本章作者：Beosin研究團隊Eaton1、2024年上半年Web3Blockchain安全態勢綜述

據BeosinAlert監控及預警顯示，2024年Q3Web3領域因黑客攻擊、釣魚詐騙和項目方RugPull造成的總損失達到了7.3億美元。其中主要攻擊事件23起，總損失金額約4.3億美元；項目方RugPull事件3起，總損失約424萬美元；釣魚詐騙總損失金額約2.95億美元。

從被攻擊項目類型來看，損失最高的項目類型為CEX，3次針對CEX的攻擊共造成了約2.97億美元的損失，約占所有攻擊損失金額的40.6%。

從各鏈損失金額來看，Ethereum依舊為損失金額最高、攻擊事件最多的鏈。21次Ethereum上的攻擊與釣魚事件造成了3.48億美元的損失，約占總損失的47.6%。

從攻擊手法來看，Q3共發生5次私鑰泄露事件，造成損失達到了3.05億美元，約占總攻擊損失金額的41.7%，是占比最高的攻擊類型。

從資金流向來看，僅約有1690萬美元被盜資金被凍結或追回。絕大部分（約78.9%）被盜資金仍存儲在攻擊

者的鏈上地址。

從審計情況來看，被攻擊的項目中，經過審計的項目方比例有所增加。2、被攻擊項目類型

CEX為損失金額最高的項目類型

2024年Q3，損失最高的項目類型為CEX，3次針對CEX的攻擊共造成了約2.97億美元的損失，占所有攻擊損失金額的40.6%。CEX安全事件雖然次數不多，但每次被盜金額都巨大，凸顯了當前交易所生態的安全態勢不容樂觀。

緊隨其后損失排在第二位的受害者類型為用戶錢包。8次針對用戶錢包的釣魚與社會工程學攻擊對普通用戶造成了約2.95億美元的損失，占比約40.3%。和2024年上半年相比，Q3針對普通用戶的攻擊和造成的損失有了大幅增加。

23起黑客攻擊事件中，共有12起事件發生在DeFi領域，占比約52.1%，是攻擊次數最多的項目類型，這12次DeFi攻擊事件共導致了超過4560萬美元的損失，排在所有項目類型的第四位。

其他被攻擊的項目類型還包括：基礎設施、Tokens等。其中針對公鏈及跨鏈橋的攻擊造成的損失金額達8500萬美元，排在所有項目類型的第三位。

損失金額排名第二的公鏈為BTC，共計損失2.38億美元，約占總損失的32.5%。BTC損失金額來自于一次針對某巨鯨地址的社會工程學攻擊。

損失金額排名第三的公鏈為Luna（6500萬美元），攻擊者利用了ibc-hooks超時回調中的重入漏洞對Luna進行了攻擊。

按照安全事件數量排名，前兩名分別為Ethereum（21次）、BNBChain（4次）。各鏈生態的安全事件數量較上半年有所下降。4、攻擊手法分析

約41.7%的損失金額來自私鑰泄露事件

2024年Q3，共發生5次私鑰泄露事件，造成損失達到了3.05億美元，約占總攻擊損失金額的41.7%。和上半年相同，私鑰泄露事件造成的損失依舊是所有攻擊類型的第一位。造成較大損失的私鑰泄露事件有：WazirX（2.3億美元）、BingX（4500萬美元）、Indodax（2200萬美元）。

損失金額排名第二的攻擊手法為社會工程學攻擊，1次社會工程學攻擊造成損失2.38億美元。

23起攻擊事件中，有18起來自合約漏洞利用，占比約78%。合約漏洞利用總損失達1.28億美元，排名第三。

按照漏洞細分，造成損失前三名的漏洞分別為：重入漏洞（9346萬美元）、業務邏輯漏洞（約209萬美元）、校驗漏洞（1001萬美元）。出現次數最高的漏洞為業務邏輯漏洞，18起合約漏洞攻擊中有7次是業務邏輯漏洞。5、反*洗*錢典型事件分析回顧5.1BeosinTrace對LI.FI事件進行追蹤分析

7月16日，據BeosinAlert監控預警發現跨鏈協議LI.FI遭受攻擊，攻擊者利用項目合約中存在的call注入漏洞，盜取授權給合約的用戶資產。

LI.FI項目合約存在一個depositToGasZipERC20函數，可將指定Tokens兌換為平臺幣并存入GasZip合約，但是在兌換邏輯處的代碼未對call調用的數據進行限制，導致攻擊者可利用此函數進行call注入攻擊，提取走給合約授權用戶的資產。

本次事件除了call注入的合約漏洞外，還有一點值得注意，即Diamond模式下，Facet合約的配置問題。進一步分析發現，GasZipFacet合約是在被攻擊的5天前部署，并在被攻擊前十多個小時由項目的多簽管理員在LI.FI主合約進行注冊的。

所以，通過這次事件可以發現，對于Diamond這類可升級模式，新增功能合約的安全性也需要得到高度重視。

BeosinTrace對被盜資金進行追蹤發現，損失金額包括633.59萬USDT、319.19萬USDC、16.95萬DAI，約1000萬美元。

BeosinTrace: 被盜資金流向圖

另一方面，黑客向地址0x35fe...745CA轉移8010億枚SHIB，價值高達1402萬美元，進行分批拋售。6、被盜資產的資金流向分析

據BeosinKYT反*洗*錢平臺分析顯示，2024年Q3被盜的資金中，僅有1690萬美元被盜資金被凍結或追回。該比例較上半年年顯著下降。

約有5.77億美元（約78.9%）的被盜資金還保留在黑客地址。隨著全球監管機構反*洗*錢力度的加大，黑客清洗贓款變得更加困難，因此相當一部分黑客選擇暫時將盜取資金保留在鏈上地址。

約有1.02億美元的被盜資金轉入了各交易所，占比約13.9%，該比例高于2024上半年。

共有3471.3萬美元（5.4%）轉入了混幣器。和上半年相比，2024年Q3通過混幣器清洗的被盜資金再次大幅減少。

4個沒有經過審計的項目中，合約漏洞事件占了3起（75%）。16個經過審計的項目中，合約漏洞事件占了11起（68.75%）。兩者整體比例大致相當。和上半年相比，2024年整體安全審計質量有所下滑。8、2024年上半年Web3Blockchain安全態勢總結

和2023年同期相比，2024年Q3因黑客攻擊、釣魚詐騙、項目方RugPull造成的總損失略有下降，達到了7.3億美元（2023年Q3這一數字為8.89億美元）。2024年Q3幣價下跌等因素對總金額的減少有一定的影響，但總體而言，Web3安全領域形勢依舊不容樂觀。

和上半年相同，2024Q3造成危害最大的攻擊類型依舊為私鑰泄露。約41.7%的損失金額來自私鑰泄露事件。從項目類型來看，私鑰泄露事件遍布于Web3各個領域：游戲平臺、Tokens合約、個人錢包、基礎設施、交易所等。各個Web3項目方/個人用戶都需要提高警惕，離線存儲私鑰、使用多重簽名、謹慎使用第三方服務、對特權員工進行定期安全培訓。

Q3僅有5.4%的被盜資產轉入了各類混幣器，另外有78.9%的資產還保留在黑客地址，這進一步說明了黑客清洗贓款難度的增加。

Q3依舊有13.9%的被盜資金轉入了各交易所，這需要交易所及時識別黑客行為，積極配合執法機構和項目方凍結資金和進行調證。目前交易所和執法機構、項目方、安全團隊的合作已經有了較為明顯的成果，相信未來會有更多被盜資金能夠追回。

Q3的23起攻擊事件中，依然有18起來自合約漏洞利用，建議項目方在上線前尋求專業的安全公司進行審計。