CertiK近期發(fā)布了《Web3 安全季度報告》（2022年第二季度版），報告描述了2022年第二季度的Web3網絡安全質量的狀況，并指出2022年第一、二季度與web3網絡相關的經濟損失已超20億美元，超越2021年全年創(chuàng)歷史新高。同時在網絡攻擊方面，“閃電貸”攻擊和互聯(lián)網釣魚攻擊也在突破歷史記錄，“閃電貸”攻擊在第二季度造成了高達3.08億美元的損失，遠超過去的季度高峰。而網絡釣魚攻擊雖損失金額略低于一季度，但攻擊頻次與第一季度相比卻上升了170%。

當然報告中也存在著一些好消息，受到NFT市場的整體萎靡影響，雖然與第一季度相比地毯騙局（Rug pulls）與退市騙局的攻擊次數(shù)略微上升16%，達到89次，但損失金額大幅度下降，僅僅造成了3800萬美元的損失。而針對特定漏洞的大規(guī)模攻擊也有同樣的趨勢，雖然攻擊頻次上升了6次達到39次，攻擊損失5.2億美元，但均次的損失僅有1330萬元。

屢防不止的釣魚攻擊

整個第二季度，CertiK記錄到了共計290次釣魚攻擊，與第一季度的106次攻擊相比相比，整體頻次增加了170%，這些攻擊絕大部分是針對Discord和Telegram這樣的社交媒體平臺。那么為什么這些社交平臺出現(xiàn)釣魚攻擊的頻率如此之高呢？首先NFT與這些社交媒體平臺高度關聯(lián)，是用戶普遍首選的NFT 社交平臺，其次由于Discord和Telegram這樣的社交媒體平臺并不支持賬戶驗證，因而長期存在相關的安全隱患。

快速上升的閃貸式攻擊

“閃電貸”攻擊趨勢在快速地攀升，已經成為NFT領域攻擊的新威脅，這種去金融中心化的機制，使得攻擊者能夠在極端短的時間內訪問大量的加密代幣，以此來操縱某種NFT貨幣的價格。根據(jù)CertiK的統(tǒng)計記錄，第二季度總共有27次攻擊共造成308,002,694美元的損失。與第一季度相比，無論從攻擊的數(shù)量，還是從每次攻擊的損失金額來看，都有驚人的增長。在攻擊次數(shù)上第一季度僅發(fā)生14次，第二季度則增長了66.7%達到27次，損失的資金從第一季度的14,178,471美元增加到第二季度的308,002,694美元，增長了2000%以上。第二季度還發(fā)生了兩起特大“閃電貸”攻擊事件，F(xiàn)ei Protocol在攻擊中損失了0.79億美元。而Beanstalk Farms在攻擊中甚至占到了本季度損失的59%，金額高達1.82億美元。

2022年第二季度閃貸式攻擊損失前十

但即使在排除了這兩件超大規(guī)模的“閃電貸”攻擊事件，第二季度的平均損失金額也遠高于第一季度，可以說第二季度“閃電貸”攻擊造成攻擊損失是毀滅性的，是自“閃電貸”攻擊出現(xiàn)以來的一個歷史高峰?？梢灶A見到“閃電貸”攻擊的威脅形勢遠不止如此，CertiK預計今年全年“閃電貸”攻擊造成的損失相比21年很可能會增長78%，達到約6.57億美元。甚至由于大部分小型“閃電貸”攻擊（金額低于10萬美元）難以被統(tǒng)計到，所以NFT市場的整體損失很可能不止于此，具體金額只高不低。

萎縮的地毯騙局與退市騙局

地毯騙局與退市騙局在統(tǒng)計中仍是一種相當常見的攻擊形式，第二季度CertiK統(tǒng)計到的相關騙局共有89起攻擊事件，共計損失3700萬美元，與去年同期高達2.65億美元的經濟損失相比，損失金額出現(xiàn)斷崖式下跌。而在攻擊頻次方面相關騙局的頻次與一季度相比小幅度上升16%?？傮w而言在地毯騙局與退市騙局騙局方面，第二季度繼續(xù)延續(xù)了總體下降趨勢，雖然在攻擊次數(shù)方面小幅度回彈，但損失金額仍然處于下降趨勢。之所以這兩個騙局會出現(xiàn)這樣的趨勢，要得益于NFT市場的萎縮低迷，鮮少有大筆新的活躍資金進入市場，而原有的投資者在經歷過多家公司破產倒閉后也變得相當謹慎，最終使得騙局難以實現(xiàn)，自然就會趨于萎縮狀態(tài)。

稍有緩解的傳統(tǒng)漏洞攻擊

第二季度Certi記錄到的39次漏洞攻擊總計造成了超過5.2億美元的漏洞損失。與第一季度相比，該方面的損失存在明顯下降，與第一季度的12億美元相比下降了57%。但令實際上，漏洞攻擊的數(shù)量沒有下降，反而是從33次略微增加到39次。 這一差異大部分是由對Ronin網絡的6.24億美元的地震式攻擊造成的，該事件的經濟損失占第一季度漏洞損失的一半以上。不過好消息是，即使在不計算針對Ronin網絡攻擊造成的損失，第二季度每個漏洞的平均資金損失也從一季度的1900萬下降到1330萬。

2022年第二季度漏洞攻擊損失前十

總結

2022年Web3損失慘重，基于第一季度與第二季度的損失情況，全年的損失金額可能會創(chuàng)歷史之最。當前各類攻擊令人防不甚防，不僅要應對各類舊有的，如漏洞攻擊、釣魚攻擊、退市騙局等攻擊，新興的“閃電貸”攻擊也成為了極為嚴峻的挑戰(zhàn)，倘若不做好各類防護措施，那么勢必會出現(xiàn)各類的問題，造成大量經濟損失。雖然在退市攻擊和漏洞攻擊上，第二季度的損失呈現(xiàn)下降趨勢，但同樣也需要持續(xù)關注并做好。要維護好Web3網絡安全仍是一條極為漫長的道路，需要我們不斷關注防備，才能避免各類損失。?