总述

2023 年第三季度，加密市场全体上表现得依旧波澜不惊。但生态中安全事故的产生频率却超越前两个季度。在这个季度约有 5.72 亿美元的加密财物在各类安全事故中蒙受丢失。

Fairyproof 研讨了第三季度揭露报道的 198 起典型事例，对事例进行了计算、剖析，并探讨了这些事情所反映的安全生态中的特性以及用户能够采纳的相关防备办法。

布景介绍在详细出现 Fairyproof 的研报成果之前，有必要对本陈述中的相关术语进行解释、说明。

CCBS

CCBS 指代“中心化加密财物或区块链服务机构”。它一般指人为运作办理的非链上服务渠道，其核心技术首要依靠传统的中心化技术，其日常运维活动首要为链下活动。传统的加密财物买卖所（如 Binance)、加密财物发行承兑渠道（如 Tether）即为此类典型。

闪电贷（FLASHLOAN）

闪电贷是黑客在进犯以太坊虚拟机渠道上智能合约的一种常见和流行的方式。闪电贷是闻名 DeFi 运用 AAVE[1]团队发明的一种合约调用方式。这种合约调用让用户无需任何抵押物便能够直接从支撑这种功用的 DeFi 运用中借出加密财物，只要用户在一个区块买卖内偿还该财物即可使该买卖有用[2]。起初这个功用的发明是为了给 DeFi 用户更灵敏、便利的手段进行各项圈上的金融活动。但后来，闪电贷因其灵敏性高使得其运用得最多的场景变成了黑客借出 ERC-20[3]代币然后用其进行进犯。在主张一笔闪电贷之前，用户需求将借出（财物）和偿还（财物、利息及相关手续费）的逻辑清晰地在一个合约中描绘，然后调用该合约主张闪电贷。

跨链桥（CROSS-CHAIN BRIDGE）

跨链桥是连接多个独立区块链的一种基础设施，它让布置于不同区块链的代币在各个区块链之间相互流通。

随着越来越多区块链有了自己的生态、运用和加密财物，这些运用和财物对跨区块链通讯和买卖的需求明显增长。这也使得跨链桥成为黑客眼中热门的进犯方针。

陈述要点

Fairyproof 详细研讨了 2023 年第三季度产生的 198 起典型安全事情，在本陈述中对这些事情形成的丢失金额、成因等各种要素进行了计算剖析，并给出了相应的防备主张和办法。

2023年第三季安全事情的计算及剖析

Fairyproof 研讨团队详细研讨了 2023 年第三季度较为杰出的 198 起安全事情，从遭受进犯的方针和形成进犯的本源两方面列举了计算成果并对其进行了剖析研讨。

这 198 起安全事情形成的加密财物丢失总额达 5.72 亿美元，Tradingview 闪现的干流加密财物总值达 10560 亿美元。丢失财物占总市值的份额为 0.05%。

依据受害方针区分的安全事故

Fairyproof 研讨的安全事情按其受害方针分能够分为以下四类：

1. 中心化加密财物或区块链服务机构（CCBS，下文所指 CCBS 即为此概念）

2. 区块链（Blockchains）

3. 去中心化运用（dApps）

4. 跨链桥（Cross-chain Bridges）

本陈述所指的 CCBS 安全事情是指遭到进犯或危害的方针是 CCBS 体系。在这些事情中，CCBS 所保管的财物被盗或运作的服务被逼中断。区块链安全事情是指区块链主网、侧链或依靠区块链主网的第二层扩展体系遭到进犯或危害。一般在这些事情中，黑客从体系内、体系外或许两方面都主张进犯，导致体系软件或硬件异常，财物丢失。

dApp 安全事情是指 dApp 遭到进犯而无法正常作业，从而使黑客有机会盗取 dApp 中办理的加密财物。

跨链桥安全事情是指跨链桥遭到进犯，导致其无法正常作业，乃至导致其经手买卖的加密财物被盗。

Fairyproof 对一共 198 起事情按上述四类进行了区分，其份额分布图如下所示：

由图中可知，dApp 安全事情的数量占总数的 86.87%，超越其它任何类别。其间 198 起为 dApp 安全事情，4 起为 CCBS 安全事情，14 起为区块链安全事情，4 起为跨链桥安全事情，172 起为 dApp 安全事情。

区块链安全事情

触及区块链的安全事情能够进一步细分为以下三类：

i. 区块链主网（Blockchain mainnets） ii. 侧链（Side chains）

iii. 第二层扩展体系（Layer 2 solutions）

区块链主网也被称为 Layer 1，它是独立的区块链，有自己的网络、协议、一致和验证者。区块链主网能够验证买卖、数据和区块，所有这些验证作业都由自己的验证者完结并终究获得一致性。比特币和以太坊就是典型的区块链主网。

侧链是与区块链主网并行运作的一条单独的区块链。它也有自己的一致和验证者，可是它会以某种方式（如双向锚定[4]）和区块链主网连接，第二层扩展体系是依靠于区块链主网的体系，它需求区块链主网供给安全和终究一致性[5]。它首要为了处理区块链主网的可扩展性，能以更低的费用、更低的价格处理买卖。自从 2021 年以来，依靠于以太坊的第二层扩展体系有了飞速地发展。

侧链和第二层扩展体系都是为了处理区块链主网的可扩展性。两者首要的区别在于，侧链不依靠区块链主网供给安全性和一致性，但第二层扩展体系却需求。

2023 年第三季度一共有 14 起与区块链有关的安全事情。下图展现了区块链主网、侧链和第二层扩展体系各所占的份额。

由上图可知，区块链主网相关的安全事情和第二层扩展体系相关的安全事情的数量占总数的份额别离为 92.86% （13 起）和 7.14%

（1 起）。没有典型的侧链安全事情。第二层扩展体系安全事情触及的体系有 Metis[6]，区块链主网安全事情触及的主网有 Mixin[7]、

Quai Network[8]、Swisstronik[9]、SwapDex Blockchain[10]、Aptos[11]等。

DAPP安全事情

在 172 起触及 dApps 的安全事情中，有 16 起是跑路，1 起被拖累，155 起直接被进犯。直接对 dApp 的进犯一般会触及三个方面：

Dapp 的前端、后台和智能合约。因而，咱们将 155 起直接被进犯的事情分为下列三类： i.     dApp 前端 ii.        dApp 后台 iii.     dApp 合约

在 dApp 前端受进犯的事情中，黑客首要经过前端缝隙主张进犯，盗取财物或瘫痪其服务。

在 dApp 后台受进犯的事情中，黑客首要经过后台缝隙主张进犯，比如绑架后台和合约的通讯，绑架财物或瘫痪服务。

在 dApp 合约受进犯的事情中，黑客首要经过合约缝隙主张进犯，盗取财物或瘫痪其服务。下图展现了这三个类别受进犯事情的份额：

由上图所示，合约、后台和前端受进犯的事情份额别离为 19.35%、0%和 80.65%。在一共 155 起事情中，125 起为前端受进犯，

30 起为合约受进犯。

咱们进一步研讨了各类事情所形成的加密财物丢失金额。其间合约受进犯导致的丢失和前端受进犯所导致的丢失别离为 2.1 亿美元和 3980 万美元，两者所占总丢失金额的比别离为 84.03%和 15.97%，如下图所示：

在很多合约缝隙中，逻辑缺点、私钥走漏、闪电贷进犯、重入进犯为典型的缝隙。

咱们研讨了 30 起触及合约直接遭到进犯的安全事情，得到下列份额图：

上图所示，逻辑缺点导致合约安全事情占比最高。逻辑缺点中一般包含短少参数验证、短少权限验证等。逻辑缺点导致的安全事情数为 13 起。

下图展现了各个缝隙形成的丢失金额比：

私钥走漏形成的丢失金额占比最高。4 起私钥走漏事情一共形成了 1.73 亿美元的丢失，占丢失总金额的 82.56%。

依据成因区分的安全事故

依据形成区块链安全事故的成因，咱们将事故分为三类： i. 由黑客进犯所致

ii. 跑路 iii. 其它

咱们的研讨成果如下图所示：

由上图所示，黑客进犯和跑路导致的安全事故别离占比为 91.92%（182 起）和 8.08%（16 起）。

咱们研讨了这些成因所形成的丢失，如下图所示：

由上图所示，黑客进犯和跑路导致的丢失金额别离占比 94.69%和 5.31%，前者导致了 5.41 亿美元的丢失，后者导致了 3035 万美元的丢失。这表明 2023 年第三季度，黑客进犯仍然是职业安全面临的首要要挟。

黑客进犯事情咱们研讨了黑客进犯事情，如下图所示：

由上图所示，黑客进犯 dApp、区块链、CCBS 和跨链桥的事情占比别离为 87.64%（156 起）、7.87%（14）、2.25%（4 起）和

2.25%（4）。

咱们研讨了各类事情所导致的丢失金额，如下图所示：

黑客对区块链、dApp、跨链桥和 CCBS 进犯所导致的财物丢失占比别离为 36.97%、46.25%、0.79%和 15.99%，详细的丢失金额别离为 2 亿美元、2.5 亿美元、8650 万美元和 430 万美元。其它安全事情没有导致明显的丢失金额。

跑路事情

2023 年第三季度产生的典型跑路事情都是 dApp 项目。一共 16 起跑路事情形成的丢失金额达 3035 万美元。这个丢失金额比较黑客进犯形成的丢失金额规划要小得多。

研讨发现

从咱们的计算数据来看，2023 年第三季度，黑客最偏心进犯的方针仍然是 dApp 项目，对 dApp 的进犯事情远超其它任何方针，进犯数占总数的 87.64%，丢失金额占总丢失金额的 46.25%。在所有的进犯事情中，最严重的是对 Multichain[12]的进犯。

对整个区块链生态来说，黑客仍然是最大的安全要挟，不管从其形成的安全事情数量仍是从其形成的财物丢失来看都是如此，由黑客进犯形成的安全事情数量占整个安全事情数量的份额超越 91.92%，远超跑路事情对生态形成的要挟。

一个典型的 dApp 包含三部分：前端、后台和智能合约。当黑客进犯一个 dApp 时，会进犯其间一部分或同时进犯多个部分。依据咱们的计算数据，对 dApp 前端的进犯在数量上远超对合约的进犯，但对智能合约的进犯所形成的丢失金额则远超对前端的进犯。

这表明智能合约隐患仍然是 dApp 安全最大的隐患。

2023 年第三季度典型的跑路事情都产生在 dApp 项目上。

在智能合约遭到黑客进犯的事情中，下列三个类别的原因所引发的进犯事情数量排名前三：第一位：逻辑缺点第二位：闪电贷

可是依照丢失金额来看，私钥走漏所引发的进犯形成的财物丢失金额高居榜首，远超其它类别。

防备安全事故的实践计划和办法

本节，咱们将依据 2023 年第三季度所产生的安全事故的特色总结一些协助区块链开发者和用户办理及防备区块链危险的计划和办法。咱们主张不管是区块链开发者仍是用户都积极地在平时的操作和作业中尽可能落实和实践这些计划及办法，最大限度保护项目安全和加密财物安全。

注：“区块链开发者”既指区块链项目自身的开发工程师，也指和区块链体系相关或其延申体系（如加密财物等）的开发者。“区块链用户”是指所有参加到区块链体系活动（比如办理、运作、维护等）或加密财物买卖等的用户。

对区块链开发者

尽管在第三季度中，没有典型触及第二层扩展体系的安全事情，但第二层扩展体系的安全依旧值得重视。因为接下来第二层扩展计划的发展和落地将会继续是整个生态的热门和要点，对其计划安全性的研讨将是业界面临的严重应战。

在区块链运用中，当项目布置并安稳运行一段时间后，将项目中掌控关键操作的权限转移到多签钱包或许 DAO 组织来进行办理对错常有必要的步骤。

当黑客发现智能合约的缝隙时，往往会凭借闪电贷对合约进行进犯。这些可能被利用的缝隙一般包含重入缝隙、逻辑缺点（比如缺乏权限验证、错误的价格算法）等。谨慎防备和处理这些缝隙对智能合约开发者而言时间需求引起高度重视，乃至需求排在重要性的首位。

咱们的计算数据还闪现越来越多的黑客会经过交际媒体软件（如 Discord、Twitter 等）主张钓鱼进犯。这个现象贯穿了整个 2022 年并继续到 2023 年第三季度。不少用户在其间遭受了丢失。项目方需求对其运作的交际媒体施行严格、周全的办理，布置相应的安全计划保证其交际媒体运作的安全和安稳，防备被黑客利用。

区块链用户

越来越多用户开始参加各类区块链生态的活动，并持有各类区块链生态的财物。在这个过程中，跨链买卖活动也再迅猛增长。当用户参加跨链买卖时，用户需求和跨链桥进行交互，而跨链桥却是黑客常常重视的进犯方针。因而当用户在主张跨链买卖前，需求详细调查和了解其所运用的跨链桥的安全情况和运营情况，保证跨链桥的安全、安稳、牢靠。

当用户和 dApp 进行交互时，有必要高度重视其智能合约的质量和安全，同时也需求重视 dApp 前端的安全。对前端闪现的一些不明来历、高度存疑的信息、提示、对话等要当心处理，不要随意点击或跟随其指引进行操作。

咱们强烈主张用户在和任何区块链项目交互前或投资区块链项现在，要仔细检查并阅读该项意图审计陈述。对没有审计陈述或陈述可疑的项目，要谨慎参加。

咱们主张用户尽量运用冷钱包或多签钱包办理大额财物或不用于频繁买卖的财物。时间当心热钱包的运作安全，并保证装置热钱包的硬件渠道自身是安全、牢靠和安稳的。

用户需求对区块链项意图团队布景进行一定程度的调查和了解。对团队布景含糊、信用缺失的团队要当心。对这类项目要当心其可能产生的跑路危险。对运用较为频繁的中心化买卖所，用户更要重视其布景和信用，尽可能从多个第三方数据源查证这些买卖所的布景、信息、数据，保证买卖所能够长久继续的安全运作。

参考资料

[1]   Aave. https://aave.com/

[2]   Flash-loans.. https://aave.com/flash-loans/

[3]   ERC-20 TOKEN STANDARD. https://ethereum.org/en/developers/docs/standards/tokens/erc-20/

[4]   Sidechains. https://ethereum.org/en/developers/docs/scaling/sidechains/

[5]   Layer-2. https://academy.binance.com/en/glossary/layer-2

[6]   Metis. https://www.metis.io/

[7]   Mixin. https://mixin.one/

[8]   Quai Network. https://qu.ai/

[9]   Swisstronik. https://www.swisstronik.com/

[10] SwapDex Blockchain. https://swapdex.network/

[11] Aptos. https://aptoslabs.com/

[12] Multichain. https://multichain.xyz/

此时快讯

【Metamask过去一个月手续费收入达123万美元，其中约60%由Symbolic Capital贡献】金色财经报道，据Scopescan数据监测，过去2小时内，Symbolic Capital在MetaMask进行了2笔掉期交易，总计415万美元，为Metamask贡献了3.4万美元（手续费率为0.875%）的手续费收入。过去一个月，Metamask赚取了123万美元手续费收入，其中约74万美元（约60%)来自Symbolic Capital。