
速覽《Hack3d:2023 年度 Web3.0 安全報告》
TechFlow Selected深潮精選

速覽《Hack3d:2023 年度 Web3.0 安全報告》
報告將通過對過去一年 Web3.0 領域安全事件的統計和分析,全方位揭示了 Web3.0 安全的最新趨勢。
撰文:CertiK
全文詳見:《Hack3d:2023 年度 Web3.0 安全報告》
新年伊始,CertiK 全年重磅如約而至——《Hack3d:2023 年度 Web3.0 安全報告》發佈。這份備受行業關注的報告通過對過去一年 Web3.0 領域安全事件的統計和分析,全方位揭示了 Web3.0 安全的最新趨勢。
作為業內最詳盡、最權威的安全報告,《Hack3d:2023 年度 Web3.0 安全報告》涵蓋了 2023 年全年 Web3.0 生態內發生的黑客攻擊、欺詐和漏洞利用等全面事件統計與分析,是開發者、從業者、監管者以及用戶、愛好者理解 Web3.0 安全現狀、挑戰與機遇的必備指南。
在閱讀完整報告之前,讓我們快速瞭解 2023 年 Web3.0 行業的總體安全情況:
年度概覽——安全事件損失總額降幅過半
2023 年共發生安全事件 751 起,造成了 18.4 億美元的資產損失,損失金額較 2022 年的 37 億美元下降了 51%。通過統計分析,CertiK 認為造成該降幅的原因是多重的,智能合約協議的發展與演變、用戶行為的變化、安全措施的升級與有效性的加強均與安全事件損失總額減小密切相關。除此之外,宏觀行業趨勢也對安全事件的數量與造成的損失有著一定影響。
數據洞察
通過對安全事件的時間、種類與生態系統進行分類,CertiK 發現了一些值得研究的洞察:
1.第三季度損失最高,十一月單月損失最重。2023 年第三季度是全年損失最多的一個季度,共發生了 183 起安全事件,造成了 6.86 億美元的損失;11 月共發生 45 起安全事件,造成 3.64 億美元損失。

2023 年每月安全事件發生次數與損失金額(美元)
2.私鑰洩露類事件造成的損失最多。雖然事件總量僅佔所有事件的 6.3%,卻造成了 8.81 億美元損失,接近全年總損失的一半。

2023 年各類安全事件發生次數與損失金額(美元)
3.以太坊損失總金額最高。2023 年,以太坊出現 224 起安全事件,造成了 6.86 億美元的損失,平均單事件損失金額約 300 萬美元。在所有生態系統中,以太坊在 2023 年出現的安全事件並非最多,但是卻帶來了最高的總損失金額。
4.跨鏈安全事件損失慘重。2023 年,僅 35 起跨鏈安全事件就造成了 7.99 億美元的損失,表明互操作性漏洞仍然是行業安全的痛點。
行業趨勢
另一方面,通過對一系列重大安全事件的對比分析,CertiK 還發現了一些廣受關注的行業新動向:
1.「追溯性漏洞賞金」返還金額增加,但「亡羊補牢」不及「防患未然」
2023 年,34 起安全事件通過與攻擊者進行「追溯性漏洞賞金」談判追回 2.19 億美元損失,佔總損失額 18 億美元的 12%,與往年相比,談判返還金額增加了 54%。CertiK 認為,雖然這種策略可以在一定程度上幫助項目挽回損失,但 Web3.0 項目明顯不能依賴和黑客談判來守護資產安全。因此,建立一個懸賞平臺,充分激勵白帽安全專家在攻擊發生之前報告安全漏洞就顯得至關重要。
想具體瞭解不同項目方對於「追溯性漏洞賞金」談判的態度,歡迎閱讀報告內關於 Euler Finance 與 KyberSwap 兩起事件的後續解決方案的詳細分析。
2.Web2.0 風險外溢 Web3.0——長期且持續的挑戰
12 月 14 日,Web3.0 硬件錢包巨頭 Ledger 遭遇重大安全危機。一名 Ledger 前員工成為網絡釣魚攻擊的受害者。攻擊者通過 Github 控制其 NPMJS 賬戶,將惡意代碼上傳至 Ledger 的 NPMJS,進而成功獲取了 Ledger Connect Kit 的訪問權限,將錢包用戶引導至惡意網站。Ledger 在發現漏洞後 40 分鐘內迅速部署更新,遏止了潛在的後續威脅。此次攻擊造成了約 61 萬美元的直接損失,儘管金額不算巨大,但對 Ledger 的聲譽造成了難以估量的負面影響。
這次 Ledger 事件與 CertiK 與 WalletConnect 聯手解決 XSS 漏洞的案例一樣,都提醒我們:儘管 Web3.0 與區塊鏈生態具有去中心化的精神,但當前 Web3.0 應用仍大量採用 Web2.0 生態組件,如賬戶系統、二維碼、代碼庫等,因此也繼承了 Web2.0 時代的中心化漏洞風險。一旦某個員工的賬戶遭到網絡釣魚攻擊得手,便可能給廣大 Web3.0 用戶帶來巨大的損失。為此,包括 CertiK 在內的 Web3.0 安全從業者需在去中心化理念與軟件開發和維護的實際現實之間尋求平衡,這是一項長期且持續的挑戰。
3.行業監管繼續走向成熟
2023 年,CertiK 欣喜地看到伴隨著 Web3.0 監管逐漸成熟,越來越多的機構開始積極探索區塊鏈技術與傳統業務的結合。Swift 在促進互操作性方面的努力、全球多家銀行在資產通證化領域的實踐,以及 Paypal 等互聯網金融巨頭在穩定幣層面的探索,均表明企業對於區塊鏈技術與 Web3.0 生態共識在不斷加強。
監管方面,包括中國香港、新加坡、日本、美國、歐盟與英國在內的許多地區都出臺了穩定幣監管框架或指引。CertiK 團隊也在近期作為諮詢專家,為新加坡金融管理局(MAS)的穩定幣框架制定提供了專業建議並獲得後者認可。CertiK 近日還推出了穩定幣安全審計與合規諮詢服務,並將繼續通過積極參加各地監管機構的諮詢活動,助力穩定幣領域的安全發展與 Web3.0 的大規模落地。
Certik 的 2023 年
在整個行業的共同努力下,Web3.0 安全在 2023 年取得了多方面進展。CertiK 很榮幸可以繼續在這一領域作出貢獻,為 Web3.0 的未來而努力。讓我們一起回顧 CertiK 在 2023 年的高光時刻:
-
2023 年 11 月,為 TON 網絡的每秒交易記錄(TPS)提供驗證。
-
2023 年 12 月,發現 Wormhole 與 OKX 移動端漏洞。
這只是 CertiK 在 2023 年守護 Web3.0 行業安全所付出的努力的一小部分。回顧 2023 年的每一行代碼審計、每次事件後的徹夜追蹤、每一篇分析研究,都是 CertiK 對 Web3.0 未來世界的承諾和期待。
感謝所有 Web3.0 從業者、安全專家與用戶們與我們一路同行。相信 2023 年的收穫與教訓,都將成為構建安全 Web3.0 世界最寶貴的財富。
歡迎加入深潮 TechFlow 官方社群
Telegram 訂閱群:https://t.me/TechFlowDaily
Twitter 官方帳號:https://x.com/TechFlowPost
Twitter 英文帳號:https://x.com/BlockFlow_News










