jakiro
في بداية العام الجديد ، وصل Certik كما هو مقرر على مدار العام – 《Hack3d: 2023 تقرير أمان Web3.0 السنوي》 تم إصداره في الساعة 10 مساءً بتوقيت بكين في 3 يناير.يكشف هذا التقرير ، الذي جذب الكثير من الاهتمام من الصناعة ، عن أحدث الاتجاهات في Web3.0 Security من خلال الإحصاءات وتحليل حوادث الأمان في حقل Web3.0 في العام الماضي.
بصفته تقرير الأمن الأكثر تفصيلاً والموثوقًا في الصناعة ، يغطي “Hack3D: 2023 Web3.0 Security Report” ما حدث في النظام البيئي Web3.0 في عام 2023 على مدار العام.إحصاءات وتحليلات شاملة للأحداث مثل هجمات المتسللين والاحتيال والاستغلال، هو دليل ضروري للمطورين والممارسين والمنظمين والمستخدمين والعشاق لفهم حالة الأمان الحالية والتحديات والفرص الخاصة بـ Web3.0.
قبل قراءة التقرير الكامل ، دعونا نفهم بسرعة الوضع الأمني العام لصناعة الويب 3.0 في عام 2023:
نظرة عامة سنوية – انخفاض إجمالي خسائر الحوادث الأمنية بأكثر من النصف
حدث ما مجموعه الحوادث الأمنية في عام 2023751تسبب1.84 مليار دولارتتم مقارنة فقدان الأصول بمبلغ 3.7 مليار دولار أمريكي في عام 2022إنه لأسفل51 ٪.من خلال التحليل الإحصائي ، تعتقد Certik أن أسباب هذا الانخفاض متعددة.بالإضافة إلى ذلك ، فإن اتجاهات الصناعة الكلية لها أيضًا تأثير معين على عدد الحوادث الأمنية والخسائر التي تسببها.
رؤية البيانات
من خلال تصنيف التوقيت والأنواع والنظم الإيكولوجية لحوادث الأمان ، وجدنا بعض الأفكار تستحق الدراسة:
-
كانت الخسائر هي الأعلى في الربع الثالث ، وكانت الخسائر هي الأثقل في نوفمبر.كان الربع الثالث من عام 2023 هو أكثر الخسائر للعام بأكملهحدث ما مجموعه 183 حادثًا أمنيًا ، مما تسبب في خسائر قدرها 686 مليون دولار أمريكي ؛
-
تسبب حوادث تسرب المفتاح الخاص تسبب معظم الخسائر.على الرغم من أن إجمالي عدد الأحداث يمثل 6.3 ٪ فقط من جميع الأحداث ، إلا أنه تسبب في خسائر قدرها 881 مليون دولار أمريكي ، أي ما يقرب من نصف إجمالي الخسائر للعام بأكمله.
-
أعلى إجمالي خسارة Ethereum.في عام 2023 ، كان لدى Ethereum 224 حادثًا أمنيًا ، مما تسبب في خسائر قدرها 686 مليون دولار أمريكي ، بمتوسط خسارة تبلغ حوالي 3 ملايين دولار أمريكي لكل حدث.من بين جميع النظم الإيكولوجية ، لم تواجه Ethereum أكثر الحوادث الأمنية في عام 2023 ، لكنها جلبت أعلى خسارة إجمالية.
-
عانت حوادث الأمن عبر السلسلة.في عام 2023 ، تسببت 35 حادثًا في الأمن عبر السلسلة عبر 799 مليون دولار أمريكي في الخسائر ، مما يشير إلى أن نقاط الضعف في التشغيل البيني لا تزال تشكل نقطة ألم في مجال الأمن في الصناعة.
اتجاهات الصناعة
من ناحية أخرى ، من خلال التحليل المقارن لسلسلة من الحوادث الأمنية الرئيسية ، اكتشفنا أيضًا بعض اتجاهات الصناعة التي جذبت اهتمامًا واسعًا:
1. يتم زيادة كمية “مكافأة الثغرة القابلة للتتبع” ، لكن “إصلاح الموتى” ليس جيدًا مثل “منع المشاكل قبل حدوثها”
في عام 2023 ،34 حوادث أمنية استرداد 219 مليون دولار من الخسائر من خلال المفاوضات مع المهاجمين حول “Bounty يمكن تتبعه”، تمثل 12 ٪ من الخسارة الإجمالية البالغة 1.8 مليار دولار ، وزاد مبلغ العائد المتفاوض بنسبة 54 ٪ مقارنة مع السنوات السابقة.تعتقد Certik أنه على الرغم من أن هذه الاستراتيجية يمكن أن تساعد المشروع على استرداد خسائره إلى حد ما ، من الواضح أن مشاريع Web3.0 لا يمكن أن تعتمد على المفاوضات مع المتسللين لحماية أمن الأصول.لذلك ، من الأهمية بمكان إنشاء منصة للمكافآت التي تحفز خبراء أمن القبعة البيضاء تمامًا على الإبلاغ عن نقاط الضعف الأمنية قبل حدوث الهجوم.
إذا كنت ترغب في معرفة مواقف أطراف المشاريع المختلفة حول التفاوض على “Bounty يمكن تتبعها” ، فنحن نرحب بك في قراءة التحليل التفصيلي لحلول المتابعة للحادثين في Finance و Kyberswap في التقرير.
2. WEB2.0 RISE FILDOVER WEB3.0-التحديات الطويلة والمستمرة
في 14 ديسمبر ، واجهت Web3.0 Wallet Wallet Ledger أزمة أمنية رئيسية.سقط موظف سابق ليدجر ضحية لهجوم تصيد.يتحكم المهاجم في حساب NPMJS الخاص به من خلال GitHub ، وتم تحميل التعليمات البرمجية الضارة إلى NPMJs ليدجر ، وحصل بنجاح على إمكانية الوصول إلى مجموعة Ledger Connect ، وتوجيه مستخدمي المحفظة إلى مواقع الويب الضارة.قامت دفتر الأستاذ بنشر التحديثات بسرعة في غضون 40 دقيقة من اكتشاف الضعف ، مما كبح تهديدات المتابعة المحتملة.تسبب الهجوم حوالي 610،000 دولار في الخسائر المباشرة، على الرغم من أن المبلغ ليس ضخمًا ، إلا أنه كان له تأثير سلبي لا يحصى على سمعة ليدجر.
يذكرنا حادث دفتر الأستاذ ، مثله مثل الحالة التي تعاونت فيها Certik و WalletConnect لحل نقاط الضعف XSS: على الرغم من أن النظم الإيكولوجية لـ Web3.0 و blockchain لها روح لا مركزية ، إلا أن تطبيقات Web3.0 الحالية لا تزال تستخدم مكونات Web2.0 Ecosystem بكميات كبيرة. مثل أنظمة الحساب ، ورموز QR ، وقواعد التعليمات البرمجية ، وما إلى ذلك ، وبالتالي ورث المخاطر الضعيفة المركزية في عصر Web2.0.بمجرد إخضاع حساب الموظف بنجاح لهجوم التصيد ، قد يتسبب ذلك في خسائر كبيرة لغالبية مستخدمي Web3.0.تحقيقًا لهذه الغاية ، ممارسي الأمن Web3.0 بما في ذلك الحاجة إلى Certikالمفهوم اللامركزي وتطوير البرمجيات وصيانتهاإن إيجاد توازن بين الواقع الفعلي يمثل تحديًا طويل الأجل ومستمر.
3. لا يزال الإشراف على الصناعة ينضج
في عام 2023 ، يسعدنا أن نرى أن الإشراف على Web3.0 ينضج تدريجياً ،بدأت المزيد والمزيد من المؤسسات في استكشاف مجموعة من تقنية blockchain والشركات التقليدية بنشاط.إن جهود SWIFT لتعزيز التشغيل البيني ، وممارسة العديد من البنوك العالمية في مجال رمز الأصول ، واستكشاف عمالقة الإنترنت مثل PayPal على مستوى Stablecoin ، تُظهر جميع المؤسسات إجماعًا على تقنية blockchain ونظام Web3.0 الإيكولوجي. تعزيز باستمرار.
من حيث التنظيم ، قدمت العديد من المناطق بما في ذلك هونغ كونغ وسنغافورة واليابان والولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة أطر عمل أو إرشادات تنظيمية ستابلكوين.عمل فريق Certik مؤخرًا كخبير استشاري ، حيث قدم المشورة المهنية لصياغة إطار عمل السلطة النقدية في Singapore (MAS) Stablecoin واكتسب اعترافًا من الأخير.أطلقت Certik مؤخرًا خدمات الاستشارات والامتثال لأمن STABLECOIN ، وستستمر في المشاركة بنشاط في الأنشطة الاستشارية للوكالات التنظيمية المحلية للمساعدة في تطوير أمان حقل StableCoin والتنفيذ على نطاق واسع لـ Web3.0.
Certik’s 2023
مع الجهود المشتركة للصناعة بأكملها ، أحرز Web3.0 Security العديد من التقدم في عام 2023.يشرف Certik أن تستمر في المساهمة في هذا المجال والعمل من أجل مستقبل Web3.0.دعنا نراجع أبرز أبرز Certik في عام 2023:
في أبريل 2023 ، تم إطلاق Skynet for Community ، مما يوفر للمستخدمين منصة معلومات واحدة.
في مايو 2023 ، أعلنت أنها وصلت إلى شراكة مع Alibaba Cloud لتقديم أمان blockchain في المنصة السحابية.
في يونيو 2023 ، منحت مؤسسة Sui مكافأة لاكتشاف تهديد أمني كبير لـ Sui Blockchain.
في يوليو 2023 ، أصبح أول شركة تدقيق أمان على شبكة الإنترنت 3.0 تحصل على شهادة SOC 2 من النوع الأول.
في يوليو 2023 ، تم الانتهاء من التحقق الرسمي المتقدم لـ Hyperenclave المبتكر المبتكر لـ ANT Group (TEE).
في يوليو 2023 ، اكتشفنا وعملنا معًا لحل نقاط الضعف الأمنية في حل Tee Safeheron Open Source.
في أغسطس 2023 ، تم اكتشاف نقاط الضعف الأمنية في نظام WorldCoin.
في أغسطس وأكتوبر 2023 ، تلقى Certik شكرتين من Apple لاكتشاف نقاط الضعف المتعددة في Apple IOS kernel.
في سبتمبر 2023 ، تم إصدار SkyInsights ، منتج Web3.0 الامتثال وإدارة المخاطر.
في نوفمبر 2023 ، تم الانتهاء من التحقق الرسمي لعقد السلسلة الرئيسية للطن ، مما يوفر التحقق من سجل معاملات شبكة Ton في الثانية (TPS).
في نوفمبر 2023 ، تم اكتشاف العديد من نقاط الضعف في الأمان الرئيسية على جانب الهاتف المحمول Web3.0.
في ديسمبر 2023 ، تم إصدار دليل الأمن البيئي Cosmos.
في ديسمبر 2023 ، تم اكتشاف ضعف XSS في WalletConnect API.
في ديسمبر 2023 ، تم اكتشاف نقاط الضعف في المحطات المحمولة للورم و OKX.
هذا مجرد جزء صغير من الجهد الذي وضعته Certik في حماية أمن صناعة Web3.0 في عام 2023.إذا نظرنا إلى الوراء في كل سطر من مراجعة التعليمات البرمجية في عام 2023 ، وتتبع الليل بعد كل حدث ، وكل تحليل وبحث ، نحن التزامنا وتوقعاتنا للعالم المستقبلي لـ Web3.0.
شكرًا لجميع ممارسي Web3.0 وخبراء الأمن والمستخدمين على المشي معنا.أعتقد أن المكاسب والدروس المستفادة في عام 2023 ستصبح الأصول الأكثر قيمة في بناء عالم آمن ويب 3.0.
التقرير الكامل: https://indd.adobe.com/view/b4928253-6534-48d9-b9c6-9993c99a18b5
