比特幣再次突破了歷史新高,接近99,000美元,直逼10萬美元大關。回顧歷史數據,牛市時Web3 領域的詐騙和釣魚活動層出不窮,總損失超過3.5 億美元。分析顯示,駭客主要以太坊網路的攻擊為主,穩定幣是主要目標。根據歷史交易和釣魚數據,我們對攻擊方法、目標選擇和成功率進行了深入研究。
加密安全生態圖譜
我們將2024 年的加密安全生態項目進行了細分分類。在智慧合約審計領域,有Halborn、Quantstamp 和OpenZeppelin 等老牌參與者。智慧合約漏洞仍然是加密領域的主要攻擊媒介之一,提供全面程式碼審查和安全評估服務的專案也各有春秋。
DeFi 安全監控部分有DeFiSafety 和Assure DeFi 等專業工具,專門針對去中心化金融協議的即時威脅偵測和預防。值得注意的是人工智慧驅動的安全解決方案的出現。
近期Meme 交易十分火爆,Rugcheck 和Honeypot.is 等安全檢查工具可以幫助交易者提前識別一些問題。
USDT 是被盜最多的資產
根據bitsCrunch數據,基於以太坊的攻擊約佔所有攻擊事件的75%,USDT 是最被攻擊的資產,竊盜量達1.12 億美元,USDT 平均每次攻擊價值約470 萬美元。受影響第二大的資產是ETH,損失約6,660 萬美元,其次是DAI,損失4,220 萬美元。
值得注意的是,市值較低的代幣受到的攻擊量也非常高,這表明攻擊者會伺機竊取安全性較低的資產。最大一起事件是發生在2023 年8 月1 日的一次複雜的詐欺攻擊,造成2010 萬美元的損失,
Polygon 是攻擊者的第二大目標鏈
雖然以太坊在所有釣魚事件中佔據主導地位,佔80%的釣魚交易量。但其他區塊鏈上也觀察到了竊盜活動。 Polygon 成為第二大目標鏈,交易量約佔18%的。往往盜竊活動與鏈上TVL和每日活躍用戶密切相關,攻擊者會根據流動性和用戶活動進行判斷。
時間分析與攻擊演變
攻擊頻率和規模有不同模式。根據bitsCrunch數據, 2023 是高價值攻擊最集中的一年,多起事件的價值超過500 萬美元。同時,攻擊的複雜性逐漸演變,從簡單的直接轉移變為更複雜的基於批准的攻擊。重大攻擊(>100 萬美元)之間的平均時間約為12 天,主要集中在重大市場事件和新協議發布前後。
釣魚攻擊類型
代幣轉移攻擊
代幣轉移是最直接的攻擊方法。攻擊者會操縱用戶將其代幣直接轉移到攻擊者控制的帳戶。根據bitsCrunch數據,常這類攻擊的單筆價值極高,利用用戶信任,虛假頁面和詐騙話術說服受害者自願發起代幣轉移。
這類攻擊通常遵循以下模式:透過相似域名,完全模仿某些知名網站建立信任感,同時在用戶互動時營造緊迫感,提供看似合理的代幣轉移指令。我們的分析顯示,這類直接代幣轉移攻擊的平均成功率為62%。
核准網路釣魚
核准網路釣魚主要是利用智慧合約互動機制,是技術上較為複雜的攻擊手段。在這種方法中,攻擊者會誘騙用戶提供交易批准,從而授予他們對特定代幣的無限消費權。與直接轉帳不同,核准網路釣魚會產生長期漏洞,被攻擊者會逐步耗盡資金。
虛假代幣地址
地址中毒是一種綜合多方面的攻擊策略,攻擊者使用與合法代幣同樣名稱但不同地址的代幣創建交易。這些攻擊利用用戶對地址檢查的疏忽,從而得到收益。
NFT 零元購
零元購網路釣魚專門針對NFT 生態的數位藝術和收藏品市場的攻擊。攻擊者會操縱用戶簽署交易,大幅降低的價格甚至免費出售其高價值的NFT。
我們的研究在分析期間發現了22 起重大NFT 零購買網路釣魚事件,平均每起事件損失378,000 美元。這些攻擊利用了NFT 市場固有的交易簽章流程。
被盜者錢包分佈
此圖表中的數據揭示了被盜者錢包在不同交易價格範圍內的分佈模式。我們發現,交易價值與受害錢包數量之間明顯的反比關係——隨著價格的增加,受影響的錢包數量逐漸減少。
每次交易500-1000 美元的受害錢包數量最多,約3,750 個,佔三分之一以上。金額較小的每筆交易往往受害者並不會在意細節。 1000-1500 美元每筆交易下降至2140 個錢包。 3000 美元以上總共只佔受攻擊總數的13.5%。由此可見,金額越大,安全措施更強,或者受害者在涉及較大金額時考慮也得更周全。
透過分析數據,我們揭示了加密貨幣生態系統中複雜且不斷演變的攻擊方式。隨著多頭市場到來,複雜攻擊的頻率將會越來越高,平均損失也越來越大,對專案方和投資者的經濟的影響也會很大。因此,不僅區塊鏈網路都需要加強安全措施,我們自身在交易時要多加註意,防止釣魚事件的發生。
