CertiK, Hack3d: 2023 연례 웹 3.0 보안 보고서 발표

새해가 시작될 무렵, 약속한 대로 CertiK의 연간 보고서인 Hack3d: 2023 연간 웹3.0 보안 보고서가 베이징 시간으로 1월 3일 오후 10시에 발표되었습니다. 많은 기대를 모았던 이 보고서는 지난 한 해 동안 발생한 웹3.0 보안 사고에 대한 통계와 분석을 통해 웹3.0 보안의 최신 동향을 보여줍니다.

업계에서 가장 상세하고 권위 있는 보안 보고서인 Hack3d: 2023 웹3.0 보안 보고서는 2023년 웹3.0 생태계 전반에서 발생한 해킹, 사기, 취약점 악용에 대한 종합적인 이벤트 통계와 분석을 다루고 있어 웹3.0 개발자와 사용자에게 최고의 선택이 될 것입니다. 은 개발자, 실무자, 규제 기관은 물론 사용자와 애호가가 웹 3.0 보안의 현재 상태와 도전 과제, 기회를 이해하는 데 필수적인 가이드입니다.

보고서 전문을 읽기 전에 2023년 웹 3.0 업계의 전반적인 보안 환경을 간략히 살펴보겠습니다.

연도별 개요 -- 총 보안 사고 손실액이 절반 이상 감소

2023년에 발생한 보안 사고는 총 751건으로, 18억 4천만 달러의 자산 손실이 발생했습니다. 자산 손실이 발생했으며, 이는 2022년의 37억 달러 에서 51% 감소한 수치입니다. CertiK는 통계 분석을 통해 스마트 컨트랙트 프로토콜의 개발 및 진화, 사용자 행동의 변화, 보안 조치의 업그레이드 및 효과 향상 등이 보안 사고 손실 총액의 감소와 밀접한 관련이 있는 것으로 보고 있습니다. 또한 거시적인 산업 트렌드도 보안 사고 및 손실 건수에 영향을 미쳤습니다.

데이터 인사이트

보안 사고의 시기, 유형, 생태계를 분류하여 검토할 가치가 있는 여러 가지 인사이트를 발견했습니다.

• 3분기에 가장 많은 손실이 발생했으며, 11월이 가장 많은 손실을 기록한 한 달이었습니다. 2023년 3분기는 183건의 보안 사고로 6억 8,600만 달러의 피해가 발생하여 1년 중 가장 많은 비용이 발생한 분기였으며, 11월에는 45건의 보안 사고로 3억 6,400만 달러의 피해가 발생했습니다.

• 가장 많은 피해를 입힌 보안 사고는 개인 키 유출입니다. 총 사고 건수는 전체 사고의 6.3%에 불과하지만, 피해액은 8억 8,100만 달러로 한 해 전체 피해액의 절반에 육박했습니다.

• 이더리움의 총 손실액이 가장 높았습니다.2023년 이더리움에서는 224건의 보안 사고가 발생하여 6억 8,600만 달러의 손실이 발생했으며, 단일 사고당 평균 약 300만 달러의 비용이 발생했습니다. 이더리움은 2023년에 모든 생태계 중에서 보안 사고가 가장 많이 발생하지는 않았지만, 총 손실 금액은 가장 높았습니다.

• 크로스체인 보안 사고는 비용이 많이 듭니다.2023년에는 35건의 크로스체인 보안 사고로 인해 7억 9,900만 달러의 피해가 발생했으며, 이는 상호운용성 취약성이 여전히 업계 보안의 문제점으로 남아있다는 것을 보여줍니다.

업계 동향

한편, 일련의 주요 보안 사고에 대한 비교 분석을 통해 많은 주목을 받은 몇 가지 새로운 업계 동향도 발견했습니다.

1. align: left;">2023년 34건의 보안 사고에서 공격자와의 소급 버그 바운티 협상을 통해 2억 1,900만 달러의 피해를 복구했으며, 이는 총 피해액 18억 달러의 12%에 해당하는 금액으로 전년 대비 협상된 환불액이 54% 증가한 수치입니다. CertiK에 따르면 이러한 전략은 프로젝트가 손실을 어느 정도 복구하는 데 도움이 될 수 있지만, 웹 3.0 프로젝트가 자산을 보호하기 위해 해커와의 협상에만 의존할 수는 없습니다. 따라서 공격이 발생하기 전에 화이트 햇 보안 전문가들이 보안 취약점을 신고하도록 충분한 인센티브를 제공하는 바운티 플랫폼을 만드는 것이 중요합니다.

각 프로젝트가 소급 버그 바운티 협상에 어떻게 접근하고 있는지 자세히 알아보려면 오일러 파이낸스 및 카이버스왑 사건의 후속 솔루션에 대한 보고서에서 자세한 분석을 읽어보시기 바랍니다.

2. 웹 2.0의 리스크가 웹 3.0으로 확산 - 장기적이고 지속적인 과제

지난 12월 14일, 웹 3.0 하드웨어 지갑 업체인 Ledger는 중대한 보안 위기를 겪었습니다. 전직 레저 직원이 피싱 공격의 희생양이 된 것입니다. 공격자는 깃허브를 통해 그의 NPMJS 계정을 장악하고 Ledger의 NPMJS에 악성 코드를 업로드했으며, 이후 Ledger 커넥트 키트에 성공적으로 액세스하여 지갑 사용자를 악성 웹사이트로 유도했습니다.Ledger는 취약점을 발견한 후 40분 이내에 신속하게 업데이트를 배포하여 잠재적인 후속 위협을 억제했습니다. 이 공격으로 인해 약 61만 달러의 직접적인 손실이 발생했으며, 이는 큰 금액은 아니지만 Ledger의 평판에 헤아릴 수 없을 정도로 부정적인 영향을 미쳤습니다.

이번 Ledger 사건은 CertiK와 WalletConnect가 협력하여 XSS 취약점을 해결한 사례와 마찬가지로, 웹 3.0과 블록체인 생태계의 탈중앙화 정신에도 불구하고 현재 웹 3.0 앱이 여전히 웹 2.0을 많이 사용하고 있음을 상기시켜 줍니다. 생태학적 구성 요소를 많이 사용하고 있으며, 따라서 웹 2.0 시대의 중앙 집중식 취약점의 위험도 그대로 물려받았습니다. 피싱 공격으로 인해 직원의 계정이 유출되면 대다수의 웹 3.0 사용자에게 막대한 손실을 가져올 수 있습니다. 이러한 이유로 CertiK을 비롯한 웹 3.0 보안 실무자들은 탈중앙화 철학과 소프트웨어 개발 및 유지보수의 실질적인 현실 사이에서 균형을 잡기 위해 오랫동안 지속적으로 도전하고 있습니다.

3. 업계 규정의 지속적인 성숙

2023년에는 웹 3.0 규정의 점진적인 성숙과 함께, 점점 더 많은 조직이 블록체인 기술과 기존 비즈니스의 결합을 적극적으로 모색하고 있습니다. 상호 운용성을 촉진하려는 스위프트의 노력, 자산 전달 분야에서 많은 글로벌 은행의 사례, 페이팔과 같은 인터넷 금융 대기업의 스테이블 코인 수준에서의 탐색은 모두 블록체인 기술과 웹 3.0 생태계에 대한 기업의 합의가 커지고 있음을 나타냅니다.

규제 측면에서는 홍콩, 싱가포르, 일본, 미국, 유럽연합, 영국 등 많은 지역에서 스테이블코인에 대한 규제 프레임워크 또는 가이드라인을 도입하고 있습니다. CertiK은 최근 스테이블코인 보안 감사 및 컴플라이언스 컨설팅 서비스도 시작했으며, 앞으로도 전 세계 규제 기관의 컨설팅 활동에 적극적으로 참여하여 스테이블코인 분야의 보안 발전과 웹 3.0의 대규모 연착륙을 도울 것입니다.

CertiK의 2023

업계 전반의 공동 노력으로 2023년 웹 3.0 보안은 여러 방면에서 진전을 이뤘습니다. CertiK은 웹 3.0의 미래를 위해 이 분야에서 계속 기여하게 되어 자랑스럽게 생각합니다. 2023년 CertiK의 주요 성과 몇 가지를 되돌아보겠습니다:

2023년 4월, 사용자를 위한 원스톱 정보 플랫폼인 Skynet for Community를 출시했습니다.

2023년 5월, 클라우드 플랫폼에 블록체인 보안을 도입하기 위해 알리클라우드와 파트너십을 발표했습니다.

2023년 6월, 수이 블록체인에 대한 주요 보안 위협을 발견한 공로로 수이 재단으로부터 포상금을 수여받았습니다.

2023년 7월, 웹 3.0 보안 감사 업체로는 최초로 SOC 2 타입 I 인증을 획득했습니다.

2023년 7월, Ant Group의 혁신적인 개방형 크로스 플랫폼 TEE(신뢰할 수 있는 실행 환경)인 HyperEnclave의 고급 공식 검증을 완료했습니다.

2023년 7월, 세이프헤론 오픈 소스 TEE 솔루션의 보안 취약점을 발견하고 협력하여 해결합니다.

2023년 8월, 월드코인 시스템에서 보안 취약점 발견.

2023년 8월과 10월, CertiK은 애플의 iOS 커널에서 여러 보안 취약점을 발견해 애플로부터 두 차례에 걸쳐 감사의 인사를 받았습니다.

2023년 9월, 웹 3.0 규정 준수 및 위험 관리 제품인 SkyInsights를 출시했습니다.

2023년 11월, TON 네트워크의 TON 메인체인 계약에 대한 공식적인 검증을 완료했습니다. 의 초당 트랜잭션 수(TPS) 기록에 대한 검증을 완료했습니다.

2023년 11월, 웹 3.0 모바일에서 여러 가지 주요 보안 취약점을 발견했습니다.

2023년 12월, 코스모스↪CF_200D↩ 에코 보안 가이드라인 발표.

2023년 12월, 월렛커넥트 검증 API에서 XSS 취약점이 발견되었습니다.

2023년 12월, 웜홀과 OKX 모바일에서 취약점이 발견되었습니다.

이것은 2023년 웹 3.0 산업을 안전하게 지키기 위한 CertiK의 노력 중 일부에 불과합니다. 2023년에 감사한 모든 코드 라인, 모든 사고에 대한 밤샘 추적, 모든 분석 및 연구를 되돌아보는 것은 웹 3.0의 미래 세계에 대한 우리의 약속이자 기대입니다.

웹 3.0의 여정에 함께 해주신 모든 웹 3.0 실무자, 보안 전문가, 사용자 여러분께 감사드립니다. 2023년에 얻은 이득과 교훈은 안전한 웹 3.0 세상을 만드는 데 가장 소중한 자산이 될 것이라고 믿습니다.