首頁 > 區(qū)塊鏈 > CertiK發(fā)布《Hack3d：2023年度Web3.0安全報(bào)告》

CertiK發(fā)布《Hack3d：2023年度Web3.0安全報(bào)告》

時(shí)間：2024-01-03 22:19:12

來源：hao86下載

Web3

【#區(qū)塊鏈# #CertiK發(fā)布《Hack3d：2023年度Web3.0安全報(bào)告》#】

新年伊始，CertiK全年重磅如約而至——《Hack3d：2023年度Web3.0安全報(bào)告》于北京時(shí)間1月3日晚10點(diǎn)發(fā)布。這份備受行業(yè)關(guān)注的報(bào)告通過對過去一年Web3.0領(lǐng)域安全事件的統(tǒng)計(jì)和分析，全方位揭示了Web3.0安全的最新趨勢。

作為業(yè)內(nèi)最詳盡、最權(quán)威的安全報(bào)告，《Hack3d：2023年度Web3.0安全報(bào)告》涵蓋了2023年全年Web3.0生態(tài)內(nèi)發(fā)生的黑客攻擊、欺詐和漏洞利用等全面事件統(tǒng)計(jì)與分析，是開發(fā)者、從業(yè)者、監(jiān)管者以及用戶、愛好者理解Web3.0安全現(xiàn)狀、挑戰(zhàn)與機(jī)遇的必備指南。

在閱讀完整報(bào)告之前，讓我們快速了解2023年Web3.0行業(yè)的總體安全情況：

年度概覽——安全事件損失總額降幅過半

2023年共發(fā)生安全事件751起，造成了18.4億美元的資產(chǎn)損失，損失金額較2022年的37億美元下降了51%。通過統(tǒng)計(jì)分析，CertiK認(rèn)為造成該降幅的原因是多重的，智能合約協(xié)議的發(fā)展與演變、用戶行為的變化、安全措施的升級與有效性的加強(qiáng)均與安全事件損失總額減小密切相關(guān)。除此之外，宏觀行業(yè)趨勢也對安全事件的數(shù)量與造成的損失有著一定影響。

數(shù)據(jù)洞察

通過對安全事件的時(shí)間、種類與生態(tài)系統(tǒng)進(jìn)行分類，我們發(fā)現(xiàn)了一些值得研究的洞察：

第三季度損失最高，11月單月?lián)p失最重。2023年第三季度是全年損失最多的一個(gè)季度，共發(fā)生了183起安全事件，造成了6.86億美元的損失；11月共發(fā)生了45起安全事件，造成3.64億美元損失。
私鑰泄露類事件造成的損失最多。雖然事件總量僅占所有事件的6.3%，卻造成了8.81億美元損失，接近全年總損失的一半。
以太坊損失總金額最高。2023年，以太坊出現(xiàn)224起安全事件，造成了6.86億美元的損失，平均單事件損失金額約300萬美元。在所有生態(tài)系統(tǒng)中，以太坊在2023年出現(xiàn)的安全事件并非最多，但是卻帶來了最高的總損失金額。
跨鏈安全事件損失慘重。2023年，僅35起跨鏈安全事件就造成了7.99億美元的損失，表明互操作性漏洞仍然是行業(yè)安全的痛點(diǎn)。

行業(yè)趨勢

另一方面，通過對一系列重大安全事件的對比分析，我們還發(fā)現(xiàn)了一些廣受關(guān)注的行業(yè)新動(dòng)向：

1. “追溯性漏洞賞金”返還金額增加，但“亡羊補(bǔ)牢”不及“防患未然”

2023年，34起安全事件通過與攻擊者進(jìn)行“追溯性漏洞賞金”談判追回2.19億美元損失，占總損失額18億美元的12%，與往年相比，談判返還金額增加了54%。CertiK認(rèn)為，雖然這種策略可以在一定程度上幫助項(xiàng)目挽回?fù)p失，但Web3.0項(xiàng)目明顯不能依賴和黑客談判來守護(hù)資產(chǎn)安全。因此，建立一個(gè)懸賞平臺，充分激勵(lì)白帽安全專家在攻擊發(fā)生之前報(bào)告安全漏洞就顯得至關(guān)重要。

想具體了解不同項(xiàng)目方對于“追溯性漏洞賞金”談判的態(tài)度，歡迎閱讀報(bào)告內(nèi)關(guān)于Euler Finance與KyberSwap兩起事件的后續(xù)解決方案的詳細(xì)分析。

2. Web2.0風(fēng)險(xiǎn)外溢Web3.0——長期且持續(xù)的挑戰(zhàn)

12月14日，Web3.0硬件錢包巨頭Ledger遭遇重大安全危機(jī)。一名Ledger前員工成為網(wǎng)絡(luò)釣魚攻擊的受害者。攻擊者通過Github控制其NPMJS賬戶，將惡意代碼上傳至Ledger的NPMJS，進(jìn)而成功獲取了Ledger Connect Kit的訪問權(quán)限，將錢包用戶引導(dǎo)至惡意網(wǎng)站。Ledger在發(fā)現(xiàn)漏洞后40分鐘內(nèi)迅速部署更新，遏制了潛在的后續(xù)威脅。此次攻擊造成了約61萬美元的直接損失，盡管金額不算巨大，但對Ledger的聲譽(yù)造成了難以估量的負(fù)面影響。

這次Ledger事件與CertiK與WalletConnect聯(lián)手解決XSS漏洞的案例一樣，都提醒我們：盡管Web3.0與區(qū)塊鏈生態(tài)具有去中心化的精神，但當(dāng)前Web3.0應(yīng)用仍大量采用Web2.0生態(tài)組件，如賬戶系統(tǒng)、二維碼、代碼庫等，因此也繼承了Web2.0時(shí)代的中心化漏洞風(fēng)險(xiǎn)。一旦某個(gè)員工的賬戶遭到網(wǎng)絡(luò)釣魚攻擊得手，便可能給廣大Web3.0用戶帶來巨大的損失。為此，包括CertiK在內(nèi)的Web3.0安全從業(yè)者需在去中心化理念與軟件開發(fā)和維護(hù)的實(shí)際現(xiàn)實(shí)之間尋求平衡，這是一項(xiàng)長期且持續(xù)的挑戰(zhàn)。

3. 行業(yè)監(jiān)管繼續(xù)走向成熟

2023年，我們欣喜地看到伴隨著Web3.0監(jiān)管逐漸成熟，越來越多的機(jī)構(gòu)開始積極探索區(qū)塊鏈技術(shù)與傳統(tǒng)業(yè)務(wù)的結(jié)合。Swift在促進(jìn)互操作性方面的努力、全球多家銀行在資產(chǎn)通證化領(lǐng)域的實(shí)踐，以及Paypal等互聯(lián)網(wǎng)金融巨頭在穩(wěn)定幣層面的探索，均表明企業(yè)對于區(qū)塊鏈技術(shù)與Web3.0生態(tài)共識在不斷加強(qiáng)。

監(jiān)管方面，包括中國香港、新加坡、日本、美國、歐盟與英國在內(nèi)的許多地區(qū)都出臺了穩(wěn)定幣監(jiān)管框架或指引。CertiK團(tuán)隊(duì)也在近期作為咨詢專家，為新加坡金融管理局（MAS）的穩(wěn)定幣框架制定提供了專業(yè)建議并獲得后者認(rèn)可。CertiK近日還推出了穩(wěn)定幣安全審計(jì)與合規(guī)咨詢服務(wù)，并將繼續(xù)通過積極參加各地監(jiān)管機(jī)構(gòu)的咨詢活動(dòng)，助力穩(wěn)定幣領(lǐng)域的安全發(fā)展與Web3.0的大規(guī)模落地。

CertiK的2023年

在整個(gè)行業(yè)的共同努力下，Web3.0安全在2023年取得了多方面進(jìn)展。CertiK很榮幸可以繼續(xù)在這一領(lǐng)域作出貢獻(xiàn)，為Web3.0的未來而努力。讓我們一起回顧C(jī)ertiK在2023年的高光時(shí)刻：

2023年4月，推出Skynet for Community，為用戶提供一站式信息平臺。

2023年5月，宣布和阿里云達(dá)成合作伙伴關(guān)系，將區(qū)塊鏈安全引入云平臺。

2023年6月，發(fā)現(xiàn)Sui區(qū)塊鏈重大安全威脅而被Sui基金會(huì)授予懸賞獎(jiǎng)金。

2023年7月，成為首家獲得SOC 2類型I認(rèn)證的Web3.0安全審計(jì)公司。

2023年7月，完成對螞蟻集團(tuán)創(chuàng)新開放式跨平臺可信執(zhí)行環(huán)境（TEE）HyperEnclave的先進(jìn)形式化驗(yàn)證。

2023年7月，發(fā)現(xiàn)并攜手解決Safeheron開源TEE解決方案安全漏洞。

2023年8月，發(fā)現(xiàn)Worldcoin系統(tǒng)中的安全漏洞。

2023年8月和10月，CertiK因發(fā)現(xiàn)了蘋果iOS內(nèi)核的多個(gè)安全漏洞，獲得蘋果公司兩次致謝。

2023年9月，發(fā)布Web3.0合規(guī)和風(fēng)險(xiǎn)管理產(chǎn)品SkyInsights。

2023年11月，對TON主鏈合約完成形式化驗(yàn)證，為TON網(wǎng)絡(luò)的每秒交易記錄（TPS）提供驗(yàn)證。