Web3 领域安全风险升高，加密资产盗窃损失超 3.5 亿美元

比特币价格再创新高，逼近 10 万美元大关。然而，伴随牛市而来的是 Web3 领域日益猖獗的诈骗和钓鱼活动，累计损失已超 3.5 亿美元。数据显示，黑客主要针对以太坊网络发起攻击，稳定币成为首要目标。本文将深入分析攻击方法、目标选择和成功率等关键数据。

加密安全生态概览

2024 年加密安全生态项目可分为多个细分领域。智能合约审计方面，Halborn、Quantstamp 和 OpenZeppelin 等老牌机构依然占据主导地位。鉴于智能合约漏洞仍是主要攻击媒介之一，全面代码审查和安全评估服务的需求持续旺盛。

DeFi 安全监控领域，DeFiSafety 和 Assure DeFi 等专业工具提供去中心化金融协议的实时威胁检测和预防服务。值得关注的是，人工智能驱动的安全解决方案正在崭露头角。

在当前 Meme 币交易火热的背景下，Rugcheck 和 Honeypot.is 等安全检查工具可帮助交易者提前识别潜在风险。

USDT 成为黑客最青睐目标

数据显示，以太坊网络上的攻击占所有事件的约 75%。其中，USDT 是遭受攻击最严重的资产，被盗总额达 1.12 亿美元，平均每次攻击损失约 470 万美元。ETH 位列第二，损失约 6660 万美元，DAI 紧随其后，损失 4220 万美元。

值得注意的是，一些市值较低的代币同样遭受大量攻击，这表明黑客也会瞄准安全性较弱的小众资产。2023 年 8 月 1 日发生的一起复杂欺诈攻击造成 2010 万美元损失，是单次损失最严重的事件。

Polygon 成为第二大受攻击网络

尽管以太坊仍是黑客的主要目标，占据 80% 的钓鱼交易量，但其他区块链网络也未能幸免。Polygon 成为第二大受攻击网络，占总交易量的 18%。黑客往往根据链上总锁仓量 (TVL) 和日活跃用户数来选择攻击目标，寻找流动性高、用户活跃度大的网络。

攻击频率和规模分析

2023 年是高价值攻击最为集中的一年，多起事件损失超过 500 万美元。攻击手段也日益复杂，从简单的直接转移演变为更隐蔽的基于授权的攻击。大规模攻击（损失超 100 万美元）之间的平均间隔约为 12 天，通常集中在重大市场事件和新协议发布前后。

主要攻击类型

代币转移攻击

这是最直接的攻击方式。黑客诱导用户将代币直接转移至其控制的账户。此类攻击单笔损失往往极高，主要利用用户信任心理，通过虚假页面和诈骗话术实施。攻击模式通常包括：使用相似域名模仿知名网站、营造紧迫感、提供看似合理的转账指令等。数据显示，此类攻击的平均成功率高达 62%。

授权钓鱼

这是一种技术上较为复杂的攻击手段，利用智能合约交互机制。黑客诱骗用户授予其对特定代币的无限制支配权。与直接转账不同，授权钓鱼会造成长期隐患，黑客可逐步耗尽受害者资金。

虚假代币地址

这种攻击策略综合了多种手段，黑客创建与合法代币同名但地址不同的假币进行交易。此类攻击利用用户疏于核对地址的弱点。

NFT 零元购

这种攻击专门针对 NFT 市场。黑客操纵用户签署交易，以极低甚至零价格出售其高价值 NFT。研究期间共发现 22 起重大 NFT 零元购事件，平均每起损失 378,000 美元。这类攻击利用了 NFT 市场特有的交易签名流程漏洞。

受害钱包分布

数据显示，交易价值与受害钱包数量呈明显反比关系。每笔交易 500-1000 美元的受害钱包数量最多，约 3,750 个，占比超过三分之一。这可能是因为小额交易中用户往往疏于警惕。1000-1500 美元区间的受害钱包数降至 2140 个。3000 美元以上的交易仅占总攻击数的 13.5%，表明大额交易时用户安全意识较强，或采取了更严格的防护措施。

随着牛市来临，复杂攻击的频率和平均损失可能进一步增加，对项目方和投资者的经济影响将更加显著。因此，区块链网络需不断加强安全措施，用户也应在交易时保持高度警惕，防范各类钓鱼和诈骗风险。