失凸顯了錢包應用中安全漏洞的嚴重性。

攻擊者以用戶私鑰為目標，獲得對他們資產的完全控制。在獲取密鑰后，他們能夠將資產轉移到自己的錢包地址，清空受害者的賬戶。

散戶報告的損失金額大小不一，其中最高達到795萬美元。五名金額最大的散戶受害者的累計損失高達1700萬美元。

為了挽回損失，Atomic Wallet公開向攻擊者提出了一個提議，他們承諾放棄10%的被盜資金，以換取90%被盜的代幣。然而，根據Lazarus Group的歷史記錄，加上被盜資金已開始被清洗，追回資金的希望非常渺茫。

更多關于Atomic Wallet以及“幕后黑手”的分析，請查看報告獲取。

Sui“倉鼠輪”新型漏洞

此前，CertiK團隊于Sui區塊鏈發現了一系列拒絕服務漏洞。在這些漏洞中，一種新型且具有嚴重影響力的漏洞格外引人注目。該漏洞可導致Sui網絡節點無法處理新的交易，效果等同于整個網絡完全關閉。CertiK因發現該重大安全漏洞，獲得了Sui 50萬美元漏洞賞金。美國業內權威媒體CoinDesk對該事件進行了報道，隨后各大媒體也緊隨其報道發布了相關新聞。

該安全漏洞被形象地稱為“倉鼠輪”：其獨特的攻擊方式與目前已知的攻擊不同，攻擊者只需提交一個大約100字節的載荷，就能觸發 Sui 驗證節點中的一個無限循環，使其不能響應新的交易。

此外，攻擊帶來的損害在網絡重啟后仍能持續，并且能在 Sui 網絡中自動傳播，讓所有節點如倉鼠在輪上無休止地奔跑一樣無法處理新的交易。因此我們將這種獨特的攻擊類型稱為“倉鼠輪”攻擊。

發現該漏洞后，CertiK通過Sui的漏洞賞金計劃向Sui進行了報告。Sui也第一時間進行了有效回應，確認了該漏洞的嚴重性，并在主網啟動前積極采取了相應措施對問題進行了修復。除了修復此特定的漏洞外，Sui還實施了預防性的緩解措施，以減少該漏洞可能造成的潛在損害。

為了感謝CertiK團隊負責地披露，Sui向CertiK團隊頒發了50萬美元獎金。

詳情請點擊《Sui最新漏洞“倉鼠輪”，技術細節與深入分析》

基于MPC錢包的服務器級別漏洞

多方計算（MPC）是一種加密方法，允許多個參與者對其輸入的函數進行計算，同時保護這些輸入的隱私。其目標是確保這些輸入不與任何第三方共享。該技術有多種應用，包括保護隱私的數據挖掘、安全拍賣、金融服務、安全的多方機器學習，以及安全的密碼和機密共享。

CertiK的Skyfall團隊在對目前流行的多方計算（MPC）錢包ZenGo進行預防性安全分析的過程中，發現該錢包的安全架構存在一個嚴重漏洞，它被稱為“設備分叉攻擊”。攻擊者可以利用它繞過ZenGo現有的安全防護措施，從而有機會控制用戶的資金。該攻擊的關鍵是利用API中的漏洞來創建一個新的設備密鑰，從而欺騙ZenGo服務器將它視為真實用戶的設備。

依據負責披露原則，Skyfall團隊迅速向ZenGo報告了此漏洞。在認識到問題的嚴重性后，ZenGo的安全團隊迅速采取行動進行修復。為了防止攻擊的可能性，該漏洞已在服務器的API層面上得到修復，因此無需對客戶端代碼進行更新。

在漏洞修復完成后，ZenGo公開承認了這些發現，并感謝CertiK在加強其基于MPC錢包的安全性和可信度方面發揮的重要作用。

“多方計算具有廣闊的前景，在Web3.0領域有許多重要的應用。雖然MPC技術減少了單點故障帶來的風險，但MPC解決方案的實施會給加密貨幣錢包設計帶來新的復雜情況。這種復雜性會導致新的安全風險，說明全面的審計和監控方法是必不可少的。”    —— 李康教授，CertiK首席安全官

點擊獲取完整報告

CertiK中文社區

企業專欄

閱讀更多

金色早8點

Odaily星球日報

金色財經

Block unicorn

DAOrayaki

曼昆區塊鏈法律

Tags：MEVSUIcertikCERTMEVFREEsui幣是國人盤嗎certik幣價

萊特幣最新價格