撰文:bitsCrunch
比特币再次突破了历史新高,直逼 10 万美元大关。回顾历史数据,牛市时 Web3 领域的诈骗和钓鱼活动层出不穷,总损失超过 3.5 亿美元。分析显示,黑客主要以太坊网络的攻击为主,稳定币是主要目标。根据历史交易和钓鱼数据,我们对攻击方法、目标选择和成功率进行了深入研究。
加密安全生态图谱
我们将 2024 年的加密安全生态项目进行了细分分类。在智能合约审计领域,有 Halborn、Quantstamp 和 OpenZeppelin 等老牌参与者。智能合约漏洞仍然是加密领域的主要攻击媒介之一,提供全面代码审查和安全评估服务的项目也各有春秋。
DeFi 安全监控部分有 DeFiSafety 和 Assure DeFi 等专业工具,专门针对去中心化金融协议的实时威胁检测和预防。值得注意的是人工智能驱动的安全解决方案的出现。
近期 Meme 交易十分火爆,Rugcheck 和 Honeypot.is 等安全检查工具可以帮助交易者提前识别一些问题。
USDT 是被盗窃最多的资产
根据 bitsCrunch 数据,基于以太坊的攻击约占所有攻击事件的 75%,USDT 是最被攻击的资产,盗窃量达 1.12 亿美元,USDT 平均每次攻击价值约为 470 万美元。受影响第二大的资产是 ETH,损失约 6660 万美元,其次是 DAI,损失 4220 万美元。
值得注意的是,市值较低的代币受到的攻击量也非常高,这表明攻击者会伺机盗窃安全性较低的资产。最大一起事件是发生在 2023 年 8 月 1 日的一次复杂的欺诈攻击,造成 2010 万美元的损失,
Polygon 是攻击者的第二大目标链
虽然以太坊在所有钓鱼事件中占据主导地位,占据 80% 的钓鱼交易量。但其他区块链上也观察到了盗窃活动。Polygon 成为第二大目标链,交易量约占 18% 的。往往盗窃活动与链上 TVL 和每日活跃用户密切相关,攻击者会根据流动性和用户活动进行判断。
时间分析和攻击演变
攻击频率和规模有不同模式。根据 bitsCrunch 数据, 2023 是高价值攻击最集中的一年,多起事件的价值超过 500 万美元。同时,攻击的复杂性逐渐演变,从简单的直接转移变为更复杂的基于批准的攻击。重大攻击(>100 万美元)之间的平均时间约为 12 天,主要集中在重大市场事件和新协议发布前后。
钓鱼攻击类型
代币转移攻击
代币转移是最直接的攻击方法。攻击者会操纵用户将其代币直接转移到攻击者控制的账户。根据 bitsCrunch 数据,往往这类攻击的单笔价值极高,利用用户信任,虚假页面和诈骗话术说服受害者自愿发起代币转移。
这类攻击通常遵循以下模式:通过相似域名,完全模仿某些知名网站建立信任感,同时在用户交互时营造紧迫感,提供看似合理的代币转移指令。我们的分析显示,这类直接代币转移攻击的平均成功率为 62%。
批准网络钓鱼
批准网络钓鱼主要是利用智能合约交互机制,是技术上较为复杂的攻击手段。在这种方法中,攻击者会诱骗用户提供交易批准,从而授予他们对特定代币的无限消费权。与直接转账不同,批准网络钓鱼会产生长期漏洞,被攻击者会逐步耗尽资金。这种类型占比约 6%。
虚假代币地址
地址中毒是一种综合多方面的攻击策略,攻击者使用与合法代币同样名称但不同地址的代币创建交易。这些攻击利用用户对地址检查的疏忽,从而得到收益。
NFT 零元购
零元购网络钓鱼专门针对 NFT 生态的数字艺术和收藏品市场的攻击。攻击者会操纵用户签署交易,从而大幅降低的价格甚至免费出售其高价值的 NFT。
我们的研究在分析期间发现了 22 起重大 NFT 零购买网络钓鱼事件,平均每起事件损失 378,000 美元。这些攻击利用了 NFT 市场固有的交易签名流程。
被盗者钱包分布
该图表中的数据揭示了被盗者钱包在不同交易价格范围内的分布模式。我们发现,交易价值与受害钱包数量之间明显的反比关系——随着价格的增加,受影响的钱包数量逐渐减少。
每次交易 500-1000 美元的受害钱包数量最多,约有 3,750 个,占三分之一以上。金额较小的每笔交易往往受害者并不会在意细节。1000-1500 美元每笔交易下降至 2140 个钱包。3000 美元以上总共只占受攻击总数的 13.5%。由此可见,金额越大,安全措施更强,或者受害者在涉及较大金额时考虑也得更周全。
通过分析数据,我们揭示了加密货币生态系统中复杂且不断演变的攻击方式。随着牛市到来,复杂攻击的频率将会越来越高,平均损失也越来越大,对项目方和投资者的经济的影响也会很大。因此,不仅区块链网络都需要加强安全措施,我们自身在交易时也要多加注意,防止钓鱼事件的发生。
