CertiK发布《Hack3d:2023年度Web3.0安全报告》
新年伊始,CertiK全年重磅如约而至——《Hack3d:2023年度Web3.0安全报告》发布。这份备受行业关注的报告通过对过去一年Web3.0领域安全事件的统计和分析,全方位揭示了Web3.0安全的最新趋势。
作为业内最详尽、最权威的安全报告,《Hack3d:2023年度Web3.0安全报告》涵盖了2023年全年Web3.0生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解Web3.0安全现状、挑战与机遇的必备指南。
在阅读完整报告之前,让我们快速了解2023年Web3.0行业的总体安全情况:
年度概览——安全事件损失总额降幅过半
2023年共发生安全事件751起,造成了18.4亿美元的资产损失,损失金额较2022年的37亿美元下降了51%。通过统计分析,CertiK认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。
数据洞察
通过对安全事件的时间、种类与生态系统进行分类,CertiK发现了一些值得研究的洞察:
- 第三季度损失最高,十一月单月损失最重。2023年第三季度是全年损失最多的一个季度,共发生了183起安全事件,造成了6.86亿美元的损失;11月共发生45起安全事件,造成3.64亿美元损失。
2023年每月安全事件发生次数与损失金额(美元)
- 私钥泄露类事件造成的损失最多。虽然事件总量仅占所有事件的6.3%,却造成了8.81亿美元损失,接近全年总损失的一半。
2023年各类安全事件发生次数与损失金额(美元)
- 以太坊损失总金额最高。2023年,以太坊出现224起安全事件,造成了6.86亿美元的损失,平均单事件损失金额约300万美元。在所有生态系统中,以太坊在2023年出现的安全事件并非最多,但是却带来了最高的总损失金额。
- 跨链安全事件损失惨重。2023年,仅35起跨链安全事件就造成了7.99亿美元的损失,表明互操作性漏洞仍然是行业安全的痛点。
行业趋势
另一方面,通过对一系列重大安全事件的对比分析,CertiK还发现了一些广受关注的行业新动向:
- “追溯性漏洞赏金”返还金额增加,但“亡羊补牢”不及“防患未然”
2023年,34起安全事件通过与攻击者进行“追溯性漏洞赏金”谈判追回2.19亿美元损失,占总损失额18亿美元的12%,与往年相比,谈判返还金额增加了54%。CertiK认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但Web3.0项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。
想具体了解不同项目方对于“追溯性漏洞赏金”谈判的态度,欢迎阅读报告内关于Euler Finance与KyberSwap两起事件的后续解决方案的详细分析。
- Web2.0风险外溢Web3.0——长期且持续的挑战
12月14日,Web3.0硬件钱包巨头Ledger遭遇重大安全危机。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者通过Github控制其NPMJS账户,将恶意代码上传至Ledger的NPMJS,进而成功获取了Ledger Connect Kit的访问权限,将钱包用户引导至恶意网站。Ledger在发现漏洞后40分钟内迅速部署更新,遏止了潜在的后续威胁。此次攻击造成了约61万美元的直接损失,尽管金额不算巨大,但对Ledger的声誉造成了难以估量的负面影响。
这次Ledger事件与CertiK与WalletConnect联手解决XSS漏洞的案例一样,都提醒我们:尽管Web3.0与区块链生态具有去中心化的精神,但当前Web3.0应用仍大量采用Web2.0生态组件,如账户系统、二维码、代码库等,因此也继承了Web2.0时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大Web3.0用户带来巨大的损失。为此,包括CertiK在内的Web3.0安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。
- 行业监管继续走向成熟
2023年,CertiK欣喜地看到伴随着Web3.0监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及Paypal等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与Web3.0生态共识在不断加强。
监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与Web3.0的大规模落地。
Certik的2023年
在整个行业的共同努力下,Web3.0安全在2023年取得了多方面进展。CertiK很荣幸可以继续在这一领域作出贡献,为Web3.0的未来而努力。让我们一起回顾CertiK在2023年的高光时刻:
- 2023年4月,推出Skynet for Community,为用户提供一站式信息平台。
- 2023年5月,宣布和阿里云达成合作伙伴关系,将区块链安全引入云平台。
- 2023年6月,发现Sui区块链重大安全威胁而被Sui基金会授予悬赏奖金。
- 2023年7月,成为首家获得SOC 2类型I认证的Web3.0安全审计公司。
- 2023年7月,完成对蚂蚁集团创新开放式跨平台可信执行环境(TEE)HyperEnclave的先进形式化验证。
- 2023年7月,发现并携手解决Safeheron开源TEE解决方案安全漏洞。
- 2023年8月,发现Worldcoin系统中的安全漏洞。
- 2023年8月和10月,CertiK因发现了苹果iOS内核的多个安全漏洞,获得苹果公司两次致谢。
- 2023年9月,发布Web3.0合规和风险管理产品SkyInsights。
- 2023年11月,为TON网络的每秒交易记录(TPS)提供验证。
- 2023年11月,发现Web3.0移动端多个重大安全漏洞。
- 2023年12月,发布Cosmos生态安全指南。
- 2023年12月,发现 WalletConnect Verify API中的XSS漏洞。
- 2023年12月,发现Wormhole与OKX移动端漏洞。
这只是CertiK在2023年守护Web3.0行业安全所付出的努力的一小部分。回顾2023年的每一行代码审计、每次事件后的彻夜追踪、每一篇分析研究,都是CertiK对Web3.0未来世界的承诺和期待。
感谢所有Web3.0从业者、安全专家与用户们与我们一路同行。相信2023年的收获与教训,都将成为构建安全Web3.0世界最宝贵的财富。
立刻下载获取《Hack3d:2023年度Web3.0安全报告》全文。