本報(bào)告由Beosin、Elven、Footprint Analytics聯(lián)合出品，本章作者：Beosin 研究團(tuán)隊(duì)Mario、田大俠Donny

*因篇幅有限，本篇內(nèi)容僅展示報(bào)告安全態(tài)勢部分，我們將在后續(xù)發(fā)布監(jiān)管政策等內(nèi)容。

前言

本研究報(bào)告由區(qū)塊鏈安全聯(lián)盟發(fā)起，由聯(lián)盟成員Beosin、Web3小律、Elven共同創(chuàng)作，旨在全面探討2023年全球區(qū)塊鏈安全態(tài)勢和加密行業(yè)的重點(diǎn)監(jiān)管政策。通過對全球區(qū)塊鏈安全現(xiàn)狀的分析和評估，報(bào)告將揭示當(dāng)前面臨的安全挑戰(zhàn)和威脅，并提供解決方案和最佳實(shí)踐。同時(shí)，報(bào)告還將審視各國政府和監(jiān)管機(jī)構(gòu)在加密行業(yè)監(jiān)管方面的立場和政策導(dǎo)向，以幫助讀者了解監(jiān)管環(huán)境的動(dòng)態(tài)變化和可能的影響。

通過這份報(bào)告，讀者將能夠更全面地了解Web3區(qū)塊鏈安全態(tài)勢的動(dòng)態(tài)演變和監(jiān)管政策的核心要點(diǎn)。這將有助于讀者評估和應(yīng)對區(qū)塊鏈領(lǐng)域所面臨的安全挑戰(zhàn)，并在遵守監(jiān)管要求的前提下推動(dòng)行業(yè)的可持續(xù)發(fā)展。此外，讀者還可以從報(bào)告中獲得有關(guān)安全措施、合規(guī)性要求和行業(yè)發(fā)展方向的有益建議，以幫助他們在這一新興領(lǐng)域中做出明智的決策和行動(dòng)。區(qū)塊鏈安全和監(jiān)管是Web3時(shí)代發(fā)展的關(guān)鍵問題。通過深入研究和探討，我們可以更好地理解和應(yīng)對這些挑戰(zhàn)，推動(dòng)區(qū)塊鏈技術(shù)的安全性和可持續(xù)發(fā)展。

1、2023 年度Web3區(qū)塊鏈安全態(tài)勢綜述

據(jù)區(qū)塊鏈安全審計(jì)公司 Beosin 旗下 EagleEye 平臺(tái)監(jiān)測，2023 年 Web3 領(lǐng)域因黑客攻擊、釣魚詐騙和項(xiàng)目方 Rug Pull 造成的總損失達(dá)到了 20.2 億美元。其中攻擊事件 191 起，總損失金額約 13.97 億美元；項(xiàng)目方 Rug Pull 事件 267 起，總損失約 3.88 億美元；釣魚詐騙總損失金額約 2.38 億美元。

2023年，黑客攻擊、釣魚詐騙和項(xiàng)目方 Rug Pull 事件均較 2022 年有了顯著下降，總金額降幅達(dá)到了 53.9%。其中黑客攻擊事件降幅最大，從 2022 年的 36 億美元降到了 2023 的 13.97 億美元，下降了約 61.2%。釣魚詐騙損失較 2022 年下降了 33.2%，Rug Pull 損失較 2022 年下降了 8.8%。

2023 年共發(fā)生損失過億美元的攻擊事件 4 起，損失在 1000?萬美元至1億美元區(qū)間的攻擊事件 17 起。前 10?大安全事件總損失金額約為 10?億美元，占到了年度攻擊事件總金額的 71.5%。

2023 年被攻擊的項(xiàng)目類型較 2022 年相比更加廣泛，包括 DeFi、CEX、DEX、公鏈、跨鏈橋、錢包、支付平臺(tái)、博彩平臺(tái)、加密經(jīng)紀(jì)商、基礎(chǔ)設(shè)施、密碼管理器、開發(fā)工具、MEV 機(jī)器人、TG 機(jī)器人等多種類型。DeFi 為被攻擊頻次和損失金額最高的項(xiàng)目類型，130?次 DeFi 攻擊共造成損失約 4.08 億美元。

2023 年發(fā)生攻擊事件的公鏈類型更加頻繁，出現(xiàn)多起在多條鏈上被盜的安全事件。Ethereum 依舊是損失金額最高的公鏈，71 次 Ethereum 上的攻擊事件造成了 7.66 億美元的損失，占到了全年總損失的 54.9%。

從攻擊手法來看，30?次私鑰泄露事件共造成約 6.27 億美元的損失，占總損失的 44.9%，是造成損失最多的攻擊方式。合約漏洞利用是出現(xiàn)頻次最高的攻擊方式，191 起攻擊事件里，有 99 次來自于合約漏洞利用，占比達(dá)到了 51.8%。

全年約 2.95 億美元的被盜資金被追回，占比約 21.1%，較 2022 年有了大幅提升。全年約有 3.3 億美元的被盜資金轉(zhuǎn)入了混幣器，占總被盜資金的 23.6%。

和鏈上黑客攻擊、釣魚詐騙和項(xiàng)目方 Rug Pull 金額顯著下降不同的是，2023 年鏈下加密領(lǐng)域犯罪數(shù)據(jù)大幅增加。2023年，全球加密行業(yè)犯罪金額達(dá)到了驚人的 656.88 億美元，較 2022 年的 137.6 億美元上漲了約 377%。涉及金額排在前三位的犯罪類型分別為網(wǎng)賭、洗錢和詐騙。

2、2023?Web3生態(tài)十大安全事件

2023 年共發(fā)生損失過億的攻擊事件 4 起：Mixin Network（2 億美元）、Euler Finance（1.97 億美元）、Poloniex（1.26 億美元）?和 HTX & Heco Bridge（1.1 億美元）。前 10?大安全事件總損失金額約為 10?億美元，占到了年度攻擊事件總金額的 71.5%。

No.1??Mixin?Network

損失金額：2 億美元

攻擊方式：云服務(wù)商數(shù)據(jù)庫攻擊

9 月 23 日凌晨， Mixin Network 云服務(wù)商數(shù)據(jù)庫遭到黑客攻擊，導(dǎo)致主網(wǎng)部分資產(chǎn)丟失，涉及資金約 2 億美元。9 月 25 日，Mixin 創(chuàng)始人在直播中對此次事件公開進(jìn)行解釋稱，此次受損資產(chǎn)以比特幣核心資產(chǎn)為主，BOX 和 XIN 等資產(chǎn)并未出現(xiàn)嚴(yán)重被盜情況，具體的攻擊情況尚不能透露。

No.2??Euler?Finance

損失金額：1.97 億美元

攻擊方式：合約漏洞?-?業(yè)務(wù)邏輯問題

3 月 13 日，DeFi 借貸協(xié)議 Euler Finance 遭到攻擊，損失約 1.97 億美元。攻擊的根本原因在于合約未對用戶實(shí)際持有的代幣數(shù)量和捐贈(zèng)之后用戶的賬本的健康狀態(tài)進(jìn)行正確的檢查。該事件的所有被盜資金已全被攻擊者返還。

No.3??Poloniex

損失金額：1.26 億美元

攻擊方式：私鑰泄露/ APT 攻擊

11 月 10 日，孫宇晨旗下交易所 Poloniex 相關(guān)地址持續(xù)轉(zhuǎn)出大額資產(chǎn)，疑似被盜。緊接著，孫宇晨以及 Poloniex 在社交平臺(tái)發(fā)布公告證實(shí)了被盜事件。根據(jù)Beosin安全團(tuán)隊(duì)使用Beosin Trace追蹤統(tǒng)計(jì)，Poloniex 被盜資產(chǎn)累計(jì)約 1.26 億美元。

No.4??HTX?&?Heco?Bridge

損失金額：1.1 億美元

攻擊方式：私鑰泄露

11 月 22 日，孫宇晨旗下交易所 HTX 及跨鏈橋 Heco Bridge 遭到黑客攻擊，總計(jì)損失達(dá) 1.1 億美元，其中 Heco Bridge 損失 8660?萬美元，HTX 損失約 2340?萬美元。

No.5??Curve/?Vyper

損失金額：7300?萬美元

攻擊方式：合約漏洞?-?重入

7 月 31 日凌晨以太坊編程語言 Vyper 發(fā)推表示，Vyper 0.2.15、0.2.16 和?0.3.0?版本有重入鎖有漏洞，加上原生的ETH可以在轉(zhuǎn)賬時(shí)調(diào)callback，導(dǎo)致這幾個(gè)和ETH組的lp池子可以被重入攻擊。接著Curve官方推特發(fā)文表示，由于重入鎖出現(xiàn)故障，許多使用 Vyper 0.2.15 的穩(wěn)定幣池?(alETH/msETH/pETH)?遭到攻擊。本次事件損失金額約 7300?萬美元。

No.6??CoinEx

損失金額：7000?萬美元

攻擊方式：私鑰泄露/ APT 攻擊

9 月 12 日，加密交易所 CoinEX 發(fā)布聲明稱風(fēng)控系統(tǒng)檢測到用于臨時(shí)存儲(chǔ)平臺(tái)交易資產(chǎn)的熱錢包出現(xiàn)可疑的大額提現(xiàn)活動(dòng)，已第一時(shí)間成立特別小組介入處理，本次事件中主要涉及 ETH、TRON、Polygon等代幣資產(chǎn)，被盜金額約 7000 萬美元。

No.7??Atomic?Wallet

損失金額：6700?萬美元

攻擊方式：私鑰泄露/ APT 攻擊

Beosin旗下EagleEye 安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷平臺(tái)監(jiān)測顯示，Atomic Wallet 于 6 月初遭攻擊，據(jù) Beosin 團(tuán)隊(duì)統(tǒng)計(jì)，綜合鏈上已知的受害人報(bào)案信息，此次攻擊造成的損失至少約 6700?萬美元。

No.8??Alphapo

損失金額：6000?萬美元

攻擊方式：私鑰泄露/ APT 攻擊

7 月 23 日，加密貨幣支付服務(wù)商 Alphapo 熱錢包被盜，共損失 6000?萬美元。該事件系朝鮮黑客組織 Lazarus 所為。

No.9??KyberSwap

損失金額：5470?萬美元

攻擊方式：合約漏洞?-?業(yè)務(wù)邏輯問題

11 月 22 日，DEX 項(xiàng)目 KyberSwap 遭到攻擊，共造成約 5470?萬美元損失。Kyber Network 表示，本次黑客攻擊是 DeFi 歷史上最復(fù)雜的攻擊之一，攻擊者需要執(zhí)行一系列精確的鏈上操作才能利用該漏洞。

No.10??Stake.com

損失金額：4130?萬美元

攻擊方式：私鑰泄露/ APT 攻擊

9 月 4 日，加密博彩平臺(tái) Stake.com 遭遇黑客攻擊。攻擊發(fā)生后，Stake.com表示其 ETH 和 BSC 上熱錢包發(fā)生未經(jīng)授權(quán)的交易，正在進(jìn)行調(diào)查，并將在錢包完全重新確保安全后盡快恢復(fù)存提款。該事件系朝鮮黑客組織 Lazarus 所為。

3、被攻擊項(xiàng)目類型

和 2022 年相比，2023 年被攻擊的項(xiàng)目類型更加廣泛，損失金額也不再集中于某幾種項(xiàng)目類型上。除了DeFi、CEX、DEX、公鏈、跨鏈橋、錢包等常見類型外，2023 年黑客攻擊事件還出現(xiàn)在支付平臺(tái)、博彩平臺(tái)、加密經(jīng)紀(jì)商、基礎(chǔ)設(shè)施、密碼管理器、開發(fā)工具、MEV 機(jī)器人、TG 機(jī)器人等多種項(xiàng)目類型上。

2023 年的 191 起攻擊事件里，DeFi 項(xiàng)目占了 130?次（約 68%），是被攻擊次數(shù)最多的項(xiàng)目類型。DeFi 攻擊總損失金額約 4.08 億美元，占所有損失金額的 29.2%，也是損失金額最多的項(xiàng)目類型。

損失金額排在第 2 位的是 CEX（中心化交易所），9 次攻擊共造成 2.75 億美元的損失。另外，還有 16 次攻擊事件發(fā)生在 DEX（去中心化交易所）類型，共損失約 8568 萬美元。綜合看來，交易所類型在 2023 年安全事件頻發(fā)，交易所安全是繼 DeFi 安全之后的第二大挑戰(zhàn)。

損失金額排在第 3 位的是公鏈，損失金額約為 2.08 億美元，主要來自于 Mixin Network 被盜 2 億美元事件。

2023年，跨鏈橋損失金額排在第 4 位，約占所有損失金額的 7%。而在 2022 年，12 次跨鏈橋安全事件共造成了約 18.9 億美元損失，占到了當(dāng)年總損失金額的 52.5%。2023 年跨鏈橋安全事件顯著減少。

排在第 5 位的是加密支付平臺(tái)，2 起安全事件（Alphapo 和 CoinsPaid）共損失約 9730?萬美元，這兩起事件幕后黑客均指向朝鮮? APT 組織 Lazarus。

4、各鏈損失金額情況

和 2022 年相比，2023 年發(fā)生攻擊事件的公鏈類型也更加廣泛，主要源自于 2023 發(fā)生了多起 CEX 私鑰泄露事件，在多條鏈上均有損失。按損失金額排名前五的分別是 Ethereum、Mixin、HECO、BNB Chain、TRON；按攻擊事件次數(shù)排名前五的分別是 BNB Chain、Ethereum、Arbitrum、Polygon、Optimism 和 Avalanche（并列第5）。

和 2022 年相同的是，Ethereum 依舊是損失金額最高的公鏈。71 次 Ethereum 上的攻擊事件造成了 7.66 億美元的損失，占到了全年總損失的 54.9%。

Mixin 鏈損失排在第 2 位，單次安全事件損失達(dá)到了 2 億美元。第三位的是 HECO，損失約為 9260?萬美元。

BNB Chain上的攻擊事件達(dá)到了 76 次，占總攻擊事件數(shù)量的 39.8%，是所有鏈平臺(tái)中攻擊事件次數(shù)最多的。BNB Chain 上總損失約為 7081 萬美元，絕大多數(shù)事件（88%）集中在 100?萬美元以下。

5、攻擊手法分析

和 2022 年相比，2023 年的攻擊方式更加多樣化，尤其增加了多種 Web2 的攻擊方式，包括：數(shù)據(jù)庫攻擊、供應(yīng)鏈攻擊、第三方服務(wù)商攻擊、中間人攻擊、DNS 攻擊、前端攻擊等。

2023年，30?次私鑰泄露事件共造成 6.27 億美元的損失，占總損失的 44.9%，是造成損失最多的攻擊方式。造成較大損失的私鑰泄露事件有：Poloniex（1.26 億美元）、HTX & Heco Bridge（1.1 億美元）、CoinEx（7000?萬美元）、Atomic Wallet（6700萬美元）、Alphapo（6000?萬美元）。其中大部分事件和朝鮮 APT 組織 Lazarus 相關(guān)。

合約漏洞利用是出現(xiàn)頻次最高的攻擊方式，191 起攻擊事件里，有 99 次來自于合約漏洞利用，占比達(dá)到了 51.8%。合約漏洞造成的總損失為 4.3 億美元，排在損失金額的第二位。

按照漏洞細(xì)分，出現(xiàn)頻次最高、造成損失最多的為業(yè)務(wù)邏輯漏洞，合約漏洞事件里約有 72.7%?的損失金額來自業(yè)務(wù)邏輯漏洞，共造成損失約 3.13 億美元。損失金額排名第二的合約漏洞為重入，13 次重入漏洞造成了約 9347 萬美元的損失。

6、典型案例攻擊手法分析

6.1??Euler?Finance 安全事件

事件概要

3月13日，Ethereum 鏈上的借貸項(xiàng)目 Euler Finance 遭到閃電貸攻擊，損失達(dá)到了 1.97 億美元。

3月16日，Euler基金會(huì)懸賞100萬美元以征集對逮捕黑客以及返還盜取資金有幫助的信息。

3月17日，Euler Labs首席執(zhí)行官M(fèi)ichael Bentley發(fā)推文表示，Euler“一直是一個(gè)安全意識(shí)強(qiáng)的項(xiàng)目”。從2021年5月至2022年9月，Euler Finance接受了Halborn、Solidified、ZK Labs、Certora、Sherlock和Omnisica等6家區(qū)塊鏈安全公司的10次審計(jì)。

從3月18日開始至4月4日，攻擊者開始陸續(xù)返還資金。期間攻擊者通過鏈上信息進(jìn)行道歉，稱自己“攪亂了別人的錢，別人的工作，別人的生活”并請求大家的原諒。

4月4日，Euler Labs在推特上表示，經(jīng)過成功協(xié)商，攻擊者已歸還了所有盜取資金。

漏洞分析

在本次攻擊中，Etoken合約的donateToReserves函數(shù)沒有正確檢查用戶實(shí)際持有的代幣數(shù)量和捐贈(zèng)后用戶賬本的健康狀態(tài)。攻擊者利用這個(gè)漏洞，捐贈(zèng)了1億個(gè)eDAI，而實(shí)際上攻擊者只質(zhì)押了3000萬個(gè)DAI。

由于捐贈(zèng)后，用戶賬本的健康狀態(tài)符合清算條件，借貸合約被觸發(fā)清算。清算過程中，eDAI和dDAI會(huì)被轉(zhuǎn)移到清算合約。但是，由于壞賬額度非常大，清算合約會(huì)應(yīng)用最大折扣進(jìn)行清算。清算結(jié)束后，清算合約擁有310.93M個(gè)eDAI和259.31M個(gè)dDAI。

此時(shí)，用戶賬本的健康狀態(tài)已恢復(fù)，用戶可以提取資金?？商崛〉慕痤~是eDAI和dDAI的差值。但池子中實(shí)際上只有3890萬DAI，所以用戶只能提取這部分金額。

6.2?Vyper/Curve 安全事件

事件概要

7 月 31 日，以太坊編程語言 Vyper 發(fā)推表示，Vyper 0.2.15、0.2.16 和?0.3.0?版本有重入鎖有漏洞。Curve 表示，多個(gè)使用 Vyper 0.2.15 的穩(wěn)定幣池?(CRV/alETH/msETH/pETH)?遭到攻擊，總損失達(dá)到了 7300?萬美元，事后約 5230?萬美元已被黑客歸還。

漏洞分析

本次攻擊主要是源于是Vyper 0.2.15的防重入鎖失效，攻擊者在調(diào)用相關(guān)流動(dòng)性池子的remove_liquidity函數(shù)移除流動(dòng)性時(shí)通過重入add_liquidity函數(shù)添加流動(dòng)性，由于余額更新在重入進(jìn)add_liquidity函數(shù)之前，導(dǎo)致價(jià)格計(jì)算出現(xiàn)錯(cuò)誤。

7、反洗錢典型事件分析回顧

7.1?Atomic?Wallet錢包被盜案

據(jù)Beosin旗下EagleEye安全風(fēng)險(xiǎn)監(jiān)控、預(yù)警與阻斷平臺(tái)監(jiān)測顯示，Atomic Wallet于今年6月初遭攻擊，據(jù)Beosin團(tuán)隊(duì)統(tǒng)計(jì)，綜合鏈上已知的受害人報(bào)案信息，此次攻擊造成的損失至少約6700萬美元。

根據(jù)Beosin團(tuán)隊(duì)分析，此次被盜事件截止目前涉及的鏈包括BTC、ETH、TRX在內(nèi)總共21條鏈。被盜資金主要集中在以太坊鏈。其中：

以太坊鏈已查出被盜資金為16262個(gè)ETH價(jià)值的虛擬貨幣，約3000萬美元。

波場鏈波場鏈已知被盜資金為251335387.3208個(gè)TRX價(jià)值的虛擬貨幣，約1700萬美元。

BTC鏈BTC鏈已知被盜資金為420.882個(gè)BTC價(jià)值的虛擬貨幣，折合1260萬美元。

BSC鏈BSC鏈已知被盜資金為40.206266個(gè)BNB價(jià)值的虛擬貨幣。

其余鏈XRP：1676015個(gè)XRP，約84萬美元LTC：2839.873689個(gè)LTC，約22萬美元DOGE：800575.67369797個(gè)DOGE，約5萬美元

我們根據(jù)以太坊鏈上的洗錢方式舉例

在黑客對贓款的操作中，以太坊被攻擊鏈路上有兩種主要的方式：

通過合約進(jìn)行發(fā)散后利用Avalanche跨鏈洗錢

根據(jù)Beosin團(tuán)隊(duì)分析，黑客會(huì)首先將錢包中有價(jià)值的幣統(tǒng)一換成公鏈的主幣，再通過兩個(gè)合約來進(jìn)行匯集。

該合約地址會(huì)通過兩層中轉(zhuǎn)將ETH打包成WETH，再將WETH轉(zhuǎn)入用于將ETH發(fā)散的合約，通過最高5層中轉(zhuǎn)轉(zhuǎn)入Avalanche 用于Cross Bridge的錢包地址中進(jìn)行跨鏈操作，該跨鏈不使用合約進(jìn)行，屬于Avalanche的內(nèi)部記賬式交易類型。

以太坊鏈路簡圖如下：

匯聚合約1：

0xe07e2153542eb4b768b4d73081143c90d25f1d58涉案共計(jì)3357.0201個(gè)ETH

換成WETH后轉(zhuǎn)入合約0x3c3ed2597b140f31241281523952e936037cbed3

銷贓路線詳細(xì)圖如下所示：

匯聚合約2：0x7417b428f597648d1472945ff434c395cca73245涉案共計(jì)3009.8874個(gè)ETH

黑客換成WETH后轉(zhuǎn)入合約0x20deb1f8e842fb42e7af4c1e8e6ebfa9d6fde5a0

銷贓路線詳細(xì)圖如下所示：

兩個(gè)匯聚合約通過同意手續(xù)費(fèi)來源確認(rèn)，部分沒有交易行為地址隱藏。手續(xù)費(fèi)路徑如下：

此外，在以太坊鏈上，黑客還通過各種跨鏈橋協(xié)議以及交易所洗錢，這一部分目前統(tǒng)計(jì)涉案金額為9896 ETH，這一部分會(huì)通過多個(gè)歸集地址進(jìn)行歸集。

整個(gè)事件中，黑客洗錢渠道多，主要通過各類交易所賬戶進(jìn)行洗錢，同時(shí)也有直接流入跨鏈橋合約的情況。其它鏈上的資金流向分析可點(diǎn)擊查閱：一場涉及至少6000萬美元的錢包被盜案，BeosinKYT帶你拆穿黑客洗錢套路

其它反洗錢案例分析：

1 Stake.com被攻擊損失4000萬美元，Beosin KYT/AML帶你追蹤被盜資金流向

2 Beosin KYT解析JPEX風(fēng)波背后的資金流向，用戶如何分析鏈上數(shù)據(jù)提升資產(chǎn)安全？

3 Poly Network被攻擊后續(xù)，Beosin KYT/AML帶你追蹤被盜資金流向，解鎖黑客更多套路

4 一場3160 萬美元的Rug Pull？Beosin KYT帶你追蹤資金動(dòng)向，教你識(shí)破高收益的騙局陷阱！

8、被盜資產(chǎn)的資金流向分析

2023 年全年被盜的資金中，約有 7.23 億美元還保留在黑客地址（包括通過跨鏈轉(zhuǎn)出和分散到多個(gè)地址的情況），占總被盜資金的 51.8%。與去年相比，今年黑客更傾向于用多次跨鏈進(jìn)行洗錢，并將被盜資金分散到很多地址上。地址增加、洗錢路徑變復(fù)雜，這無疑為項(xiàng)目方和監(jiān)管機(jī)構(gòu)增加了調(diào)查難度。

約 2.95 億美元的被盜資金被追回，占比約 21.1%。而在 2022 年，追回的資金僅為 8 %。2023 年被盜資金追回的情況明顯優(yōu)于 2022 年，大部分來自于鏈上談判返還。

全年約有 3.3 億美元的被盜資金轉(zhuǎn)入了混幣器（約 7116 萬美元轉(zhuǎn)入Tornado Cash，另外 2.59 億美元轉(zhuǎn)入其他混幣平臺(tái)），占總被盜資金的 23.6%。該比例較去年的 38.7%?有著顯著下降。自 2022 年 8 月美國 OFAC 制裁 Tornado Cash 以來，被盜資金轉(zhuǎn)入 Tornado Cash 的金額有了大幅降低，取而代之的是其他混幣平臺(tái)使用量的增加，如 Sinbad, FixedFloat 等。2023 年 11 月，美國 OFAC 又將 Sinbad 列入了制裁名單，稱其為“朝鮮Lazarus 組織的主要洗錢工具”。

此外，還有少部分被盜資金（1279 萬美元）轉(zhuǎn)入了交易所，另外也有少部分被盜資金（1090?萬美元）遭到了凍結(jié)。

9、項(xiàng)目審計(jì)情況分析

191 起攻擊事件里，有 79 起事件的項(xiàng)目方?jīng)]有經(jīng)過審計(jì)，101 起事件的項(xiàng)目方經(jīng)過了審計(jì)。本年度經(jīng)過審計(jì)的項(xiàng)目方比例略高于去年（去年經(jīng)過審計(jì)/未經(jīng)審計(jì)的項(xiàng)目比例大致相當(dāng)）。

79個(gè)沒有經(jīng)過審計(jì)的項(xiàng)目中，合約漏洞事件占了47起（59.5%）。這表明，沒有經(jīng)過審計(jì)的項(xiàng)目更容易存在潛在的安全風(fēng)險(xiǎn)。相比之下，101個(gè)經(jīng)過審計(jì)的項(xiàng)目中，合約漏洞事件占了51起（50.5%）。這顯示出審計(jì)在一定程度上能夠提高項(xiàng)目的安全性。

然而，由于Web3市場缺乏完善的規(guī)范標(biāo)準(zhǔn)，導(dǎo)致審計(jì)質(zhì)量參差不齊，最終呈現(xiàn)的結(jié)果遠(yuǎn)未達(dá)到預(yù)期。為了有效保障資產(chǎn)安全，建議項(xiàng)目在上線之前務(wù)必尋找專業(yè)的安全公司進(jìn)行審計(jì)。Beosin 作為一家全球領(lǐng)先的區(qū)塊鏈安全公司，致力于Web3生態(tài)的安全發(fā)展，已審計(jì)智能合約和公鏈主網(wǎng)超3000份，包括PancakeSwap、Ronin Network、OKCSwap等。Beosin作為一家可信賴的區(qū)塊鏈安全公司，可以為項(xiàng)目方提供卓越的安全審計(jì)服務(wù)。

10、Rug?Pull?分析

2023年，Beosin旗下EagleEye 平臺(tái)共監(jiān)測到 Web3 生態(tài) Rug Pull 事件 267 起，總涉及金額約為 3.88 億美元，較 2022 年下降約 8.7%。

從金額上看，267 起 Rug Pull 事件中，233 起?（87%）事件金額都在 100?萬美元以下，該比例和 2022 年大致相當(dāng)。涉及金額在千萬美元以上的共 4 個(gè)項(xiàng)目，包括Multichain（2.1 億美元）、Fintoch（3160?萬美元）、BALD（2300?萬美元）、PEPE（1550?萬美元）。

BNB Chain 和 Ethereum 上的 Rug Pull 項(xiàng)目占到了總數(shù)量的 92.3%，分別為 159 起和 81 起。其他公鏈也發(fā)生過小數(shù)量的 Rug Pull 事件，包括：Arbitrum、BASE、Sui、zkSync 等。

11、2023全球加密行業(yè)犯罪數(shù)據(jù)

2023年，全球加密行業(yè)犯罪金額達(dá)到了驚人的 656.88 億美元，較 2022 年的 137.6 億美元上漲了約 377%。雖然鏈上黑客攻擊金額大幅下降，加密貨幣其他領(lǐng)域的犯罪案件卻大幅增加。增幅排名第一的為網(wǎng)賭，涉及金額達(dá)到了 549 億美元。排在后面的分別為洗錢（約 40?億美元）、詐騙（約 20.5 億美元）、傳銷（約 14.3 億美元）、黑客攻擊（約 13.9 億美元）。

隨著全球加密監(jiān)管體系的完善和對加密貨幣犯罪打擊的深入，2023年全球警方累計(jì)破獲多起涉及金額上億美元的大案件。以下是一些典型案件回顧：

No.1 ? 2023年7月，中國湖北警方偵破全國「虛擬貨幣第一案」，涉案流水達(dá) 4000?億人民幣（約合 549 億美元）。這起網(wǎng)絡(luò)賭博案涉案人員超過 5 萬人，服務(wù)器設(shè)在中國境外，主犯邱某某等人已被依法送審。

No.2 2023年8月，新加坡當(dāng)局查處有史以來最大的洗錢案件，涉案金額達(dá)到了 28 億新元，洗錢方式主要通過虛擬貨幣。

No.3 2023年3月，中國江蘇警方對Ubank“炒幣”騙局提起公訴，涉及傳銷交易量超100億人民幣（約合 14 億美元）。

No.4 ?2023年12月，根據(jù)美國紐約東區(qū)檢察官辦公室的一份聲明，虛擬貨幣交易所Bitzlato聯(lián)合創(chuàng)始人承認(rèn)了7億美元洗錢罪指控。

No.5 2023年7月，巴西聯(lián)邦警察局搗毀兩個(gè)販毒犯罪團(tuán)伙，共轉(zhuǎn)移超 4.17 億美元并通過加密資產(chǎn)提供洗錢服務(wù)。

No.6 2023年2月，根據(jù)美國俄勒岡州的一份起訴書，F(xiàn)orsage 的創(chuàng)始人因涉嫌 3.4 億美元的 DeFi 龐氏騙局而被起訴。

No.7 2023年11月，印度喜馬偕爾邦警方在涉案 3 億美元的加密貨幣詐騙案中逮捕了 18 人。

No.8 2023年8月，以色列警方指控商人Moshe Hogeg及其合伙人詐騙投資者達(dá) 2.9 億美元的加密貨幣。

No.9 2023年6月，泰國警方破獲一起涉嫌加密幣詐騙案件，涉案金額或超過 100?億泰銖（約 2.88 億美元）。

No.10 2023年10月，中國香港虛擬資產(chǎn)交易平臺(tái)JPEX涉嫌詐騙，警方累計(jì)逮捕 66 人，涉案金額約 16 億港元（約 2.05 億美元）。

2023 年是加密貨幣犯罪案件激增的一年。詐騙、傳銷案件的頻繁出現(xiàn)也意味著普通用戶受到資產(chǎn)損失的概率大大增加。因此，加強(qiáng)對加密貨幣行業(yè)的監(jiān)管迫在眉睫。我們可以看到，全球監(jiān)管機(jī)構(gòu)今年已經(jīng)對加密貨幣監(jiān)管已經(jīng)做出了不少努力，但距離一個(gè)完善、安全、正向發(fā)展的生態(tài)仍然有很長的路要走。

12、2023?年Web3區(qū)塊鏈安全態(tài)勢總結(jié)

2023 年，鏈上黑客攻擊活動(dòng)、釣魚詐騙、項(xiàng)目方 Rug Pull 事件均較 2022 年有了明顯的下降。黑客攻擊損失金額降幅達(dá)到了 61.3%，損失最高的攻擊手法也從去年的合約漏洞利用轉(zhuǎn)變?yōu)榱私衲甑乃借€泄露。造成這一轉(zhuǎn)變的主要原因包括：

1. ?在去年猖獗的黑客活動(dòng)之后，今年整個(gè)Web3生態(tài)更加注重安全性，從項(xiàng)目方到安全公司都在各個(gè)方面做出了努力，如實(shí)時(shí)鏈上監(jiān)控、更加注重安全審計(jì)、從過往合約漏洞利用事件中積極汲取經(jīng)驗(yàn)。這導(dǎo)致通過合約漏洞盜取資金比去年變得困難。

2. ?全球監(jiān)管的加強(qiáng)和反洗錢技術(shù)的完善?？梢钥吹?，2023 年有 21.1%?的被盜資金得以追回，大幅優(yōu)于 2022 年。隨著Tornado Cash、Sinbad等混幣平臺(tái)遭到美國制裁，黑客的洗錢路徑也在變得復(fù)雜。同時(shí)，我們也看到有黑客被當(dāng)?shù)鼐酱兜男侣劊@些都對黑客產(chǎn)生了一定的威懾力。

3. ?年初加密熊市的影響。黑客從Web3項(xiàng)目能夠盜取資產(chǎn)的預(yù)期收益下降，從而減弱了黑客活動(dòng)。這也導(dǎo)致黑客不再局限于攻擊DeFi、跨鏈橋、交易所等類型，而是轉(zhuǎn)向支付平臺(tái)、博彩平臺(tái)、加密經(jīng)紀(jì)商、基礎(chǔ)設(shè)施、密碼管理器、開發(fā)工具、MEV 機(jī)器人、TG 機(jī)器人等多種類型。

與鏈上黑客活動(dòng)大幅減少不同的是，鏈下更為隱蔽的犯罪活動(dòng)大幅增加，如網(wǎng)賭、洗錢、傳銷詐騙等。由于加密貨幣的匿名性，各類犯罪活動(dòng)更加傾向于使用加密貨幣進(jìn)行交易。但是，如果僅僅將虛擬貨幣犯罪案件的增加歸因于加密貨幣的匿名性和監(jiān)管不足，那是片面的。根本原因還是在于全球犯罪活動(dòng)的增加，而虛擬貨幣為這些犯罪活動(dòng)提供了一個(gè)較為隱蔽和難追蹤的資金渠道。2023年，全球經(jīng)濟(jì)增速大幅放緩，政治環(huán)境面臨諸多不穩(wěn)定因素，這些都在一定程度上促成了全球犯罪活動(dòng)的激增。在這樣的經(jīng)濟(jì)預(yù)期之下，預(yù)計(jì) 2024 年全球犯罪活動(dòng)將持續(xù)處于高位，這對全球執(zhí)法機(jī)構(gòu)和監(jiān)管部門提出了嚴(yán)峻的考驗(yàn)。