來源：深圳零時科技

摘要

2023年，是加密世界多元化創(chuàng)新的一年，但創(chuàng)新的背后，也發(fā)生了許多讓人咋舌的安全事件。零時科技安全團隊發(fā)布了《2023年全球Web3行業(yè)安全研究報告》，回顧了2023年Web3行業(yè)全球政策，主要賽道所涵蓋基本概念、安全事件、損失金額和攻擊類型，并對典型安全事件進行了詳細剖析，提出了安全預防方案和措施建議。希望幫助從業(yè)者和用戶能夠了解Web3安全現(xiàn)狀，提高網(wǎng)絡安全意識，保護好數(shù)字資產(chǎn)，做好安全預防措施。

1、2023年，全球Web3行業(yè)加密貨幣總市值最高達1.3萬億美元，受行業(yè)爆雷事件影響，相比去年最高總市值2.4萬億美元，今年有所下降，但整體資產(chǎn)數(shù)量規(guī)模正在不斷擴大。

2、據(jù)零時科技數(shù)據(jù)統(tǒng)計，2023年共發(fā)生安全事件506起，累計損失達110億美元。相比2022年，今年Web3安全事件新增110起，同比增長65.3%。

3、Web3六大主要賽道：公鏈、跨鏈橋、錢包、交易所、NFT、DeFi共發(fā)生安全事件435起，造成損失超79.83億美元。此外，新興領域如GameFi、DAO成為黑客頻擾的對象，詐騙和跑路事件不斷，損失嚴重。

4、2023年損失超1億美金的典型安全事件共損失32億美元，占2023年總損失金額29 %。其中典型代表有：加密交易所Bitzlato聯(lián)創(chuàng)承認7億美元洗錢罪；VenusProtoco 利用 Binance Bridge 漏洞竊取了價值近6 億美元的BNB；跨鏈橋Wormhole遭到攻擊，約有價值3.23億美元ETH被盜；多鏈去中心化交易所 (DEX) Dfyn 漏洞被利用, 造成3億美元損失。

5、2023年，全球Web3安全事件攻擊類型多樣，從安全事件數(shù)量看，典型攻擊類型Top5為：黑客攻擊、安全漏洞、資產(chǎn)被盜、釣魚、錯誤權(quán)限。從損失金額看，典型攻擊類型Top5為：黑客攻擊、安全漏洞、資產(chǎn)被盜、閃電貸攻擊、詐騙。

6、本年度最具有代表性的監(jiān)管案例為：朝鮮黑客組織Lazarus已成為影響Web 3社區(qū)最嚴重的APT組織。2023年，Lazarus組織造成了至少7.5億美元的損失，占2023年加密貨幣領域被竊總額的20%。CertiK分析了2023年五起主要的加密貨幣攻擊事件，包括Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx，造成了2.9億美元的損失。

一、全球Web3行業(yè)回顧與安全態(tài)勢概覽

Web3是指基于加密技術的新一代網(wǎng)絡，融合了區(qū)塊鏈技術、代幣經(jīng)濟學、去中心化組織、博弈論等多種技術和思想，由以太坊聯(lián)合創(chuàng)始人Gavin Wood在2014年提出。Web3基于區(qū)塊鏈搭建，從2008年至今，區(qū)塊鏈技術已發(fā)展15余年。Web3行業(yè)在2023年的爆發(fā)離不開區(qū)塊鏈產(chǎn)業(yè)發(fā)展多年的積淀。

從用戶視角看Web3生態(tài)，可分為基礎層、應用層和第三方服務。基礎層以公鏈、跨鏈橋和聯(lián)盟鏈等鏈為主，為Web3提供網(wǎng)絡基礎設施；應用層則以APP（中心化應用程序）和DAPP（去中心化應用程序）為主，即用戶常用來交互的應用程序，包含交易平臺、錢包、DeFi、NFT、GameFi、DAO、存儲和社交軟件等?；A層和應用層促進了Web3生態(tài)的繁榮，但也為Web3帶來巨大的安全隱患。服務生態(tài)是Web3行業(yè)的第三方，其中媒體、教育孵化和投資機構(gòu)為行業(yè)提供助力，安全服務機構(gòu)如零時科技，是為Web3安全保駕護航不可或缺的一部分。

截至2023年12月，據(jù)CoinMarketCap數(shù)據(jù)統(tǒng)計，全球Web3行業(yè)加密貨幣總市值最高時達2.4萬億美元，受行業(yè)爆雷事件影響，相比去年最高總市值2.97萬億美元，今年有所下降。雖總市值有波動，但整體資產(chǎn)數(shù)量規(guī)模正在不斷擴大。由于行業(yè)創(chuàng)新節(jié)奏快、用戶安全意識薄弱、監(jiān)管有待完善、安全問題突出，Web3正在淪為黑客的“提款機”。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，2023年共發(fā)生安全事件506起，累計損失達110億美元。相比2022年，今年Web3安全事件新增116起，同比增長38%。其中公鏈、跨鏈橋、錢包、交易所、NFT、DeFi這六大主要賽道發(fā)生安全事件152起，造成損失超40.8億美元。

除了以上六大主要賽道外，其他安全事件共計354起，損失金額達69.2億美元，如新興領域如GameFi、DAO成為黑客頻擾的對象，詐騙和跑路事件層出不窮。隨著多個巨頭入局元宇宙與NFT，未來，鏈上資產(chǎn)規(guī)模還將持續(xù)增長，Web3網(wǎng)絡安全侵害數(shù)字可能繼續(xù)飆升。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，2023年全球Web3生態(tài)六大主要賽道中：公鏈發(fā)生安全事件13起，共計損失約2.8億美元；跨鏈橋發(fā)生安全事件18起，共計損失12.1億美元；交易所發(fā)生安全事件19起，共計損失12.08億美元；錢包發(fā)生安全事件35起，共計損失6億美元；DeFi發(fā)生安全事件21起，共計損失7.2億美元；NFT發(fā)生安全事件43起，損失超6200萬美元。

從主要賽道發(fā)生的安全事件數(shù)量來看，NFT安全事件最多，這和它成為2023業(yè)界追捧的熱門賽道脫不開關系。另一方面，由于進入Web3行業(yè)人數(shù)的增多，錢包和DeFi成為安全事件的重災區(qū)。從損失金額看，跨鏈橋位列第一，遭受損失最大。

2023年，從全球Web3發(fā)生的安全事件數(shù)量看，典型攻擊類型Top5為：黑客攻擊，占比47%；資產(chǎn)被盜，占比29.6%；安全漏洞，占比20.1%；釣魚攻擊，占比13.8%；錯誤權(quán)限，占比13.4%。

從損失金額看，全球Web3安全事件典型攻擊類型Top5為：黑客攻擊，損失金額為60.5億美元；安全漏洞，損失金額48億美元；資產(chǎn)被盜，損失金額為30.4億美元；閃電貸攻擊，損失金額為12.6億美元；詐騙，損失金額7.5億美元。

值得注意的是，2023年發(fā)生的多起安全事件不只受到一種攻擊，有些事件可能同時出現(xiàn)資產(chǎn)被盜、私鑰竊取、黑客攻擊、私鑰泄漏及安全漏洞等。

注：主要攻擊類型釋義如下

資產(chǎn)被盜：虛擬幣被盜，平臺被盜

黑客攻擊：黑客等多種類型攻擊

信息泄露：私鑰泄露等

安全漏洞：合約漏洞、功能漏洞

錯誤權(quán)限：系統(tǒng)權(quán)限設置錯誤，合約權(quán)限錯誤等

釣魚攻擊：網(wǎng)絡釣魚

價格操縱：價格操縱

據(jù)零時科技區(qū)塊鏈安全情報平臺監(jiān)控消息，2023年損失超1億美金的典型安全事件共損失32億美元，占2023年總損失金額29%。

二、全球Web3監(jiān)管政策

2023年，基于區(qū)塊鏈的下一代互聯(lián)網(wǎng)Web3迎來增長高峰，面對這個擁有金融科技特征的新興行業(yè)，全球政府和監(jiān)管機構(gòu)對其密切關注。Web3應用領域廣泛、全球分布協(xié)作、技術含量較高，加之全球各國及其內(nèi)部各地監(jiān)管機構(gòu)對Web3產(chǎn)業(yè)發(fā)展方向和數(shù)字資產(chǎn)定義不統(tǒng)一，為全球金融監(jiān)管帶來了巨大挑戰(zhàn)。2023年金融犯罪、黑客攻擊、詐騙勒索、洗錢事件頻發(fā)，金額龐大，損失嚴重，影響廣泛。為確保Web3的安全性和合規(guī)性，各國紛紛出臺監(jiān)管政策。

從全球?qū)eb3整體的監(jiān)管政策來看，投資者保護和反洗錢(AML）是全球共識，對加密貨幣交易所的接受和監(jiān)管，各國差異較大。美國國會議員提出“確保Web3發(fā)生在美國”，正加速監(jiān)管創(chuàng)新；歐盟各國政策較為明確和積極；日本、新加坡、韓國受2023暴雷事件影響，監(jiān)管趨嚴；中國大陸依舊鼓勵區(qū)塊鏈技術應用，嚴禁金融機構(gòu)和支付組織參與虛擬貨幣交易和非法集資，加大加密貨幣犯罪事件打擊。中國香港則全面扶持虛擬資產(chǎn)發(fā)展，實施牌照制；阿聯(lián)酋在全球最為積極，擁抱加密貨幣資產(chǎn)。對于NFT、穩(wěn)定幣、DeFi、資產(chǎn)協(xié)議和DAO領域，全球正處于監(jiān)管探索狀態(tài)。

三、2023年Web3各生態(tài)安全現(xiàn)狀

Web3是一個比較特殊的行業(yè)，最突出的特點就是涉及大量數(shù)字加密資產(chǎn)的管理，動輒千萬上億的資產(chǎn)全部存在鏈上，通過一個特有的私鑰來確權(quán)，誰掌握了這個私鑰，誰就是資產(chǎn)的主人。如果生態(tài)中某一應用或協(xié)議被黑客攻擊，就可能造成巨額損失。隨著生態(tài)的快速發(fā)展，各種新型攻擊手法和詐騙手段層出不窮，整個行業(yè)在安全的邊緣中博弈前進。零時科技安全團隊對Web3存在的攻擊類型進行了觀察統(tǒng)計，目前主要有以下攻擊類型對Web3安全造成威脅：APT攻擊、社工釣魚、供應鏈攻擊、閃電貸攻擊、智能合約攻擊、Web端漏洞攻擊、零日（0day）漏洞、網(wǎng)絡詐騙。

接下來，我們將從基礎設施公鏈、跨鏈橋，應用端APP和DAPP的代表：交易平臺、錢包、DeFi、NFT，監(jiān)管重地反洗錢，web3安全教育角度，來解析2023年Web3各生態(tài)安全現(xiàn)狀，解讀攻擊事件，并針對每個生態(tài)給出相應的安全措施建議。

1、公鏈－Web3生態(tài)安全的命脈

公鏈是Web3行業(yè)的基礎設施，承載著整個行業(yè)的協(xié)議、應用及資產(chǎn)記賬，隨著業(yè)內(nèi)對公鏈性能、互操作、兼容性、擴容的旺盛需求，多鏈發(fā)展迸發(fā)呈強勁勢頭，安全問題，刻不容緩。

根據(jù)零時科技不完全統(tǒng)計數(shù)據(jù)，截至2023年12月，目前公鏈有194條。以公鏈生態(tài)應用數(shù)量來看，據(jù)rootdata數(shù)據(jù)，Ethereum，應用2203個，Polygon，應用數(shù)1301個，BNB Chian，應用數(shù)1239個，穩(wěn)居前三，Solana、Avalanche、ICP等新公鏈緊追其后呈現(xiàn)快速增長趨勢。

以公鏈生態(tài)市值來看，據(jù)coingecko數(shù)據(jù)，以太坊、BNB Chain、Solana 生態(tài)分別以3343億美元、477億美元、420億美元位居前三。當前，公鏈生態(tài)總市值已超萬億美元，如此龐大的資金誘惑，讓黑客對其虎視眈眈。

截至2023年12月，據(jù)零時科技數(shù)據(jù)統(tǒng)計，公鏈賽道發(fā)生安全事件13起，累計損失資產(chǎn)金額超2.8億美元。

從數(shù)量來看，公鏈的攻擊類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、閃電貸攻擊和詐騙，其對應占比為：46.1%、30.7 %、23%、15.4%、15.4%。從損失金額來看，黑客攻擊造成損失最高，為1.67億美元，占比60.1%；安全漏洞造成損失位居第二，為1.31億美元，占比46.7%。（注：部分項目遭受多種類型攻擊）

據(jù)零時科技區(qū)塊鏈安全情報平臺監(jiān)控消息，下圖為部分2023公鏈攻擊的典型案例：

公鏈安全風險及措施建議

零時科技安全團隊分析，公鏈安全風險主要來自以下三點：

1）技術復雜性：涉及技術領域多，安全風險點多。

2）開發(fā)人員不確定性：代碼由開發(fā)者所寫，過程難免出現(xiàn)漏洞。

3）開源漏洞透明性：公鏈代碼開源，黑客發(fā)現(xiàn)漏洞更為便利。

零時科技安全團隊對公鏈安全建議，有以下四點：

1）主網(wǎng)上線前，針對公鏈各風險點，需要設立豐富的安全機制：

在P2P和RPC方面，需要注意劫持攻擊，拒絕服務攻擊，權(quán)限配置錯誤等；

在共識算法及加密這塊，需要注意51%攻擊，長度擴展攻擊等；

在交易安全方面，需要注意假充值攻擊，交易重放攻擊，惡意后門等；

在錢包安全方面，需要注意私鑰的安全管理，資產(chǎn)的安全監(jiān)控，交易的安全風控等；

在公鏈項目的相關工作人員方面，需要有良好的安全意識，辦公安全，開發(fā)安全等常識。

2）進行源代碼和智能合約審計，確保彌補原則性和明顯的漏洞：

源代碼審計可以是全量代碼，也可以是部分模塊。零時科技安全團隊擁有一套完整的公鏈安全測試標準，采用人工+工具的策略對目標代碼的安全測試，使用開源或商業(yè)代碼掃描器檢查代碼質(zhì)量，結(jié)合人工安全審計，以及安全漏洞驗證。支持所有流行語言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。

3）主網(wǎng)上線后，進行實時安全檢測，預警系統(tǒng)風險；

4）發(fā)生黑客事件后，及時通過溯源分析，找出問題所在，減少未來發(fā)生攻擊可能性；迅速源追蹤監(jiān)控損失流向，盡可能找回資產(chǎn)。

2、跨鏈橋－黑客的新型提款機

跨鏈橋，也稱區(qū)塊鏈橋，連接兩條區(qū)塊鏈，允許用戶將加密貨幣從一條鏈發(fā)送到另一條鏈?？珂湗蛲ㄟ^在兩個獨立平臺之間啟用代幣轉(zhuǎn)移、智能合約和數(shù)據(jù)交換以及其他反饋和指令來進行資金跨鏈操作。

截至2023年 12月 ，根據(jù)Dune Analytics 數(shù)據(jù)統(tǒng)計，以太坊中主要跨鏈橋的鎖定總價值（TVL）約65億美元。當前TVL最高的是Polygon Bridges，為29.9億美元，Aritrum Bridge緊跟其后，為20.4 億美元，Optimism Bridges排名第三，為10 億美元。

隨著區(qū)塊鏈及鏈上程序的增長，多鏈資金轉(zhuǎn)換需求迫切，跨鏈橋的協(xié)同特征可以讓各區(qū)塊鏈發(fā)揮更大的協(xié)同潛力，跨鏈橋為用戶提供便利的同時，也為黑客提供了另一扇大門。由于跨鏈橋傳遞資產(chǎn)的特性，其鎖定、鑄造、銷毀及解鎖等流程環(huán)節(jié)一旦出現(xiàn)問題，就會威脅到用戶資產(chǎn)安全。貌似并不復雜的跨鏈資金轉(zhuǎn)移操作，但在多個跨鏈橋項目中，不同步驟均發(fā)生過安全漏洞。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，截至12月，跨鏈橋因受到攻擊發(fā)生安全事件18起，累計損失資產(chǎn)金額為12.1億美元。

2023年，發(fā)生安全事件損失Top5的跨鏈橋為：Harmony、Wormhole、MultiChain、Aave fork、HECO，分別損失金額為：3.5億美元、3億美元、2.1億美元、1.5億美元和1億美元。

從安全事件發(fā)生的數(shù)量看，跨鏈橋攻擊的類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、錯誤權(quán)限和閃電貸攻擊，分別占比61%、33%、28%、17%和11%。從損失金額來看，黑客攻擊占比最大，為55%；資產(chǎn)被盜次之，占比29%；安全漏洞占比14%，位居第三。

下圖為部分2023年典型跨鏈橋攻擊案例：

跨鏈橋安全風險及措施建議

零時科技安全團隊從跨鏈橋多次攻擊事件中得出，跨鏈之前和簽名處攻擊較多，存在官方馬虎大意造成的被盜事件。對于越來越多的跨鏈項目及項目合約安全，零時科技給出以下安全措施建議：

1）項目上線前對合約進行安全審計；

2）合約調(diào)用接口需要嚴格排查其適配性；

3）版本更新時需要對相關接口及簽名安全進行重新評估；

4）需要對跨鏈簽名者進行嚴格審查以保證簽名不被惡意人員控制。

3、交易平臺－巨額誘惑之源

Web3的交易平臺也稱數(shù)字貨幣交易所或加密貨幣交易所，是區(qū)塊鏈行業(yè)的重要組成部分，為不同數(shù)字貨幣之間，數(shù)字貨幣與法定貨幣之間的交易提供服務，同時也是數(shù)字貨幣定價和流通的主要場所。

據(jù)coingecko數(shù)據(jù)，截至2023年12月，加密貨幣交易所共有887個，其中中心化交易所有224個，24小時總交易量為80 億美金；去中心化交易所有663個，24小時總交易量為37 億美金；衍生產(chǎn)品交易所94個，24小時交易量為1.93萬億美金。

數(shù)據(jù)顯示，24小時交易量排名前10名的交易所分別為：Binance、Bybit、Coinbase Exchange、OKX、MEXC、Gate.io、Kraken、KuCoin、Bitfinex、Binance US。其中Binance以24交易量135.95億穩(wěn)居第一。

交易量排名前10名的去中心化交易所分別為：Uniswap V3（Ethereum）、Orca、Uniswap V3（Arbitrum One）、PancakeSwap(V3)、Curve(Ethereum)、Uniswap V3（Ethereum）、THORWallet DEX、THORSwap 、Raydium、Ferro Protocol，其中Uniswap以一己之力占據(jù)前十名多位。

據(jù)零時科技數(shù)據(jù)統(tǒng)，計2023年，加密貨幣交易所發(fā)生安全事件19起，累計損失資產(chǎn)金額超12億美元。

據(jù)零時科技區(qū)塊鏈安全威脅情報平臺數(shù)據(jù)統(tǒng)計，2023年，發(fā)生安全事件損失Top6的交易平臺為：Curve，Coinbase, OKX，Platypus Finanace, Uniswap，Coins.ph ，損失金額分別為4.4億美元，3.6億美元，1.8億美元，1億美元，6000萬美元和4000萬美元。

以各交易平臺安全事件損失分布來看，Couve占比36.6%，CoinBase占比30%，Platypus Finanace占比15%，位居前三。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，從安全事件數(shù)量來看，交易平臺的攻擊類型主要為黑客攻擊安全漏洞、資產(chǎn)被盜、釣魚攻擊、閃電貸攻擊，分別占比59%、31.8%、27%、9%、9%。從損失金額大小分布來看，黑客攻擊占據(jù)59%，為安全事件主要類型，安全漏洞占比40%，資產(chǎn)被盜占比33.3%。

下圖為部分2023年交易所安全事件典型案例：

交易平臺安全風險及措施建議

回顧以往所有交易所的安全事件，零時科技安全團隊認為，從一個交易平臺整體安全架構(gòu)來看，交易平臺面臨的安全風險主要有：開發(fā)、服務器配置、運維、團隊安全意識、內(nèi)部人員、市場以及供應鏈風險。

零時科技安全團隊曾出版《區(qū)塊鏈安全入門與實戰(zhàn)》，其中對加密貨幣交易平臺的安全問題進行了全面、細致的分析。包括滲透測試的步驟，如信息收集、社會工程等，還介紹了各種攻擊面，如業(yè)務邏輯、輸入輸出、安全配置、信息泄露、接口安全、用戶認證安全、App安全等。

對于交易所安全風險，零時科技安全團隊給出如下措施建議：

從交易平臺角度：

1）培養(yǎng)內(nèi)部人員的安全意識，加強交易所的生產(chǎn)環(huán)境、測試環(huán)境和調(diào)試環(huán)境安全隔離，盡量使用專業(yè)的網(wǎng)絡安全防護產(chǎn)品。

2）通過與專業(yè)安全公司展開合作，進行代碼審計、滲透測試，了解系統(tǒng)是否存在隱性漏洞和安全風險，建立完善和全面的安全防護機制。日常運營中，進行定期安全測試，加強安全加固工作。

3）升級賬戶的密鑰結(jié)構(gòu)及風控措施，建立適當?shù)亩嘀睾灻荑€結(jié)構(gòu)并建立嚴格的風險控制及檢測預警機制，加強后端冷熱錢包安全加固，比如控制轉(zhuǎn)賬頻率、大額轉(zhuǎn)賬、冷熱錢包隔離等。

由于大部分用戶除了使用交易所進行交易外，更多時候充當錢包存儲數(shù)字資產(chǎn)。

因此，從用戶角度：

1）不要隨意安裝未知來源的軟件。

2）電腦服務器應避免打開不必要的端口，相應漏洞應及時打補丁，主機建議安裝有效可靠的殺毒或其他安全軟件，在WEB瀏覽器上安裝挖礦腳本隔離插件等。

3）不要隨意點擊陌生人發(fā)的不明鏈接。

4、 錢包－加密資產(chǎn)管理之傷

Web3的錢包即區(qū)塊鏈數(shù)字錢包，也稱加密貨幣錢包或數(shù)字資產(chǎn)錢包，是存儲和管理、使用數(shù)字貨幣的工具，在區(qū)塊鏈領域有舉足輕重的地位，是用戶接觸數(shù)字貨幣的入口。如今，隨著生態(tài)的發(fā)展，數(shù)字錢包已經(jīng)成為多鏈多資產(chǎn)的管理平臺。

據(jù)零時科技區(qū)塊鏈安全威脅情報平臺數(shù)據(jù)統(tǒng)計，截至2023年12月，數(shù)字錢包項目數(shù)量共有153個。據(jù) Blockchain.com數(shù)據(jù)統(tǒng)計，2023 年全球有超過 4 億人在使用加密資產(chǎn)。其中擁有加密錢包的用戶在 2022 年達到 8100 萬，而到 2023 年 11 月加密錢包用戶數(shù)已經(jīng)達到2.21 億，數(shù)量呈指數(shù)級增長。

作為Web3的入口，錢包早已成為黑客眼中的“香餑餑”。據(jù)零時科技數(shù)據(jù)統(tǒng)計，2023年，數(shù)字錢包發(fā)生安全事件35起，累計損失資產(chǎn)金額超6億美元。

2023年，被攻擊損失Top5的錢包安全事件主要來自：BitKeep、Solana、Cropto.com 、Transit、Bable Finanace，分別損失金額為：2億美元、1.3億美元、1.2億美元、1億美元和4000萬美元。其中BitKeep被攻擊損失金額最高。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，從安全事件數(shù)量來看，數(shù)字錢包的攻擊類型主要為：黑客攻擊、資產(chǎn)被盜、安全漏洞、釣魚攻擊和詐騙，分別占比44.9%、35.5%、27%、13.4%、9.8%。攻擊占比最高，居于首位。

其中各主要攻擊類型對應的安全事件損失占比分別為：黑客攻擊造成損失最高，占比48.2%；安全漏洞造成損失其次，占比41%；資產(chǎn)被盜損失位列第三，占比28%。

錢包被攻擊，一般分為兩種情況。一種是機構(gòu)的錢包，另外一種是個人錢包。

數(shù)字錢包安全風險及措施建議

經(jīng)零時科技安全團隊分析，區(qū)塊鏈數(shù)字錢包存在多種形式，主要面臨的安全風險包括但不限于如下幾方面：

機構(gòu)端方面：運行環(huán)境的安全風險、網(wǎng)絡傳輸?shù)陌踩L險、文件存儲方式的安全風險、應用自身的安全風險、數(shù)據(jù)備份的安全風險等。

用戶端方面：面臨私鑰丟失或被盜：如偽裝客服騙取私鑰、黑客通過錢包升級定向攻擊收集用戶助記詞等信息、發(fā)送惡意二維碼引導客戶轉(zhuǎn)賬盜取資產(chǎn)、通過攻擊客戶存儲信息的云平臺盜取私鑰/助記詞、惡意軟件、空投欺騙、網(wǎng)絡釣魚、其他釣魚（預售、APP下載、中簽陷阱）等風險。

面對這些風險如何保護錢包安全？

從機構(gòu)端，零時科技安全團隊建議：

無論是中心化還是去中心化錢包， 軟件錢包還是硬件錢包在安全性方面必須有充分的安全測試，針對數(shù)字錢包的安全審計，零時科技安全團隊包括但不限于如下測試項：

1、網(wǎng)絡和通信安全測試.網(wǎng)絡節(jié)點應達到及時發(fā)現(xiàn)和抵抗網(wǎng)絡攻擊的功能；

2、錢包運行環(huán)境安全.錢包能夠?qū)Σ僮飨到y(tǒng)進行已知重大漏洞進行檢測，虛擬機檢測，完整性檢測；數(shù)字錢包需具有第三方程序劫持檢測功能，防止第三方程序劫持錢包盜取相關用戶信息。

3、錢包交易安全.錢包發(fā)出的所有交易必須進行簽名，簽名時必須通過輸入支付密碼解密私鑰，交易簽名生成后必須清除內(nèi)存中解密后的私鑰，防止內(nèi)存中的私鑰被竊取而泄漏等。

4、錢包日志安全.為了方便用戶進行審計錢包操作行為，防止異常操作和未授權(quán)的操作，需記錄錢包的操作日志，同時錢包日志必須通過脫敏處理，不得含有機密信息。

5、節(jié)點接口安全審計.接口需要對數(shù)據(jù)進行簽名，防止黑客對數(shù)據(jù)被篡改；接口訪問需要添加token認證機制，防止黑客進行重放攻擊；節(jié)點接口需要對用戶連接速率進行限制，防止黑客模擬用戶操作進行CC攻擊。

對用戶端，零時科技安全團隊建議：

1)做好私鑰存儲措施：如私鑰盡量手抄和備份，或使用云平臺和郵件等社交網(wǎng)絡傳輸或存儲私鑰。

2)使用強密碼，并且盡可能開啟兩步驗證MFA（或2FA），時刻保持安全意識提高警惕。

3)在更新程序版本時注意驗證 hash 值。安裝殺毒軟件，并盡可能使用防火墻。監(jiān)視你的賬戶/錢包，確認沒有惡意交易。

4)其中硬件錢包適合數(shù)字資產(chǎn)額度較大，需要更高安全保護等級的用戶。通常的建議是使用軟件錢包保存自己的小額資產(chǎn)，供日常使用，硬件錢包保存大額資產(chǎn)，這樣可以實現(xiàn)便利性和安全性兼?zhèn)洹?/p>

如果資金被盜怎么辦？

如果發(fā)生無意的授權(quán)操作，在資金未被盜之前，盡快將錢包資金轉(zhuǎn)出，并且取消授權(quán)；如果已經(jīng)發(fā)生授權(quán)之后的資金被盜或者私鑰被盜資金轉(zhuǎn)移情況，請立即聯(lián)系零時科技安全團隊進行資產(chǎn)追蹤。

5、 DeFi－Web3安全重災區(qū)

DeFi全稱：Decentralized Finance，一般翻譯為分布式金融或去中心化金融。DeFi項目大體分為五類：預言機、DEX、抵押借貸、穩(wěn)定幣資產(chǎn)、合成衍生品。

TVL全稱：Total Value Locked 即總鎖定價值。用戶所抵押的資產(chǎn)總值，是衡量DeFi生態(tài)發(fā)展的最重要指標之一，通常TVL增長代表項目發(fā)展的越好。

零時科技區(qū)塊鏈安全威脅情報平臺數(shù)據(jù)統(tǒng)計，截至2023年12月，DeFi項目共計1297個。據(jù)DeFi Llama 數(shù)據(jù)顯示，DeFi 總鎖倉價值達到390.51 億美元規(guī)模。其中以太坊占比58.59%，以230.2億美元的 TVL排名第一，其次是Tron，占比11.1%，以40.36億美元的TVL排名第二，BSC緊追其后，占比10.47%，以40.12億美元TVL排名第三。許多新興公鏈如Avalanche、Ploygon、Optimism 等通過擁抱 DeFi 快速發(fā)展鏈上生態(tài)，也吸引了 大量用戶和資金沉淀。

DeFi突出的智能合約安全問題已成為DeFi行業(yè)的最大挑戰(zhàn)。此外，沒有任何DeFi 服務商或監(jiān)管機構(gòu)可以退回錯誤轉(zhuǎn)移的資金。當黑客在智能合約或 DeFi 服務的其他方面發(fā)現(xiàn)漏洞盜取用戶資產(chǎn)時，也不一定有 DeFi 服務商來賠償投資者，加之很多隱秘互連的問題，可能引起一連串的金融事故。

根據(jù)零時科技數(shù)據(jù)統(tǒng)計，截至2023年12月 ，共發(fā)生DeFi安全事件24起，累計損失資產(chǎn)金額超7.2億美元。

以各生態(tài)發(fā)生的DeFi安全事件數(shù)量分布來看，Ethereum生態(tài)分別發(fā)生6起，占比均為25%，位列第一，BSC（BNB Chian）共發(fā)生5起，占比20%，占比均為24%，位列第二，Solana生態(tài)發(fā)生3起，占比15%，位列第三。

以各DeFi發(fā)生安全事件損失分布來看，排名前三的公鏈生態(tài)是，Ethereum生態(tài)DeFi事件損失金額超2.16億美元，占比30%，位列第一；Solana位列第二，損失金額1.44億美元，占比20%；BNB Chain位列第三，損失金額為1.3億美元，占比18%。由此可見，生態(tài)越是活躍，越受到黑客關注，損失也最為突出。

據(jù)零時科技數(shù)據(jù)統(tǒng)計，從DeFi攻擊類型來看，主要為：黑客攻擊、資產(chǎn)被盜、閃電貸攻擊和安全漏洞。其中各主要攻擊類型對應的安全事件數(shù)量分布占比分別為：黑客攻擊占比50%，居于首位；安全漏洞占比29%，位居第二；資產(chǎn)被盜占比20%，位居第三；閃電貸攻擊占比 16%， 位居第四。

從主要攻擊類型損失分布來看，黑客攻擊造成損失最高，占比48.6%，資產(chǎn)被盜次之，占比34.7%，安全漏洞位列第三，占比43%。

DeFi安全風險及措施建議

DeFi項目面對多重安全風險，從群體來分，分別為項目端（協(xié)議執(zhí)行）和用戶端；從安全種類來分，分別為各協(xié)議之間組合性的安全，包括組合之間的一些缺陷、智能合約安全、開源的安全，高收益伴隨著高風險，缺乏監(jiān)管等導致的一些安全問題。

從安全審計角度看，DeFi項目面臨的風險見下圖：

從協(xié)議執(zhí)行過程，DeFi風險包括：智能合約攻擊風險、經(jīng)濟激勵中的設計問題、保管風險、原協(xié)議的重新構(gòu)建、缺乏隱私等風險。

從用戶角度，DeFi用戶面臨的風險有：技術風險：智能合約存在漏洞，受到安全性攻擊；流動性風險：平臺的流動性耗盡；密鑰管理風險：平臺的主私鑰可能被盜取。安全意識風險：被釣魚，遇到套利跑路欺詐項目等。

零時科技安全團隊建議，作為項目方和用戶，可以從以下四點應對風險：

1）項目方在上線DeFi項目時，一定得找專業(yè)的安全團隊去做全面的代碼審計，而且盡可能地找多家共同審計，盡可能多地發(fā)現(xiàn)項目設計缺陷，以免在上線之后出現(xiàn)不必要的損失。

2）建議用戶參與這些項目投資時一定要做好把關，要對這個項目有一定的了解，或者是看它有沒有經(jīng)過安全審計后再上線。

3）增加個人安全意識，包括上網(wǎng)的行為和資產(chǎn)保存以及錢包使用等習慣，養(yǎng)成良好的安全意識習慣。

4）項目高收益高風險，參與需謹慎，不懂項目，盡量不參與，避免造成損失。

6、 NFT－釣魚攻擊的池塘

NFT是Non-Fungible Token的簡稱，是基于區(qū)塊鏈的非同質(zhì)化代幣，同時它是存儲在區(qū)塊鏈上的一種獨特的數(shù)字資產(chǎn)，常作為虛擬商品所有權(quán)的電子認證或憑證，可以購買或出售。

根據(jù)NFTScan數(shù)據(jù)，截至12月31日，已收錄的NFT項目4624個，共計1,476,479,394個NFT。當前NFT總市值達到256億美元，持有者達到473.38萬人。從各類項目市值分布來看，PFP（Picture for proof），即個人資料圖片類NFT市值遙遙領先，這也是目前使用場景最多的NFT，其次是收藏品。從目前八大主流公鏈上看NFT資產(chǎn)和合約，Polygon在資產(chǎn)和合約數(shù)上遙遙領先。

從交易規(guī)模來看：在24小時內(nèi)按銷量排名前 10 位的NFT交易平臺中，Blur排名第一，OKX NFT緊跟其后，OpenSea排名第三。從交易商來看，24小時內(nèi)按交易者、買家和賣家數(shù)量排名前 10 的市場中，Blur位列第一，OKX NFT排名第二、OpenSea排名第三。

隨著NFT價值凸顯，黑客也盯上了這塊肥肉。盡管目前整個加密市場正經(jīng)歷著劇烈的震蕩下行趨勢，但NFT的熱度不減。

據(jù)零時科技不完全統(tǒng)計，截至2023年12月，NFT賽道發(fā)生安全事件共計44起，累計損失資產(chǎn)金額約為6200萬美元。

從NFT賽道的攻擊類型來看，主要為：黑客攻擊、安全漏洞、資產(chǎn)被盜、釣魚攻擊和，對應安全事件數(shù)量占比分別為50%、35%、25%、23%。

從NFT主要攻擊類型損失金額占比看，黑客攻擊造成損失最多，占比50%；資產(chǎn)被盜次之，占比30%；安全漏洞居于第三，占比30%。

NFT安全風險及措施建議

目前在NFT賽道，黑客攻擊方式多種多樣。以群體來分，面臨風險的對象一般為平臺和用戶。

對于中心化平臺端，可能面臨的安全風險有：賬號風險、商業(yè)化競爭風險、安全意識風險、內(nèi)部人員風險、市場風險等。

對于用戶端，Discord攻擊成為今年的主要攻擊手法。

對于以上安全風險，零時科技安全團隊給出以下措施建議：

對于普通用戶，保護好自己的Discord，需要注意以下幾點：確保密碼足夠安全，使用字母數(shù)字特殊字符創(chuàng)建長的隨機密碼；開啟2FA身份驗證，密碼雖然本身足夠復雜但是不能依靠一個方式來保護；不要點擊來自未知發(fā)件人或看起來可疑的鏈接，考慮限制誰可以與您私信；不要下載程序或復制/粘貼你不認識的代碼；不要分享或屏幕共享你的授權(quán)令牌；不要掃描任何來自你不認識的人或你無法驗證其合法性的QR碼。

對于服務器所有者：審核您的服務器權(quán)限，尤其是對于 WebHook 等更高級別的工具；進行任何更改時，請保持官方服務器邀請更新并在所有平臺上可見，尤其是當大多數(shù)新服務器成員來自Discord 以外的社區(qū)時；同樣，不要點擊可疑或未知的鏈接！如果賬戶遭到入侵，可能會對管理的社區(qū)產(chǎn)生更大的影響。

對于項目：建議合約應嚴格判斷用戶輸入購買數(shù)量合理性；建議合約限制零資金購買NFT的可能性；建議對于ERC721及ERC1155協(xié)議的NFT Token進行嚴格區(qū)分，避免混淆情況發(fā)生假冒Discord官方案例。目前多個聊天軟件均會發(fā)現(xiàn)惡意 mint 鏈接，也有不少用戶資金被盜，為了避免此類盜幣事件，建議大家在進行mint 操作時，驗證鏈接來源可靠性，同時確保實際簽署交易的內(nèi)容和預期相符。

7、安全教育-Web3安全盾牌

知名的搜狐全體員工遭遇工資補助釣魚郵件詐騙案例讓很多企業(yè)認識到，網(wǎng)絡安全意識如果不提高，未來面臨的商業(yè)機密等各項安全事件勢必會影響企業(yè)發(fā)展。Web3去中心化自組織的參與方式，讓個人意識到，如果不提高安全意識，就會淪為黑客的提款機。

目前市場已經(jīng)有電視劇、電影、社區(qū)等多種方式來提高個人的網(wǎng)絡安全意識，零時科技也在各平臺布道了上百篇網(wǎng)絡安全知識。

除此外，零時科技也自研了安全意識評估管理平臺，主要面向包括政府、公安、教育、金融、電力等對網(wǎng)絡安全意識有需求的行業(yè)機構(gòu)，網(wǎng)絡安全意識評估平臺以網(wǎng)絡釣魚技術為基礎，幫助企業(yè)構(gòu)建私有云化的網(wǎng)絡安全意識評估管理平臺，集成理論系統(tǒng)、釣魚演練、主機檢測、管理考核、場景定制的系統(tǒng)，實現(xiàn)企業(yè)持續(xù)系統(tǒng)化提升全員網(wǎng)絡安全意識。除此之外，基于零時科技安全團隊的專業(yè)實力，也為企業(yè)網(wǎng)絡安全咨詢和培訓服務，從源頭堅實安全盾牌。

結(jié)語

Web3因其巨大的創(chuàng)新能力和開源優(yōu)勢成為蓬勃發(fā)展的新一代網(wǎng)絡基礎設施，為整個互聯(lián)網(wǎng)世界帶來更加可信，可傳遞價值的生態(tài)系統(tǒng)。盡管Web3行業(yè)安全事件不斷，黑客和犯罪分子各種手法層出不窮，但這并不能阻礙Web3行業(yè)的健康發(fā)展。

相反，如同對弈的雙方，Web3世界的“白帽子”，像我們零時科技一樣的安全機構(gòu)，一定會為這一繁茂的生態(tài)保駕護航，守護新世界用戶的資產(chǎn)，與黑客斗智斗勇，為建立起更加完善的機制、更強的技術系統(tǒng)、更加安全交易而不斷努力。

漏洞常在，安全無價，發(fā)展與安全的博弈不會停止，但愿我們都能為自己裝上一個安全盾，來應對這未來復雜的技術世界！