Certik：2023年第一季度Web3.0行业安全报告

概要

● 2023 年第一季度，恶意行为者从Web3.0 协议中盗取了超过 3.2 亿（320, 332, 058 ）美元的价值。

● 这个数字约为 2022 年第四季度 9.5 亿美元资产损失的的三分之一，约为 2022 年第一季度 13 亿美元资产损失的四分之一。

● 2023 年第一季度，仅仅一个安全事件就造成了超过 60% 的损失—— 1.97 亿美元的 Euler Finance 漏洞事件。

● 90 起退出骗局的“幕后黑手”共计盗取约 3100 万（31, 043, 335 ）美元资产，而 52 起闪电贷攻击及预言机操纵漏洞事件造成了超过 2.2 亿（222, 963, 86 ）美元的损失。Euler 事件直接拉高了闪电贷攻击事件的平均损失——达到了 428.8 万美元，而退出骗局造成的平均资产损失较低，为 34.5 万美元。

● 在区块链领域之外， 2023 年第一季度也发生了可被载入Web3.0 货币史册的重大事件：从作为Web3.0 货币行业与传统金融行业最强联系之一的 Silvergate 银行倒闭，到因硅谷银行危机导致的 USDC 稳定币脱钩。

文末附 PDF 下载链接

简介

总体而言， 2023 年第一季度相对较为平静。损失仅为 2022 年同期的 24% ，并且相比去年第四季度的 9.5 亿美元有了显著下降。如果将造成第一季度超过 60% 损失的 Euler Finance 事件减去（该事件中损失的大部分资金最终已被归还）， 2023 年第一季度因黑客和欺诈事件所造成损失创下了Web3.0 历史中的新低。

尽管与去年同期相比， blue-chip 资产的价值显著较低，但是其价格却在第一季度中得到了强力的复苏。主要网络的日交易量也在保持稳定或增长。以太坊平均每天处理约 110 万笔交易，BNB 链也在年初时扭转了日交易量的持续下降趋势，从 225 万笔日交易的低点反弹到 3 月底平均近 400 万笔。

来源：Dune Analytics

值得注意的是，Arbitrum 生态系统在 2 月底成为第一个在日交易量方面超过以太坊的L2，并且在 3 月份向用户进行空投后，又引起了另一次交易量激增。第一季度，Arbitrum 的安全事件造成了约 426.1 万美元的损失，占据所有Web3.0 区块链总损失价值的 1.45% 。

尽管 Euler Finance 黑客事件是本季度规模最大的安全事件，但其中大部分资金最终被返还，削弱了此事件带来的影响。虽然我们无法精准描绘或猜测本季度因黑客、欺诈和漏洞利用导致损失降低的原因，但其中一个很大的可能性也是因为资产价格降低，外加大众对对Web3.0 安全重要性的认识在虽然缓慢但持续地增长着。我们希望这个趋势一直保持到第二季度乃至 2023 全年。

Euler 损失额： 1.97 亿美元，然后 "所有可复原资金 "被归还

Euler Finance 是“以太坊上的一个允许用户借出和借入几乎任何Web3.0 货币资产的非托管协议”。2023 年 3 月 13 日，攻击者利用闪电贷攻击了多个 Euler Finance 池。他们最终盗取了大约 1.97 亿美元。仅这一事件，就让Web3.0 在第一季度的安全事件损失总额翻了一番以上。

Euler 的漏洞在于 Euler Pool 合约中的 donateToReserve 函数。该函数缺乏对流动性抵押状况的适当检查，结果导致用户可以自主放弃一部分杠杆存款，使资金池变得资不抵债。

此外，尽管 Euler 白皮书中的 mint 函数被描述为其价值上限是存款的 19 倍，但当它被多次调用时，对杠杆倍数并没有实际控制。

攻击流程

攻击者从 AAVE 闪电贷到 3000 万 DAI，通过 eDAI 合约向 Euler 存入 2000 万 DAI，并收到 2000 万 eDAI。在攻击者存入 2000 万 DAI 之前，Euler 池中的 DAI 余额为 890 万。随后攻击者调用`eDAI.mint()`。该特定的`mint`功能是 Eule Financer 独有的，可允许用户反复借款和还款。这是一种创建借贷循环的方法，其结果是带杠杆的借贷仓位。当调用`mint`后，收到 2 亿 dDAI 和 1.95.6 亿 eDAI。(注：dTokens 代表债务代币，eTokens 代表抵押股权）。调用 "repay"，将 eDAI 池中的 1000 万 DAI 偿还给 Euler，这就将 1000 万 dDAI 销毁了。随后再次调用 "mint"，为攻击合约创造另一个 2 亿 dDAI 和 1.956 亿 eDAI 形式的借贷仓位。此时攻击者的仓位为: 3.9 亿 dDAI 和 4 亿 eDAI。

调用`donateToReserves`（该存在漏洞的函数于 2022 年 7 月被引入），将 1 亿 eDAI 转给 Euler。由于没有对这一行为的抵押状况进行适当的检查，"donate" 后的攻击者成为了“违规者”（非健康负债水平的地址）, 其风险调整后负债远超过了的抵押品价值，因此可以对其进行清算。攻击者部署的清算人合约开始清算“违规者”，清算人员利用了平台运作方式获得了 20% 的利润。

攻击发生后，一个与 Ronin Bridge 攻击有关的钱包通过链上信息与 Euler 攻击者进行了沟通，并附上了一条加密信息以及一个“解密工具”的链接。这很可能是意图从 Euler 攻击者那里窃取资金的恶意软件。

这是该起案件中一个耐人寻味的发展，也揭示了专业黑客在Web3.0 领域中采用的多种不同战术和策略。

3 月 20 日，黑客在区块链上发送了一条消息，宣布他们愿意进行谈判。

“我们希望让所有受影响的人都可以轻松一些解决这些问题。我们无意于保留那些不属于我们的东西。建立安全通信，让我们达成协议吧。”

——交易 ID： 0xcc73...6a1c0

攻击事件发生两周后，攻击者退还了一大笔资金，将价值超过 8500 万美元的 55, 000 ETH 转回给了该协议。虽然目前尚不清楚其与 Euler 达成的具体协议条款，但看起来受影响的用户们将会得到部分或全部的赔偿。

虽然这起事件相比于Web3.0 领域中的另外许多黑客攻击事件，拥有了一个“皆大欢喜”的结局，但这并不意味着项目可以寄希望于黑客的“善心”。积极主动的安全防范措施至关重要，毕竟绝大部分被盗取的价值永远不会被返还。

来源：推特

Kokomo Finance 和其他 89 起退出骗局

退出骗局的持续威胁在第一季度尤为明显。在 2023 年的前三个月中， 89 起退出骗局从投资者那里窃取了超过 3100 万美元。

退出骗局，我们俗称的项目跑路。又被形象地称为“拉地毯（Rug Pull）”，通常欺诈者在将项目“喂肥”之后会突然撤回项目中的大量资金并关闭项目，最终导致投资者持有的代币失去价值。虽然有大量的统计信息呈现了多年来退出骗局的普遍性和造成的影响，但研究其特点和犯罪分子的数据和报告较少。CertiK 从退出骗局开始到结束整个周期，研究了 40 个 Rug Pull 以便更好地了解导致其最终移除流动性的共同点和差异。通过确定项目特征并且进行定性和定量分析，我们能够识别和分析 Rug Pull 的共同特征。

Kokomo Finance 是部署在 Optimism 上 Ethereum 的 Layer 2 扩展解决方案。2023 年 3 月 26 日，Kokomo Finance 实施退出骗局。由项目团队控制的部署者合约实施了一个恶意合约，允许他们暂停协议的借贷功能，并将存款转移到一个外部地址，从而导致了 141 wBTC 遭受损失。和经典的退出骗局一样，事后该团队删除了他们所有的社交媒体账户，项目网站也不再可访问。

这不是第一季度最大的漏洞，也并不独特。但是它反而代表了这类骗局的持续性：一直从 Web 3.0 用户那里窃取金额从而积少成多。

诈骗者多次Web3.0 河塘钓鱼

Web3.0 和加密世界在不断发展。而随着这种发展，社区也开始面临新的和更加复杂的威胁与挑战。其中一个威胁就是假钱包的泛滥，其目的是欺骗用户送出他们的宝贵资产。这些假钱包对Web3.0 社区来说是一个持续的问题，我们需要专门的努力和研究才能识别和揭露它们。

BombFlower

CertiK 发现了一个有组织的诈骗集团。该集团组织利用部署的假钱包以欺骗用户来窃取用户资产。由于该团体使用的特殊逃逸性反取证功能较为罕见，因此我们将其命名为 BombFlower。由于该集团组织使用了检测逃逸技术，这些假钱包移动应用程序很可能会被主流的恶意软件检测工具所忽略。

BombFlower 集团通常将这些假钱包设计的与合法钱包非常相似，例如使用与原始网站类似的设计和布局，只在域名上有轻微的变化。以至于用户难以区分。

假钱包包括后门，Hook 钩子技术的生成功能，直接向钱包的 Javascript 代码（如 index.android.bundle）或 smali 代码中注入恶意代码。

用户应仔细检查下载钱包应用程序的网站域名，并将其作为一项基本预防措施让任何用于 Web 3.0 货币交易的计算机上都运行反恶意软件。

Monkey Drainer

我们已经发现一些骗子利用一种俗称为 Monkey Drainer 的网络钓鱼工具包。这些网络钓鱼工具包为恶意行为者从Web3.0 社区窃取资产提供了一个快捷方便的工具。这种工具包由恶意供应商出售给那些希望窃取用户资金的潜在诈骗者，即便你对“诈骗专业”不熟悉，你也依然可以使用钓鱼工具包钓到一些“猎物”。Monkey Drainer 工具包和类似的一个钓鱼工具使用一种叫做“Ice Phishing”的技术来欺骗用户，骗子可以拥有无限权限来花费代币。

Ice Phishing 是一种Web3.0 世界独有的攻击类型，用户被诱骗签署权限，允许欺诈者直接消费用户账户内的资产。这与传统的网络钓鱼攻击不同，后者作为一种社会工程学攻击手段，通常用于窃取用户数据，包括登录凭证和钱包或资产信息，如私人钥匙或密码。这使得 Ice Phishing 对Web3.0 用户具备更大的威胁，因为与 DeFi 协议的互动需要用户授予权限，欺诈者只需要让用户相信他们所批准的恶意地址是合法的。一旦用户批准欺诈者花费其资产，那么账户就有可能被盗。

用户可以通过使用 revoke.cash 或 Etherscan 的 Token Approval Checker 这样的网站来检查他们所授予的权限，从而保护自己免受 Ice Phishing 的侵害。如果有一个不被承认的地址或一个未经批准就启动交易的地址，那么授予它的所有权限都应被撤销。

传统金融体系遭到打击

美国银行系统在第一季度的事件中显示了诸多弊端和脆弱性，贴现窗口借贷也创下了新高，并在 3 月份推出了银行定期融资计划。硅谷银行和签名银行的倒闭进一步显示了当前金融系统的脆弱性。而 Web 3.0 货币生态系统显然在这些挑战中更能从容应对。

增加贴现窗口借款和建立紧急备用金可谓突出了银行系统内部持续的脆弱性，各机构也都在努力解决存款迁移和流动性问题。相比之下，Web 3.0 货币生态系统已经证明了其在这些动荡时期有效运作的能力。例如，那些担心 SVB 拉垮 Circle 存款的用户可以在 Web 3.0 货币的 24/7 市场上交易 USDC，而那些愿意承担这笔交易的用户可以相应获得回报。

来源：CoinMarketCap

Web 3.0 货币生态系统的主要目标一直是建立一个去中心化、自由和公平的传统金融替代品。通过开发更多的 Web 3.0 货币原生解决方案，该行业可以与日益脆弱的传统金融系统较为隔离开来。其中，后者往往需要政府干预和停止交易来维持稳定。

最近美国和欧洲金融系统中引起的一些事件无疑暴露了传统银行的弱点，而 Web 3.0 货币生态系统已经证明了其较大的弹性和效率。通过减少对传统金融的依赖，Web 3.0 货币生态系统将有机会更加繁荣，成为日益脆弱的传统银行系统的一个强大且去中心化的替代品。

Skynet for Community: 概述

2023 年第一季度，CertiK 非常荣幸地宣布推出 Skynet for Community ，这是一个集安全、尽职调查和数据于一体的平台，旨在提高Web3.0 生态系统中的信任和透明度。该平台致力于为社区用户、投资者和项目团队提供所需的工具和资源，让他们可以轻松地调查并了解Web3.0 生态系统。

由于数以千计的 Web 3.0 项目每天都在创造数以百万计的数据点，因此用户很容易迷失在噪音中。Skynet for Community 丰富的数据驱动的洞察力帮助用户发现新的项目，对感兴趣的项目进行尽职调查，并及时了解 Web 3.0 领域的最新新闻和发展。该平台将大量的数据汇总到 Web 3.0 的最容易获得的以安全为重点的尽职调查工具。无论是对可操作的链上数据和社交数据进行全面的尽职调查、发现最新完成智能合约审计的项目，还是挖掘最具价值的行业见解和安全最佳实践，Skynet for Community 均实现了流程简化并将这些数据全部整合于一个平台供用户浏览。凭借全新设计的界面和强大的功能，Skynet for Community 是做出明智决策以及在Web3.0 生态系统中促进信任和透明度的终极工具。

Skynet for Community: 解决方案

Skynet for Community 的主页默认为“探索新项目”。从这个页面开始，你可以随时随地轻松检索你感兴趣的项目以及搜寻那些全新的项目。

Web3.0 安全榜根据项目的安全分数和市场表现列出项目并对其进行排名。安全分数是通过一种专有算法产生的分数，该算法的计算和考量包含了项目的代码安全、基本健康、运营弹性、社区信任、市场稳定性和治理强度。安全评分排行榜能够让用户根据项目的安全状况迅速确定表现最佳的项目，并将其与同类项目进行对比。

Web3.0 KYC 团队榜则根据项目所获取的 CertiK KYC 徽章状态进行公示和排名。已通过严格背景调查的项目团队将获得 CertiK KYC 徽章 ，CertiK 将根据项目团队提供的可验证信息和信息等级授予其 KYC 黄金徽章、KYC 白银徽章或 KYC 青铜徽章。KYC 徽章会表明我们知晓项目背后的团队并已经做过了符合 CertiK KYC 标准的调查和验证，也代表项目团队对履行合规措施的承诺。

Web3.0 KOL 榜根据各个 KOL 的影响力得分进行了排名，这一排名体现了他们作为 KOL 输出的内容影响力和影响范围。此 排行榜 对那些有兴趣识别正在塑造Web3.0 业内风向标 KOL 的用户很有帮助。此外，它还提供了与 KOL 具备相关可能性的社区及项目概览，让用户更加了解该领域的热门及趋势。

交易所审计分析允许用户通过显示其链上资产持有量对中心化交易所进行尽职调查。这是储量证明验证的第一步，也是最为关键的一步。

天网项目预警系统可对Web3.0 货币领域的 Rug Pull 攻击和漏洞事件提供第一时间的预警。该系统将实时监控各类信息来源，以识别和报告潜在的 Rug Pull 攻击和漏洞恶意利用。用户也可以通过“探索新项目”页面上的“Web3.0 热门智能资金榜”访问钱包分析器，或者点击项目详情页面中代币链上监控和治理与自治模块中的任何钱包地址进行查看。

智能资金向导是智能货币钱包分析器功能的接入点，可以让用户直接搜索钱包地址并查看钱包搜索趋势、智能资金榜及流动性交易对榜。钱包分析器提供了对钱包地址的分析，并通过显示关键钱包特征、钱包之间的关系和代币交易活动的可视化图片，使用户更容易解读钱包之间的链上交易。

现在就来登录 Skynet for Community 平台，阅读 Skynet education hub 和观看 masterclass 的教学并做一个高水平的尽职调查吧！

CertiK 端到端安全解决方案

在致力于保护 Web 3.0 的道路上，CertiK 开发了许多帮助项目采取端到端安全解决方案的工具。

CertiK 安全排行榜 让 Web 3.0 用户能够利用 CertiK 的审计和安全团队的专业知识，对投资项目的安全风险有更深入的了解并做出更明智的决策，这些用户将整个生态系统推向了新的高度。

目前 CertiK 安全排行榜已全面升级为安全排行榜 360 ，为数以千计的榜上项目提供完整而即时的安全状况“全景图”。由于整个系统进行了全面的更新，用户访问和分析这些安全数据将前所未有地便捷。此外，我们还利用量化工具为个人投资者提供合理的决策建议。欢迎访问 certik.com 了解详情。

Skynet 天网动态扫描系统 可结合链上交易监测与链下数据（如社会舆情），对数百个 Web 3.0 平台进行实时、全面的安全监测和分析。Skynet 天网动态扫描系统高级版 Skynet Premium 由 CertiK 于 2021 年正式推出，其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着，随着威胁情报库和智能合约漏洞库的不断积累，这一平台也会变得愈发先进，从而适应变化无常的智能合约风险环境。目前 Skynet 天网动态扫描系统已全面升级，添加了更多维度的 Skynet 天网信任评分及专属于项目的项目亮点和预警等全新功能。

SkyTrace 则是一种智能、直观的追踪工具，可帮助分析和可视化以太坊和 BSC 钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。

CertiK KYC 项目背景调查服务 可为项目团队提供身份验证，包括使用基于 AI 的检测系统进行 ID 真实性检查，以确保个人身份真实并与 ID 相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK 还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要参数。由于团队的匿名性越来越高，项目的风险行为也越来越具有可能。除此之外，CertiK 安全排行榜赋予通过 KYC 调查的项目团队以青铜、白银、黄金等级的 KYC 徽章，最大程度上使项目团队去匿名化，建立更完善的问责制，从而增强项目的可信度。

CertiK 渗透测试是确保运行环境中Web3.0 应用程序安全综合解决方案的重要组成部分。我们的渗透测试服务由经验丰富的道德黑客团队通过利用专有工具来发现代码中即便是最为微小的易受攻击之处。

CertiK 于近期推出的漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客，收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK 的安全专家团队将负责筛查和鉴定所有提交材料，并协助客户进行正确的修复。我们的 0% 费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。

SkyHarbor 提供了一个多合一的解决方案来保护和监控数字资产。凭借其先进的监控和威胁检测系统，SkyHarbor 可以快速识别系统中的任何漏洞或可疑活动，确保你的资产始终是安全的。

生态系统

CertiK 的审计及端到端解决方案已覆盖目前市面上大部分生态系统，并支持几乎所有主流编程语言，就区块链平台、Web 3.0 资产交易平台、智能合约的安全性等领域为各个生态链提供安全技术支持。目前与我们合作的生态系统包括：

通过与 CertiK 咨询进行合作，在我们经验丰富的分析师团队提供包括技术评估、专有研究和战略建议全面服务的同时，尽可能获得 Web 3.0 最大收益。

CertiK 致力于守护Web3.0 世界，将以安全数据为重心，持续分析 Web 3.0 的安全未来及发展。助力用户远离“土狗”以及人为踏空，以科技赋予科技价值和载舟之路。

该报告 PDF 版本已收录并生成链接，欢迎下载查阅。