Cointime

扫码下载App
iOS & Android

年度重磅:CertiK发布《Hack3d:2023年度Web3.0安全报告》

项目方

新年伊始,CertiK全年重磅如约而至——《Hack3d:2023年度Web3.0安全报告》于北京时间1月3日晚10点发布。这份备受行业关注的报告通过对过去一年Web3.0领域安全事件的统计和分析,全方位揭示了Web3.0安全的最新趋势。

作为业内最详尽、最权威的安全报告,《Hack3d:2023年度Web3.0安全报告》涵盖了2023年全年Web3.0生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解Web3.0安全现状、挑战与机遇的必备指南。

在阅读完整报告之前,让我们快速了解2023年Web3.0行业的总体安全情况:

年度概览——安全事件损失总额降幅过半

2023年共发生安全事件751起,造成了18.4亿美元的资产损失,损失金额较2022年的37亿美元下降了51%。通过统计分析,CertiK认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。

数据洞察

通过对安全事件的时间、种类与生态系统进行分类,我们发现了一些值得研究的洞察:

  • 第三季度损失最高,11月单月损失最重。2023年第三季度是全年损失最多的一个季度,共发生了183起安全事件,造成了6.86亿美元的损失;11月共发生了45起安全事件,造成3.64亿美元损失。
  • 私钥泄露类事件造成的损失最多。虽然事件总量仅占所有事件的6.3%,却造成了8.81亿美元损失,接近全年总损失的一半。
  • 以太坊损失总金额最高。2023年,以太坊出现224起安全事件,造成了6.86亿美元的损失,平均单事件损失金额约300万美元。在所有生态系统中,以太坊在2023年出现的安全事件并非最多,但是却带来了最高的总损失金额。
  • 跨链安全事件损失惨重。2023年,仅35起跨链安全事件就造成了7.99亿美元的损失,表明互操作性漏洞仍然是行业安全的痛点。

行业趋势

另一方面,通过对一系列重大安全事件的对比分析,我们还发现了一些广受关注的行业新动向:

1. “追溯性漏洞赏金”返还金额增加,但“亡羊补牢”不及“防患未然”

2023年,34起安全事件通过与攻击者进行“追溯性漏洞赏金”谈判追回2.19亿美元损失,占总损失额18亿美元的12%,与往年相比,谈判返还金额增加了54%。CertiK认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但Web3.0项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。

想具体了解不同项目方对于“追溯性漏洞赏金”谈判的态度,欢迎阅读报告内关于Euler Finance与KyberSwap两起事件的后续解决方案的详细分析。

2. Web2.0风险外溢Web3.0——长期且持续的挑战

12月14日,Web3.0硬件钱包巨头Ledger遭遇重大安全危机。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者通过Github控制其NPMJS账户,将恶意代码上传至Ledger的NPMJS,进而成功获取了Ledger Connect Kit的访问权限,将钱包用户引导至恶意网站。Ledger在发现漏洞后40分钟内迅速部署更新,遏制了潜在的后续威胁。此次攻击造成了约61万美元的直接损失,尽管金额不算巨大,但对Ledger的声誉造成了难以估量的负面影响。

这次Ledger事件与CertiK与WalletConnect联手解决XSS漏洞的案例一样,都提醒我们:尽管Web3.0与区块链生态具有去中心化的精神,但当前Web3.0应用仍大量采用Web2.0生态组件,如账户系统、二维码、代码库等,因此也继承了Web2.0时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大Web3.0用户带来巨大的损失。为此,包括CertiK在内的Web3.0安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。

3. 行业监管继续走向成熟

2023年,我们欣喜地看到伴随着Web3.0监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及Paypal等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与Web3.0生态共识在不断加强。

监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与Web3.0的大规模落地。

CertiK的2023年

在整个行业的共同努力下,Web3.0安全在2023年取得了多方面进展。CertiK很荣幸可以继续在这一领域作出贡献,为Web3.0的未来而努力。让我们一起回顾CertiK在2023年的高光时刻:

2023年4月,推出Skynet for Community,为用户提供一站式信息平台。

2023年5月,宣布和阿里云达成合作伙伴关系,将区块链安全引入云平台。

2023年6月,发现Sui区块链重大安全威胁而被Sui基金会授予悬赏奖金。

2023年7月,成为首家获得SOC 2类型I认证的Web3.0安全审计公司。

2023年7月,完成对蚂蚁集团创新开放式跨平台可信执行环境(TEE)HyperEnclave的先进形式化验证。

2023年7月,发现并携手解决Safeheron开源TEE解决方案安全漏洞。

2023年8月,发现Worldcoin系统中的安全漏洞。

2023年8月和10月,CertiK因发现了苹果iOS内核的多个安全漏洞,获得苹果公司两次致谢。

2023年9月,发布Web3.0合规和风险管理产品SkyInsights。

2023年11月,对TON主链合约完成形式化验证,为TON网络的每秒交易记录(TPS)提供验证。

2023年11月,发现Web3.0移动端多个重大安全漏洞。

2023年12月,发布Cosmos‍生态安全指南。

2023年12月,发现 WalletConnect Verify API中的XSS漏洞。

2023年12月,发现Wormhole与OKX移动端漏洞。

这只是CertiK在2023年守护Web3.0行业安全所付出的努力的一小部分。回顾2023年的每一行代码审计、每次事件后的彻夜追踪、每一篇分析研究,都是我们对Web3.0未来世界的承诺和期待。

感谢所有Web3.0从业者、安全专家与用户们与我们一路同行。相信2023年的收获与教训,都将成为构建安全Web3.0世界最宝贵的财富。

点击文末「阅读原文」,立刻获取《Hack3d:2023年度Web3.0安全报告》PDF版本。

评论

所有评论

推荐阅读

  • 特朗普:众议院通过了我支持的法案 永久实施夏令时

    7月15日,美国总统特朗普:好消息!众议院通过了我支持的法案,永久实施夏令时。

  • 据报在AI领域斩获颇丰的中国对冲基金开始寻求退出机会

    7月15日,据彭博,今年因重仓AI相关股票而斩获颇丰的中国对冲基金,目前正开始逐步降低其风险敞口。它们向投资者发出警示,称正对这轮反弹可能无法持续的信号保持高度警惕。一封投资者信显示,上海领久私募(Everlead Capital)旗下的“成长策略3号基金”今年截至5月31日的收益率高达164%。该机构已告诉投资者,他们近期削减了在光通信和先进封装公司的仓位。另据5月的投资者信显示,另一家管理规模超50亿元人民币的私募机构浑瑾资本(Hunjin Capital)旗下的“悦阳G1基金”,在今年前五个月上涨了三分之一,目前也已经出售了部分AI股票。它们给出的理由是,担心这轮暴涨的幅度过大、速度过快。 尽管如此,这些基金目前尚未发出“泡沫即将破裂”的警告。一些机构指出,坚实的行业基本面和真金白银的业绩兑现正在驱动这轮反弹,但它们也正在密切注视可能触发更大规模套现退出的临界点。这些机构表示,他们已经确定了具体的触发信号,一旦触及,将进行更大规模的套现退出。

  • 鲁比奥今日召集AI经济外交大会

    美国国务卿鲁比奥将于周三主持经济外交行动小组(EDAG)的首次会议。该机制最初于拜登政府时期设立,至今已有两年。一名国务院官员表示,该小组由各联邦机构的负责人组成,其职责是“确定美国经济政策的方向和重点,从而推动美国的外交政策目标”。这些目标包括“美国在人工智能领域的领导地位”。与会的还有来自国务院、商务部、能源部、农业部、国防部和财政部的官员,以及美国贸易代表、美国进出口银行、发展金融公司、美国贸易与发展局、小企业管理局、千禧年挑战公司以及白宫科技政策办公室的负责人。(金十)

  • 美军对伊朗发起新一轮打击

    7月15日,美国中央司令部:今天东部时间上午6点(北京时间18点),美国中央司令部部队开始对伊朗发起一系列打击。这些打击旨在进一步削弱伊朗军队用于攻击霍尔木兹海峡商业航运的军事能力。(金十)

  • 特朗普:民主党造成的通胀已大幅下降 还会进一步降低

    7月15日,美国总统特朗普:好消息,民主党造成的通胀已经大幅下降,我们还会进一步降低。(金十)

  • 白宫哈塞特吐槽:67位经济学家中有67位错误预测CPI

    白宫经济顾问委员会主席哈塞特14日受访时表示,关于6月CPI报告,“彭博调查的67位经济学家,结果67位经济学家都预测错了!”他表示,6月CPI环比下降了0.4%,这是6年来最大的月度降幅,这得益于美国总统特朗普为削减成本采取的种种措施。(金十)

  • 孙正义预测2040年AI智能体将达100万亿个,AI将成人类史上最大产业

    7月15日,据日本读卖新闻报道,软银集团董事长兼CEO孙正义周二在东京举行的年度会议“软银世界”上表示,预计到2040年,AI智能体将达到100万亿个,人形机器人将达到10亿个,AI将成为“人类历史上最大的产业”。他指出,到2040年AI将贡献全球GDP的约20%,并称“100万亿个AI智能体相互交互,社会将转向以智能体为中心,而非以人类为中心,世界格局将彻底改变”。关于人形机器人的影响,孙正义表示,机器人可24小时运作,相当于30亿人类劳动力,且执行任务更快、更精准、更细致,将成为劳动力的核心。他同时强调,数据中心扩建是实现这一愿景的关键,预计到2040年电力消耗将翻倍,每年需投入约5万亿美元(800万亿日元)。在未来业务战略上,孙正义表示,AI革命不应局限于日本,必须集中资源于美国这一核心战场。(金十)

  • 百度盘前直线拉升涨约2% 消息称其为苹果智能提供AI搜索功能

    7月15日,百度(BIDU.US)盘前直线拉升,现涨约2%。有媒体援引知情人士透露,苹果与百度将合作,为中国iPhone用户开发人工智能功能。百度重点开发一种基于人工智能的搜索功能,作为“苹果智能”功能套件的一部分,能够处理图像和文本,并升级为中国版的 Siri语音助手。6月23日,也有海外博主One Jailbreak在拆解iOS 27 Beta 2代码时发现,ExtensionKit出现“Baidu Visual Search”。今日,网信办发布7款手机端侧生成式人工智能服务备案信息,Apple智能在列。

  • 中际旭创据悉接近获批赴港上市,募资规模或达70亿美元

    7月15日,据知情人士透露,中际旭创即将获得中国证券监管机构批准,其香港上��计划有望成为近年来香港规模最大的上市项目之一。知情人士表示,一旦获得中国证监会的批准,中际旭创便可着手向香港交易所申请聆讯,时间最早可能在本周。知情人士称,这家生产用于人工智能和数据中心的光收发模块的企业正考虑在此次股票发行中筹集约70亿美元资金。这一规模将远高于此前市场预期。不过,他们表示,包括发行规模和最终监管批准时间在内的细节仍可能发生变化。(金十)