比特幣再次突破了歷史新高,接近99000美元,直逼10萬美元大關。回顧歷史數據,牛市時 Web3 領域的詐騙和釣魚活動層出不窮,總損失超過 3.5 億美元。分析顯示,黑客主要以太坊網絡的攻擊爲主,穩定幣是主要目標。根據歷史交易和釣魚數據,我們對攻擊方法、目標選擇和成功率進行了深入研究。
加密安全生態圖譜
我們將2024 年的加密安全生態項目進行了細分分類。在智能合約審計領域,有 Halborn、Quantstamp 和 OpenZeppelin 等老牌參與者。智能合約漏洞仍然是加密領域的主要攻擊媒介之一,提供全面代碼審查和安全評估服務的項目也各有春秋。
DeFi 安全監控部分有 DeFiSafety 和 Assure DeFi 等專業工具,專門針對去中心化金融協議的實時威脅檢測和預防。值得注意的是人工智能驅動的安全解決方案的出現。
近期 Meme 交易十分火爆,Rugcheck 和 Honeypot.is 等安全檢查工具可以幫助交易者提前識別一些問題。
USDT 是被盜竊最多的資產
根據bitsCrunch數據,基於以太坊的攻擊約佔所有攻擊事件的 75%,USDT 是最被攻擊的資產,盜竊量達 1.12 億美元,USDT 平均每次攻擊價值約爲 470 萬美元。受影響第二大的資產是 ETH,損失約 6660 萬美元,其次是 DAI,損失 4220 萬美元。
值得注意的是,市值較低的代幣受到的攻擊量也非常高,這表明攻擊者會伺機盜竊安全性較低的資產。最大一起事件是發生在 2023 年 8 月 1 日的一次複雜的欺詐攻擊,造成 2010 萬美元的損失,
Polygon 是攻擊者的第二大目標鏈
雖然以太坊在所有釣魚事件中佔據主導地位,佔據80%的釣魚交易量。但其他區塊鏈上也觀察到了盜竊活動。Polygon 成爲第二大目標鏈,交易量約佔18%的。往往盜竊活動與鏈上 TVL和每日活躍用戶密切相關,攻擊者會根據流動性和用戶活動進行判斷。
時間分析和攻擊演變
攻擊頻率和規模有不同模式。根據bitsCrunch數據, 2023 是高價值攻擊最集中的一年,多起事件的價值超過 500 萬美元。同時,攻擊的複雜性逐漸演變,從簡單的直接轉移變爲更復雜的基於批准的攻擊。重大攻擊(>100 萬美元)之間的平均時間約爲 12 天,主要集中在重大市場事件和新協議發佈前後。
釣魚攻擊類型代幣轉移攻擊
代幣轉移是最直接的攻擊方法。攻擊者會操縱用戶將其代幣直接轉移到攻擊者控制的賬戶。根據bitsCrunch數據,往往這類攻擊的單筆價值極高,利用用戶信任,虛假頁面和詐騙話術說服受害者自願發起代幣轉移。
這類攻擊通常遵循以下模式:通過相似域名,完全模仿某些知名網站建立信任感,同時在用戶交互時營造緊迫感,提供看似合理的代幣轉移指令。我們的分析顯示,這類直接代幣轉移攻擊的平均成功率爲 62%。
批准網絡釣魚
批准網絡釣魚主要是利用智能合約交互機制,是技術上較爲複雜的攻擊手段。在這種方法中,攻擊者會誘騙用戶提供交易批准,從而授予他們對特定代幣的無限消費權。與直接轉賬不同,批准網絡釣魚會產生長期漏洞,被攻擊者會逐步耗盡資金。
虛假代幣地址
地址中毒是一種綜合多方面的攻擊策略,攻擊者使用與合法代幣同樣名稱但不同地址的代幣創建交易。這些攻擊利用用戶對地址檢查的疏忽,從而得到收益。
NFT 零元購
零元購網絡釣魚專門針對 NFT 生態的數字藝術和收藏品市場的攻擊。攻擊者會操縱用戶簽署交易,從而大幅降低的價格甚至免費出售其高價值的 NFT。
我們的研究在分析期間發現了 22 起重大 NFT 零購買網絡釣魚事件,平均每起事件損失 378,000 美元。這些攻擊利用了 NFT 市場固有的交易簽名流程。
被盜者錢包分佈
該圖表中的數據揭示了被盜者錢包在不同交易價格範圍內的分佈模式。我們發現,交易價值與受害錢包數量之間明顯的反比關係——隨着價格的增加,受影響的錢包數量逐漸減少。
每次交易500-1000 美元的受害錢包數量最多,約有 3,750 個,佔三分之一以上。金額較小的每筆交易往往受害者並不會在意細節。1000-1500 美元每筆交易下降至 2140 個錢包。3000 美元以上總共只佔受攻擊總數的 13.5%。由此可見,金額越大,安全措施更強,或者受害者在涉及較大金額時考慮也得更周全。
通過分析數據,我們揭示了加密貨幣生態系統中複雜且不斷演變的攻擊方式。隨着牛市到來,複雜攻擊的頻率將會越來越高,平均損失也越來越大,對項目方和投資者的經濟的影響也會很大。因此,不僅區塊鏈網絡都需要加強安全措施,我們自身在交易時也要多加註意,防止釣魚事件的發生。