2022年全球Web3行业安全研究报告

Web3行业安全研充报告2022全年安全态势/行业典型安全案例/区块链安全解决方案零时科技 CONTENTS目录报告摘要3、研究背景1.1全球Web3行业回顾与安全态势概览1.1.1Web3行业生态概览1.1.22022年全球Web3安全趋势1.2全球Web3监管政策及标准概览1.3 研究方法与工具S二、2022年Web3各生态安全现状ECOS2.1公链一Web3生态安全的命脉KCHAIN2.1.1公链释义和生态规模2.1.2公链安全事件数量及损失金额10B 2.1.3公链被攻击类型、损失及分布10 YOUR2.1.4典型公链攻击案例112.1.5公链安全风险及措施建议112.2跨链桥一黑客的新型提款机12S2.2.1跨链桥释义和生态规模122.2.2跨链桥安全事件及损失总额132.2.3跨链桥生态安全事件及损失分布132.2.4跨链桥被攻击类型、损失及分布13一2.2.5典型跨链桥攻击案例零时科技 CONTENTS目录2.2.6跨链桥安全风险及措施建议142.3交易平台一巨额诱惑之源152.3.1交易平台释义和生态规模15162.3.2交易平台安全事件及损失总额2.3.3交易平台生态安全事件及损失分布162.3.4交易平台被攻击类型、损失及分布172.3.5典型交易平台攻击案例182.3.6交易平台安全风险及措施建议18ECOSY2.4钱包一加密资产管理之伤192.4.1钱包释义和生态规模192.4.2数字钱包安全事件及损失总额19BLO2.4.3数字钱包生态安全事件及损失分布19YOUR2.4.4数字钱包被攻击类型、损失及分布202.4.5典型数字钱包攻击案例202.4.6数字钱包安全风险及措施建议21S222.5 DeFi一Web3安全重灾区2.5.1 DeFi释义和生态规模22232.5.2DeFi安全事件及损失总额232.5.3DeFi生态安全事件及损失分布2.5.4DeFi攻击类型、损失及分布242.5.5典型DeFi攻击案例252.5.6DeFi安全风险及措施建议25零时科技 CONTENTS目录2.6 NFT一钓鱼攻击的池塘262.6.1 NFT释义和生态规模272.6.2NFT安全事件及损失总额272.6.3NFT生态安全事件及损失分布272.6.4 NFT被攻击类型、损失及分布28 2.6.5典型NFT安全事件案例292.6.6NFT安全风险及措施建议292.7虚拟币一滋生违法活动的温床30ECOSY2.8安全教育－Web3安全盾牌31三、Web3热点安全事件攻击手法详细解析及措施建议323.1Ronin Network侧链被盗6.25亿美金流向分析32BI343.2警惕恶意聊天软件！聊天记录被劫持损失数千万资产追踪分析YOUR3.3分布式资本创始人4200万美金资产被盗分析及追踪40结语43免责声明43零时科技简介44零时科技 FOCUS ON BLOCKCHAIN ECOSYSTEM SECURITY策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。零时科技安全团队旨在通过本报告帮助从业者和用户了解Web3安全现状，全球各国Web3法律法规，从而提高网络安全意识，保护好数字资产，做好安全预防措施。报告摘要2022年，全球Web3行业加密货币总市值最高达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降，但整体资产数量规模正在不断扩大。据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。Web3六大主要赛道：公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件136起，造成5损失超40.21亿美元。此外，新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件不断，损失严重。2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。其中典型代表有：跨链互操作协议PolyNetwork，损失6.25亿美元；交易所FTX，损失6亿美元；Solona生态钱包，损失5.8亿美元。2022年，全球Web3安全事件攻击类型多样，从安全事件数量看，典型攻击类型Top5为：黑客5攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看，典型攻击类型Top5为：资产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。本年度最具有代表性的监管案例为：美国财政部下属外国资产控制办公室（OFAC)对TornadoCash协议实施制裁，禁止美国实体或个人使用TornadoCash服务。根据美财政部披露，自2019年成立以来，TornadoCash已帮助洗钱超70亿美元。零时科技03 FOCUSONBLOCKCHAINECOSYSTEMSECURITY一、 研究背景1.1全球Web3行业回顾与安全态势概览1.1.1Web3行业生态概览Web3是指基于加密技术的新一代网络，融合了区块链技术、代币经济学、去中心化组织、博奔论等多种技术和思想，由以太坊联合创始人Gavin Wood在2014年提出。Web3基于区块链搭建，从2008年至今区块链技术已发展14余年。Web3行业在2022年的爆发离不开区块链产业发展多年的积淀。从用户视角看Web3生态，可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主，为Web3提供网络基础设施；应用层则以APP（中心化应用程序）和DAPP（去中心化应用程序）为主，即用户常用来交互的应用程序，包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了Web3生态的繁荣，但也为Web3带来巨大的安全隐患。服务生态是Web3行业的第三方，其中媒体、教育孵化和投资机构为行业提供助力，安全服务机构如零时科技，是为Web3安全保驾护航不可或缺的一部分。Web3行业生态第三方服务媒体教育孵化安全服务投资机构DAPP和APP交易平台DeFiGameFi存储应用层钱包NFTDAO社交软件基础层公链跨链桥联盟链O零时科技1.1.22022年全球Web3安全态势截至2022年12月，据coinmarketcap数据统计，全球Web3行业加密货币总市值最高时达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降。虽总市值有波动，但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出，Web3正在沦为黑客的“提款机”。据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件136起，造成损失超40.21亿美元。除了以上六大主要赛道外，其他安全事件共计170起，损失金额达60.79亿美元，如新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT，未来，链上资产规模还将持续增长，Web3网络安全侵害数字可能继续升。①零时科技04 FOCUS ON BLOCKCHAIN ECOSYSTEM SECURITY2021-2022Web3全年安全事件数量对比2021-2022Web3全年安全事件损失对比400102306安全事件数量/起101300/美元242200单位/100991000982021年2022年2021年2022年①零时科技据零时科技数据统计，2022年全球Web3生态六大主要赛道中：公链发生安全事件10起，共计损失约1.57亿美元；跨链桥发生安全事件14起，共计损失13.38亿美元；交易所发生安全事件19起，共计损失11.92亿美元；钱包发生安全事件25起，共计损失6.93亿美元；DeFi发生安全事件25起，共计损失5.93亿美元；NFT发生安全事件44起，损失超4256万美元。从主要赛道发生的安全事件数量来看，NFT安全事件最多，这和它成为2022业界追捧的热门赛道脱不开关系。另一方面，由于进入Web3行业人数的增多，钱包和DeFi成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。2022Web3主要赛道安全事件数量占比2022Web3主要赛道安全事件损失占比■ DeFi DeFi NFT NFT■公链■公链■交易所■交易所■跨链桥■跨链桥■钱包■钱包O零时科技2022年，从全球Web3发生的安全事件数量看，典型攻击类型Top5为：黑客攻击，占比37%；资产被盗，占比19%；安全漏洞，占比13%；私钥窃取，占比9%；钓鱼攻击，占比7%。从损失金额看，全球Web3安全事件典型攻击类型Top5为：资产被盗，损失金额为55.81亿美元；黑客攻击，损失金额30.29亿美元；私钥窃取，损失金额为12.5亿美元；价格操纵，损失金额为2.32亿美元；闪电贷攻击，损失金额1.37亿美元。值得注意的是，2022年发生的多起安全事件不只受到一种攻击，有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。）零时科技05 FOCUS ON BLOCKCHAIN ECOSYSTEM SECURITY2022Web3安全事件主要攻击类型数量占比2022Web3安全事件主要攻击类型损失占比■私钥窃取■私钥窃取■闪电贷攻击■闪电贷攻击■黑客攻击■黑客攻击■诈骗■诈骗■钓鱼攻击■钓鱼攻击■劫持■劫持■安全漏洞■安全漏洞■资产被盗■资产被盗■错误权限■错误权限■价格操纵■价格操纵■信息泄露■信息泄露O零时科技注：主要攻击类型释义如下资产被盗：虚拟币被盗，平台被盗黑客攻击：黑客等多种类型攻击信息泄露：私钥泄露等安全漏洞：合约漏洞、功能漏洞错误权限：系统权限设置错误，合约权限错误等钓鱼攻击：网络钓鱼价格操纵：价格操纵据零时科技区块链安全情报平台监控消息，2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。2022全球Web3损失上亿美元典型重大安全事件6.2565.8损失金额/亿美元3.21.81.81.6①零时科技零时科技06 FOCUSONBLOCKCHAINECOSYSTEMSECURITY1.2全球Web3监管政策及标准概览政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高，加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一，为全球金融监管带来了巨大挑战。2022年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发，金额庞大，损失严重，影响广泛。为确保Web3的安全性和合规性，各国纷纷出台监管政策。从全球对Web3整体的监管政策来看，投资者保护和反洗钱(AML）是全球共识，对加密货币交易所的接受和监管，各国差异较大。美国国会议员提出“确保Web3发生在美国”，正加速监管创新；欧盟各国政策较为明确和积极；日本、新加坡、韩国受2022暴雷事件影响，监管趋严；中国大陆依旧鼓励区块链技术应用，严禁金融机构和支付组织参与虚拟货币交易和非法集资，加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展，实施牌照制；阿联酉在全球最为积极，拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域，全球正处于监管探索状态。2022年Web3行业全球主要国家监管政策概览日期法案/其他内容《关于确保负责任地发展」美国总统拜登签署了第14067号行政令，确保数字资产负责任地发展2022.3.9数字资产的行政命令》加州州长第N-9-22号行加州州长加文·纽森姆（GavinNewsom）签署，目的是为Web3公2022.5.4政令同创造个透明的监管和商业环境和保护消费者权益美国2022.6.7《负责任的金融创新法案》美国共和党和民主党参议员提出，为数字资产创建一个完整的监定币、去中心化金融等部际协调等Tornado Cash 制裁判例2022.8.8制裁，禁止美国