总结
黑客等恶意行为者在2023年第二季度从Web3.0行业中榨取了3.1亿美元的价值。
该数字与第一季度的3.2亿美元损失接近,比2022年第二季度的7.45亿美元损失下降了58%。
CertiK总共发现了212起安全事件,这也就意味着第二季度每起事件的平均损失为148万美元。这一数字比第一季度每起事件的平均损失156万美元略有下降。
98起退出局从投资者那里偷走了7,035万美元,比第一季度退出局造成的3,100万美元的损失增加了一倍多。
54起闪电贷攻击及预言机操纵事件使攻击者赚取了2,375万美元。这比第一季度的52起预言机操纵总损失2.22亿美元大幅下降了。当然,上个季度由于Euler Finance损失数额巨大,仅这一漏洞就占据了上一季度总金额的85%。
此外,行业内正在发生一些“链下”大事件:美国证券交易委员会对虚拟货币两个最大交易所提出指控;而世界上最大的资产管理公司提交了一份比特币ETF的申请。
上市公司Ether Capital截止2023年3月31日,持有的数字资产总价值为1.055亿美元:金色财经报道,加拿大上市公司Ether Capital Corporation公布其截至2023年3月31日的三个月未经审计的中期综合财务业绩报告。公司2023年第一季度的收入为118万美元,而2022年第一季度为120万美元,下降了1%。公司在2023年第一季度产生了126万美元的运营费用,而2022年第一季度为80万美元,增长了59%。截至2023年3月31日,公司持有的数字资产总价值为1.055亿美元,而2022年12月31日为7310万美元,三个月内增长了44%。
此外,公司从PurposeInvestments获得咨询费收入,该收入与Purpose Investment的加密ETF管理的资产相关联。2023年第一季度,Purpose的Crypto AUM平均值远低于2022年第一季度。这导致咨询费从2022年第一季度的45万美元减少51%至2023年第一季度的22万美元。[2023/5/13 15:00:46]
同时,CertiK安全研究人员还发现了主要区块链协议和应用中的一些重大漏洞,包括Sui验证器节点和ZenGo的MPC钱包中的安全风险。
Galaxy Digital:2023年加密货币和区块链创业公司或更难获得投资:1月6日消息,Galaxy Digital旗下Firmwide Research负责人Alex Thorn发布报告称,2022年风险投资家向加密货币和区块链初创公司投资超过300亿美元,仅次于2021年的310亿美元。这表明尽管资产价格下跌,但2021年的繁荣仍在延续。尽管如此,交易数量、投资资本和募集资金的持续下降预示着所有参与者都将度过未来艰难的一年。
加密VC环境对创始人和投资者来说变得困难。加密资产市场在资产价格和市场基础设施方面的重大中断正在导致加密生态系统风险投资放缓。与此同时,宏观经济逆风和货币政策的不确定性正在抑制对加密风险投资基金的配置,去年第四季度的风险投资融资达到两年来的最低水平。对加密风险投资的分配减少已经导致对企业家的投资减少。这种紧缩导致估值下降,投资者的要求更严格,这两个因素共同导致企业家的融资环境更加困难。到2023年,初创公司需要专注于基本面,控制运营费用,并提高收入。
投资于后期阶段公司的资本和交易份额有所上升,而Pre-seed轮交易的份额延续多年来的下降趋势。Web3继续引领交易数量,占2022年第四季度完成的所有交易的30%以上。然而,为交易和投资构建平台和工具的公司继续占据主导地位,表明市场基础设施在加密生态系统中的持续重要性和日益成熟。[2023/1/6 10:58:09]
部分数据展示
彭博分析师:比特币在2022年将继续跑赢黄金和股市:金色财经报道,彭博商品策略师Mike McGlone对比特币的表现进行了预测,由于通胀飙升、利率上升以及乌克兰危机,2022年可能为风险资产回归做好准备,标志着比特币成熟的另一个里程碑。这位分析师补充说,他相信 BTC 将继续跑赢黄金和股市。
根据他分享的一张图表,比特币的表现大大优于黄金、标准普尔 500 总回报指数以及美国货币供应量的增长。
McGlone在2020年11月特别准确地预测,BTC的价格将超过20,000美元大关,并在2021年进入抛物线反弹。(cryptoglobe)[2022/3/18 14:05:00]
简介
2023年第二季度Web3.0领域记录的总损失为313,566,528美元,与上一季度几乎相同,与去年同期相比下降了58%。每起事故的平均损失也出现了轻微下滑。
2020年非洲加密采用呈爆炸式增长 引发人们对监管的担忧:2020年非洲加密的采用速度加快,非洲大陆已成为点对点(P2P)交易的第二大地区,有两个非洲国家在Chainalysis采用指数中排名前八。然而,这种快速增长引起了非洲金融监管机构的注意,人们担忧匆忙引入严格的监管,可能压制当地加密行业的创新。
尼日利亚在2020年引领了非洲大陆的P2P市场增长,其每周P2P交易额在500万到1000万美元之间,其次是肯尼亚和南非(每周的P2P交易额在100万到200万美元之间)。
P2P交易平台Paxful的一位代表表示,非洲是2020年最强劲的增长地区,并指出加纳和喀麦隆等较小经济体也有显著增长。集中式交易所也报告了交易活动的激增,Luno报告上个月尼日利亚和南非客户的交易总额为5.49亿美元,比2020年初增长了49%。该交易所还指出,从2019年第四季度到2020年第二季度,其新客户注册增加了122%。(Cointelegraph)[2020/9/23]
纵观第二季度,预言机操纵事件数量明显下降,而退出局的总损失却有所上升,表明恶意行为者采用的战术已发生了变化。
报告:2020年第一季度女性加密用户数激增:CoinMarketCap发布的一项新报告显示,2020年第一季度,女性加密用户增长43.24%。相比之下,2019年第四季度女性加密用户仅增长15.5%。此外,18-24岁的年轻加密用户增长65%,美洲和欧洲大陆的增长率超过50%。该研究强调,在拉丁美洲、欧洲和亚洲的一些国家/地区,平均增长率超过80%。阿根廷在整个拉丁美洲处于领先地位,增长率超过98.23%,其次是哥伦比亚(82.03%)、委内瑞拉(80.23%)。希腊以163.67%的增长率位居欧洲之首,紧随其后的是罗马尼亚(145.09%)、葡萄牙(89.95%)、乌克兰(86.68%)和捷克(85.6%)。在亚洲,只有印度尼西亚的增长超过88.92%。欧洲似乎是女性用户中增长率最高的国家,在2020年第一季度增长58.55%,其次是美洲,为50.59%。非洲的增长率仍然很低,仅为17.99%。(Cointelegraph)[2020/5/2]
随着行业的发展,像针对MEV机器人的攻击和在Sui区块链上发现“仓鼠轮”安全威胁这样的案例,印证了持续深度钻研安全、先发制人和持续保持警惕的重要性。每克服一个挑战,我们就离更安全的Web3.0空间更近一步。
查看报告获取更多细节内容及数据。
MEV机器人被恶意利用
4月初,MEV机器人在以太坊的16964664区块被黑客利用。一名恶意验证者替换了数笔MEV交易,导致约2538万美元损失。这一事件是迄今为止针对MEV机器人的最大攻击。
该事件是在以太坊区块16964664中发生的,有8个MEV交易被恶意验证者利用。这个验证者成立于2023年3月15日,由外部地址(EOA)0x687A9建立,并一直设法渗透到防止抢先交易的Flashbot中。
然而,MEV-boost-relay中的一个漏洞使恶意验证器可以重新进行捆绑交易,拦截MEV机器人部分夹层策略,特别是反向交易。由于上述漏洞,验证者看到了详细的交易信息。有了这些详细的交易信息,恶意验证者可以建立他们自己的区块,并在最初的MEV机器人交易之前插入他们的前置交易。
总的来说,这个恶意验证器成功地从5个MEV机器人中窃取了大约2500万美元,这也是目前为止CertiK发现的MEV机器人损失金额最大的事件之一。在过去的12个月里,只有6个MEV机器人的漏洞被发现,而仅本次事件就占了总损失2750万美元的92%。
恶意验证者利用MEV-boost-relay漏洞,通过提交一个无效但正确签名的区块开始攻击。在看到区块内的交易后,验证者可以重新捆绑它们,以从MEV机器人那里索取资产。该漏洞已于后续被修补。
更多关于MEV机器人及三明治攻击的内容,请查看报告获取。
Atomic Wallet被黑
今年6月初,5000多名Atomic Wallet用户遭遇了本季度最大的安全事件,损失超1亿美元。起初,Atomic Wallet表示不到1%的月活用户成为此次事件的受害者,后来改成不到0.1%。如此规模的攻击和巨大损失凸显了钱包应用中安全漏洞的严重性。
攻击者以用户私钥为目标,获得对他们资产的完全控制。在获取密钥后,他们能够将资产转移到自己的钱包地址,清空受害者的账户。
散户报告的损失金额大小不一,其中最高达到795万美元。五名金额最大的散户受害者的累计损失高达1700万美元。
为了挽回损失,Atomic Wallet公开向攻击者提出了一个提议,他们承诺放弃10%的被盗资金,以换取90%被盗的代币。然而,根据Lazarus Group的历史记录,加上被盗资金已开始被清洗,追回资金的希望非常渺茫。
更多关于Atomic Wallet以及“幕后黑手”的分析,请查看报告获取。
Sui“仓鼠轮”新型漏洞
此前,CertiK团队于Sui区块链发现了一系列拒绝服务漏洞。在这些漏洞中,一种新型且具有严重影响力的漏洞格外引人注目。该漏洞可导致Sui网络节点无法处理新的交易,效果等同于整个网络完全关闭。CertiK因发现该重大安全漏洞,获得了Sui 50万美元漏洞赏金。美国业内权威媒体CoinDesk对该事件进行了报道,随后各大媒体也紧随其报道发布了相关新闻。
该安全漏洞被形象地称为“仓鼠轮”:其独特的攻击方式与目前已知的攻击不同,攻击者只需提交一个大约100字节的载荷,就能触发 Sui 验证节点中的一个无限循环,使其不能响应新的交易。
此外,攻击带来的损害在网络重启后仍能持续,并且能在 Sui 网络中自动传播,让所有节点如仓鼠在轮上无休止地奔跑一样无法处理新的交易。因此我们将这种独特的攻击类型称为“仓鼠轮”攻击。
发现该漏洞后,CertiK通过Sui的漏洞赏金计划向Sui进行了报告。Sui也第一时间进行了有效回应,确认了该漏洞的严重性,并在主网启动前积极采取了相应措施对问题进行了修复。除了修复此特定的漏洞外,Sui还实施了预防性的缓解措施,以减少该漏洞可能造成的潜在损害。
为了感谢CertiK团队负责地披露,Sui向CertiK团队颁发了50万美元奖金。
详情请点击《Sui最新漏洞“仓鼠轮”,技术细节与深入分析》
基于MPC钱包的服务器级别漏洞
多方计算(MPC)是一种加密方法,允许多个参与者对其输入的函数进行计算,同时保护这些输入的隐私。其目标是确保这些输入不与任何第三方共享。该技术有多种应用,包括保护隐私的数据挖掘、安全拍卖、金融服务、安全的多方机器学习,以及安全的密码和机密共享。
CertiK的Skyfall团队在对目前流行的多方计算(MPC)钱包ZenGo进行预防性安全分析的过程中,发现该钱包的安全架构存在一个严重漏洞,它被称为“设备分叉攻击”。攻击者可以利用它绕过ZenGo现有的安全防护措施,从而有机会控制用户的资金。该攻击的关键是利用API中的漏洞来创建一个新的设备密钥,从而ZenGo服务器将它视为真实用户的设备。
依据负责披露原则,Skyfall团队迅速向ZenGo报告了此漏洞。在认识到问题的严重性后,ZenGo的安全团队迅速采取行动进行修复。为了防止攻击的可能性,该漏洞已在服务器的API层面上得到修复,因此无需对客户端代码进行更新。
在漏洞修复完成后,ZenGo公开承认了这些发现,并感谢CertiK在加强其基于MPC钱包的安全性和可信度方面发挥的重要作用。
“多方计算具有广阔的前景,在Web3.0领域有许多重要的应用。虽然MPC技术减少了单点故障带来的风险,但MPC解决方案的实施会给加密货币钱包设计带来新的复杂情况。这种复杂性会导致新的安全风险,说明全面的审计和监控方法是必不可少的。” —— 李康教授,CertiK首席安全官
点击获取完整报告
CertiK中文社区
企业专栏
阅读更多
金色早8点
Odaily星球日报
金色财经
Block unicorn
DAOrayaki
曼昆区块链法律
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。