eFi项目共计1297个。据DeFi Llama 数据显示,DeFi 总锁仓价值达到390.51 亿美元规模。其中以太坊占比58.59%,以230.2亿美元的 TVL排名第一,其次是Tron,占比11.1%,以40.36亿美元的TVL排名第二,BSC紧追其后,占比10.47%,以40.12亿美元TVL排名第三。许多新兴公链如Avalanche、Ploygon、Optimism 等通过拥抱 DeFi 快速发展链上生态,也吸引了 大量用户和资金沉淀。 DeFi突出的智能合约安全问题已成为DeFi行业的最大挑战。此外,没有任何DeFi 服务商或监管机构可以退回错误转移的资金。当黑客在智能合约或 DeFi 服务的其他方面发现漏洞盗取用户资产时,也不一定有 DeFi 服务商来赔偿投资者,加之很多隐秘互连的问题,可能引起一连串的金融事故。 根据零时科技数据统计,截至2023年12月 ,共发生DeFi安全事件24起,累计损失资产金额超7.2亿美元。 以各生态发生的DeFi安全事件数量分布来看,Ethereum生态分别发生6起,占比均为25%,位列第一,BSC(BNB Chian)共发生5起,占比20%,占比均为24%,位列第二,Solana生态发生3起,占比15%,位列第三。 以各DeFi发生安全事件损失分布来看,排名前三的公链生态是,Ethereum生态DeFi事件损失金额超2.16亿美元,占比30%,位列第一;Solana位列第二,损失金额1.44亿美元,占比20%;BNB Chain位列第三,损失金额为1.3亿美元,占比18%。由此可见,生态越是活跃,越受到黑客关注,损失也最为突出。 据零时科技数据统计,从DeFi攻击类型来看,主要为:黑客攻击、资产被盗、闪电贷攻击和安全漏洞。其中各主要攻击类型对应的安全事件数量分布占比分别为:黑客攻击占比50%,居于首位;安全漏洞占比29%,位居第二;资产被盗占比20%,位居第三;闪电贷攻击占比 16%, 位居第四。 从主要攻击类型损失分布来看,黑客攻击造成损失最高,占比48.6%,资产被盗次之,占比34.7%,安全漏洞位列第三,占比43%。 DeFi安全风险及措施建议 DeFi项目面对多重安全风险,从群体来分,分别为项目端(协议执行)和用户端;从安全种类来分,分别为各协议之间组合性的安全,包括组合之间的一些缺陷、智能合约安全、开源的安全,高收益伴随着高风险,缺乏监管等导致的一些安全问题。 从安全审计角度看,DeFi项目面临的风险见下图: 从协议执行过程,DeFi风险包括:智能合约攻击风险、经济激励中的设计问题、保管风险、原协议的重新构建、缺乏隐私等风险。 从用户角度,DeFi用户面临的风险有:技术风险:智能合约存在漏洞,受到安全性攻击;流动性风险:平台的流动性耗尽;密钥管理风险:平台的主私钥可能被盗取。安全意识风险:被钓鱼,遇到套利跑路欺诈项目等。 零时科技安全团队建议,作为项目方和用户,可以从以下四点应对风险: 1)项目方在上线DeFi项目时,一定得找专业的安全团队去做全面的代码审计,而且尽可能地找多家共同审计,尽可能多地发现项目设计缺陷,以免在上线之后出现不必要的损失。 2)建议用户参与这些项目投资时一定要做好把关,要对这个项目有一定的了解,或者是看它有没有经过安全审计后再上线。 3)增加个人安全意识,包括上网的行为和资产保存以及钱包使用等习惯,养成良好的安全意识习惯。 4)项目高收益高风险,参与需谨慎,不懂项目,尽量不参与,避免造成损失。 6、 NFT-钓鱼攻击的池塘 NFT是Non-Fungible Token的简称,是基于区块链的非同质化代币,同时它是存储在区块链上的一种独特的数字资产,常作为虚拟商品所有权的电子认证或凭证,可以购买或出售。 根据NFTScan数据,截至12月31日,已收录的NFT项目4624个,共计1,476,479,394个NFT。当前NFT总市值达到256亿美元,持有者达到473.38万人。从各类项目市值分布来看,PFP(Picture for proof),即个人资料图片类NFT市值遥遥领先,这也是目前使用场景最多的NFT,其次是收藏品。从目前八大主流公链上看NFT资产和合约,Polygon在资产和合约数上遥遥领先。 从交易规模来看:在24小时内按销量排名前 10 位的NFT交易平台中,Blur排名第一,OKX NFT紧跟其后,OpenSea排名第三。从交易商来看,24小时内按交易者、买家和卖家数量排名前 10 的市场中,Blur位列第一,OKX NFT排名第二、OpenSea排名第三。 随着NFT价值凸显,黑客也盯上了这块肥肉。尽管目前整个加密市场正经历着剧烈的震荡下行趋势,但NFT的热度不减。 据零时科技不完全统计,截至2023年12月,NFT赛道发生安全事件共计44起,累计损失资产金额约为6200万美元。 从NFT赛道的攻击类型来看,主要为:黑客攻击、安全漏洞、资产被盗、钓鱼攻击和,对应安全事件数量占比分别为50%、35%、25%、23%。 从NFT主要攻击类型损失金额占比看,黑客攻击造成损失最多,占比50%;资产被盗次之,占比30%;安全漏洞居于第三,占比30%。 NFT安全风险及措施建议 目前在NFT赛道,黑客攻击方式多种多样。以群体来分,面临风险的对象一般为平台和用户。 对于中心化平台端,可能面临的安全风险有:账号风险、商业化竞争风险、安全意识风险、内部人员风险、市场风险等。 对于用户端,Discord攻击成为今年的主要攻击手法。 对于以上安全风险,零时科技安全团队给出以下措施建议: 对于普通用户,保护好自己的Discord,需要注意以下几点:确保密码足够安全,使用字母数字特殊字符创建长的随机密码;开启2FA身份验证,密码虽然本身足够复杂但是不能依靠一个方式来保护;不要点击来自未知发件人或看起来可疑的链接,考虑限制谁可以与您私信;不要下载程序或复制/粘贴你不认识的代码;不要分享或屏幕共享你的授权令牌;不要扫描任何来自你不认识的人或你无法验证其合法性的QR码。 对于服务器所有者:审核您的服务器权限,尤其是对于 WebHook 等更高级别的工具;进行任何更改时,请保持官方服务器邀请更新并在所有平台上可见,尤其是当大多数新服务器成员来自Discord 以外的社区时;同样,不要点击可疑或未知的链接!如果账户遭到入侵,可能会对管理的社区产生更大的影响。 对于项目:建议合约应严格判断用户输入购买数量合理性;建议合约限制零资金购买NFT的可能性;建议对于ERC721及ERC1155协议的NFT Token进行严格区分,避免混淆情况发生假冒Discord官方案例。目前多个聊天软件均会发现恶意 mint 链接,也有不少用户资金被盗,为了避免此类盗币事件,建议大家在进行mint 操作时,验证链接来源可靠性,同时确保实际签署交易的内容和预期相符。 7、安全教育-Web3安全盾牌 知名的搜狐全体员工遭遇工资补助钓鱼邮件诈骗案例让很多企业认识到,网络安全意识如果不提高,未来面临的商业机密等各项安全事件势必会影响企业发展。Web3去中心化自组织的参与方式,让个人意识到,如果不提高安全意识,就会沦为黑客的提款机。 目前市场已经有电视剧、电影、社区等多种方式来提高个人的网络安全意识,零时科技也在各平台布道了上百篇网络安全知识。 除此外,零时科技也自研了安全意识评估管理平台,主要面向包括政府、公安、教育、金融、电力等对网络安全意识有需求的行业机构,网络安全意识评估平台以网络钓鱼技术为基础,帮助企业构建私有云化的网络安全意识评估管理平台,集成理论系统、钓鱼演练、主机检测、管理考核、场景定制的系统,实现企业持续系统化提升全员网络安全意识。除此之外,基于零时科技安全团队的专业实力,也为企业网络安全咨询和培训服务,从源头坚实安全盾牌。 结语 Web3因其巨大的创新能力和开源优势成为蓬勃发展的新一代网络基础设施,为整个互联网世界带来更加可信,可传递价值的生态系统。尽管Web3行业安全事件不断,黑客和犯罪分子各种手法层出不穷,但这并不能阻碍Web3行业的健康发展。 相反,如同对弈的双方,Web3世界的“白帽子”,像我们零时科技一样的安全机构,一定会为这一繁茂的生态保驾护航,守护新世界用户的资产,与黑客斗智斗勇,为建立起更加完善的机制、更强的技术系统、更加安全交易而不断努力。 漏洞常在,安全无价,发展与安全的博弈不会停止,但愿我们都能为自己装上一个安全盾,来应对这未来复杂的技术世界! 免责声明 本报告版权为零时科技所有,报告内容基于零时科技安全团队对零时数据库和网络公开数据及信息的挖掘和分析,由于区块链具有匿名性特征,虽零时安全团队认为报告中所引用数据具有可靠性,但我们仍无法保证本报告中所有数据的完整性、准确性和真实性。由于研究方法、数据来源、研究视角的不同,本报告中所得结论可能与市场存在一定偏差。 本报告中的内容仅供参考,报告中的数据、结论和观点不应作为相关数字资产等任何类型的投资建议,读者应具有独立的判断能力,不应根据本报告作出相应的投资决策。由于使用该报告对任何企业或个人造成的损失,均不由零时科技承担。 本报告所涉及的项目及第三方,对本报告的客观性和独立性不造成任何影响。 本报告中信息具有时效性,所载数据、资料及观点仅限于定稿日前。 本报告的目的旨在帮助用户了解Web3安全现状,提高网络安全意识,进而降低用户直接或间接可能面临的风险。限于各种局限因素,内容恐有疏漏,烦请各位读者不吝指正。 来源:金色财经lg...
北美站
