新年伊始，CertiK全年重磅如約而至——《Hack3d: 2023 年度Web3. 0 安全報(bào)告》于北京時(shí)間 1 月 3 日晚 10 點(diǎn)發(fā)布。這份備受行業(yè)關(guān)注的報(bào)告通過對(duì)過去一年Web3. 0 領(lǐng)域安全事件的統(tǒng)計(jì)和分析，全方位揭示了Web3. 0 安全的最 新趨勢(shì)。

作為業(yè)內(nèi)詳盡的安全報(bào)告，《Hack3d: 2023 年度Web3. 0 安全報(bào)告》涵蓋了 2023 年全年Web3. 0 生態(tài)內(nèi)發(fā)生的黑客攻擊、欺詐和漏洞利用等全面事件統(tǒng)計(jì)與分析，是開發(fā)者、從業(yè)者、監(jiān)管者以及用戶、愛好者理解Web3. 0 安全現(xiàn)狀、挑戰(zhàn)與機(jī)遇的必備指南。

在閱讀完整報(bào)告之前，讓我們快速了解 2023 年Web3. 0 行業(yè)的總體安全情況:

年度概覽——安全事件損失總額降幅過半

2023 年共發(fā)生安全事件751起，造成了18. 4 億美元的資產(chǎn)損失，損失金額較 2022 年的 37 億美元下降了51%。通過統(tǒng)計(jì)分析，CertiK認(rèn)為造成該降幅的原因是多重的，智能合約協(xié)議的發(fā)展與演變、用戶行為的變化、安全措施的升級(jí)與有效性的加強(qiáng)均與安全事件損失總額減小密切相關(guān)。除此之外，宏觀行業(yè)趨勢(shì)也對(duì)安全事件的數(shù)量與造成的損失有著一定影響。

數(shù)據(jù)洞察

通過對(duì)安全事件的時(shí)間、種類與生態(tài)系統(tǒng)進(jìn)行分類，我們發(fā)現(xiàn)了一些值得研究的洞察:

第三季度損失最 高， 11 月單月?lián)p失最重。 2023 年第三季度是全年損失最多的一個(gè)季度，共發(fā)生了 183 起安全事件，造成了6. 86 億美元的損失; 11 月共發(fā)生了 45 起安全事件，造成3. 64 億美元損失。

私鑰泄露類事件造成的損失最多。雖然事件總量?jī)H占所有事件的6.3%，卻造成了8. 81 億美元損失，接近全年總損失的一半。

以太坊損失總金額最 高。 2023 年，以太坊出現(xiàn) 224 起安全事件，造成了6. 86 億美元的損失，平均單事件損失金額約 300 萬美元。在所有生態(tài)系統(tǒng)中，以太坊在 2023 年出現(xiàn)的安全事件并非最多，但是卻帶來了最 高的總損失金額。

跨鏈安全事件損失慘重。 2023 年，僅 35 起跨鏈安全事件就造成了7. 99 億美元的損失，表明互操作性漏洞仍然是行業(yè)安全的痛點(diǎn)。

行業(yè)趨勢(shì)

另一方面，通過對(duì)一系列重大安全事件的對(duì)比分析，我們還發(fā)現(xiàn)了一些廣受關(guān)注的行業(yè)新動(dòng)向:

1. “追溯性漏洞賞金”返還金額增加，但“亡羊補(bǔ)牢”不及“防患未然”

2023 年， 34 起安全事件通過與攻擊者進(jìn)行“追溯性漏洞賞金”談判追回2. 19 億美元損失，占總損失額 18 億美元的12%，與往年相比，談判返還金額增加了54%。CertiK認(rèn)為，雖然這種策略可以在一定程度上幫助項(xiàng)目挽回?fù)p失，但Web3. 0 項(xiàng)目明顯不能依賴和黑客談判來守護(hù)資產(chǎn)安全。因此，建立一個(gè)懸賞平臺(tái)，充分激勵(lì)白帽安全專家在攻擊發(fā)生之前報(bào)告安全漏洞就顯得至關(guān)重要。

想具體了解不同項(xiàng)目方對(duì)于“追溯性漏洞賞金”談判的態(tài)度，歡迎閱讀報(bào)告內(nèi)關(guān)于Euler Finance與KyberSwap兩起事件的后續(xù)解決方案的詳細(xì)分析。

2. Web2. 0 風(fēng)險(xiǎn)外溢Web3.0——長(zhǎng)期且持續(xù)的挑戰(zhàn)

12 月 14 日，Web3. 0 硬件錢包巨頭Ledger遭遇重大安全危機(jī)。一名Ledger前員工成為網(wǎng)絡(luò)釣魚攻擊的受害者。攻擊者通過Github控制其NPMJS賬戶，將惡意代碼上傳至Ledger的NPMJS，進(jìn)而成功獲取了Ledger Connect Kit的訪問權(quán)限，將錢包用戶引導(dǎo)至惡意網(wǎng)站。Ledger在發(fā)現(xiàn)漏洞后 40 分鐘內(nèi)迅速部署更新，遏制了潛在的后續(xù)威脅。此次攻擊造成了約 61 萬美元的直接損失，盡管金額不算巨大，但對(duì)Ledger的聲譽(yù)造成了難以估量的負(fù)面影響。

這次Ledger事件與CertiK與WalletConnect聯(lián)手解決XSS漏洞的案例一樣，都提醒我們:盡管Web3. 0 與區(qū)塊鏈生態(tài)具有去中心化的精神，但當(dāng)前Web3. 0 應(yīng)用仍大量采用Web2. 0 生態(tài)組件，如賬戶系統(tǒng)、二維碼、代碼庫(kù)等，因此也繼承了Web2. 0 時(shí)代的中心化漏洞風(fēng)險(xiǎn)。一旦某個(gè)員工的賬戶遭到網(wǎng)絡(luò)釣魚攻擊得手，便可能給廣大Web3. 0 用戶帶來巨大的損失。為此，包括CertiK在內(nèi)的Web3. 0 安全從業(yè)者需在去中心化理念與軟件開發(fā)和維護(hù)的實(shí)際現(xiàn)實(shí)之間尋求平衡，這是一項(xiàng)長(zhǎng)期且持續(xù)的挑戰(zhàn)。

3. 行業(yè)監(jiān)管繼續(xù)走向成熟

2023 年，我們欣喜地看到伴隨著Web3. 0 監(jiān)管逐漸成熟，越來越多的機(jī)構(gòu)開始積極探索區(qū)塊鏈技術(shù)與傳統(tǒng)業(yè)務(wù)的結(jié)合。Swift在促進(jìn)互操作性方面的努力、全球多家銀行在資產(chǎn)通證化領(lǐng)域的實(shí)踐，以及Paypal等互聯(lián)網(wǎng)金融巨頭在穩(wěn)定幣層面的探索，均表明企業(yè)對(duì)于區(qū)塊鏈技術(shù)與Web3. 0 生態(tài)共識(shí)在不斷加強(qiáng)。

監(jiān)管方面，包括中國(guó)香港、新加坡、日本、美國(guó)、歐盟與英國(guó)在內(nèi)的許多地區(qū)都出臺(tái)了穩(wěn)定幣監(jiān)管框架或指引。CertiK團(tuán)隊(duì)也在近期作為咨詢專家，為新加坡金融管理局(MAS)的穩(wěn)定幣框架制定提供了專業(yè)建議并獲得后者認(rèn)可。CertiK近日還推出了穩(wěn)定幣安全審計(jì)與合規(guī)咨詢服務(wù)，并將繼續(xù)通過積極參加各地監(jiān)管機(jī)構(gòu)的咨詢活動(dòng)，助力穩(wěn)定幣領(lǐng)域的安全發(fā)展與Web3. 0 的大規(guī)模落地。

CertiK的 2023 年

在整個(gè)行業(yè)的共同努力下，Web3. 0 安全在 2023 年取得了多方面進(jìn)展。CertiK很榮幸可以繼續(xù)在這一領(lǐng)域作出貢獻(xiàn)，為Web3. 0 的未來而努力。讓我們一起回顧C(jī)ertiK在 2023 年的高光時(shí)刻:

2023 年 4 月，推出Skynet for Community，為用戶提供一站式信息平臺(tái)。

2023 年 5 月，宣布和阿里云達(dá)成合作伙伴關(guān)系，將區(qū)塊鏈安全引入云平臺(tái)。

2023 年 6 月，發(fā)現(xiàn)Sui區(qū)塊鏈重大安全威脅而被Sui基金會(huì)授予懸賞獎(jiǎng)金。

2023 年 7 月，成為頭家獲得SOC2 類型I認(rèn)證的Web3. 0 安全審計(jì)公司。

2023 年 7 月，完成對(duì)螞蟻集團(tuán)創(chuàng)新開放式跨平臺(tái)可信執(zhí)行環(huán)境(TEE)HyperEnclave的先進(jìn)形式化驗(yàn)證。

2023 年 7 月，發(fā)現(xiàn)并攜手解決Safeheron開源TEE解決方案安全漏洞。

2023 年 8 月，發(fā)現(xiàn)Worldcoin系統(tǒng)中的安全漏洞。

2023 年 8 月和 10 月，CertiK因發(fā)現(xiàn)了蘋果iOS內(nèi)核的多個(gè)安全漏洞，獲得蘋果公司兩次致謝。

2023 年 9 月，發(fā)布Web3. 0 合規(guī)和風(fēng)險(xiǎn)管理產(chǎn)品SkyInsights。

2023 年 11 月，對(duì)TON主鏈合約完成形式化驗(yàn)證，為TON網(wǎng)絡(luò)的每秒交易記錄(TPS)提供驗(yàn)證。

2023 年 11 月，發(fā)現(xiàn)Web3. 0 移動(dòng)端多個(gè)重大安全漏洞。

2023 年 12 月，發(fā)布Cosmos生態(tài)安全指南。

2023 年 12 月，發(fā)現(xiàn) WalletConnect Verify API中的XSS漏洞。

2023 年 12 月，發(fā)現(xiàn)Wormhole與OKX移動(dòng)端漏洞。

這只是CertiK在 2023 年守護(hù)Web3. 0 行業(yè)安全所付出的努力的一小部分?；仡?2023 年的每一行代碼審計(jì)、每次事件后的徹夜追蹤、每一篇分析研究，都是我們對(duì)Web3. 0 未來世界的承諾和期待。

感謝所有Web3. 0 從業(yè)者、安全專家與用戶們與我們一路同行。相信 2023 年的收獲與教訓(xùn)，都將成為構(gòu)建安全Web3. 0 世界最寶貴的財(cái)富。

（推廣）