報(bào)告將通過(guò)對(duì)過(guò)去一年 Web3.0 領(lǐng)域安全事件的統(tǒng)計(jì)和分析，全方位揭示了 Web3.0 安全的最新趨勢(shì)。

撰文：CertiK

全文詳見(jiàn)：《Hack3d：2023 年度 Web3.0 安全報(bào)告》

新年伊始，CertiK 全年重磅如約而至——《Hack3d：2023 年度 Web3.0 安全報(bào)告》發(fā)布。這份備受行業(yè)關(guān)注的報(bào)告通過(guò)對(duì)過(guò)去一年 Web3.0 領(lǐng)域安全事件的統(tǒng)計(jì)和分析，全方位揭示了 Web3.0 安全的最新趨勢(shì)。

?

作為業(yè)內(nèi)最詳盡、最權(quán)威的安全報(bào)告，《Hack3d：2023 年度 Web3.0 安全報(bào)告》涵蓋了 2023 年全年 Web3.0 生態(tài)內(nèi)發(fā)生的黑客攻擊、欺詐和漏洞利用等全面事件統(tǒng)計(jì)與分析，是開(kāi)發(fā)者、從業(yè)者、監(jiān)管者以及用戶、愛(ài)好者理解 Web3.0 安全現(xiàn)狀、挑戰(zhàn)與機(jī)遇的必備指南。

?

在閱讀完整報(bào)告之前，讓我們快速了解 2023 年 Web3.0 行業(yè)的總體安全情況：

?

年度概覽——安全事件損失總額降幅過(guò)半

2023 年共發(fā)生安全事件 751 起，造成了 18.4 億美元的資產(chǎn)損失，損失金額較 2022 年的 37 億美元下降了 51%。通過(guò)統(tǒng)計(jì)分析，CertiK 認(rèn)為造成該降幅的原因是多重的，智能合約協(xié)議的發(fā)展與演變、用戶行為的變化、安全措施的升級(jí)與有效性的加強(qiáng)均與安全事件損失總額減小密切相關(guān)。除此之外，宏觀行業(yè)趨勢(shì)也對(duì)安全事件的數(shù)量與造成的損失有著一定影響。

?

數(shù)據(jù)洞察

?

通過(guò)對(duì)安全事件的時(shí)間、種類與生態(tài)系統(tǒng)進(jìn)行分類，CertiK 發(fā)現(xiàn)了一些值得研究的洞察：

1.第三季度損失最高，十一月單月?lián)p失最重。2023 年第三季度是全年損失最多的一個(gè)季度，共發(fā)生了 183 起安全事件，造成了 6.86 億美元的損失；11 月共發(fā)生 45 起安全事件，造成 3.64 億美元損失。

2023 年每月安全事件發(fā)生次數(shù)與損失金額（美元）

?

2.私鑰泄露類事件造成的損失最多。雖然事件總量?jī)H占所有事件的 6.3%，卻造成了 8.81 億美元損失，接近全年總損失的一半。

?

2023 年各類安全事件發(fā)生次數(shù)與損失金額（美元）

?

3.以太坊損失總金額最高。2023 年，以太坊出現(xiàn) 224 起安全事件，造成了 6.86 億美元的損失，平均單事件損失金額約 300 萬(wàn)美元。在所有生態(tài)系統(tǒng)中，以太坊在 2023 年出現(xiàn)的安全事件并非最多，但是卻帶來(lái)了最高的總損失金額。

4.跨鏈安全事件損失慘重。2023 年，僅 35 起跨鏈安全事件就造成了 7.99 億美元的損失，表明互操作性漏洞仍然是行業(yè)安全的痛點(diǎn)。

?

行業(yè)趨勢(shì)

?

另一方面，通過(guò)對(duì)一系列重大安全事件的對(duì)比分析，CertiK 還發(fā)現(xiàn)了一些廣受關(guān)注的行業(yè)新動(dòng)向：

?

1.「追溯性漏洞賞金」返還金額增加，但「亡羊補(bǔ)牢」不及「防患未然」

2023 年，34 起安全事件通過(guò)與攻擊者進(jìn)行「追溯性漏洞賞金」談判追回 2.19 億美元損失，占總損失額 18 億美元的 12%，與往年相比，談判返還金額增加了 54%。CertiK 認(rèn)為，雖然這種策略可以在一定程度上幫助項(xiàng)目挽回?fù)p失，但 Web3.0 項(xiàng)目明顯不能依賴和黑客談判來(lái)守護(hù)資產(chǎn)安全。因此，建立一個(gè)懸賞平臺(tái)，充分激勵(lì)白帽安全專家在攻擊發(fā)生之前報(bào)告安全漏洞就顯得至關(guān)重要。

?

想具體了解不同項(xiàng)目方對(duì)于「追溯性漏洞賞金」談判的態(tài)度，歡迎閱讀報(bào)告內(nèi)關(guān)于 Euler Finance 與 KyberSwap 兩起事件的后續(xù)解決方案的詳細(xì)分析。

2.Web2.0 風(fēng)險(xiǎn)外溢 Web3.0——長(zhǎng)期且持續(xù)的挑戰(zhàn)

12 月 14 日，Web3.0 硬件錢包巨頭 Ledger 遭遇重大安全危機(jī)。一名 Ledger 前員工成為網(wǎng)絡(luò)釣魚攻擊的受害者。攻擊者通過(guò) Github 控制其 NPMJS 賬戶，將惡意代碼上傳至 Ledger 的 NPMJS，進(jìn)而成功獲取了 Ledger Connect Kit 的訪問(wèn)權(quán)限，將錢包用戶引導(dǎo)至惡意網(wǎng)站。Ledger 在發(fā)現(xiàn)漏洞后 40 分鐘內(nèi)迅速部署更新，遏止了潛在的后續(xù)威脅。此次攻擊造成了約 61 萬(wàn)美元的直接損失，盡管金額不算巨大，但對(duì) Ledger 的聲譽(yù)造成了難以估量的負(fù)面影響。

?

這次 Ledger 事件與 CertiK 與 WalletConnect 聯(lián)手解決 XSS 漏洞的案例一樣，都提醒我們：盡管 Web3.0 與區(qū)塊鏈生態(tài)具有去中心化的精神，但當(dāng)前 Web3.0 應(yīng)用仍大量采用 Web2.0 生態(tài)組件，如賬戶系統(tǒng)、二維碼、代碼庫(kù)等，因此也繼承了 Web2.0 時(shí)代的中心化漏洞風(fēng)險(xiǎn)。一旦某個(gè)員工的賬戶遭到網(wǎng)絡(luò)釣魚攻擊得手，便可能給廣大 Web3.0 用戶帶來(lái)巨大的損失。為此，包括 CertiK 在內(nèi)的 Web3.0 安全從業(yè)者需在去中心化理念與軟件開(kāi)發(fā)和維護(hù)的實(shí)際現(xiàn)實(shí)之間尋求平衡，這是一項(xiàng)長(zhǎng)期且持續(xù)的挑戰(zhàn)。

3.行業(yè)監(jiān)管繼續(xù)走向成熟

2023 年，CertiK 欣喜地看到伴隨著 Web3.0 監(jiān)管逐漸成熟，越來(lái)越多的機(jī)構(gòu)開(kāi)始積極探索區(qū)塊鏈技術(shù)與傳統(tǒng)業(yè)務(wù)的結(jié)合。Swift 在促進(jìn)互操作性方面的努力、全球多家銀行在資產(chǎn)通證化領(lǐng)域的實(shí)踐，以及 Paypal 等互聯(lián)網(wǎng)金融巨頭在穩(wěn)定幣層面的探索，均表明企業(yè)對(duì)于區(qū)塊鏈技術(shù)與 Web3.0 生態(tài)共識(shí)在不斷加強(qiáng)。

監(jiān)管方面，包括中國(guó)香港、新加坡、日本、美國(guó)、歐盟與英國(guó)在內(nèi)的許多地區(qū)都出臺(tái)了穩(wěn)定幣監(jiān)管框架或指引。CertiK 團(tuán)隊(duì)也在近期作為咨詢專家，為新加坡金融管理局（MAS）的穩(wěn)定幣框架制定提供了專業(yè)建議并獲得后者認(rèn)可。CertiK 近日還推出了穩(wěn)定幣安全審計(jì)與合規(guī)咨詢服務(wù)，并將繼續(xù)通過(guò)積極參加各地監(jiān)管機(jī)構(gòu)的咨詢活動(dòng)，助力穩(wěn)定幣領(lǐng)域的安全發(fā)展與 Web3.0 的大規(guī)模落地。

?

Certik 的 2023 年

?

在整個(gè)行業(yè)的共同努力下，Web3.0 安全在 2023 年取得了多方面進(jìn)展。CertiK 很榮幸可以繼續(xù)在這一領(lǐng)域作出貢獻(xiàn)，為 Web3.0 的未來(lái)而努力。讓我們一起回顧 CertiK 在 2023 年的高光時(shí)刻：

?

• 2023 年 4 月，推出 Skynet for Community，為用戶提供一站式信息平臺(tái)。
• 2023 年 5 月，宣布和阿里云達(dá)成合作伙伴關(guān)系，將區(qū)塊鏈安全引入云平臺(tái)。
• 2023 年 6 月，發(fā)現(xiàn) Sui 區(qū)塊鏈重大安全威脅而被 Sui 基金會(huì)授予懸賞獎(jiǎng)金。
• 2023 年 7 月，成為首家獲得 SOC 2 類型 I 認(rèn)證的 Web3.0 安全審計(jì)公司。
• 2023 年 7 月，完成對(duì)螞蟻集團(tuán)創(chuàng)新開(kāi)放式跨平臺(tái)可信執(zhí)行環(huán)境（TEE）HyperEnclave 的先進(jìn)形式化驗(yàn)證。
• 2023 年 7 月，發(fā)現(xiàn)并攜手解決 Safeheron 開(kāi)源 TEE 解決方案安全漏洞。
• 2023 年 8 月，發(fā)現(xiàn) Worldcoin 系統(tǒng)中的安全漏洞。
• 2023 年 8 月和 10 月，CertiK 因發(fā)現(xiàn)了蘋果 iOS 內(nèi)核的多個(gè)安全漏洞，獲得蘋果公司兩次致謝。
• 2023 年 9 月，發(fā)布 Web3.0 合規(guī)和風(fēng)險(xiǎn)管理產(chǎn)品 SkyInsights。
• 2023 年 11 月，為 TON 網(wǎng)絡(luò)的每秒交易記錄（TPS）提供驗(yàn)證。
• 2023 年 11 月，發(fā)現(xiàn) Web3.0 移動(dòng)端多個(gè)重大安全漏洞。
• 2023 年 12 月，發(fā)布 Cosmos 生態(tài)安全指南。
• 2023 年 12 月，發(fā)現(xiàn) WalletConnect Verify API 中的 XSS 漏洞。
• 2023 年 12 月，發(fā)現(xiàn) Wormhole 與 OKX 移動(dòng)端漏洞。

?

這只是 CertiK 在 2023 年守護(hù) Web3.0 行業(yè)安全所付出的努力的一小部分。回顧 2023 年的每一行代碼審計(jì)、每次事件后的徹夜追蹤、每一篇分析研究，都是 CertiK 對(duì) Web3.0 未來(lái)世界的承諾和期待。

?

感謝所有 Web3.0 從業(yè)者、安全專家與用戶們與我們一路同行。相信 2023 年的收獲與教訓(xùn)，都將成為構(gòu)建安全 Web3.0 世界最寶貴的財(cái)富。