新年伊始,CertiK全年重磅如约而至——《Hack3d:2023年度Web3.0安全报告》于北京时间1月3日晚10点发布。这份备受行业关注的报告通过对过去一年Web3.0领域安全事件的统计和分析,全方位揭示了Web3.0安全的最新趋势。
作为业内最详尽、最权威的安全报告,《Hack3d:2023年度Web3.0安全报告》涵盖了2023年全年Web3.0生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解Web3.0安全现状、挑战与机遇的必备指南。
在阅读完整报告之前,让我们快速了解2023年Web3.0行业的总体安全情况:
年度概览——安全事件损失总额降幅过半
2023年共发生安全事件751起,造成了18.4亿美元的资产损失,损失金额较2022年的37亿美元下降了51%。通过统计分析,CertiK认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。
数据洞察
通过对安全事件的时间、种类与生态系统进行分类,我们发现了一些值得研究的洞察:
第三季度损失最高,11月单月损失最重。2023年第三季度是全年损失最多的一个季度,共发生了183起安全事件,造成了6.86亿美元的损失;11月共发生了45起安全事件,造成3.64亿美元损失。
私钥泄露类事件造成的损失最多。虽然事件总量仅占所有事件的6.3%,却造成了8.81亿美元损失,接近全年总损失的一半。
以太坊损失总金额最高。2023年,以太坊出现224起安全事件,造成了6.86亿美元的损失,平均单事件损失金额约300万美元。在所有生态系统中,以太坊在2023年出现的安全事件并非最多,但是却带来了最高的总损失金额。
跨链安全事件损失惨重。2023年,仅35起跨链安全事件就造成了7.99亿美元的损失,表明互操作性漏洞仍然是行业安全的痛点。
行业趋势
另一方面,通过对一系列重大安全事件的对比分析,我们还发现了一些广受关注的行业新动向:
1. “追溯性漏洞赏金”返还金额增加,但“亡羊补牢”不及“防患未然”
2023年,34起安全事件通过与攻击者进行“追溯性漏洞赏金”谈判追回2.19亿美元损失,占总损失额18亿美元的12%,与往年相比,谈判返还金额增加了54%。CertiK认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但Web3.0项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。
想具体了解不同项目方对于“追溯性漏洞赏金”谈判的态度,欢迎阅读报告内关于Euler Finance与KyberSwap两起事件的后续解决方案的详细分析。
2. Web2.0风险外溢Web3.0——长期且持续的挑战
12月14日,Web3.0硬件钱包巨头Ledger遭遇重大安全危机。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者通过Github控制其NPMJS账户,将恶意代码上传至Ledger的NPMJS,进而成功获取了Ledger Connect Kit的访问权限,将钱包用户引导至恶意网站。Ledger在发现漏洞后40分钟内迅速部署更新,遏制了潜在的后续威胁。此次攻击造成了约61万美元的直接损失,尽管金额不算巨大,但对Ledger的声誉造成了难以估量的负面影响。
这次Ledger事件与CertiK与WalletConnect联手解决XSS漏洞的案例一样,都提醒我们:尽管Web3.0与区块链生态具有去中心化的精神,但当前Web3.0应用仍大量采用Web2.0生态组件,如账户系统、二维码、代码库等,因此也继承了Web2.0时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大Web3.0用户带来巨大的损失。为此,包括CertiK在内的Web3.0安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。
3. 行业监管继续走向成熟
2023年,我们欣喜地看到伴随着Web3.0监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及Paypal等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与Web3.0生态共识在不断加强。
监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与Web3.0的大规模落地。
下载PDF版本:https://indd.adobe.com/view/b4928253-6534-48d9-b9c6-9993c99a18b5
声明:本文来自CertiK,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。