
Tổng quan báo cáo an toàn Web3.0 năm 2023 Hack3d
Tuyển chọn TechFlowTuyển chọn TechFlow

Tổng quan báo cáo an toàn Web3.0 năm 2023 Hack3d
Báo cáo sẽ toàn diện làm rõ những xu hướng mới nhất về an ninh Web3.0 thông qua thống kê và phân tích các sự kiện an toàn trong lĩnh vực Web3.0 suốt năm qua.
Tác giả: CertiK
Xem toàn bộ báo cáo tại: Hack3d: Báo cáo An toàn Web3.0 Năm 2023
Đầu năm mới, CertiK chính thức công bố báo cáo trọng điểm thường niên – “Hack3d: Báo cáo An toàn Web3.0 Năm 2023”. Báo cáo được ngành đặc biệt quan tâm này, thông qua thống kê và phân tích các sự cố an toàn trong lĩnh vực Web3.0 trong năm qua, đã tiết lộ toàn diện những xu hướng mới nhất về an toàn Web3.0.
Là báo cáo an toàn chi tiết và uy tín nhất trong ngành, “Hack3d: Báo cáo An toàn Web3.0 Năm 2023” bao gồm thống kê và phân tích đầy đủ về các vụ tấn công tin tặc, gian lận, khai thác lỗ hổng và các sự kiện khác xảy ra trong hệ sinh thái Web3.0 trong cả năm 2023, là cẩm nang thiết yếu giúp các nhà phát triển, chuyên gia, cơ quan quản lý, người dùng và người yêu thích hiểu rõ hiện trạng, thách thức và cơ hội về an toàn Web3.0.
Trước khi đọc toàn bộ báo cáo, hãy cùng nhanh chóng nắm bắt tổng quan tình hình an toàn của ngành Web3.0 năm 2023:
Tổng quan năm – Tổng thiệt hại do sự cố an toàn giảm hơn một nửa
Năm 2023 ghi nhận tổng cộng 751 sự cố an toàn, gây thiệt hại tài sản lên tới 1,84 tỷ USD, giảm 51% so với mức 3,7 tỷ USD năm 2022. Qua phân tích thống kê, CertiK cho rằng nguyên nhân dẫn đến sự sụt giảm này là đa chiều; sự phát triển và tiến hóa của các giao thức hợp đồng thông minh, sự thay đổi hành vi người dùng, việc nâng cấp và tăng hiệu quả các biện pháp an toàn đều có liên quan mật thiết đến việc giảm tổng thiệt hại từ các sự cố an toàn. Ngoài ra, các xu hướng ngành vĩ mô cũng ảnh hưởng nhất định đến số lượng sự cố và mức độ thiệt hại gây ra.
Phân tích dữ liệu
Bằng cách phân loại theo thời gian, loại hình và hệ sinh thái của các sự cố an toàn, CertiK đã phát hiện một số điểm đáng chú ý:
1. Quý Ba chịu thiệt hại lớn nhất, tháng Mười Một chịu thiệt hại nặng nề nhất trong một tháng. Quý Ba năm 2023 là quý có tổn thất cao nhất trong năm, với 183 sự cố an toàn, gây thiệt hại 686 triệu USD; riêng tháng 11 xảy ra 45 sự cố, gây thiệt hại 364 triệu USD.

Số lượng sự cố an toàn hàng tháng và thiệt hại (đô la Mỹ) trong năm 2023
2. Sự cố rò rỉ khóa riêng tư gây thiệt hại lớn nhất. Mặc dù tổng số sự kiện chỉ chiếm 6,3% tổng số, nhưng lại gây thiệt hại 881 triệu USD, gần bằng một nửa tổng thiệt hại cả năm.

Số lượng và thiệt hại (đô la Mỹ) của các loại sự cố an toàn trong năm 2023
3. Ethereum chịu thiệt hại về giá trị lớn nhất. Trong năm 2023, Ethereum ghi nhận 224 sự cố an toàn, gây thiệt hại 686 triệu USD, trung bình mỗi sự cố mất khoảng 3 triệu USD. Trong tất cả các hệ sinh thái, Ethereum không phải nơi xảy ra nhiều sự cố nhất vào năm 2023, nhưng lại chịu tổn thất tài chính lớn nhất.
4. Các sự cố an toàn liên chuỗi gây thiệt hại nghiêm trọng. Trong năm 2023, chỉ 35 sự cố an toàn liên chuỗi đã gây thiệt hại lên tới 799 triệu USD, cho thấy lỗ hổng tính tương tác vẫn là điểm nghẽn an toàn của ngành.
Xu hướng ngành
Mặt khác, thông qua phân tích so sánh một loạt các sự cố an toàn lớn, CertiK còn phát hiện một số xu hướng mới nổi bật trong ngành:
1. Số tiền hoàn trả "giải thưởng lỗ hổng sau sự cố" tăng lên, nhưng "vớt vát sau mất mát" không bằng "phòng ngừa trước nguy cơ"
Năm 2023, 34 sự cố an toàn đã lấy lại được 219 triệu USD thông qua đàm phán "giải thưởng lỗ hổng sau sự cố" với tin tặc, chiếm 12% trong tổng thiệt hại 1,8 tỷ USD, tăng 54% so với các năm trước. CertiK cho rằng, mặc dù chiến lược này có thể giúp dự án phần nào giảm thiểu thiệt hại, nhưng các dự án Web3.0 rõ ràng không thể dựa vào việc thương lượng với hacker để bảo vệ tài sản. Do đó, việc xây dựng nền tảng giải thưởng, khuyến khích mạnh mẽ các chuyên gia an ninh mũ trắng báo cáo lỗ hổng trước khi bị tấn công là điều cực kỳ quan trọng.
Muốn tìm hiểu cụ thể thái độ của các bên phát triển dự án đối với việc đàm phán "giải thưởng lỗ hổng sau sự cố", mời bạn đọc phân tích chi tiết về giải pháp xử lý hậu quả hai sự kiện Euler Finance và KyberSwap trong báo cáo.
2. Rủi ro từ Web2.0 lan sang Web3.0 – Thử thách dài hạn và liên tục
Ngày 14 tháng 12, công ty ví phần cứng hàng đầu Web3.0 Ledger gặp phải cuộc khủng hoảng an ninh nghiêm trọng. Một cựu nhân viên của Ledger trở thành nạn nhân của cuộc tấn công phishing. Kẻ tấn công kiểm soát tài khoản NPMJS của anh ta qua Github, tải mã độc lên NPMJS của Ledger, từ đó thành công chiếm quyền truy cập vào Ledger Connect Kit, chuyển hướng người dùng ví đến trang web độc hại. Sau khi phát hiện lỗ hổng, Ledger đã nhanh chóng triển khai bản cập nhật trong vòng 40 phút, ngăn chặn các mối đe dọa tiềm tàng tiếp theo. Vụ tấn công này gây thiệt hại trực tiếp khoảng 610.000 USD. Mặc dù con số không lớn, nhưng ảnh hưởng tiêu cực đến danh tiếng của Ledger là không thể đo lường.
Sự kiện Ledger này, giống như trường hợp CertiK phối hợp với WalletConnect khắc phục lỗ hổng XSS, nhắc nhở chúng ta rằng: mặc dù hệ sinh thái Web3.0 và blockchain mang tinh thần phi tập trung, nhưng hiện tại các ứng dụng Web3.0 vẫn sử dụng rất nhiều thành phần từ hệ sinh thái Web2.0 như hệ thống tài khoản, mã QR, kho mã nguồn... do đó cũng kế thừa rủi ro lỗ hổng tập trung từ thời Web2.0. Chỉ cần một tài khoản nhân viên bị tấn công phishing thành công, có thể gây ra tổn thất lớn cho đông đảo người dùng Web3.0. Vì vậy, các chuyên gia an ninh Web3.0 như CertiK cần tìm kiếm sự cân bằng giữa lý tưởng phi tập trung và thực tế phát triển, bảo trì phần mềm – đây là thử thách dài hạn và liên tục.
3. Quản lý ngành tiếp tục走向成熟
Năm 2023, CertiK vui mừng chứng kiến khi quản lý Web3.0 ngày càng trưởng thành, ngày càng nhiều tổ chức tích cực khám phá sự kết hợp giữa công nghệ blockchain và hoạt động kinh doanh truyền thống. Những nỗ lực của Swift trong thúc đẩy khả năng tương tác, thực tiễn của nhiều ngân hàng toàn cầu trong lĩnh vực token hóa tài sản, cũng như việc các gã khổng lồ tài chính Internet như Paypal khám phá stablecoin cho thấy sự đồng thuận ngày càng tăng của doanh nghiệp đối với công nghệ blockchain và hệ sinh thái Web3.0.
Về mặt quản lý, nhiều khu vực như Hồng Kông Trung Quốc, Singapore, Nhật Bản, Hoa Kỳ, Liên minh Châu Âu và Vương quốc Anh đã ban hành khung quản lý hoặc hướng dẫn về stablecoin. Đội ngũ CertiK gần đây cũng đóng vai trò chuyên gia tư vấn, cung cấp đề xuất chuyên môn cho Cơ quan Quản lý Tiền tệ Singapore (MAS) trong việc xây dựng khung ổn định cho stablecoin và đã được MAS công nhận. Gần đây CertiK cũng ra mắt dịch vụ kiểm toán an toàn và tư vấn tuân thủ stablecoin, và sẽ tiếp tục tích cực tham gia các hoạt động tư vấn của các cơ quan quản lý địa phương, hỗ trợ phát triển an toàn trong lĩnh vực stablecoin và ứng dụng quy mô lớn của Web3.0.
CertiK trong năm 2023
Dưới sự nỗ lực chung của toàn ngành, an toàn Web3.0 đã đạt được nhiều tiến bộ trong năm 2023. CertiK rất vinh dự khi tiếp tục đóng góp trong lĩnh vực này, nỗ lực vì tương lai của Web3.0. Hãy cùng nhìn lại những khoảnh khắc nổi bật của CertiK trong năm 2023:
-
Tháng 4 năm 2023, ra mắt Skynet for Community, cung cấp nền tảng thông tin một cửa cho người dùng.
-
Tháng 5 năm 2023, công bố hợp tác với Alibaba Cloud, đưa an ninh blockchain vào nền tảng đám mây.
-
Tháng 7 năm 2023, trở thành công ty kiểm toán an ninh Web3.0 đầu tiên đạt chứng nhận SOC 2 Loại I.
-
Tháng 8 năm 2023, phát hiện lỗ hổng an toàn trong hệ thống Worldcoin.
-
Tháng 9 năm 2023, ra mắt sản phẩm quản lý tuân thủ và rủi ro Web3.0 SkyInsights.
-
Tháng 11 năm 2023, xác minh kỷ lục giao dịch mỗi giây (TPS) cho mạng TON.
-
Tháng 11 năm 2023, phát hiện nhiều lỗ hổng an toàn nghiêm trọng trên thiết bị di động Web3.0.
-
Tháng 12 năm 2023, phát hành Hướng dẫn an toàn hệ sinh thái Cosmos.
-
Tháng 12 năm 2023, phát hiện lỗ hổng XSS trong API WalletConnect Verify.
-
Tháng 12 năm 2023, phát hiện lỗ hổng trên ứng dụng di động Wormhole và OKX.
Đây chỉ là một phần nhỏ trong nỗ lực của CertiK nhằm bảo vệ an toàn cho ngành Web3.0 trong năm 2023. Nhìn lại từng dòng mã được kiểm toán, từng lần truy vết suốt đêm sau mỗi sự cố, từng bài phân tích nghiên cứu – tất cả đều là cam kết và kỳ vọng của CertiK dành cho thế giới Web3.0 tương lai.
Cảm ơn tất cả các chuyên gia, chuyên gia an ninh và người dùng Web3.0 đã đồng hành cùng chúng tôi. Tin rằng những bài học và thành quả năm 2023 sẽ trở thành tài sản quý giá nhất để xây dựng một thế giới Web3.0 an toàn.
Chào mừng tham gia cộng đồng chính thức TechFlow
Nhóm Telegram:https://t.me/TechFlowDaily
Tài khoản Twitter chính thức:https://x.com/TechFlowPost
Tài khoản Twitter tiếng Anh:https://x.com/BlockFlow_News












