【#區(qū)塊鏈# #速覽《Hack3d：2023 年度 Web3.0 安全報告》#】

報告將通過對過去一年 Web3.0 領域安全事件的統(tǒng)計和分析，全方位揭示了 Web3.0 安全的最新趨勢。

撰文：CertiK

全文詳見：《Hack3d：2023 年度 Web3.0 安全報告》

新年伊始，CertiK 全年重磅如約而至——《Hack3d：2023 年度 Web3.0 安全報告》發(fā)布。這份備受行業(yè)關注的報告通過對過去一年 Web3.0 領域安全事件的統(tǒng)計和分析，全方位揭示了 Web3.0 安全的最新趨勢。

?

作為業(yè)內最詳盡、最權威的安全報告，《Hack3d：2023 年度 Web3.0 安全報告》涵蓋了 2023 年全年 Web3.0 生態(tài)內發(fā)生的黑客攻擊、欺詐和漏洞利用等全面事件統(tǒng)計與分析，是開發(fā)者、從業(yè)者、監(jiān)管者以及用戶、愛好者理解 Web3.0 安全現(xiàn)狀、挑戰(zhàn)與機遇的必備指南。

?

在閱讀完整報告之前，讓我們快速了解 2023 年 Web3.0 行業(yè)的總體安全情況：

?

年度概覽——安全事件損失總額降幅過半

2023 年共發(fā)生安全事件 751 起，造成了 18.4 億美元的資產(chǎn)損失，損失金額較 2022 年的 37 億美元下降了 51%。通過統(tǒng)計分析，CertiK 認為造成該降幅的原因是多重的，智能合約協(xié)議的發(fā)展與演變、用戶行為的變化、安全措施的升級與有效性的加強均與安全事件損失總額減小密切相關。除此之外，宏觀行業(yè)趨勢也對安全事件的數(shù)量與造成的損失有著一定影響。

?

數(shù)據(jù)洞察

?

通過對安全事件的時間、種類與生態(tài)系統(tǒng)進行分類，CertiK 發(fā)現(xiàn)了一些值得研究的洞察：

1.第三季度損失最高，十一月單月?lián)p失最重。2023 年第三季度是全年損失最多的一個季度，共發(fā)生了 183 起安全事件，造成了 6.86 億美元的損失；11 月共發(fā)生 45 起安全事件，造成 3.64 億美元損失。

2023 年每月安全事件發(fā)生次數(shù)與損失金額（美元）

?

2.私鑰泄露類事件造成的損失最多。雖然事件總量僅占所有事件的 6.3%，卻造成了 8.81 億美元損失，接近全年總損失的一半。

?

2023 年各類安全事件發(fā)生次數(shù)與損失金額（美元）

?

3.以太坊損失總金額最高。2023 年，以太坊出現(xiàn) 224 起安全事件，造成了 6.86 億美元的損失，平均單事件損失金額約 300 萬美元。在所有生態(tài)系統(tǒng)中，以太坊在 2023 年出現(xiàn)的安全事件并非最多，但是卻帶來了最高的總損失金額。

4.跨鏈安全事件損失慘重。2023 年，僅 35 起跨鏈安全事件就造成了 7.99 億美元的損失，表明互操作性漏洞仍然是行業(yè)安全的痛點。

?

行業(yè)趨勢

?

另一方面，通過對一系列重大安全事件的對比分析，CertiK 還發(fā)現(xiàn)了一些廣受關注的行業(yè)新動向：

?

1.「追溯性漏洞賞金」返還金額增加，但「亡羊補牢」不及「防患未然」

2023 年，34 起安全事件通過與攻擊者進行「追溯性漏洞賞金」談判追回 2.19 億美元損失，占總損失額 18 億美元的 12%，與往年相比，談判返還金額增加了 54%。CertiK 認為，雖然這種策略可以在一定程度上幫助項目挽回損失，但 Web3.0 項目明顯不能依賴和黑客談判來守護資產(chǎn)安全。因此，建立一個懸賞平臺，充分激勵白帽安全專家在攻擊發(fā)生之前報告安全漏洞就顯得至關重要。

?

想具體了解不同項目方對于「追溯性漏洞賞金」談判的態(tài)度，歡迎閱讀報告內關于 Euler Finance 與 KyberSwap 兩起事件的后續(xù)解決方案的詳細分析。

2.Web2.0 風險外溢 Web3.0——長期且持續(xù)的挑戰(zhàn)

12 月 14 日，Web3.0 硬件錢包巨頭 Ledger 遭遇重大安全危機。一名 Ledger 前員工成為網(wǎng)絡釣魚攻擊的受害者。攻擊者通過 Github 控制其 NPMJS 賬戶，將惡意代碼上傳至 Ledger 的 NPMJS，進而成功獲取了 Ledger Connect Kit 的訪問權限，將錢包用戶引導至惡意網(wǎng)站。Ledger 在發(fā)現(xiàn)漏洞后 40 分鐘內迅速部署更新，遏止了潛在的后續(xù)威脅。此次攻擊造成了約 61 萬美元的直接損失，盡管金額不算巨大，但對 Ledger 的聲譽造成了難以估量的負面影響。

?

這次 Ledger 事件與 CertiK 與 WalletConnect 聯(lián)手解決 XSS 漏洞的案例一樣，都提醒我們：盡管 Web3.0 與區(qū)塊鏈生態(tài)具有去中心化的精神，但當前 Web3.0 應用仍大量采用 Web2.0 生態(tài)組件，如賬戶系統(tǒng)、二維碼、代碼庫等，因此也繼承了 Web2.0 時代的中心化漏洞風險。一旦某個員工的賬戶遭到網(wǎng)絡釣魚攻擊得手，便可能給廣大 Web3.0 用戶帶來巨大的損失。為此，包括 CertiK 在內的 Web3.0 安全從業(yè)者需在去中心化理念與軟件開發(fā)和維護的實際現(xiàn)實之間尋求平衡，這是一項長期且持續(xù)的挑戰(zhàn)。

3.行業(yè)監(jiān)管繼續(xù)走向成熟

2023 年，CertiK 欣喜地看到伴隨著 Web3.0 監(jiān)管逐漸成熟，越來越多的機構開始積極探索區(qū)塊鏈技術與傳統(tǒng)業(yè)務的結合。Swift 在促進互操作性方面的努力、全球多家銀行在資產(chǎn)通證化領域的實踐，以及 Paypal 等互聯(lián)網(wǎng)金融巨頭在穩(wěn)定幣層面的探索，均表明企業(yè)對于區(qū)塊鏈技術與 Web3.0 生態(tài)共識在不斷加強。

監(jiān)管方面，包括中國香港、新加坡、日本、美國、歐盟與英國在內的許多地區(qū)都出臺了穩(wěn)定幣監(jiān)管框架或指引。CertiK 團隊也在近期作為咨詢專家，為新加坡金融管理局（MAS）的穩(wěn)定幣框架制定提供了專業(yè)建議并獲得后者認可。CertiK 近日還推出了穩(wěn)定幣安全審計與合規(guī)咨詢服務，并將繼續(xù)通過積極參加各地監(jiān)管機構的咨詢活動，助力穩(wěn)定幣領域的安全發(fā)展與 Web3.0 的大規(guī)模落地。

?

Certik 的 2023 年

?

在整個行業(yè)的共同努力下，Web3.0 安全在 2023 年取得了多方面進展。CertiK 很榮幸可以繼續(xù)在這一領域作出貢獻，為 Web3.0 的未來而努力。讓我們一起回顧 CertiK 在 2023 年的高光時刻：

?

• 2023 年 4 月，推出 Skynet for Community，為用戶提供一站式信息平臺。
• 2023 年 5 月，宣布和阿里云達成合作伙伴關系，將區(qū)塊鏈安全引入云平臺。
• 2023 年 6 月，發(fā)現(xiàn) Sui 區(qū)塊鏈重大安全威脅而被 Sui 基金會授予懸賞獎金。
• 2023 年 7 月，成為首家獲得 SOC 2 類型 I 認證的 Web3.0 安全審計公司。
• 2023 年 7 月，完成對螞蟻集團創(chuàng)新開放式跨平臺可信執(zhí)行環(huán)境（TEE）HyperEnclave 的先進形式化驗證。
• 2023 年 7 月，發(fā)現(xiàn)并攜手解決 Safeheron 開源 TEE 解決方案安全漏洞。
• 2023 年 8 月，發(fā)現(xiàn) Worldcoin 系統(tǒng)中的安全漏洞。
• 2023 年 8 月和 10 月，CertiK 因發(fā)現(xiàn)了蘋果 iOS 內核的多個安全漏洞，獲得蘋果公司兩次致謝。
• 2023 年 9 月，發(fā)布 Web3.0 合規(guī)和風險管理產(chǎn)品 SkyInsights。
• 2023 年 11 月，為 TON 網(wǎng)絡的每秒交易記錄（TPS）提供驗證。
• 2023 年 11 月，發(fā)現(xiàn) Web3.0 移動端多個重大安全漏洞。
• 2023 年 12 月，發(fā)布 Cosmos 生態(tài)安全指南。
• 2023 年 12 月，發(fā)現(xiàn) WalletConnect Verify API 中的 XSS 漏洞。
• 2023 年 12 月，發(fā)現(xiàn) Wormhole 與 OKX 移動端漏洞。

?

這只是 CertiK 在 2023 年守護 Web3.0 行業(yè)安全所付出的努力的一小部分?；仡?2023 年的每一行代碼審計、每次事件后的徹夜追蹤、每一篇分析研究，都是 CertiK 對 Web3.0 未來世界的承諾和期待。

?

感謝所有 Web3.0 從業(yè)者、安全專家與用戶們與我們一路同行。相信 2023 年的收獲與教訓，都將成為構建安全 Web3.0 世界最寶貴的財富。