
『Hack3d:2023年 Web3.0セキュリティレポート』サマリー
TechFlow厳選深潮セレクト

『Hack3d:2023年 Web3.0セキュリティレポート』サマリー
本レポートは、過去1年間のWeb3.0分野におけるセキュリティインシデントの統計と分析を通じて、Web3.0セキュリティの最新トレンドを多角的に明らかにする。
執筆:CertiK
全文は以下をご覧ください:『Hack3d:2023 年度 Web3.0 セキュリティレポート』
新年早々、CertiK待望の年次大型レポート『Hack3d:2023 年度 Web3.0 セキュリティレポート』がついに公開されました。本業界注目のレポートは、過去1年間におけるWeb3.0分野のセキュリティインシデントを統計・分析し、Web3.0セキュリティの最新動向を多角的に明らかにしています。
業界で最も詳細かつ権威あるセキュリティレポートとして、『Hack3d:2023 年度 Web3.0 セキュリティレポート』は2023年に発生したWeb3.0エコシステム内のハッキング攻撃、詐欺、脆弱性悪用などに関する包括的な統計と分析を網羅しており、開発者、関係者、規制当局、ユーザーおよびファンにとって、Web3.0のセキュリティ状況、課題、機会を理解するための必須ガイドとなっています。
レポート全文を読む前に、まず2023年のWeb3.0業界全体のセキュリティ状況を迅速に把握しましょう。
年次概要――セキュリティインシデントによる損失総額が半減以上
2023年には合計751件のセキュリティインシデントが発生し、18.4億ドルの資産損失を記録しました。これは2022年の37億ドルに比べて51%の減少です。統計的分析により、CertiKはこの減少要因が複合的であると考えています。スマートコントラクトプロトコルの進化やユーザービヘイビアの変化、セキュリティ対策の強化とその有効性の向上などが、損失総額の縮小と密接に関連しています。また、マクロな業界トレンドもインシデント数および損失額に一定の影響を与えています。
データから読み解く洞察
セキュリティインシデントの時期、種類、エコシステム別に分類して分析した結果、CertiKは以下の興味深い知見を発見しました。
1. 第3四半期の損失が最大、11月単月の損失が最重。2023年の第3四半期は年間で最も損失が大きかった期間であり、183件のセキュリティインシデントで6.86億ドルの損失を記録。11月単月では45件のインシデントで3.64億ドルの損失が発生しました。

2023年 月別セキュリティインシデント発生件数と損失額(米ドル)
2. 秘密鍵漏洩による損失が最多。全インシデント中わずか6.3%の発生件数ながら、8.81億ドルもの損失を引き起こし、年間損失総額のほぼ半分を占めました。

2023年 各種セキュリティインシデントの発生件数と損失額(米ドル)
3. イーサリアムの損失総額が最多。2023年、イーサリアムでは224件のセキュリティインシデントが発生し、6.86億ドルの損失を記録。平均単一インシデントあたりの損失額は約300万ドルでした。すべてのエコシステムの中でも、イーサリアムは発生件数こそ最多ではありませんが、最も高い損失総額を記録しました。
4. 跨チェーンのセキュリティインシデントが甚大な被害をもたらす。2023年、たった35件の跨チェーンセキュリティインシデントで7.99億ドルの損失が発生し、相互運用性の脆弱性が依然として業界のセキュリティ上の痛点であることを示しています。
業界のトレンド
一方、一連の重大セキュリティインシデントを比較分析することで、CertiKは業界における新たな注目すべき動向も発見しました。
1. 「リトロアクティブバグバウンティ」返還額増加も、「後手対応」より「予防」が重要
2023年、34件のセキュリティインシデントにおいて、攻撃者との「リトロアクティブバグバウンティ」交渉を通じて2.19億ドルの損失が回収され、総損失額18億ドルのうち12%に相当します。前年比で54%増加しており、この戦略がプロジェクトの損失挽回に一定程度貢献していることがわかります。しかし、CertiKは、Web3.0プロジェクトが攻撃者との交渉に頼って資産安全を守ることは到底不可能だと指摘しています。そのため、攻撃発生前にホワイトハットセキュリティ研究者が脆弱性を報告できるよう、報奨金プラットフォームを整備し、十分なインセンティブを提供することが極めて重要です。
異なるプロジェクトが「リトロアクティブバグバウンティ」に対してどのような姿勢を取っているか詳しく知りたい方は、Euler FinanceとKyberSwapの2つの事例について、レポート内で詳述されている今後の解決策の分析をお読みください。
2. Web2.0のリスクがWeb3.0へ波及――長期的かつ継続的な課題
12月14日、Web3.0ハードウェアウォレットの大手Ledgerが重大なセキュリティ危機に直面しました。元従業員がフィッシング攻撃の被害を受け、攻撃者はGithubを通じてそのNPMJSアカウントを乗っ取り、LedgerのNPMJSに悪意あるコードをアップロード。これによりLedger Connect Kitへのアクセス権を取得し、ウォレットユーザーを悪意あるサイトへ誘導することに成功しました。Ledgerは脆弱性を発見後40分以内に迅速に更新を展開し、潜在的な追加脅威を阻止しました。今回の攻撃による直接的損失は約61万ドルでしたが、金額は大きくないものの、Ledgerの評判に計り知れない負の影響を与えました。
このLedger事件は、CertiKとWalletConnectが共同で対処したXSS脆弱性の事例と同様に、私たちに重要な教訓を与えています。Web3.0およびブロックチェーンエコシステムは分散型の精神を持っていますが、現時点のWeb3.0アプリケーションは依然としてWeb2.0のコンポーネント(アカウントシステム、QRコード、コードライブラリなど)を多く使用しており、Web2.0時代の中央集権的脆弱性リスクも受け継いでいるのです。たった一人の従業員のアカウントがフィッシング攻撃で乗っ取られただけで、多数のWeb3.0ユーザーに大きな損害をもたらす可能性があります。このため、CertiKを含むWeb3.0セキュリティ関係者は、分散型という理念とソフトウェア開発・維持の現実との間でバランスを取る必要があります。これは長期的かつ継続的な課題です。
3. 業界の規制が成熟へと進展
2023年、Web3.0の規制が徐々に成熟する中、ますます多くの機関がブロックチェーン技術と従来業務の融合を探求し始めていることに、CertiKは喜ばしく感じています。相互運用性促進に向けたSwiftの取り組み、世界中の複数銀行による資産トークン化の実践、PayPalなどのインターネット金融大手がステーブルコイン分野で進めている探索などは、企業がブロックチェーン技術およびWeb3.0エコシステムに対する共通認識を高めていることを示しています。
規制面では、中国香港、シンガポール、日本、アメリカ、EU、英国など多くの地域でステーブルコインに関する規制枠組みまたはガイドラインが発表されています。CertiKチームは最近、シンガポール金融庁(MAS)のステーブルコイン枠組みの策定に専門アドバイザーとして参加し、その提言が認められました。また、CertiKは最近、ステーブルコインのセキュリティ監査およびコンプライアンス相談サービスを開始。今後も各地の規制当局の諮問活動に積極的に参加し、ステーブルコイン分野の安全な発展およびWeb3.0の大規模展開を支援していきます。
CertiKの2023年
業界全体の共同努力により、Web3.0セキュリティは2023年に多方面で進展を遂げました。CertiKは、この分野での貢献を続け、Web3.0の未来に向けて尽力できたことを光栄に思います。それでは、CertiKの2023年のハイライトを振り返りましょう。
-
2023年5月、アリババクラウドとパートナーシップを締結し、ブロックチェーンセキュリティをクラウドプラットフォームに導入。
-
2023年7月、アリババグループの革新的なオープンクロスプラットフォーム信頼実行環境(TEE)HyperEnclaveに対して高度な形式検証を実施。
-
2023年8月および10月、CertiKがApple iOSカーネルの複数のセキュリティ脆弱性を発見し、Apple社から2度にわたり謝辞を受けた。
-
2023年11月、TONネットワークの秒間取引記録(TPS)を検証。
-
2023年12月、WormholeおよびOKXモバイルアプリの脆弱性を発見。
これらはCertiKが2023年にWeb3.0業界のセキュリティを守るために行った努力のごく一部にすぎません。2023年に審査した一行一行のコード、各インシデント後に徹夜で追跡した日々、発表した一つ一つの分析レポート――これらすべてが、CertiKがWeb3.0の未来に託した約束と期待です。
すべてのWeb3.0関係者、セキュリティ専門家、ユーザーの皆様と共に歩んできたことに感謝いたします。2023年の成果と教訓は、安全なWeb3.0世界を構築する上での最も貴重な財産となるでしょう。
TechFlow公式コミュニティへようこそ
Telegram購読グループ:https://t.me/TechFlowDaily
Twitter公式アカウント:https://x.com/TechFlowPost
Twitter英語アカウント:https://x.com/BlockFlow_News











