2022年，BeosinEagleEye安全风险监测、预警和阻断平台监测到Web3领域的重大攻击超过167起，各类攻击造成的损失总额达到36.384亿美元。相比2021年的攻击损失增加了47.4%。其中，单次损失超过1亿美元的安全事件有10起，损失在1000万至1亿美元的安全事件有21起。

从项目类型来看跨链桥12起安全事故共造成损失约18.9亿美元，在所有项目类型中排名第一。DeFi类型项目被攻击113次，占比67.6%，是被攻击次数最多的项目类型。

2022年，公链发生重大安全事故20起，损失金额排名前三的分别是以太坊、BNB链、索拉纳；前三名攻击是BNB链，以太坊和索拉纳。

漏洞利用是全年最频繁、代价最高的攻击方式。2022年，涉及剥削的攻击有87起，总损失达14.58亿美元。2022年监测到的167起重大攻击中，已审计和未审计项目几乎各占一半，分别占51.5%和48.5%。

2022年，约有13.96亿美元的被盗资金被转移到TornadoCash，占所有攻击损失资金的38.7%。。全年追回被盗资金约2.89亿美元，仅占全部损失的8%。

区块链场犯罪金额达13.76074美元(暂时不包括金融犯罪)。其中洗钱占73.3亿美元，攻击占36亿美元，传销占10.15亿美元，诈骗占8.3亿美元。

全年欺诈事件中，，包括243起拉毯事件，涉及金额总计4.25亿美元(FTX事件暂不包括在内)。约86.4%的项目运行金额集中在几千到几十万美元的范围内。

2022全球加密货币市场市值大幅缩水年底，TVL比年初的高峰期下降了80%左右。市场受到重创，出现了以三建资本、露娜、FTX为代表的一系列黑天鹅事件。

在全球市值大幅缩水的情况下2022年，区块链安全领域整体犯罪数据仍达137亿美元，攻击次数较2021年大幅增加。2022年，全球区块链安全形势非常严峻，这也对2023年的安全行业提出了更高、更迫切的需求。。如何应对猖獗的黑客攻击，如何加快建立全球监管体系，如何迎来技术突破解决现有安全行业的短板，都将是2023年需要重点关注和迫切解决的问题。

2022年3月29日根据BeosinEagleEye安全风险监测、预警与阻断平台的监测，AxieInfinity的侧链Ronin遭到攻击，按照当时的价格，约6.24亿美元的加密货币被盗。。起初，黑客使用偷来的私钥伪造取款凭证，这至少需要5个签名者'；同意成功。最后，攻击者设法控制了5个验证者成功执行取款凭证，窃取了链上的资金。

据调查，黑客通过社会工作者向SkyMavis工程师发送了一封虚假的录用信，这使得黑客可以渗透到Ronin's系统。攻击后，攻击者将窃取的资产分散到多个地址。，并被龙卷风现金批量清洗。5月20日，浪人攻击者将最后一笔被盗资金转入龙卷风现金，所有资产被清洗。6月28日，Ronin在推特上宣布重新开放。

beosin安全团队对此类跨链桥项目给出以下建议：1.注意签名服务器的安全性；2.签名服务下线时，应及时更新策略，关闭相应的服务模块，并考虑丢弃相应的签名账号地址；3.在多重签名验证期间，多签名服务要进行逻辑隔离，签名内容要独立验证，使部分验证者不经验证不能直接请求其他验证者签名；4.项目方应实时监控项目资金的异常情况。

2022年10月7日Beosin鹰眼安全风险监测、预警与阻断平台的监测显示，BNB链跨链桥"令牌中心"被黑了。黑客首先通过调用合同在21955968的块高支付100BNB注册为中继。凌晨两点半左右开始。黑客从BNB链获得200万'的TokenHub系统合同两次(2:26和4:43)。而90万件BNB被BNB链家的贷款协议金星抵押。，贷款6250万BUSD，5000万USDT和3500万USDC。Beosin安全团队发现，BSCTokenHub作为货币安全的跨链桥梁，正在进行跨链交易验证。一个特殊的预编译契约用于验证IAVL树。但是，这种实现中存在漏洞，使得攻击者能够伪造任意消息。[XY002][XY001]10月24日，Bi'创始人赵昌鹏；安说在执法机构的帮助下，攻击者的可能范围'；的身份已经缩小了。此外，赵昌鹏还表示，他可以冻结大约80%到90%的被盗资金，实际损失在1亿美元左右。

2022年11月15日FTX宣布破产后不久，就有报道称其遭到黑客攻击。BeosinEagleEye安全风险监测、预警与封堵平台监测显示，涉案金额约4.4亿美元。。当时，FTX社区聊天管理员向该交易所的官方电报组发送了一条消息，指出该破产平台已被黑客攻击，所有应用程序都是恶意软件。管理员建议用户删除应用程序，不要访问网站或打开他们的移动应用程序。因为很可能感染了木马。因为还有很多未知，所以很多人认为这很可能是内部人的操作。

2022年2月3日BeosinEagleEye安全风险监测、预警和阻断平台的监测显示，Wormhole被黑客攻击，造成约3.26亿美元的损失。。Beosin安全团队发现，黑客利用了虫洞合约中的签名验证漏洞，该漏洞允许黑客伪造sysvar帐户来铸造wETH。此漏洞已在Solana1.9.4中修复。最终推出前还有一个审核过程，黑客利用这个空隙攻击仍在使用Solana1.8的合约。

攻击发生后，虫洞宣布收回跨链桥资金，重新上线。。加密投资基金JumpCrypto于2月4日宣布投入12万以太币弥补跨链桥虫洞的损失，以支持虫洞的继续发展。

2022年8月2日BeosinEagleEye安全风险监测预警与阻断平台监测显示，跨链通信协议Nomad遭到黑客大规模攻击，参与攻击的黑客地址超过500个，项目方损失达1.9亿美元。。通过交易分析，Beosin安全团队发现项目方错误地添加了0x000…000作为可接受的根，导致判决被持有，从而攻击者可以提取合同中的资金。

因此，任何攻击者只需要复制第一个黑客的交易，替换成未使用的攻击地址，然后点击通过以太扫描发送，就可以盗取项目资金。同时，因为问题是复制合同因此，所有与BridgeRouter相关的DApp都会受到影响，因此被盗资金呈现多币种的特征。

8月3日，Nomad发布关于返还被盗资金的声明，呼吁白帽黑客返还被盗资金。截至8月15日。，项目方已追回3700万美元。

2022年4月17日，BeosinEagleEye安全风险监测、预警与阻断平台监测显示，算法稳定币项目BeanstalkFarms遭到闪电贷款攻击，协议损失1.82亿美元。攻击者获利约8000万美元(不包括攻击所需的一些借贷资金)。袭击发生后不久，袭击者将8000万美元全部转入龙卷风现金。

攻击者从攻击前一天发起了一个提案交易，提案通过后Beanstalk:Beanstalk协议合同中的资金将被提取。黑客通过闪电贷款换取大量资金储备，然后反复交换。最后，对提案进行投票。，导致提案通过。针对此次事件，Beosin安全团队建议：1。用于投票的资金应在合同中锁定一定时间，账户中的当前资金余额不得用于计票。以避免可能出现的重复投票和闪电贷款投票；2.项目方和社区应关注所有提案。如果提案是恶意的，建议在提案表决时及时采取措施，将提案丢弃。，禁止其接受投票和执行；3.考虑禁止合同地址投票；另外，项目上线前最好进行全面的安全审核，避免安全风险。

2022年9月20日BeosinEagleEye安全风险监测、预警和阻断平台的监测显示，Wintermute在DeFi黑客攻击中损失了1.6亿美元。。Beosin安全团队发现攻击者频繁使用0x0000000f6a…地址调用0x0000000ae34…contract的0x178979ae函数向攻击者转账'；的合同，并反编译该合同。发现调用0x178979ae函数需要权限验证。通过函数查询，确认地址0x0000000fe6a具有setCommonAdmin权限，该地址在攻击前与契约有正常的交互。那么可以确认0x0000000fe6a的私钥已经泄露。

9月21日，Wintermute确认其在6月份使用了亵渎语言和一个内部工具创建了一个钱包地址。而且亵渎工具有私钥爆炸的风险。

2022年10月12日BeosinEagleEye安全风险监测、预警与阻断平台的监测显示，Solana上的芒果协议被黑，受影响金额约1.16亿美元。黑客使用了两个账户，初始资金总计1000万USDT币，会撬动上亿资产。这种攻击的主要原因是杠杆合约没有限制芒果的头寸'；的开放位置，从而导致攻击者'；的能力，提高芒果代币的利润。

2022年6月5日BeosinEagleEye安全风险监测、预警与拦截平台的监测显示，区块链埃尔隆德遭到黑客攻击，黑客"获得"将近165万埃及镑，通过分散的交易所市场粉碎了它们。结果内部$EGLD暴跌92%，随后官方暂停了DEX和相关API，并表示已经评估了应对方案。

埃尔隆德后来报告说，攻击者没有利用任何智能合同代码漏洞。问题出在虚拟机上。埃尔隆德Eco-DEX项目Maiar以前的bug已经解决，几乎所有被盗资金都已追回。其余因已知失误造成的资金缺失将全部由埃尔隆德基金会承担。

2022年6月24日BeosinEagleEye安全风险监测预警与阻断平台的监测显示，以太坊与和谐之间的跨链桥视界受到攻击，损失约1亿美元。和谐创始人说Horizon被攻击不是因为智能合约漏洞，而是因为私钥泄露。虽然Harmony加密了私钥，但攻击者解密了其中的一部分，并签署了一些未经授权的交易。袭击发生后，和谐立即停止了地平线大桥，以防止进一步的交易。然后，它联系了联邦调查局和几个网络安全和交换合作伙伴，以调查、跟踪和协助找回被盗资产。。然而，黑客仍然通过龙卷风现金清洗了被盗的钱。7月27日，和谐发布了赔偿建议书。

2022年跨链桥12起安全事故共造成损失约18.9亿美元，在所有项目类型中排名第一。跨链桥梁安全事件中，单次损失超过1亿美元的事件有5起。分别是Ronin(6.24亿美元)、BSCTokenHub(5.6亿美元)、Wormhole(3.26亿美元)、Nomad(1.9亿美元)和Harmony(1亿美元)。其攻击手段主要有社会工程、私钥泄露、链平台或合同漏洞。

全年167次主要攻击事件里DeFi项目被攻击113次，占比67.6%，是被攻击次数最多的项目类型。DeFi是继跨链桥之后第二类亏损的项目，总亏损约9.5亿美元。

全年共发生21起交易所和钱包安全事故，总损失约6亿美元。这类事件涉及金额高，影响用户面广。主要的攻击方式有私钥泄露、合同漏洞和供应链攻击。

2022年，公链发生重大安全事故20起，损失金额排名前三的分别是以太坊、BNB链、索拉纳；前三名攻击是BNB链，以太坊和索拉纳。

59次以太坊攻击造成20.1亿美元损失，占全年总损失的55.8%。

BNB链遭受攻击72次，70%的项目损失集中在几千到几十万美元的范围内。值得注意的是，BNB链上被攻击的项目中，约有64%是未经审计的。在未经审计的项目中，80%的攻击是合同漏洞。[XY002][XY001]索拉纳链7次攻击共造成损失5.1276亿美元，单次事件平均损失位居各链之首。。索拉纳链中的重大安全事件包括2月的虫洞事件(3.26亿美元)、3月的Cashio事件(4800万美元)和10月的芒果市场事件(1.16亿美元)。

(注：FTX事件暂不计入）

漏洞利用是全年最频繁、代价最高的攻击方式。2022年，涉及剥削的攻击有87起，总损失达14.58亿美元。

社会工程是代价第二大的攻击，也就是3月份的Ronin事件，损失6.24亿美元。

损失金额第三种攻击方式是私钥泄露，19次私钥泄露造成的总损失约为4.3亿美元。其中单笔损失金额在1000万美元以上的事件有8起。根据一些事件的调查结果，团队成员/前成员频繁窃取私钥，因此项目方需要特别注意操作安全，加强团队管理。还有一些情况是由于使用第三方工具导致私钥泄露。建议项目方在使用第三方工具前进行仔细的安全评估。

按照漏洞类型细分损失排名前三的分别是验证问题、链接平台漏洞(BNB连锁事件)和业务逻辑/功能设计不当。18个验证问题造成了6.19亿美元的损失。主要事件包括：虫洞事件中的签名验证漏洞、游牧桥事件中的消息验证旁路等。

业务逻辑/功能设计不当的问题出现次数最多，达到30次。在Beosin的日常审计过程中，这种漏洞也是出现频率最高，最容易被开发者忽略的。

在2022年监控的167起主要攻击中，几乎51.5%经过审计，48.5%未经审计。86个审计项目中，仍有39起攻击(45%)源自利用漏洞。整个市场的审计质量不容乐观。Beosin'重新审视这些事件，发现大部分漏洞都可以在审计阶段发现并修复。

2022年因合同漏洞被攻击的项目中，没有贝奥森审核的项目(数据来源)。建议项目上线前一定要找专业的安全公司进行审计，有效保证资产安全。

【所有金额均以事件发生时刻进行换算】

2022年，约有13.96亿美元的被盗资金被转移到TornadoCash，占所有攻击损失资金的38.7%。自从龙卷风现金在八月被OFAC制裁后，转入龙卷风现金的资金较上半年大幅下降。在第四季度，只有4485万美元被转移到龙卷风现金。

全年追回被盗资金约2.89亿美元，仅占全部损失的8%。。大部分来自自愿回归的白帽黑客。

约1824.8万美元被盗资金流入各交易所。通常情况下，一些涉案金额较少的黑客会在攻击后立即将资金转移到交易所。作为交换，能够识别黑客尤为重要'；并在攻击发生时阻止其交易。

大约4.43亿美元的被盗资金被交易所冻结，其中大部分来自10月份的BNB连锁事件，当时Bi'安立刻冻结了黑客80%到90%的资金。，实际损失在1亿美元左右。

2022年共发生243起拉毯事件，涉及金额总计4.25亿美元(暂时不包括FTX事件)。

243起rug pull事件中，共涉及金额1000万美元以上的项目8个。210个项目(约86.4%)的运行金额集中在几千到几十万美元的范围内。

2022年拉地毯事件具有以下特征：

1。全年有许多地毯项目。平均每1.5天就有一个项目跑路。

2。地毯周期短。大部分项目上线后3个月内跑路。所以大部分资金都集中在几千到几十万美元的区间。

3。大多数项目都没有经过审计。一些项目在代码中隐藏了后门功能，因此普通投资者很难评估项目的安全性。

4。缺乏社交媒体信息。至少一半的rugpull项目没有完善的官网、Twitter账号和telegraph/disco群。

5。项目不规范。有些项目虽然有官网和白皮书，但是细看却有很多拼写和语法错误，有的甚至大段大段抄袭。

6。热点的数量增加了。今年出现了各种热钱跑路事件，月鸟、LUNAv2、伊丽莎白、川普等。一般上线很快，跑路也很快。

2022年全球加密市场发生了很多大事：加密总市值大幅缩水；泰拉倒闭，三箭资本(3AC)和FTX破产；龙卷风现金被制裁；以太坊合并；新公链发展迅速。在市值严重下跌的情况下2022年，黑客盗取资金却创下新高。全年各类攻击造成的总损失达36.384亿美元，较2021年增加约11.6亿美元。2022年，全球Web3安全形势将比以往更加严峻。

全年的攻击中，只追回了8%的资金。今年8月份龙卷风现金被制裁后，第三、四季度流入龙卷风现金的被盗资金量确实比第一、二季度大幅下降。然而，黑客攻击的频率和盗窃的金额在第三和第四季度并没有减少。要真正遏制黑客的猖獗活动，需要整个行业做出多方面的努力，包括以下几个方面：

1。迅速制定和完善全球监管体系。真的很震惊对于加密领域本身的犯罪行为，还是要诉诸法律制裁。目前一些国家的监管政策已经成型，预计2023年全球会有更多国家的监管政策系统化。

2。从源头上阻断黑客攻击。。目前整个安全市场已经有一些拦截黑客攻击的成功案例，包括Beosin。随着技术的逐渐成熟，预计2023年将会有更多的黑客攻击被阻断在源头。

3。追回被盗资金。项目方、用户、安全公司、交易所和监管机构需要多方合作，锁定黑客链上的地址和更多身份信息。随着全球监管体系的完善，追回被盗资金将不再是小概率事件。

4。加强整体基础设施建设。。2023年可能会有新技术或者新项目从基础设施层面解决行业安全。同时，现有的区块链头项目也将系统地优化自身的安全性。

5。项目方应做好自身的安全防护。。有些项目开发匆忙，没有经过审核就上线了，这是项目被攻击的一大原因。此外，还有合同安全、私钥/钱包安全、传统安全甚至团队运营安全等薄弱领域，可能给项目方造成巨大损失。对于项目方来说，，需要一个能够考虑到安全问题各个方面的解决方案。预计明年会有更成熟的项目方找到相对完善的解决方案。

6。新兴轨道的安全防护。在熊市的情况下，整个市场都在等待Web3的下一个叙事。。2023年新兴赛道一旦刚刚流行起来，由于其不完善的成熟度和新项目新用户的涌入，必将成为黑客的首要目标。整个市场的安全从业者必须具备快速学习的能力，以应对市场上不断变化的新兴挑战。

7。提高个人用户的安全意识。明年的大趋势是降低普通用户进入Web3的门槛，所以对新用户进行安全知识教育是非常有必要的。

8。更便捷有效的治理模式。个人用户遭遇资产盗窃。，往往因为金额小、信息分散、关注度低、举报无果等原因，最后不了了之。目前已经有一些Dao针对此类问题建立了初步的解决方案，预计明年会有更完善的系统出现。

9。更加开放和共享的安全行业。如前所述，合同安全、私钥/钱包安全、传统安全、团队运营安全等各个方面都需要保障，这需要整个安全行业的共同努力。这也是Beosin成立[区块链生态安全联盟]的初心。