攻击手法概览

以上 187 起安全事件中，攻击手法主要分为四类：由项目自身设计缺陷和各种合约漏洞引起的攻击；包含 Rug Pull、钓鱼攻击等手法的 Scam；由于私钥泄露引起的资产损失；前端恶意攻击，这四种主要攻击手法占比安全事件总数量的 95%。

（2022 上半年攻击手法数量对比图）

（2022 上半年攻击手法损失对比图）

上半年由项目自身设计缺陷和各种合约漏洞引起的攻击共 92 起，造成损失 10.6 亿美元，其中利用闪电贷引起的攻击有 19 起，造成损失 6133 万美元。因私钥被盗引起的资产损失发生率约为 4%，损失金额却达到 7.2 亿美元。随着 Web3 的火热发展，针对用户和开发人员的攻击层出不穷，尤其是针对 Discord、Twitter 等媒体平台的钓鱼攻击，黑客通常会在获取到管理员或者账户权限后，伪装成管理员身份并发布钓鱼链接。并且这些钓鱼网站的制作成本非常低，在对知名 NFT 项目进行 Copy 后，通过赠送、免费等字眼诱导用户授权，从而转移用户资产。而 Rug Pull 则是项目方主动作恶，上半年 Rug Pull 事件已达到 42 起，大部分发生在 BSC 链。

总结

尽管 2022 年区块链技术正在飞速发展并且逐渐完善，但层出不穷的加密货币攻击事件对区块链生态安全态势提出了新的挑战。从统计数据来看，上半年发生安全事件次数较多的月份主要在 5、6 月；从各生态来看，BSC 上安全事件发生最多；从赛道来看，损失最多的是跨链桥。

（2022 上半年各月份各生态赛道事件分布）

对此慢雾安全团队建议：

对于机构和企业来说，最好能够建立全面的网络安全防护系统，防护从各个层次入侵的网络安全威胁，并通过威胁感知体系快捷获取病毒木马、钓鱼诈骗、网络安全预警、漏洞报告在内的安全情报，一旦发生安全威胁能够及时进行处理。

对于个人用户来说，遵守以下安全法则及原则，可以避免大部分风险：

两大安全法则：

• 零信任。简单来说就是保持怀疑，而且是始终保持怀疑。

• 持续验证。你要相信，你就必须有能力去验证你怀疑的点，并把这种能力养成习惯。

安全原则：

• 网络上的知识，凡事都参考至少两个来源的信息，彼此佐证，始终保持怀疑。