CertiK二季度Web3.0行业报告：详解3.1亿美金损失“幕后黑手”

黑客等恶意行为者在 2023 年第二季度从 Web 3.0 行业中榨取了 3.1 亿美元的价值。

该数字与第一季度的 3.2 亿美元损失接近，比 2022 年第二季度的 7.45 亿美元损失下降了 58％ 。

CertiK 总共发现了 212 起安全事件，这也就意味着第二季度每起事件的平均损失为 148 万美元。这一数字比第一季度每起事件的平均损失 156 万美元略有下降。

98 起退出骗局从投资者那里偷走了 7, 035 万美元，比第一季度退出骗局造成的 3, 100 万美元的损失增加了一倍多。

54 起闪电贷攻击及预言机操纵事件使攻击者赚取了 2, 375 万美元。这比第一季度的 52 起预言机操纵总损失 2.22 亿美元大幅下降了。当然，上个季度由于 Euler Finance 损失数额巨大，仅这一漏洞就占据了上一季度总金额的 85％ 。

此外，行业内正在发生一些“链下”大事件：美国证券交易委员会对虚拟货币两个最大交易所提出指控；而世界上最大的资产管理公司提交了一份比特币 ETF 的申请。

同时，CertiK 安全研究人员还发现了主要区块链协议和应用中的一些重大漏洞，包括 Sui 验证器节点和 ZenGo 的 MPC 钱包中的安全风险。

报告获取更多细节内容及数据。

MEV 机器人在以太坊的 16964664 区块被黑客利用。一名恶意验证者替换了数笔 MEV 交易，导致约 2538 万美元损失。这一事件是迄今为止针对 MEV 机器人的最大攻击。该事件是在以太坊区块 16964664 中发生的，有 8 个 MEV 交易被恶意验证者利用。这个验证者成立于 2023 年 3 月 15 日，由外部地址（EOA）0 x 687 A 9 建立，并一直设法渗透到防止抢先交易的 Flashbot 中。

然而，MEV-boost-relay 中的一个漏洞使恶意验证器可以重新进行捆绑交易，拦截 MEV 机器人部分夹层策略，特别是反向交易。由于上述漏洞，验证者看到了详细的交易信息。有了这些详细的交易信息，恶意验证者可以建立他们自己的区块，并在最初的 MEV 机器人交易之前插入他们的前置交易。

总的来说，这个恶意验证器成功地从 5 个 MEV 机器人中窃取了大约 2500 万美元，这也是目前为止 CertiK 发现的 MEV 机器人损失金额最大的事件之一。在过去的 12 个月里，只有 6 个 MEV 机器人的漏洞被发现，而仅本次事件就占了总损失 2750 万美元的 92％ 。恶意验证者利用 MEV-boost-relay 漏洞，通过提交一个无效但正确签名的区块开始攻击。在看到区块内的交易后，验证者可以重新捆绑它们，以从 MEV 机器人那里索取资产。该漏洞已于后续被修补。

更多关于 MEV 机器人及三明治攻击的内容，请查看报告获取。

Atomic Wallet 被黑

今年 6 月初， 5000 多名 Atomic Wallet 用户遭遇了本季度最大的安全事件，损失超 1 亿美元。起初，Atomic Wallet 表示不到 1％ 的月活用户成为此次事件的受害者，后来改成不到 0.1％ 。如此规模的攻击和巨大损失凸显了钱包应用中安全漏洞的严重性。攻击者以用户私钥为目标，获得对他们资产的完全控制。在获取密钥后，他们能够将资产转移到自己的钱包地址，清空受害者的账户。

散户报告的损失金额大小不一，其中最高达到 795 万美元。五名金额最大的散户受害者的累计损失高达 1700 万美元。为了挽回损失，Atomic Wallet 公开向攻击者提出了一个提议，他们承诺放弃 10％ 的被盗资金，以换取 90％ 被盗的代币。然而，根据 Lazarus Group 的历史记录，加上被盗资金已开始被清洗，追回资金的希望非常渺茫。

更多关于 Atomic Wallet 以及“幕后黑手”的分析，请查看报告获取。

CoinDesk 对该事件进行了报道，随后各大媒体也紧随其报道发布了相关新闻。

该安全漏洞被形象地称为“仓鼠轮”：其独特的攻击方式与目前已知的攻击不同，攻击者只需提交一个大约 100 字节的载荷，就能触发 Sui 验证节点中的一个无限循环，使其不能响应新的交易。此外，攻击带来的损害在网络重启后仍能持续，并且能在 Sui 网络中自动传播，让所有节点如仓鼠在轮上无休止地奔跑一样无法处理新的交易。因此我们将这种独特的攻击类型称为“仓鼠轮”攻击。

发现该漏洞后，CertiK 通过 Sui 的漏洞赏金计划向 Sui 进行了报告。Sui 也第一时间进行了有效回应，确认了该漏洞的严重性，并在主网启动前积极采取了相应措施对问题进行了修复。

除了修复此特定的漏洞外，Sui 还实施了预防性的缓解措施，以减少该漏洞可能造成的潜在损害。为了感谢 CertiK 团队负责地披露，Sui 向 CertiK 团队颁发了 50 万美元奖金。

详情请查看报告获取文字及视频内容。

基于 MPC 钱包的服务器级别漏洞

多方计算（MPC）是一种加密方法，允许多个参与者对其输入的函数进行计算，同时保护这些输入的隐私。其目标是确保这些输入不与任何第三方共享。该技术有多种应用，包括保护隐私的数据挖掘、安全拍卖、金融服务、安全的多方机器学习，以及安全的密码和机密共享。

CertiK 的 Skyfall 团队在对目前流行的多方计算（MPC）钱包 ZenGo 进行预防性安全分析的过程中，发现该钱包的安全架构存在一个严重漏洞，它被称为“设备分叉攻击”。攻击者可以利用它绕过 ZenGo 现有的安全防护措施，从而有机会控制用户的资金。该攻击的关键是利用 API 中的漏洞来创建一个新的设备密钥，从而欺骗 ZenGo 服务器将它视为真实用户的设备。

依据负责披露原则，Skyfall 团队迅速向 ZenGo 报告了此漏洞。在认识到问题的严重性后，ZenGo 的安全团队迅速采取行动进行修复。为了防止攻击的可能性，该漏洞已在服务器的 API 层面上得到修复，因此无需对客户端代码进行更新。在漏洞修复完成后，ZenGo 公开承认了这些发现，并感谢 CertiK 在加强其基于 MPC 钱包的安全性和可信度方面发挥的重要作用。

“多方计算具有广阔的前景，在 Web 3.0 领域有许多重要的应用。虽然 MPC 技术减少了单点故障带来的风险，但 MPC 解决方案的实施会给加密货币钱包设计带来新的复杂情况。这种复杂性会导致新的安全风险，说明全面的审计和监控方法是必不可少的。” —— 李康教授，CertiK 首席安全官

详情请查看报告获取图文详细分析。

下载方式

1. 复制链接至浏览器：http://certik-2.hubspotpagebuilder.com/2023-q2-web3-cn-0即刻下载！

2. 关注 CertiK 官方微信公众号后台留言【 2023 第二季度报告】即可获取 PDF 下载链接