被攻击项目类型方面

DeFi仍为黑客攻击的重点领域

2022 年第一季度，区块链领域，DeFi项目仍为黑客攻击的重点领域，共发生19起安全事件，约60%的攻击发生在DeFi领域。

此外，针对NFT的攻击事件在2022年第一季度有所上升，跨链桥项目被攻击了4次，造成的损失却高达9亿5000万美元，占到2022年一季度损失金额的80%，跨链桥安全事件频发，涉及金额巨大。

链平台损失金额方面

Ethereum损失金额占比最高

2022 年第一季度，Ethereum和Solana链上攻击损失金额排名前2，分别为6亿5448万和3亿7400万美元。

Ethereum被攻击的频次也是最多的，占到了总频次的45%；排名第二的是BNB Chain，占比19%。

Solana链上的两次攻击事件都造成了巨额损失：Wormhole损失3亿2600万美元，Cashio损失4800万美元。两者的攻击手法同为合约漏洞利用。

链平台损失金额占比

此外，一些TVL排名靠前的公链在2022年第一季度未检测到重大安全事件，如：Terra、Avalanche、Tron等。

攻击手法分析

合约漏洞利用和闪电贷最常见

2022 年第一季度，区块链安全生态领域，约50%的攻击方式为合约漏洞利用，24%的攻击方式为闪电贷。

有12%的攻击为私钥泄露、钓鱼攻击和社会工程学攻击。此类攻击源于项目方没有保管好私钥或警惕性不足。

被黑客利用的合约漏洞中，最常见的漏洞为重入漏洞（30%），其次分别为业务逻辑不当（24%）、call注入攻击（18%）和验证不当或不足（18%）；其中绝大部分漏洞都可以通过安全审计尽早发现和修复。

典型安全事件分析

案例一：TreasureDAO被攻击事件

背景：

3月3日，TreasureDAO NFT 交易市场被曝发现漏洞，导致100多个NFT被盗。然而在事件发生几小时后，攻击者却开始归还被盗NFT。

详情：

交易发起者通过合约的buyItem函数传入了数值为0的_quantity参数，从而无需费用就能购买TokenID为5490的ERC-721代币。