CertiK、「Hack3d: 2023年版Web 3.0セキュリティ年次報告書」を発表

業界動向

一方で、一連の重大なセキュリティインシデントの比較分析を通じて、広く注目されている新しい業界動向もいくつか見つかりました：

1.align: left;">2023年には、34件のセキュリティインシデントが、攻撃者との遡及的なバグ報奨金交渉によって2億1900万ドルの損害賠償金を回収しました。これは、18億ドルの損害賠償金総額の12%に相当し、交渉による返金額は、以前に比べて54%増加しました。CertiKによると、この戦略はプロジェクトが損失をある程度回復するのに役立ちますが、Web 3.0プロジェクトが資産を保護するためにハッカーとの交渉に頼ることができないのは明らかです。したがって、攻撃が発生する前にセキュリティの脆弱性を報告するホワイトハットのセキュリティ専門家に十分なインセンティブを与える報奨金プラットフォームを作成することが重要です。

さまざまなプロジェクトが遡及的なバグ報奨金の交渉にどのように取り組んでいるかをより詳しく見るには、オイラー・ファイナンスとキバースワップのインシデントに対するフォローアップソリューションに関するレポートの詳細な分析をお読みください。

2.ウェブ2.0のリスクがウェブ3.0に波及 - 長期的かつ継続的な課題

12月14日、Web 3.0ハードウェアウォレット大手のLedgerが大きなセキュリティ危機に見舞われた。Ledgerの元従業員がフィッシング攻撃の犠牲になったのです。攻撃者はGithub経由で彼のNPMJSアカウントをコントロールし、LedgerのNPMJSに悪意のあるコードをアップロードした。その結果、Ledger Connect Kitへのアクセスに成功し、ウォレットのユーザーを悪意のあるウェブサイトに誘導した。Ledgerは脆弱性の発見から40分以内にアップデートを迅速に展開し、その後の潜在的な脅威を抑制した。この攻撃により、直接的には約61万ドルの損失が発生し、大きな額ではありませんでしたが、Ledgerの評判に計り知れない悪影響を及ぼしました。

このLedgerの事件は、CertiKとWalletConnectがXSS脆弱性に対処するためにチームを組んだケースと同様に、Web 3.0とブロックチェーンのエコシステムの分散化された精神にもかかわらず、現在のWeb 3.0アプリは依然としてWeb 2.0を多用していることを思い起こさせるものです。エコロジカルなコンポーネント、例えばアカウント・システム、QRコード、コード・ライブラリなどを依然として多用しているため、Web 2.0時代の中央集権的な脆弱性のリスクも引き継いでいる。ひとたび従業員のアカウントがフィッシング攻撃によって漏洩すれば、大多数のWeb 3.0ユーザーに莫大な損失をもたらす可能性がある。このような理由から、CertiKを含むWeb 3.0のセキュリティ実務者は、分散化の理念とソフトウェア開発と保守の現実的な現実とのバランスをとるという、長く継続的な課題を抱えています。相互運用性を推進するスウィフトの取り組み、資産パススルーの分野における多くの世界的な銀行の実践、安定したコインのレベルでのペイパルのようなインターネット金融大手の探求はすべて、ブロックチェーン技術とWeb3.0エコシステムに対する企業のコンセンサスが高まっていることを示しています。

規制の面では、香港、シンガポール、日本、米国、欧州連合（EU）、英国など多くの地域が、ステーブルコインに関する規制の枠組みやガイドラインを発表している。また、CertiKは最近、ステーブルコインのセキュリティ監査およびコンプライアンス・コンサルティング・サービスを開始しました。今後も、世界中の規制機関のコンサルティング活動に積極的に参加し、ステーブルコイン分野におけるセキュリティの発展とWeb 3.0の大規模な上陸を支援していきます。

CertiKの2023年

業界全体の一致団結した努力により、2023年のWeb 3.0セキュリティは多面的に進展しました。CertiKは、Web 3.0の未来のために、この分野で貢献し続けることを誇りに思います。

2023年4月、ユーザーのためのワンストップ情報プラットフォーム、Skynet for Communityを立ち上げました。

2023年5月、クラウドプラットフォームにブロックチェーンのセキュリティを導入するため、AliCloudとの提携を発表。

2023年6月、Suiブロックチェーンに対する重大なセキュリティ脅威を発見したとして、Sui財団から報奨金を授与された。

2023年7月、Web 3.0のセキュリティ監査会社として初めてSOC 2 Type I認証を取得。

2023年7月、Ant Groupの革新的なオープン・クロスプラットフォームTrusted Execution Environment（TEE）であるHyperEnclaveの高度な正式検証を完了。

2023年7月、SafeheronオープンソースTEEソリューションのセキュリティ脆弱性を発見し、共同で解決する。

2023年8月、ワールドコインシステムのセキュリティ脆弱性を発見。

2023年8月と10月、CertiKはAppleのiOSカーネルに複数のセキュリティ脆弱性を発見したことで、Appleから2度感謝された。

2023年9月、Web 3.0のコンプライアンスおよびリスク管理製品であるSkyInsightsをリリースしました。

2023年11月、TON NetworkのTONメインチェーンコントラクトの正式な検証を完了しました。のTransactions Per Second（TPS）レコードの検証を提供する。

2023年11月、Web 3.0モバイルに複数の重大なセキュリティ脆弱性を発見。

2023年12月、コスモス⇄エコセキュリティガイドラインを発表。

2023年12月、WalletConnect Verify APIにXSS脆弱性が発見される。

2023年12月、WormholeとOKX Mobileに脆弱性が発見されました。

これは、2023年のWeb 3.0業界の安全を守るためのCertiKの取り組みのほんの一部です。2023年に監査されたコードのすべての行を振り返り、すべてのインシデントの後に徹夜で追跡し、すべての分析と研究を行うことは、将来のWeb 3.0の世界に対する私たちのコミットメントであり、期待です。

ウェブ3.0の実践者、セキュリティ専門家、そして私たちと一緒に旅をしてくれたユーザーの皆さんに感謝します。私たちは、2023年に得た利益と学んだ教訓が、安全なWeb 3.0の世界を構築する上で最も貴重な財産になると信じています。