Cointime

扫码下载App
iOS & Android

年度重磅:CertiK发布《Hack3d:2023年度Web3.0安全报告》

项目方

新年伊始,CertiK全年重磅如约而至——《Hack3d:2023年度Web3.0安全报告》于北京时间1月3日晚10点发布。这份备受行业关注的报告通过对过去一年Web3.0领域安全事件的统计和分析,全方位揭示了Web3.0安全的最新趋势。

作为业内最详尽、最权威的安全报告,《Hack3d:2023年度Web3.0安全报告》涵盖了2023年全年Web3.0生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解Web3.0安全现状、挑战与机遇的必备指南。

在阅读完整报告之前,让我们快速了解2023年Web3.0行业的总体安全情况:

年度概览——安全事件损失总额降幅过半

2023年共发生安全事件751起,造成了18.4亿美元的资产损失,损失金额较2022年的37亿美元下降了51%。通过统计分析,CertiK认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。

数据洞察

通过对安全事件的时间、种类与生态系统进行分类,我们发现了一些值得研究的洞察:

  • 第三季度损失最高,11月单月损失最重。2023年第三季度是全年损失最多的一个季度,共发生了183起安全事件,造成了6.86亿美元的损失;11月共发生了45起安全事件,造成3.64亿美元损失。
  • 私钥泄露类事件造成的损失最多。虽然事件总量仅占所有事件的6.3%,却造成了8.81亿美元损失,接近全年总损失的一半。
  • 以太坊损失总金额最高。2023年,以太坊出现224起安全事件,造成了6.86亿美元的损失,平均单事件损失金额约300万美元。在所有生态系统中,以太坊在2023年出现的安全事件并非最多,但是却带来了最高的总损失金额。
  • 跨链安全事件损失惨重。2023年,仅35起跨链安全事件就造成了7.99亿美元的损失,表明互操作性漏洞仍然是行业安全的痛点。

行业趋势

另一方面,通过对一系列重大安全事件的对比分析,我们还发现了一些广受关注的行业新动向:

1. “追溯性漏洞赏金”返还金额增加,但“亡羊补牢”不及“防患未然”

2023年,34起安全事件通过与攻击者进行“追溯性漏洞赏金”谈判追回2.19亿美元损失,占总损失额18亿美元的12%,与往年相比,谈判返还金额增加了54%。CertiK认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但Web3.0项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。

想具体了解不同项目方对于“追溯性漏洞赏金”谈判的态度,欢迎阅读报告内关于Euler Finance与KyberSwap两起事件的后续解决方案的详细分析。

2. Web2.0风险外溢Web3.0——长期且持续的挑战

12月14日,Web3.0硬件钱包巨头Ledger遭遇重大安全危机。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者通过Github控制其NPMJS账户,将恶意代码上传至Ledger的NPMJS,进而成功获取了Ledger Connect Kit的访问权限,将钱包用户引导至恶意网站。Ledger在发现漏洞后40分钟内迅速部署更新,遏制了潜在的后续威胁。此次攻击造成了约61万美元的直接损失,尽管金额不算巨大,但对Ledger的声誉造成了难以估量的负面影响。

这次Ledger事件与CertiK与WalletConnect联手解决XSS漏洞的案例一样,都提醒我们:尽管Web3.0与区块链生态具有去中心化的精神,但当前Web3.0应用仍大量采用Web2.0生态组件,如账户系统、二维码、代码库等,因此也继承了Web2.0时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大Web3.0用户带来巨大的损失。为此,包括CertiK在内的Web3.0安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。

3. 行业监管继续走向成熟

2023年,我们欣喜地看到伴随着Web3.0监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及Paypal等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与Web3.0生态共识在不断加强。

监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与Web3.0的大规模落地。

CertiK的2023年

在整个行业的共同努力下,Web3.0安全在2023年取得了多方面进展。CertiK很荣幸可以继续在这一领域作出贡献,为Web3.0的未来而努力。让我们一起回顾CertiK在2023年的高光时刻:

2023年4月,推出Skynet for Community,为用户提供一站式信息平台。

2023年5月,宣布和阿里云达成合作伙伴关系,将区块链安全引入云平台。

2023年6月,发现Sui区块链重大安全威胁而被Sui基金会授予悬赏奖金。

2023年7月,成为首家获得SOC 2类型I认证的Web3.0安全审计公司。

2023年7月,完成对蚂蚁集团创新开放式跨平台可信执行环境(TEE)HyperEnclave的先进形式化验证。

2023年7月,发现并携手解决Safeheron开源TEE解决方案安全漏洞。

2023年8月,发现Worldcoin系统中的安全漏洞。

2023年8月和10月,CertiK因发现了苹果iOS内核的多个安全漏洞,获得苹果公司两次致谢。

2023年9月,发布Web3.0合规和风险管理产品SkyInsights。

2023年11月,对TON主链合约完成形式化验证,为TON网络的每秒交易记录(TPS)提供验证。

2023年11月,发现Web3.0移动端多个重大安全漏洞。

2023年12月,发布Cosmos‍生态安全指南。

2023年12月,发现 WalletConnect Verify API中的XSS漏洞。

2023年12月,发现Wormhole与OKX移动端漏洞。

这只是CertiK在2023年守护Web3.0行业安全所付出的努力的一小部分。回顾2023年的每一行代码审计、每次事件后的彻夜追踪、每一篇分析研究,都是我们对Web3.0未来世界的承诺和期待。

感谢所有Web3.0从业者、安全专家与用户们与我们一路同行。相信2023年的收获与教训,都将成为构建安全Web3.0世界最宝贵的财富。

点击文末「阅读原文」,立刻获取《Hack3d:2023年度Web3.0安全报告》PDF版本。

评论

所有评论

推荐阅读

  • IPO在即,灰度创始人Barry Silbert回归出任董事会主席

    Grayscale Investments 在提交保密 IPO 申请后,宣布四项高管任命并迎回创始人 Barry Silbert 担任董事会主席。新任命的高管包括:首席运营官 Diana Zhang、首席营销官拉蒙娜·波士顿 Ramona Boston、首席传讯官 Andrea Williams、首席人力资源官 Maxwell Rosenthal。四位高管都将向灰度首席执行官 Peter Mintzberg 汇报,他们均来自传统金融巨头,包括桥水基金、阿波罗全球管理、高盛和城堡投资。 Barry Silbert 于 2013 年创立灰度,于 2023 年底辞去灰度董事长一职,此次将接替 Mark Shifke 担任董事会主席,Shifke 将继续留任董事会,目前董事会成员已增至五人。公司表示正在考虑增加独立董事。 Barry Silbert 表示:「我很荣幸能够在公司乃至更广泛的数字资产生态系统的关键时刻重新加入灰度董事会。我始终坚信公司的长期定位以及引领公司前进的领导团队。」

  • SharpLink Gaming增持18,680枚以太坊,总持有498,884枚

    据链上分析师 Onchain Lens 监测,SharpLink Gaming(股票代码:SBET)今日再次增持18,680枚以太坊,价值约6,663万美元。此次增持后,该公司以太坊储备总量达到498,884枚,总价值约18亿美元。

  • Bullish向美国证交会提交IPO申请,拟募资6.29亿美元

    数字资产交易所Bullish及其子公司CoinDesk已向美国证券交易委员会(SEC)提交首次公开募股(IPO)申请。根据申请文件,Bullish计划发行2030万股,发行价区间为28-31美元/股,最高募资金额为6.29亿美元,对应公司估值约42亿美元。 Bullish业务范围包括数字资产现货交易、杠杆交易和衍生品交易,同时为稳定币发行机构提供流动性服务。财务数据显示,该公司2025年第一季度数字资产销售额达8020万美元,净亏损3.49亿美元。Bullish曾于2023年以7260万美元收购加密货币媒体平台CoinDesk。

  • 欧盟将对美国的贸易反制措施暂停6个月

    市场消息:欧盟将对美国的贸易反制措施暂停6个月

  • 去中心化操作系统 OpenMind 完成 2000 万美元融资,Pantera Capital 领投

    智能机器去中心化操作系统 OpenMind 宣布完成 2000 万美元融资,Pantera Capital 领投,Coinbase Ventures、Digital Currency Group 和 Ribbit 等参投。 据悉,这家初创公司正在开发一款名为 FABRIC 的“硬件无关”操作系统,旨在支持“智能机器融入日常生活”。该协议为支持人工智能的机器人提供了一种通信和协调的方式。

  • 观点:LetsBonk 短期称霸,PumpFun 或将更换战略实现逆袭

    Memecoin 市场衰退,PumpFun 战略转型或成最大赢家。

  • Grayscale:以太坊 7 月领跑加密市场的底层逻辑

    市场对以太坊及 ETH 重燃的热情,很可能反映了当前焦点正集中在稳定币、资产代币化及机构区块链应用这些领域。

  • 加强个人境外收入监管 境外买卖股票收入也要缴税

    《金融时报》刊文,据了解,近期有纳税人收到了税务部门通知,告知其需要依法办理境外所得申报并缴纳相应税款。“根据我国个人所得税法,个人股票交易所得属于财产转让所得,应当适用20%的税率按次征收。其中,个人在境内二级市场的股票交易所得暂免征收个人所得税;在境外直接进行股票交易所得没有免税规定,需要在取得所得的次年申报纳税。”吉林财经大学税务学院院长张巍解释说。为了更加合理的征收,我国税务部门在征管时,允许纳税人按照纳税年度盈亏相抵,但不允许跨年互抵。依法纳税是每个公民应尽的义务。个人未申报或者未如实申报境外所得,除了会被税务机关要求补缴税款外,还会被加收滞纳金,情形严重的还可能被稽查部门立案检查,将面临税务处罚。纳税人如果发现自己此前申报个税时,存在少报、漏报境外所得的,要及时补正。

  • 美国SEC文件显示特斯拉批准向马斯克授予9600万股股票奖励

    美国SEC文件显示:特斯拉(TSLA.O)批准向马斯克授予9600万股股票奖励,马斯克将按每股23.34美元的价格购买已获授股票。

  • Michael Saylor:比特币策略如何做到不被清算?

    自 2020 年启动比特币储备策略以来,Michael Saylor 始终致力于维持健康的资产负债表。如今,他正将这一策略推向新高度。