
新年伊始,CertiK全年重磅如約而至——《 Hack3d:2023年度Web3.0安全報告 》於北京時間1月3日晚10點發布。這份備受行業關注的報告通過對過去一年Web3.0領域安全事件的統計和分析,全方位揭示了Web3.0安全的最新趨勢。
作為業內最詳盡、最權威的安全報告,《Hack3d:2023年度Web3.0安全報告》涵蓋了2023年全年Web3.0生態內發生的 黑客攻擊、欺詐和漏洞利用等全面事件統計與分析 ,是開發者、從業者、監管者以及用戶、愛好者理解Web3.0安全現狀、挑戰與機遇的必備指南。
在閱讀完整報告之前,讓我們快速了解2023年Web3.0行業的總體安全情況:
年度概覽——安全事件損失總額降幅過半
2023年共發生安全事件 751 起,造成了 18.4億美元 的資產損失,損失金額較2022年的37億美元 下降了 51% 。通過統計分析,CertiK認為造成該降幅的原因是多重的,智能合約協議的發展與演變、用戶行為的變化、安全措施的升級與有效性的加強均與安全事件損失總額減小密切相關。除此之外,宏觀行業趨勢也對安全事件的數量與造成的損失有著一定影響。
數據洞察
通過對安全事件的時間、種類與生態系統進行分類,我們發現了一些值得研究的洞察:
-
第三季度損失最高,11月單月損失最重。 2023年第三季度是全年損失最多的一個季度 ,共發生了183起安全事件,造成了6.86億美元的損失;11月共發生了45起安全事件,造成3.64億美元損失。
-
私鑰洩露類事件造成的損失最多 。雖然事件總量僅佔所有事件的6.3%,卻造成了8.81億美元損失,接近全年總損失的一半。
-
以太坊損失總金額最高 。2023年,以太坊出現224起安全事件,造成了6.86億美元的損失,平均單事件損失金額約300萬美元。在所有生態系統中,以太坊在2023年出現的安全事件並非最多,但是卻帶來了最高的總損失金額。
-
跨鏈安全事件損失慘重 。2023年,僅35起跨鏈安全事件就造成了7.99億美元的損失,表明互操作性漏洞仍然是行業安全的痛點。
行業趨勢
另一方面,通過對一系列重大安全事件的對比分析,我們還發現了一些廣受關注的行業新動向:
1. 「追溯性漏洞賞金」返還金額增加,但「亡羊補牢」不及「防患未然」
2023年, 34起安全事件通過與攻擊者進行「追溯性漏洞賞金」談判追回2.19億美元損失 ,佔總損失額18億美元的12%,與往年相比,談判返還金額增加了54%。CertiK認為,雖然這種策略可以在一定程度上幫助項目挽回損失,但Web3.0項目明顯不能依賴和黑客談判來守護資產安全。因此,建立一個懸賞平臺,充分激勵白帽安全專家在攻擊發生之前報告安全漏洞就顯得至關重要。
想具體了解不同項目方對於「追溯性漏洞賞金」談判的態度,歡迎閱讀報告內關於Euler Finance與KyberSwap兩起事件的後續解決方案的詳細分析。
2. Web2.0風險外溢Web3.0——長期且持續的挑戰
12月14日,Web3.0硬體錢包巨頭Ledger遭遇重大安全危機。一名Ledger前員工成為網絡釣魚攻擊的受害者。攻擊者通過Github控制其NPMJS帳戶,將惡意代碼上傳至Ledger的NPMJS,進而成功獲取了Ledger Connect Kit的訪問權限,將錢包用戶引導至惡意網站。Ledger在發現漏洞後40分鐘內迅速部署更新,遏制了潛在的後續威脅。 此次攻擊造成了約61萬美元的直接損失 ,儘管金額不算巨大,但對Ledger的聲譽造成了難以估量的負面影響。
這次Ledger事件與CertiK與WalletConnect聯手解決XSS漏洞的案例一樣,都提醒我們:儘管Web3.0與區塊鏈生態具有去中心化的精神,但當前Web3.0應用仍大量採用Web2.0生態組件,如帳戶系統、二維碼、代碼庫等,因此也繼承了Web2.0時代的中心化漏洞風險。一旦某個員工的帳戶遭到網絡釣魚攻擊得手,便可能給廣大Web3.0用戶帶來巨大的損失。為此,包括CertiK在內的Web3.0安全從業者需在 去中心化理念與軟體開發和維護 的實際現實之間尋求平衡,這是一項長期且持續的挑戰。
3. 行業監管繼續走向成熟
2023年,我們欣喜地看到伴隨著Web3.0監管逐漸成熟, 越來越多的機構開始積極探索區塊鏈技術與傳統業務的結合 。Swift在促進互操作性方面的努力、全球多家銀行在資產通證化領域的實踐,以及Paypal等網際網路金融巨頭在穩定幣層面的探索,均表明企業對於區塊鏈技術與Web3.0生態共識在不斷加強。
監管方面,包括中國香港、新加坡、日本、美國、歐盟與英國在內的許多地區都出臺了穩定幣監管框架或指引。CertiK團隊也在近期作為諮詢專家,為新加坡金融管理局(MAS)的穩定幣框架制定提供了專業建議並獲得後者認可。CertiK近日還推出了穩定幣安全審計與合規諮詢服務,並將繼續通過積極參加各地監管機構的諮詢活動,助力穩定幣領域的安全發展與Web3.0的大規模落地。
CertiK的2023年
在整個行業的共同努力下,Web3.0安全在2023年取得了多方面進展。CertiK很榮幸可以繼續在這一領域作出貢獻,為Web3.0的未來而努力。 讓我們一起回顧CertiK在2023年的高光時刻 :
2023年4月,推出Skynet for Community,為用戶提供一站式信息平臺。
2023年5月,宣布和阿里雲達成合作夥伴關係,將區塊鏈安全引入雲平臺。
2023年6月,發現Sui區塊鏈重大安全威脅而被Sui基金會授予懸賞獎金。
2023年7月,成為首家獲得SOC 2類型I認證的Web3.0安全審計公司。
2023年7月,完成對螞蟻集團創新開放式跨平臺可信執行環境(TEE)HyperEnclave的先進形式化驗證。
2023年7月,發現並攜手解決Safeheron開源TEE解決方案安全漏洞。
2023年8月,發現Worldcoin系統中的安全漏洞。
2023年8月和10月,CertiK因發現了蘋果iOS內核的多個安全漏洞,獲得蘋果公司兩次致謝。
2023年9月,發布Web3.0合規和風險管理產品SkyInsights。
2023年11月,對TON主鏈合約完成形式化驗證,為TON網絡的每秒交易記錄(TPS)提供驗證。
2023年11月,發現Web3.0移動端多個重大安全漏洞。
2023年12月,發布Cosmos生態安全指南。
2023年12月,發現 WalletConnect Verify API中的XSS漏洞。
2023年12月,發現Wormhole與OKX移動端漏洞。
這只是CertiK在2023年守護Web3.0行業安全所付出的努力的一小部分。回顧2023年的每一行代碼審計、每次事件後的徹夜追蹤、每一篇分析研究,都是我們對Web3.0未來世界的承諾和期待。
感謝所有Web3.0從業者、安全專家與用戶們與我們一路同行。相信2023年的收穫與教訓,都將成為構建安全Web3.0世界最寶貴的財富。
完整報告:https://indd.adobe.com/view/b4928253-6534-48d9-b9c6-9993c99a18b5