报告将通过对过去一年 Web3.0 领域安全事件的统计和分析,全方位揭示了 Web3.0 安全的最新趋势。
撰文:CertiK
全文详见:《Hack3d:2023 年度 Web3.0 安全报告》
新年伊始,CertiK 全年重磅如约而至——《Hack3d:2023 年度 Web3.0 安全报告》发布。这份备受行业关注的报告通过对过去一年 Web3.0 领域安全事件的统计和分析,全方位揭示了 Web3.0 安全的最新趋势。
作为业内最详尽、最权威的安全报告,《Hack3d:2023 年度 Web3.0 安全报告》涵盖了 2023 年全年 Web3.0 生态内发生的黑客攻击、欺诈和漏洞利用等全面事件统计与分析,是开发者、从业者、监管者以及用户、爱好者理解 Web3.0 安全现状、挑战与机遇的必备指南。
在阅读完整报告之前,让我们快速了解 2023 年 Web3.0 行业的总体安全情况:
年度概览——安全事件损失总额降幅过半
2023 年共发生安全事件 751 起,造成了 18.4 亿美元的资产损失,损失金额较 2022 年的 37 亿美元下降了 51%。通过统计分析,CertiK 认为造成该降幅的原因是多重的,智能合约协议的发展与演变、用户行为的变化、安全措施的升级与有效性的加强均与安全事件损失总额减小密切相关。除此之外,宏观行业趋势也对安全事件的数量与造成的损失有着一定影响。
数据洞察
通过对安全事件的时间、种类与生态系统进行分类,CertiK 发现了一些值得研究的洞察:
1.第三季度损失最高,十一月单月损失最重。2023 年第三季度是全年损失最多的一个季度,共发生了 183 起安全事件,造成了 6.86 亿美元的损失;11 月共发生 45 起安全事件,造成 3.64 亿美元损失。
2023 年每月安全事件发生次数与损失金额(美元)
2.私钥泄露类事件造成的损失最多。虽然事件总量仅占所有事件的 6.3%,却造成了 8.81 亿美元损失,接近全年总损失的一半。
2023 年各类安全事件发生次数与损失金额(美元)
3.以太坊损失总金额最高。2023 年,以太坊出现 224 起安全事件,造成了 6.86 亿美元的损失,平均单事件损失金额约 300 万美元。在所有生态系统中,以太坊在 2023 年出现的安全事件并非最多,但是却带来了最高的总损失金额。
4.跨链安全事件损失惨重。2023 年,仅 35 起跨链安全事件就造成了 7.99 亿美元的损失,表明互操作性漏洞仍然是行业安全的痛点。
行业趋势
另一方面,通过对一系列重大安全事件的对比分析,CertiK 还发现了一些广受关注的行业新动向:
1.「追溯性漏洞赏金」返还金额增加,但「亡羊补牢」不及「防患未然」
2023 年,34 起安全事件通过与攻击者进行「追溯性漏洞赏金」谈判追回 2.19 亿美元损失,占总损失额 18 亿美元的 12%,与往年相比,谈判返还金额增加了 54%。CertiK 认为,虽然这种策略可以在一定程度上帮助项目挽回损失,但 Web3.0 项目明显不能依赖和黑客谈判来守护资产安全。因此,建立一个悬赏平台,充分激励白帽安全专家在攻击发生之前报告安全漏洞就显得至关重要。
想具体了解不同项目方对于「追溯性漏洞赏金」谈判的态度,欢迎阅读报告内关于 Euler Finance 与 KyberSwap 两起事件的后续解决方案的详细分析。
2.Web2.0 风险外溢 Web3.0——长期且持续的挑战
12 月 14 日,Web3.0 硬件钱包巨头 Ledger 遭遇重大安全危机。一名 Ledger 前员工成为网络钓鱼攻击的受害者。攻击者通过 Github 控制其 NPMJS 账户,将恶意代码上传至 Ledger 的 NPMJS,进而成功获取了 Ledger Connect Kit 的访问权限,将钱包用户引导至恶意网站。Ledger 在发现漏洞后 40 分钟内迅速部署更新,遏止了潜在的后续威胁。此次攻击造成了约 61 万美元的直接损失,尽管金额不算巨大,但对 Ledger 的声誉造成了难以估量的负面影响。
这次 Ledger 事件与 CertiK 与 WalletConnect 联手解决 XSS 漏洞的案例一样,都提醒我们:尽管 Web3.0 与区块链生态具有去中心化的精神,但当前 Web3.0 应用仍大量采用 Web2.0 生态组件,如账户系统、二维码、代码库等,因此也继承了 Web2.0 时代的中心化漏洞风险。一旦某个员工的账户遭到网络钓鱼攻击得手,便可能给广大 Web3.0 用户带来巨大的损失。为此,包括 CertiK 在内的 Web3.0 安全从业者需在去中心化理念与软件开发和维护的实际现实之间寻求平衡,这是一项长期且持续的挑战。
3.行业监管继续走向成熟
2023 年,CertiK 欣喜地看到伴随着 Web3.0 监管逐渐成熟,越来越多的机构开始积极探索区块链技术与传统业务的结合。Swift 在促进互操作性方面的努力、全球多家银行在资产通证化领域的实践,以及 Paypal 等互联网金融巨头在稳定币层面的探索,均表明企业对于区块链技术与 Web3.0 生态共识在不断加强。
监管方面,包括中国香港、新加坡、日本、美国、欧盟与英国在内的许多地区都出台了稳定币监管框架或指引。CertiK 团队也在近期作为咨询专家,为新加坡金融管理局(MAS)的稳定币框架制定提供了专业建议并获得后者认可。CertiK 近日还推出了稳定币安全审计与合规咨询服务,并将继续通过积极参加各地监管机构的咨询活动,助力稳定币领域的安全发展与 Web3.0 的大规模落地。
Certik 的 2023 年
在整个行业的共同努力下,Web3.0 安全在 2023 年取得了多方面进展。CertiK 很荣幸可以继续在这一领域作出贡献,为 Web3.0 的未来而努力。让我们一起回顾 CertiK 在 2023 年的高光时刻:
- 2023 年 4 月,推出 Skynet for Community,为用户提供一站式信息平台。
- 2023 年 5 月,宣布和阿里云达成合作伙伴关系,将区块链安全引入云平台。
- 2023 年 6 月,发现 Sui 区块链重大安全威胁而被 Sui 基金会授予悬赏奖金。
- 2023 年 7 月,成为首家获得 SOC 2 类型 I 认证的 Web3.0 安全审计公司。
- 2023 年 7 月,完成对蚂蚁集团创新开放式跨平台可信执行环境(TEE)HyperEnclave 的先进形式化验证。
- 2023 年 7 月,发现并携手解决 Safeheron 开源 TEE 解决方案安全漏洞。
- 2023 年 8 月,发现 Worldcoin 系统中的安全漏洞。
- 2023 年 8 月和 10 月,CertiK 因发现了苹果 iOS 内核的多个安全漏洞,获得苹果公司两次致谢。
- 2023 年 9 月,发布 Web3.0 合规和风险管理产品 SkyInsights。
- 2023 年 11 月,为 TON 网络的每秒交易记录(TPS)提供验证。
- 2023 年 11 月,发现 Web3.0 移动端多个重大安全漏洞。
- 2023 年 12 月,发布 Cosmos 生态安全指南。
- 2023 年 12 月,发现 WalletConnect Verify API 中的 XSS 漏洞。
- 2023 年 12 月,发现 Wormhole 与 OKX 移动端漏洞。
这只是 CertiK 在 2023 年守护 Web3.0 行业安全所付出的努力的一小部分。回顾 2023 年的每一行代码审计、每次事件后的彻夜追踪、每一篇分析研究,都是 CertiK 对 Web3.0 未来世界的承诺和期待。
感谢所有 Web3.0 从业者、安全专家与用户们与我们一路同行。相信 2023 年的收获与教训,都将成为构建安全 Web3.0 世界最宝贵的财富。