新年伊始,CertiK全年重磅如约而至——《Hack3d:2023年度Web3.0安全报告》发布。这份备受行业关注的报告通过对过去一年Web3.0领域安全事件的统计和分析,全方位揭示了Web3.0安全的最新趋势。
作为业内最详尽、最权威的安全报告,《Hack3d:2023年度Web3.0安全报告》涵盖了2023年全年Web3.0生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解Web3.0安全现状、挑战与机遇的必备指南。
在阅读完整报告之前,让我们快速了解2023年Web3.0行业的总体安全情况:
年度概览——安全事件损失总额降幅过半
2023年共发生安全事件751起,造成了18.4亿美元的资产损失,损失金额较2022年的37亿美元下降了51%。通过统计分析,CertiK认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。
数据洞察
通过对安全事件的时间、种类与生态系统进行分类,CertiK发现了一些值得研究的洞察:
2023年每月安全事件发生次数与损失金额(美元)
2023年各类安全事件发生次数与损失金额(美元)
行业趋势
另一方面,通过对一系列重大安全事件的对比分析,CertiK还发现了一些广受关注的行业新动向:
2023年,34起安全事件通过与攻击者进行“追溯性漏洞赏金”谈判追回2.19亿美元损失,占总损失额18亿美元的12%,与往年相比,谈判返还金额增加了54%。CertiK认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但Web3.0项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。
想具体了解不同项目方对于“追溯性漏洞赏金”谈判的态度,欢迎阅读报告内关于Euler Finance与KyberSwap两起事件的后续解决方案的详细分析。
12月14日,Web3.0硬件钱包巨头Ledger遭遇重大安全危机。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者通过Github控制其NPMJS账户,将恶意代码上传至Ledger的NPMJS,进而成功获取了Ledger Connect Kit的访问权限,将钱包用户引导至恶意网站。Ledger在发现漏洞后40分钟内迅速部署更新,遏止了潜在的后续威胁。此次攻击造成了约61万美元的直接损失,尽管金额不算巨大,但对Ledger的声誉造成了难以估量的负面影响。
这次Ledger事件与CertiK与WalletConnect联手解决XSS漏洞的案例一样,都提醒我们:尽管Web3.0与区块链生态具有去中心化的精神,但当前Web3.0应用仍大量采用Web2.0生态组件,如账户系统、二维码、代码库等,因此也继承了Web2.0时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大Web3.0用户带来巨大的损失。为此,包括CertiK在内的Web3.0安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。
2023年,CertiK欣喜地看到伴随着Web3.0监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及Paypal等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与Web3.0生态共识在不断加强。
监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与Web3.0的大规模落地。
Certik的2023年
在整个行业的共同努力下,Web3.0安全在2023年取得了多方面进展。CertiK很荣幸可以继续在这一领域作出贡献,为Web3.0的未来而努力。让我们一起回顾CertiK在2023年的高光时刻:
这只是CertiK在2023年守护Web3.0行业安全所付出的努力的一小部分。回顾2023年的每一行代码审计、每次事件后的彻夜追踪、每一篇分析研究,都是CertiK对Web3.0未来世界的承诺和期待。
感谢所有Web3.0从业者、安全专家与用户们与我们一路同行。相信2023年的收获与教训,都将成为构建安全Web3.0世界最宝贵的财富。
立刻下载获取《Hack3d:2023年度Web3.0安全报告》全文。