摘要

2022年，是加密世界多元化创新的一年，但创新的背后，也发生了许多让人咋舌的安全事件。零时科技安全团队发布了《2022年全球Web3行业安全研究报告》，回顾了2022年Web3行业全球政策，主要赛道所涵盖基本概念、安全事件、损失金额和攻击类型，并对典型安全事件进行了详细剖析，提出了安全预防方案和措施建议。希望帮助从业者和用户能够了解Web3安全现状，提高网络安全意识，保护好数字资产，做好安全预防措施。

关注【零时科技】公众号，回复【报告】，即可获取详细版PDF报告！

1、2022年，全球Web3行业加密货币总市值最高达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降，但整体资产数量规模正在不断扩大。

1. 据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。

3、Web3六大主要赛道：公链、跨链桥、钱包、交易所、NFT、DeFi共发生安全事件136起，造成损失超40.21亿美元。此外，新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件不断，损失严重。

4、2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。其中典型代表有：跨链互操作协议Poly Network，损失6.25亿美元；交易所FTX，损失6亿美元；Solona生态钱包，损失5.8亿美元。

5、2022年，全球Web3安全事件攻击类型多样，从安全事件数量看，典型攻击类型Top5为：黑客攻击、资产被盗、安全漏洞、私钥窃取、钓鱼攻击。从损失金额看，典型攻击类型Top5为：资产被盗、黑客攻击、私钥窃取、价格操纵、闪电贷攻击。

1. 本年度最具有代表性的监管案例为：美国财政部下属外国资产控制办公室 (OFAC) 对Tornado Cash协议实施制裁，禁止美国实体或个人使用Tornado Cash服务。根据美财政部披露，自2019年成立以来，Tornado Cash已帮助洗钱超70亿美元。

一、全球Web3行业回顾与安全态势概览

Web3是指基于加密技术的新一代网络，融合了区块链技术、代币经济学、去中心化组织、博弈论等多种技术和思想，由以太坊联合创始人Gavin Wood在2014年提出。Web3基于区块链搭建，从2008年至今，区块链技术已发展14余年。Web3行业在2022年的爆发离不开区块链产业发展多年的积淀。

从用户视角看Web3生态，可分为基础层、应用层和第三方服务。基础层以公链、跨链桥和联盟链等链为主，为Web3提供网络基础设施；应用层则以APP（中心化应用程序）和DAPP（去中心化应用程序）为主，即用户常用来交互的应用程序，包含交易平台、钱包、DeFi、NFT、GameFi、DAO、存储和社交软件等。基础层和应用层促进了Web3生态的繁荣，但也为Web3带来巨大的安全隐患。服务生态是Web3行业的第三方，其中媒体、教育孵化和投资机构为行业提供助力，安全服务机构如零时科技，是为Web3安全保驾护航不可或缺的一部分。

截至2022年12月，据coinmarketcap数据统计，全球Web3行业加密货币总市值最高时达2.4万亿美元，受行业爆雷事件影响，相比去年最高总市值2.97万亿美元，今年有所下降。虽总市值有波动，但整体资产数量规模正在不断扩大。由于行业创新节奏快、用户安全意识薄弱、监管有待完善、安全问题突出，Web3正在沦为黑客的“提款机”。

据零时科技数据统计，2022年共发生安全事件306起，累计损失达101亿美元。相比2021年，今年Web3安全事件新增64起，同比增长26%。其中公链、跨链桥、钱包、交易所、NFT、DeFi这六大主要赛道发生安全事件136起，造成损失超40.21亿美元。

除了以上六大主要赛道外，其他安全事件共计170起，损失金额达60.79亿美元，如新兴领域如GameFi、DAO成为黑客频扰的对象，诈骗和跑路事件层出不穷。随着多个巨头入局元宇宙与NFT，未来，链上资产规模还将持续增长，Web3网络安全侵害数字可能继续飙升。

据零时科技数据统计，2022年全球Web3生态六大主要赛道中：公链发生安全事件10起，共计损失约1.57亿美元；跨链桥发生安全事件14起，共计损失13.38亿美元；交易所发生安全事件19起，共计损失11.92亿美元；钱包发生安全事件25起，共计损失6.93亿美元；DeFi发生安全事件25起，共计损失5.93亿美元；NFT发生安全事件44起，损失超4256万美元。

从主要赛道发生的安全事件数量来看，NFT安全事件最多，这和它成为2022业界追捧的热门赛道脱不开关系。另一方面，由于进入Web3行业人数的增多，钱包和DeFi成为安全事件的重灾区。从损失金额看，跨链桥位列第一，遭受损失最大。

2022年，从全球Web3发生的安全事件数量看，典型攻击类型Top5为：黑客攻击，占比37%；资产被盗，占比19%；安全漏洞，占比13%；私钥窃取，占比9%；钓鱼攻击，占比7%。

从损失金额看，全球Web3安全事件典型攻击类型Top5为：资产被盗，损失金额为55.81亿美元；黑客攻击，损失金额30.29亿美元；私钥窃取，损失金额为12.5亿美元；价格操纵，损失金额为2.32亿美元；闪电贷攻击，损失金额1.37亿美元。

值得注意的是，2022年发生的多起安全事件不只受到一种攻击，有些事件可能同时出现资产被盗、私钥窃取、黑客攻击、私钥泄漏及安全漏洞等。

注：主要攻击类型释义如下

资产被盗：虚拟币被盗，平台被盗

黑客攻击：黑客等多种类型攻击

信息泄露：私钥泄露等

安全漏洞：合约漏洞、功能漏洞

错误权限：系统权限设置错误，合约权限错误等

钓鱼攻击：网络钓鱼

价格操纵：价格操纵

据零时科技区块链安全情报平台监控消息，2022年损失超1亿美金的典型安全事件共损失28.45亿美元，占2022年总损失金额28%。

二、全球Web3监管政策

2022年，基于区块链的下一代互联网Web3迎来增长高峰，面对这个拥有金融科技特征的新兴行业，全球政府和监管机构对其密切关注。Web3应用领域广泛、全球分布协作、技术含量较高，加之全球各国及其内部各地监管机构对Web3产业发展方向和数字资产定义不统一，为全球金融监管带来了巨大挑战。2022年金融犯罪、黑客攻击、诈骗勒索、洗钱事件频发，金额庞大，损失严重，影响广泛。为确保Web3的安全性和合规性，各国纷纷出台监管政策。

从全球对Web3整体的监管政策来看，投资者保护和反洗钱(AML）是全球共识，对加密货币交易所的接受和监管，各国差异较大。美国国会议员提出“确保Web3发生在美国”，正加速监管创新；欧盟各国政策较为明确和积极；日本、新加坡、韩国受2022暴雷事件影响，监管趋严；中国大陆依旧鼓励区块链技术应用，严禁金融机构和支付组织参与虚拟货币交易和非法集资，加大加密货币犯罪事件打击。中国香港则全面扶持虚拟资产发展，实施牌照制；阿联酋在全球最为积极，拥抱加密货币资产。对于NFT、稳定币、DeFi、资产协议和DAO领域，全球正处于监管探索状态。

三、2022年Web3各生态安全现状

Web3是一个比较特殊的行业，最突出的特点就是涉及大量数字加密资产的管理，动辄千万上亿的资产全部存在链上，通过一个特有的私钥来确权，谁掌握了这个私钥，谁就是资产的主人。如果生态中某一应用或协议被黑客攻击，就可能造成巨额损失。随着生态的快速发展，各种新型攻击手法和诈骗手段层出不穷，整个行业在安全的边缘中博弈前进。零时科技安全团队对Web3存在的攻击类型进行了观察统计，目前主要有以下攻击类型对Web3安全造成威胁：APT攻击、社工钓鱼、供应链攻击、闪电贷攻击、智能合约攻击、Web端漏洞攻击、零日（0day）漏洞、网络诈骗。

接下来，我们将从基础设施公链、跨链桥，应用端APP和DAPP的代表：交易平台、钱包、DeFi、NFT，监管重地反洗钱，web3安全教育角度，来解析2022年Web3各生态安全现状，解读攻击事件，并针对每个生态给出相应的安全措施建议。

1、公链－Web3生态安全的命脉

公链是Web3行业的基础设施，承载着整个行业的协议、应用及资产记账，随着业内对公链性能、互操作、兼容性、扩容的旺盛需求，多链发展迸发呈强劲势头，安全问题，刻不容缓。

根据零时科技不完全统计数据，截至2022年12月，目前公链有152 条。以公链生态应用数量来看，据rootdata数据，Ethereum，应用1275个，Polygon，应用数767个，BNB Chian，应用数704个，稳居前三，Avalanche、Solana、Arbitrum等新公链紧追其后呈现快速增长趋势。

以公链生态市值来看，据coingecko数据，以太坊、BNB Chain、Polygon生态分别以3830亿美元、2366亿美元、2192亿美元位居前三。当前，公链生态总市值已超万亿美元，如此庞大的资金诱惑，让黑客对其虎视眈眈。

截至2022年12月，据零时科技数据统计，公链赛道发生安全事件10起，累计损失资产金额超1.57亿美元。

从数量来看，公链的攻击类型主要为：黑客攻击、安全漏洞、资产被盗、钓鱼攻击和私钥窃取，其对应占比为：28%、28%，16%、8%、8%。从损失金额来看，安全漏洞造成损失最高，为1.47亿美元，占比55%；黑客攻击造成损失位居第二，为4200万美元，占比16%。（注：部分项目遭受多种类型攻击）

据零时科技区块链安全情报平台监控消息，下图为部分2022公链攻击的典型案例：

公链安全风险及措施建议

零时科技安全团队分析，公链安全风险主要来自以下三点：

1. 技术复杂性：涉及技术领域多，安全风险点多。
2. 开发人员不确定性：代码由开发者所写，过程难免出现漏洞。
3. 开源漏洞透明性：公链代码开源，黑客发现漏洞更为便利。

零时科技安全团队对公链安全建议，有以下三点：

1. 主网上线前，针对公链各风险点，需要设立丰富的安全机制：

在P2P和RPC方面，需要注意劫持攻击，拒绝服务攻击，权限配置错误等；

在共识算法及加密这块，需要注意51%攻击，长度扩展攻击等；

在交易安全方面，需要注意假充值攻击，交易重放攻击，恶意后门等；

在钱包安全方面，需要注意私钥的安全管理，资产的安全监控，交易的安全风控等；

在公链项目的相关工作人员方面，需要有良好的安全意识，办公安全，开发安全等常识。

1. 进行源代码和智能合约审计，确保弥补原则性和明显的漏洞：

源代码审计可以是全量代码，也可以是部分模块。零时科技安全团队拥有一套完整的公链安全测试标准，采用人工+工具的策略对目标代码的安全测试，使用开源或商业代码扫描器检查代码质量，结合人工安全审计，以及安全漏洞验证。支持所有流行语言，例如：C/C++/C#/Golang/Rust/Java/Nodejs/Python。

1. 主网上线后，进行实时安全检测，预警系统风险；
2. 发生黑客事件后，及时通过溯源分析，找出问题所在，减少未来发生攻击可能性；迅速源追踪监控损失流向，尽可能找回资产。

2、跨链桥－黑客的新型提款机

跨链桥，也称区块链桥，连接两条区块链，允许用户将加密货币从一条链发送到另一条链。跨链桥通过在两个独立平台之间启用代币转移、智能合约和数据交换以及其他反馈和指令来进行资金跨链操作。

截至2022年 12月 ，根据 Dune Analytics 数据统计，以太坊中主要跨链桥的锁定总价值（TVL）约55.6亿美元。当前TVL最高的是 Polygon Bridges，为29.49亿美元， Aritrum Bridge紧跟其后，为12.06 亿美元，Optimism Bridges排名第三，为8.34 亿美元。

随着区块链及链上程序的增长，多链资金转换需求迫切，跨链桥的协同特征可以让各区块链发挥更大的协同潜力，跨链桥为用户提供便利的同时，也为黑客提供了另一扇大门。由于跨链桥传递资产的特性，其锁定、铸造、销毁及解锁等流程环节一旦出现问题，就会威胁到用户资产安全。貌似并不复杂的跨链资金转移操作，但在多个跨链桥项目中，不同步骤均发生过安全漏洞。

据零时科技数据统计，截至12月，跨链桥因受到攻击发生安全事件14起，累计损失资产金额为13.38亿美元。

2022年，发生安全事件损失Top5的跨链桥为：Ronin、Wormhole、Nomad、Harmony（Horizon）、QBridge，分别损失金额为：6.15亿美元、3.2亿美元、1.9亿美元、1亿美元和8000万美元。

从安全事件发生的数量看，跨链桥攻击的类型主要为：黑客攻击、私钥窃取、资产被盗、信息泄露和错误权限，分别占比52%、18%、17%、9%和4%。从损失金额来看，私钥窃取占比最大，为42%；黑客攻击次之，占比27%；资产被盗占比23%，位居第三。

下图为部分2022年典型跨链桥攻击案例：

跨链桥安全风险及措施建议

零时科技安全团队从跨链桥多次攻击事件中得出，跨链之前和签名处攻击较多，存在官方马虎大意造成的被盗事件。对于越来越多的跨链项目及项目合约安全，零时科技给出以下安全措施建议：

1）项目上线前对合约进行安全审计；

2）合约调用接口需要严格排查其适配性；

3）版本更新时需要对相关接口及签名安全进行重新评估；

4）需要对跨链签名者进行严格审查以保证签名不被恶意人员控制。

3、交易平台－巨额诱惑之源

Web3的交易平台也称数字货币交易所或加密货币交易所，是区块链行业的重要组成部分，为不同数字货币之间，数字货币与法定货币之间的交易提供服务，同时也是数字货币定价和流通的主要场所。

据coingecko数据，截至2022年12月，加密货币交易所共有717个，其中中心化交易所有553个，24小时总交易量为540亿美金；去中心化交易所有100个，24小时总交易量为17亿美金；衍生产品交易所64个，24小时交易量为1.78万亿美金。

Opensea作为全球最大的NFT交易平台，1月交易额最高，超48.5亿美金，因市场行情，12月有所回落，交易额约为1.38亿美金。（关于NFT交易平台更多信息，详见2.6）

数据显示，24小时交易量排名前10名的交易所分别为：Binance、Coinbase Exchange、MEXC Global、LBank、BingX、Coinsbit、OKX、BitMart、Crypto.com Exchange。其中Binance以24交易量41.48亿稳居第一。

交易量排名前10名的去中心化交易所分别为：Uniswap(V3)、Curve、Balancer(V2)、Uniswap(V2)、PancakeSwap、DODO、Sushiswap、Uniswap（Ploygon）、Uniswap(Arbitrum One)、Apex Pro，其中Uniswap以一己之力占据前十名多位。

2022年，Huobi被收购，FTX在与币安（Binance）的交锋中破产，随后币安被曝已接受美国司法部刑事调查4年，加密货币交易所处于监管的风口浪尖。加密货币交易所汇聚了来自全球的加密资产，在巨大的市场影响力下，无论是安全危机还是资金流动性危机，都牵一发而动全身，甚至影响整个加密市场的牛熊。

据零时科技数据统，计2022年，加密货币交易所发生安全事件19起，累计损失资产金额超11.92亿美元。

据零时科技区块链安全威胁情报平台数据统计，2022年，发生安全事件损失Top6的交易平台为：FTX，Babel Finance，Mango，Liquid Global，Crypto.com ，损失金额分别为6亿美元，2.8亿美元，1亿美元，7100万美元，3600万美元和3300万美元。

以各交易平台安全事件损失分布来看，FTX占比50%，Babel Finance占比24%%，Mango占比8%，位居前

三。

据零时科技数据统计，从安全事件数量来看，交易平台的攻击类型主要为黑客攻击、资产被盗、安全漏洞、钓鱼攻击、私钥窃取，分别占比38%、19%、12%、10%、10%。从损失金额大小分布来看，黑客攻击占据54%，为安全事件主要类型，资产被盗占比33%，价格操纵和闪电贷攻击分别占比5%。

下图为部分2022年交易所安全事件典型案例：

交易平台安全风险及措施建议

回顾以往所有交易所的安全事件，零时科技安全团队认为，从一个交易平台整体安全架构来看，交易平台面临的安全风险主要有：开发、服务器配置、运维、团队安全意识、内部人员、市场以及供应链风险。

零时科技安全团队曾出版《区块链安全入门与实战》，其中对加密货币交易平台的安全问题进行了全面、细致的分析。包括渗透测试的步骤，如信息收集、社会工程等，还介绍了各种攻击面，如业务逻辑、输入输出、安全配置、信息泄露、接口安全、用户认证安全、App安全等。

更多详情，关注【零时科技】公众号，回复【报告】，即可获取详细版PDF报告！