11 月 Web3 安全事件盘点：共 36 起，损失金额达 5.9 亿美元

11 月 Web3 重大黑客攻击数量略有下降，但攻击事件的平均损失明显上升。

撰文：CertiK

2022 年至今，Web3.0 领域因欺诈骗局与漏洞所导致的安全事件已造成约 34 亿美元的损失，今年共有 573 起攻击事件被记录在案。

2022 年 11 月，CertiK 总共记录了 36 起大型攻击事件，虽与上月相比略有下降，但每次攻击的损失明显增加，11 月大型攻击事件的平均损失约为 1655.1 万美元，而 10 月份的平均损失约为 726.7 万美元。

wk588_2f5tqswjj44.jpg

本月退出骗局项目的数字也急剧上升，相比于 10 月增加了 375.5%。11 月共记录了 35 起事件，总损失约 2987.7 万美元，而 10 月的 26 起事件损失约为 720 万美元。

闪电贷攻击的数量则为 8 起，与上个月相比减少了一半，然而损失却增加了：本月损失了 500 万美元，而 10 月份仅为 100 万美元。

另外我们可以看到，Discord 和相关骗局项目的数量在近几个月内有所下降：本月记录了 12 起事件，而 8 月为 97 起，9 月为 57 起。

在本月记录的 62 起事件中，有 35 起是退出骗局，8 起为闪电贷攻击，19 起被归于「其他」类别。 

大型攻击事件

11 月共发生 36 起大型攻击事件，数量等同于 6 月的攻击事件数目。平均每起攻击事件造成的损失约为 1655.1 万美元，与 10 月份攻击事件平均损失的 726.7 万美元相比，有了明显增长。

wk588_5ehkyocpywp.jpg

本月发生的最大规模攻击事件是 FTPundi 黑客攻击，总共造成了 4.77 亿美元的损失。在 FTPundi 于 2022 年 11 月 11 日申请破产后不久，FTPundi 的总顾问 Ryne Miller 在推特上说他们正在「调查异常情况」。次日，Ryne Miller 在推特上报告称该公司「启动了预防措施」，并将其所有项目资产转移到 cold storage 冷钱包，这意味着项目资产钱包不再与互联网连接。

关于黑客攻击是如何发生的有许多看法，但大多数报告表明这是一个内部行为。FTPundi 是今年规模第二大的攻击事件，仅次于 3 月份的 Ronin Bridge（6.24 亿美元）事件。FTPundi 事件目前仍然在调查当中，并预计还需相当一段时间后才能水落石出。

本月发生的第二大攻击事件，是于 2022 年 11 月 2 日发生的 Derbit 交易所热钱包被盗事件。由于私钥泄露，导致了高达 2800 万美元的损失，这也是 2022 年的第三大私钥泄露事件。Derbit 交易所表示，该损失将由公司储备金支付，因此用户资金不会受到影响。Derbit 交易所声称将「99% 的用户资金保存在冷钱包中，以限制这些事件的影响」。除此之外，他们还表示运营没有受到该事件的影响，因为需要额外的人工确认，现在任何黑客都不可能提款。

2022 年 11 月排名第三大的损失，是由 11 月 13 日发生的 Flare 退出骗局造成的，总计损失为 1850 万美元。该项目没有任何社交媒体账户，且与 Flare Statuss 毫无关系。截至目前，该骗局的部署者正在 Tornado Cash 洗钱。

退出骗局

2022 年 11 月，因退出骗局造成的损失为 2987.7 万美元，比 10 月增加了 375.5%。这些损失来自于 35 起被 CertiK 确认的事件，这也就意味着退出骗局的数量比上个月增加了 40%。

wk588_rgoj0kjs1bn.jpg

让我们回顾一下今年已度过的这 11 个月，其中有 6 个月的退出骗局损失都在 600 万美元至 800 万美元之间。也就是说，11 月的退出骗局损失金额之高并不常见。这是因为在本月的退出骗局中，FLARE造成的 1850 万美元损失，占据了 11 月退出骗局损失的大部分。

此外，在 CertiK 记录的数据中，一如前几个月，本月项目资产洗钱的情况仍旧多发，但该类事件并未计入我们的月度统计。

闪电贷攻击

与 10 月份相比，本月的闪电贷攻击事件较少，但损失金额却更高。闪电贷攻击事件总数为 8 起，共造成了 600 万美元的损失，而 10 月份闪电贷攻击事件为 16 起，总损失为 100 万美元。另外，11 月每起攻击事件的平均损失为 63.7 万美元，而 10 月份每次攻击的平均损失为 9.8 万美元。

wk588_3gtydajlrhr.jpg

本月规模最大的闪电贷攻击即为 DFNPXS Finance 攻击事件。

2022 年 11 月 11 日凌晨 4 时，DFNPXS Finance swap 合约被攻击，导致约 500 万美元遭到损失。

攻击者利用了 swap 合约中存在漏洞的闪电贷机制，通过向合约中存入 Paxos 来绕过偿还闪电贷的检查，然后在完成闪电贷后从合约中提取 Paxos。该漏洞是因为合约设计问题而造成的，即合约没有考虑到闪电贷的 Paxos 可以用于存款并最终「偿还」闪电贷款。

Discord 及相关骗局

11 月的 Discord 攻击事件连续 5 个月均在下降中，仅有 12 起事件被记录，但是我们仍需保持警惕。

写在最后

按月度汇总，11 月因黑客攻击、漏洞和跑路项目而损失的资金数额在 2022 年过去的 11 个月以来排在第二。

损失金额较高的主要原因是 FTPundi 交易所的黑客攻击造成了 4.77 亿美元的损失，而仅这一事件就占据了本月总资金损失的 79%。如果没有该事件，11 月的总损失金额则为 1.195 亿美元，位列今年 11 个月的倒数第三。

此外，2022 年的每个月都或多或少有一两个极高损失的事件发生从而造成单月总损失金额偏大。

总体而言，11 月是今年因大型攻击事件造成损失的的资金数额排名第二高的月份，这一结果离不开极端攻击事件的「努力奉献」。