CertiK phát hành "Hack3d: Báo cáo bảo mật Web3.0 thường niên năm 2023"

Đầu năm mới, tin tức lớn trong cả năm của CertiK sẽ đến như đã hứa - "Hack3d: Báo cáo bảo mật Web3.0 2023" được phát hành vào ngày 3 tháng 1, giờ Bắc Kinh Được phát hành lúc 10 giờ tối hôm nay. Báo cáo này đã thu hút nhiều sự quan tâm của ngành, tiết lộ một cách toàn diện những xu hướng mới nhất về bảo mật Web 3.0 thông qua số liệu thống kê và phân tích các sự cố bảo mật trong lĩnh vực Web 3.0 trong năm qua.

Là báo cáo bảo mật chi tiết và có thẩm quyền nhất trong ngành, "Báo cáo bảo mật Hack3d: 2023 Web3.0" bao gồm toàn bộ hệ sinh thái Web3.0 vào năm 2023. và phân tích các cuộc tấn công, gian lận và khai thác lỗ hổng của hacker là điều cần thiết để các nhà phát triển, người thực hành, cơ quan quản lý, người dùng và những người đam mê hiểu được hiện trạng, thách thức và cơ hội của bảo mật Web3.0.

Trước khi đọc báo cáo đầy đủ, chúng ta hãy xem nhanh tình hình bảo mật chung của ngành Web 3.0 vào năm 2023: < p style="text-align: left;">Tổng quan hàng năm - Tổng thiệt hại do sự cố bảo mật đã giảm hơn một nửa

Tổng cộng có 2023 sự cố bảo mật đã xảy ra751, gây thiệt hại về tài sản1,84 tỷ, giảm so với 3,7 tỷ USD vào năm 2022 51%. Thông qua phân tích thống kê, CertiK tin rằng có nhiều lý do dẫn đến sự suy giảm này: Sự phát triển và phát triển của các giao thức hợp đồng thông minh, những thay đổi trong hành vi của người dùng, việc nâng cấp và hiệu quả của các biện pháp bảo mật đều có liên quan chặt chẽ đến việc giảm tổng thiệt hại do các sự cố bảo mật. . Ngoài ra, xu hướng vĩ mô của ngành cũng có tác động nhất định đến con số và tổn thất do sự cố an ninh gây ra.

Thông tin chi tiết về dữ liệu

Bằng cách phân tích ngày và giờ của sự kiện an ninh, Phân loại loài và hệ sinh thái, chúng tôi phát hiện ra một số thông tin chi tiết đáng nghiên cứu:

• Tổn thất hàng quý thứ ba là cao nhất và tháng 11 là tháng nặng nhất. Quý 3 năm 2023 là quý có nhiều tổn thất nhất trong cả năm, với tổng cộng 183 sự cố an ninh, gây thiệt hại 686 triệu đô la Mỹ; tổng cộng 45 sự cố an ninh xảy ra trong tháng 11 , gây thiệt hại 364 triệu đô la Mỹ.

• Sự cố rò rỉ khóa riêng gây ra nhiều tổn thất nhất. Mặc dù tổng số sự cố chỉ chiếm 6,3% tổng số sự cố nhưng đã gây thiệt hại 881 triệu USD, gần một nửa tổng thiệt hại trong năm.

• Ethereum có tổng tổn thất cao nhất. Vào năm 2023, 224 sự cố bảo mật đã xảy ra ở Ethereum, gây thiệt hại 686 triệu USD, tổn thất trung bình cho mỗi sự cố là khoảng 3 triệu USD. Trong số tất cả các hệ sinh thái, Ethereum không có nhiều sự cố bảo mật nhất vào năm 2023, nhưng nó mang lại tổng số tổn thất cao nhất.

• Sự cố bảo mật chuỗi chéo đã gây ra tổn thất nặng nề. Vào năm 2023, chỉ có 35 sự cố bảo mật chuỗi chéo gây thiệt hại 799 triệu USD, cho thấy các lỗ hổng về khả năng tương tác vẫn là điểm yếu đối với an ninh ngành.

Xu hướng ngành

Mặt khác, qua so sánh một loạt các giải pháp bảo mật chính sự cố Qua phân tích, chúng tôi cũng phát hiện ra một số xu hướng mới trong ngành đã nhận được sự chú ý rộng rãi:

1. Số tiền hoàn lại của "tiền thưởng lỗi hồi tố" đã tăng lên, nhưng " "Khắc phục trước khi nó xảy ra" không bằng "ngăn chặn trước khi nó xảy ra"

Vào năm 2023,< mạnh>34 sự cố bảo mật đã được thương lượng với những kẻ tấn công để nhận "tiền thưởng lỗi hồi tố" Khoản lỗ được phục hồi là 219 triệu USDchiếm 12% trong tổng số thiệt hại là 1,8 tỷ USD và lợi nhuận đã thương lượng tăng 54% so với những năm trước. CertiK tin rằng mặc dù chiến lược này có thể giúp các dự án phục hồi tổn thất ở một mức độ nhất định, nhưng các dự án Web3.0 rõ ràng không thể dựa vào việc đàm phán với tin tặc để bảo vệ an ninh tài sản. Do đó, điều quan trọng là phải thiết lập một nền tảng tiền thưởng khuyến khích hoàn toàn các chuyên gia bảo mật mũ trắng báo cáo các lỗ hổng bảo mật trước khi một cuộc tấn công xảy ra.

Nếu bạn muốn biết thêm về thái độ của các bên dự án khác nhau đối với các cuộc đàm phán về "tiền thưởng lỗi hồi tố", vui lòng đọc báo cáo về giải pháp tiếp theo của cả hai sự cố của Euler Finance và KyberSwap.Phân tích chi tiết về chương trình.

2. Nguy cơ lan tỏa từ Web2.0 sang Web3.0 - một thách thức lâu dài và liên tục

Vào ngày 14 tháng 12, gã khổng lồ ví phần cứng Web3.0 Ledger đã gặp phải một cuộc khủng hoảng bảo mật lớn. Một cựu nhân viên của Ledger trở thành nạn nhân của một cuộc tấn công lừa đảo. Kẻ tấn công đã kiểm soát tài khoản NPMJS của mình thông qua Github, tải mã độc lên NPMJS của Ledger, sau đó lấy thành công quyền truy cập vào Ledger Connect Kit, hướng người dùng ví đến các trang web độc hại. Ledger nhanh chóng triển khai các bản cập nhật trong vòng 40 phút sau khi phát hiện ra lỗ hổng, chứa đựng các mối đe dọa tiềm ẩn tiếp theo. Vụ tấn công đã gây thiệt hại trực tiếp khoảng 610.000 USD. Mặc dù số tiền không lớn nhưng nó có tác động tiêu cực khôn lường đến danh tiếng của Ledger.

Sự cố Ledger này cũng giống như trường hợp CertiK và WalletConnect hợp lực giải quyết các lỗ hổng XSS. Tất cả đều nhắc nhở chúng ta rằng mặc dù Web3.0 và hệ sinh thái blockchain mang tinh thần phi tập trung, nhưng các ứng dụng Web3.0 hiện tại vẫn sử dụng một số lượng lớn các thành phần sinh thái Web2.0, chẳng hạn như hệ thống tài khoản, mã QR, thư viện mã, v.v., nên chúng cũng thừa hưởng nguy cơ lỗ hổng tập trung trong Web2.0 kỷ nguyên. Khi tài khoản của nhân viên bị tấn công lừa đảo thành công, nó có thể gây ra tổn thất lớn cho phần lớn người dùng Web3.0. Để đạt được mục tiêu này, những người thực hành bảo mật Web3.0, bao gồm cả CertiK, cần tìm ra sự cân bằng giữa khái niệm phân quyền và thực tế phát triển và bảo trì phần mềm. Đây là một thách thức lâu dài và liên tục.

3. Quy định của ngành tiếp tục hoàn thiện

2023 , chúng tôi rất vui khi thấy rằng khi quá trình giám sát Web3.0 dần hoàn thiện, ngày càng có nhiều tổ chức bắt đầu tích cực khám phá sự kết hợp giữa công nghệ chuỗi khối và hoạt động kinh doanh truyền thống. Những nỗ lực của Swift trong việc thúc đẩy khả năng tương tác, thực tiễn của nhiều ngân hàng trên thế giới trong lĩnh vực token hóa tài sản và việc thăm dò các gã khổng lồ tài chính Internet như Paypal ở mức tiền tệ ổn định đều cho thấy các doanh nghiệp có hiểu biết sâu sắc về công nghệ blockchain và hệ sinh thái. sự đồng thuận của Web3.0 không ngừng được củng cố.

Về mặt quy định, nhiều khu vực, bao gồm Hồng Kông, Singapore, Nhật Bản, Hoa Kỳ, Liên minh Châu Âu và Vương quốc Anh, đã đưa ra quy định tiền tệ ổn định khuôn khổ hoặc hướng dẫn. Nhóm CertiK gần đây cũng đã đóng vai trò là chuyên gia tư vấn, cung cấp lời khuyên chuyên nghiệp cho Cơ quan tiền tệ Singapore (MAS) trong việc xây dựng khuôn khổ stablecoin của mình và đã được cơ quan này công nhận. CertiK gần đây cũng đã triển khai các dịch vụ tư vấn tuân thủ và kiểm toán bảo mật stablecoin, đồng thời sẽ tiếp tục hỗ trợ phát triển bảo mật của lĩnh vực stablecoin và triển khai Web3.0 trên quy mô lớn bằng cách tích cực tham gia các hoạt động tư vấn với các cơ quan quản lý ở nhiều khu vực khác nhau.

Chứng nhận năm 2023

Phổ biến trong toàn ngành Cảm ơn trước những nỗ lực của chúng tôi, bảo mật Web3.0 đã đạt được tiến bộ về nhiều mặt vào năm 2023. CertiK rất vinh dự được tiếp tục đóng góp trong lĩnh vực này và hướng tới tương lai của Web 3.0. Chúng ta hãy cùng điểm lại những khoảnh khắc nổi bật của CertiK trong năm 2023:

Vào tháng 4 năm 2023, Skynet for Community đã được ra mắt để cung cấp cho người dùng nền tảng thông tin cố định .

Vào tháng 5 năm 2023, họ công bố hợp tác với Alibaba Cloud để đưa tính năng bảo mật blockchain vào nền tảng đám mây.

Vào tháng 6 năm 2023, một mối đe dọa bảo mật lớn đối với chuỗi khối Sui đã được phát hiện và Sui Foundation đã trao tiền thưởng.

Vào tháng 7 năm 2023, nó trở thành công ty kiểm tra bảo mật Web3.0 đầu tiên đạt được chứng nhận SOC 2 Loại I.

Vào tháng 7 năm 2023, quá trình xác minh chính thức nâng cao cho HyperEnclave, môi trường thực thi tin cậy đa nền tảng, mở, đổi mới của Ant Group đã hoàn tất.

Vào tháng 7 năm 2023, các lỗ hổng bảo mật trong giải pháp TEE nguồn mở Safeheron đã được phát hiện và cùng nhau giải quyết.

Vào tháng 8 năm 2023, một lỗ hổng bảo mật trong hệ thống Worldcoin đã được phát hiện.

Vào tháng 8 và tháng 10 năm 2023, CertiK đã nhận được hai lời cảm ơn từ Apple vì đã phát hiện ra nhiều lỗ hổng bảo mật trong nhân Apple iOS.

Vào tháng 9 năm 2023, sản phẩm quản lý rủi ro và tuân thủ Web3.0 SkyInsights sẽ được phát hành.

Vào tháng 11 năm 2023, quá trình xác minh chính thức hợp đồng chuỗi chính TON sẽ được hoàn tất để cung cấp xác minh cho bản ghi giao dịch mỗi giây (TPS) của mạng TON.

Vào tháng 11 năm 2023, nhiều lỗ hổng bảo mật lớn đã được phát hiện trong thiết bị đầu cuối di động Web3.0.

Vào tháng 12 năm 2023, hướng dẫn an ninh sinh thái Cosmos sẽ được phát hành.

Vào tháng 12 năm 2023, một lỗ hổng XSS trong API Xác minh WalletConnect đã được phát hiện.

Vào tháng 12 năm 2023, các lỗ hổng di động Wormhole và OKX đã được phát hiện.

Đây chỉ là một phần nhỏ trong nỗ lực của CertiK nhằm bảo vệ tính bảo mật của ngành Web3.0 vào năm 2023. Nhìn lại từng dòng kiểm tra mã trong năm 2023, việc theo dõi suốt đêm sau mỗi sự cố cũng như mọi bài viết phân tích và nghiên cứu, đây là những cam kết và kỳ vọng của chúng tôi đối với thế giới tương lai của Web 3.0.

Cảm ơn tất cả những người thực hành Web3.0, chuyên gia bảo mật và người dùng đã đồng hành cùng chúng tôi. Tôi tin rằng những lợi ích và bài học rút ra vào năm 2023 sẽ trở thành tài sản quý giá nhất trong việc xây dựng một thế giới Web3.0 an toàn.