В начале нового года, как и было обещано, ожидается большая новость от CertiK за весь год — «Hack3d: 2023 Web 3.0 Security Report» был выпущен в 22:00 3 января по пекинскому времени. Этот отчет, который привлек большое внимание отрасли, всесторонне раскрывает последние тенденции в области безопасности Web 3.0 посредством статистики и анализа инцидентов безопасности в области Web 3.0 за последний год.
Являясь самым подробным и авторитетным отчетом о безопасности в отрасли, «Hack3d: Отчет о безопасности Web3.0 за 2023 год» включает исчерпывающую статистику и анализ хакерских атак, мошенничества, эксплуатации уязвимостей и других инцидентов, произошедших в экосистеме Web3.0 в течение 2023 года. Это важное руководство для разработчиков, практиков, регулирующих органов, пользователей и энтузиастов, позволяющее понять текущий статус, проблемы и возможности безопасности Web 3.0.
Прежде чем читать полный отчет, давайте кратко рассмотрим общую ситуацию с безопасностью в индустрии Web 3.0 в 2023 году:
Годовой обзор: общий объем потерь от инцидентов безопасности снизился более чем вдвое
Всего в 2023 году произошел 751 инцидент безопасности, в результате которого потери активов составили $1,84 млрд. Сумма убытков снизилась на 51% с $3,7 млрд в 2022 году. Благодаря статистическому анализу CertiK полагает, что существует несколько причин такого снижения: развитие и развитие протоколов смарт-контрактов, изменения в поведении пользователей, обновление и эффективность мер безопасности - все это тесно связано с сокращением общего количества инцидентов, связанных с потерей безопасности. . Кроме того, тенденции макроиндустрии также оказывают определенное влияние на количество и потери, вызванные инцидентами безопасности.
Анализ данных
Классифицируя время, типы и экосистемы инцидентов безопасности, мы обнаружили некоторые идеи, которые стоит изучить:
- Потери были самыми высокими в третьем квартале, а ноябрь стал самым тяжелым месяцем. Третий квартал 2023 года стал самым дорогостоящим кварталом года: в общей сложности произошло 183 инцидента безопасности, причинивших ущерб в размере 686 миллионов долларов США; в ноябре произошло в общей сложности 45 инцидентов безопасности, причинивших ущерб в размере 364 миллионов долларов США.
- Наибольшие убытки вызывают такие инциденты, как утечка закрытого ключа. Хотя общее количество инцидентов составило лишь 6,3% всех происшествий, они причинили ущерб в размере 881 млн долларов США, что составляет почти половину общих убытков за год.
- У Ethereum самая высокая общая сумма потерь. В 2023 году в Ethereum произошло 224 инцидента безопасности, в результате которых убытки составили $686 млн. Средний убыток на один инцидент составил примерно $3 млн. Среди всех экосистем в 2023 году у Ethereum не было наибольшего количества инцидентов безопасности, но он принес самый высокий общий объем убытков.
- Межсетевые инциденты безопасности приводят к большим потерям. В 2023 году только 35 инцидентов межсетевой безопасности привели к убыткам в размере 799 миллионов долларов США, что указывает на то, что уязвимости совместимости остаются болевой точкой для безопасности отрасли.
Тенденции отрасли
С другой стороны, посредством сравнительного анализа серии крупных инцидентов безопасности мы также обнаружили некоторые новые тенденции в отрасли, которые привлекли широкое внимание:
Тенденции отрасли
С другой стороны, посредством сравнительного анализа серии крупных инцидентов безопасности мы также обнаружили некоторые новые тенденции в отрасли, которые привлекли широкое внимание:
1. Размер возврата «ретроспективного вознаграждения за ошибки» увеличился, но «исправить ситуацию до того, как она произойдет» не так хорошо, как «предотвратить проблемы до того, как они возникнут».
В 2023 году в результате 34 инцидентов безопасности были возмещены убытки на сумму 219 млн долларов США в результате переговоров с злоумышленниками о «ретроспективном вознаграждении за ошибки», что составило 12% от общего объема потерь в 1,8 млрд долларов США.По сравнению с предыдущими годами договорная сумма возврата увеличилась на 54%. CertiK считает, что, хотя эта стратегия может помочь проектам в определенной степени возместить убытки, проекты Web3.0, очевидно, не могут полагаться на переговоры с хакерами для защиты безопасности активов. Поэтому крайне важно создать платформу вознаграждений, которая будет полностью стимулировать специалистов по безопасности «белой шляпы» сообщать об уязвимостях безопасности до того, как произойдет атака.
Если вы хотите узнать больше об отношении различных сторон проекта к переговорам о «задним числом вознаграждений за ошибки», вы можете прочитать в отчете подробный анализ последующих решений по двум инцидентам Euler Finance и KyberSwap.
2. Перенесение рисков Web2.0 на Web3.0 — долгосрочная и постоянная проблема
14 декабря гигант аппаратного кошелька Web3.0 Ledger столкнулся с серьезным кризисом безопасности. Бывший сотрудник Ledger стал жертвой фишинговой атаки. Злоумышленник контролировал свою учетную запись NPMJS через Github, загрузил вредоносный код в NPMJS Ledger, а затем успешно получил доступ к Ledger Connect Kit, направляя пользователей кошелька на вредоносные веб-сайты. Ledger быстро развернул обновления в течение 40 минут после обнаружения уязвимости, содержащие потенциальные последующие угрозы. Атака привела к прямым потерям примерно в $610 000. Хотя сумма не была огромной, она оказала неизмеримое негативное влияние на репутацию Ledger.
Этот инцидент с Ledger, как и случай объединения усилий CertiK и WalletConnect для решения XSS-уязвимостей, напоминает нам, что, хотя Web3.0 и экосистема блокчейна имеют децентрализованный дух, текущие приложения Web3.0 по-прежнему используют большое количество экологических компонентов Web2.0. , такие как системы учетных записей, QR-коды, библиотеки кодов и т. д., поэтому они также наследуют риск централизованных уязвимостей в эпоху Web 2.0. Если учетная запись сотрудника успешно подвергается фишинговой атаке, это может привести к огромным потерям для большинства пользователей Web3.0. С этой целью специалисты по безопасности Web 3.0, включая CertiK, должны найти баланс между концепцией децентрализации и реальной реальностью разработки и обслуживания программного обеспечения.Это долгосрочная и постоянная задача.
3. Надзор за отраслью продолжает развиваться
В 2023 году мы рады видеть, что по мере постепенного развития надзора за Web3.0 все больше и больше учреждений начинают активно изучать сочетание технологии блокчейна и традиционного бизнеса. Усилия Swift по продвижению функциональной совместимости, практика многих банков по всему миру в области токенизации активов, а также исследование финансовых гигантов Интернета, таких как Paypal, на уровне стабильной валюты — все это показывает, что предприятия имеют четкое представление о технологии блокчейна и экологических аспектах. консенсус Web3.0 постоянно укрепляется.
Что касается регулирования, многие регионы, включая Гонконг, Сингапур, Японию, США, Европейский Союз и Великобританию, ввели нормативную базу или рекомендации для стейблкоинов. Команда CertiK также недавно выступала в качестве эксперта-консультанта, предоставляя профессиональные консультации Валютному управлению Сингапура (MAS) при разработке структуры стейблкоинов и получила признание последнего. CertiK также недавно запустила консалтинговые услуги по аудиту безопасности стейблкоинов и обеспечению соответствия требованиям и продолжит поддерживать развитие безопасности в сфере стейблкоинов и широкомасштабное внедрение Web3.0, активно участвуя в консультационных мероприятиях с регулирующими органами в различных регионах.
Сертик 2023
Благодаря совместным усилиям всей отрасли безопасность Web3.0 добилась прогресса во многих аспектах в 2023 году. Для CertiK большая честь продолжать вносить свой вклад в эту область и работать над будущим Web 3.0. Давайте рассмотрим основные моменты CertiK в 2023 году:
В августе 2023 года была обнаружена уязвимость безопасности в системе Worldcoin.
В декабре 2023 года выйдет руководство по экологической безопасности «Космоса».
В декабре 2023 года была обнаружена XSS-уязвимость в WalletConnect Verify API.
В декабре 2023 года были обнаружены уязвимости в мобильных терминалах Wormhole и OKX.
В декабре 2023 года были обнаружены уязвимости в мобильных терминалах Wormhole и OKX.
Это лишь малая часть усилий CertiK по обеспечению безопасности индустрии Web 3.0 в 2023 году. Оглядываясь назад на каждую строчку аудита кода в 2023 году, на круглосуточное отслеживание каждого инцидента, на каждую аналитическую и исследовательскую статью, мы видим наши обязательства и ожидания в отношении будущего мира Web 3.0.
Спасибо всем специалистам по Web3.0, экспертам по безопасности и пользователям за то, что вы всегда были с нами. Я верю, что достижения и уроки, извлеченные в 2023 году, станут самым ценным богатством в построении безопасного мира Web3.0.
Нажмите «Прочитать исходный текст» в конце статьи, чтобы сразу же получить PDF-версию «Hack3d: 2023 Web3.0 Security Report».
Все комментарии