新年の初めに、CertiK の年間通しての大きなニュースが約束どおり発表されます。「Hack3d: 2023 Web 3.0 Security Report」が北京時間 1 月 3 日午後 10 時にリリースされました。このレポートは、過去1年間のWeb 3.0分野のセキュリティインシデントの統計と分析を通じて、Web 3.0セキュリティの最新動向を包括的に明らかにするもので、業界から大きな注目を集めています。
業界で最も詳細かつ権威のあるセキュリティ レポートである「Hack3d: 2023 Web3.0 Security Report」は、2023 年を通じて Web3.0 エコシステムで発生したハッカー攻撃、詐欺、脆弱性悪用、その他のインシデントの包括的な統計と分析をカバーしています。開発者、実務者、規制当局、ユーザー、愛好家が Web 3.0 セキュリティの現状、課題、機会を理解するために不可欠なガイドです。
レポート全文を読む前に、2023 年の Web 3.0 業界の全体的なセキュリティ状況を簡単に見てみましょう。
年次概要 - セキュリティ インシデントの損失総額は半分以下に減少
2023 年には合計 751 件のセキュリティ インシデントが発生し、資産損失は 18 億 4000 万米ドルに達し、損失額は 2022 年の 37 億米ドルから 51% 減少しました。 CertiK は統計分析を通じて、この減少には複数の理由があると考えています。スマート コントラクト プロトコルの開発と進化、ユーザー行動の変化、セキュリティ対策のアップグレードと有効性はすべて、セキュリティ インシデントの総損失の削減と密接に関連しています。 。さらに、マクロ業界の動向も、セキュリティ インシデントによる被害の数と損失に一定の影響を与えます。
データの洞察
セキュリティ インシデントのタイミング、種類、エコシステムを分類することで、研究に値するいくつかの洞察が明らかになりました。
- 損失額が最も大きかったのは第3四半期で、単月としては11月が最も大きかった。 2023 年の第 3 四半期は、年間で最も費用がかかった四半期で、合計 183 件のセキュリティ インシデントが発生し、6 億 8,600 万米ドルの損失が発生しました。11 月には合計 45 件のセキュリティ インシデントが発生し、3 億 6,400 万米ドルの損失が発生しました。
- 秘密鍵の漏洩などのインシデントが最も大きな損失を引き起こします。インシデントの総数は全インシデントの 6.3% にすぎませんでしたが、これらによる損失は 8 億 8,100 万米ドルに達し、年間損失総額のほぼ半分に達しました。
- 損失総額が最も多いのはイーサリアム。 2023 年にイーサリアムで 224 件のセキュリティ インシデントが発生し、6 億 8,600 万米ドルの損失が発生し、1 件あたりの平均損失は約 300 万米ドルでした。すべてのエコシステムの中で、イーサリアムは 2023 年に最も多くのセキュリティ インシデントが発生したわけではありませんが、損失総額が最も多かったです。
- クロスチェーンのセキュリティインシデントは多大な損失を引き起こします。 2023 年に、7 億 9,900 万米ドルの損失を引き起こしたクロスチェーン セキュリティ インシデントはわずか 35 件であり、相互運用性の脆弱性が依然として業界のセキュリティにとって問題点であることを示しています。
業界の動向
その一方で、一連の重大なセキュリティインシデントの比較分析を通じて、広く注目を集めているいくつかの新しい業界トレンドも発見しました。
業界の動向
その一方で、一連の重大なセキュリティインシデントの比較分析を通じて、広く注目を集めているいくつかの新しい業界トレンドも発見しました。
1.「遡及バグ報奨金」の返還額は増加したが、「問題が起こる前に状況を修復する」は「問題を未然に防ぐ」には及ばない
2023 年には、34 件のセキュリティ インシデントが攻撃者との「遡及バグ報奨金」交渉を通じて 2 億 1,900 万米ドルの損失を取り戻し、損失総額 18 億米ドルの 12% を占め、前年と比較して、交渉による返金額は 54% 増加しました。 CertiK は、この戦略はプロジェクトの損失をある程度回復するのに役立ちますが、Web3.0 プロジェクトは資産のセキュリティを保護するためにハッカーとの交渉に依存できないことは明らかであると考えています。したがって、ホワイトハット セキュリティの専門家が攻撃が発生する前にセキュリティの脆弱性を報告するよう完全に奨励する報奨金プラットフォームを確立することが重要です。
「遡及バグ報奨金」交渉に対するさまざまなプロジェクト当事者の態度について詳しく知りたい場合は、レポートにある Euler Finance と KyberSwap の 2 つのインシデントに対するその後の解決策の詳細な分析をぜひお読みください。
2. Web2.0 のリスクが Web3.0 に波及 - 長期的かつ継続的な課題
12 月 14 日、Web3.0 ハードウェア ウォレットの大手レジャー社が重大なセキュリティ危機に遭遇しました。 Ledger の元従業員がフィッシング攻撃の被害に遭いました。攻撃者は、Github を通じて自分の NPMJS アカウントを制御し、悪意のあるコードを Ledger の NPMJS にアップロードした後、Ledger Connect Kit へのアクセスを取得することに成功し、ウォレット ユーザーを悪意のある Web サイトに誘導しました。 Ledger は、脆弱性を発見してから 40 分以内に、潜在的な後続の脅威を含むアップデートを迅速に展開しました。この攻撃による直接的な損失は約61万ドルに上り、金額はそれほど大きくなかったものの、Ledger社の評判に計り知れない悪影響を及ぼしました。
この Ledger のインシデントは、CertiK と WalletConnect が協力して XSS 脆弱性を解決するケースと同様に、Web3.0 とブロックチェーン エコシステムには分散化の精神があるにもかかわらず、現在の Web3.0 アプリケーションが依然として多数の Web2.0 エコロジカル コンポーネントを使用していることを思い出させます。 、アカウント システム、QR コード、コード ライブラリなど、これらは Web 2.0 時代の集中型脆弱性のリスクも引き継いでいます。従業員のアカウントがフィッシング攻撃に成功すると、大多数の Web3.0 ユーザーに多大な損害が発生する可能性があります。この目的を達成するために、CertiK を含む Web 3.0 セキュリティ専門家は、分散化の概念とソフトウェア開発および保守の現実との間のバランスを見つける必要があり、これは長期的かつ継続的な課題です。
3. 業界の監督は成熟し続ける
2023 年には、Web3.0 の監督が徐々に成熟し、ますます多くの機関がブロックチェーン テクノロジーと従来のビジネスの組み合わせを積極的に検討し始めていることを嬉しく思います。相互運用性の促進におけるスウィフトの取り組み、資産のトークン化の分野における世界中の多くの銀行の実践、安定した通貨レベルでのペイパルなどのインターネット金融大手の探求はすべて、企業がブロックチェーン技術とエコロジーについての深い理解があることを示しています。 Web3.0 に対するコンセンサスは常に強化されています。
規制の面では、香港、シンガポール、日本、米国、欧州連合、英国を含む多くの地域がステーブルコインに対する規制の枠組みやガイドラインを導入している。 CertiK チームは最近、コンサルティング専門家としても活動し、シンガポール金融管理局 (MAS) のステーブルコイン フレームワークの策定において専門的なアドバイスを提供し、後者から認められました。 CertiKは最近、ステーブルコインのセキュリティ監査およびコンプライアンスコンサルティングサービスも開始しており、今後もさまざまな地域の規制当局との協議活動に積極的に参加することで、ステーブルコイン分野のセキュリティ開発とWeb3.0の大規模実装をサポートしていきます。
認定資格 2023
業界全体の協力により、Web3.0 セキュリティは 2023 年に多くの面で進歩しました。 CertiK は、この分野で貢献し続け、Web 3.0 の将来に向けて取り組むことを光栄に思います。 2023 年の CertiK のハイライト瞬間を振り返ってみましょう。
2023 年 4 月、ユーザーにワンストップの情報プラットフォームを提供するために、スカイネット フォー コミュニティが開始されました。
2023年5月、クラウドプラットフォームにブロックチェーンセキュリティを導入するためのAlibaba Cloudとの提携を発表した。
2023 年 6 月、彼は、Sui ブロックチェーンに対する重大なセキュリティ上の脅威を発見したとして、Sui 財団から報奨金を授与されました。
2023 年 7 月に、同社は Web3.0 セキュリティ監査会社として初めて SOC 2 Type I 認定を取得しました。
2023 年 7 月に、Safeheron オープンソース TEE ソリューションのセキュリティ脆弱性が発見され、解決するために協力しました。
2023 年 8 月、Worldcoin システムのセキュリティ脆弱性が発見されました。
2023 年 8 月と 10 月に、CertiK は Apple の iOS カーネルの複数のセキュリティ脆弱性を発見したことに対して Apple から 2 回の感謝状を受け取りました。
2023 年 9 月に、Web3.0 コンプライアンスおよびリスク管理製品 SkyInsights がリリースされました。
2023 年 11 月に、TON メインチェーン契約の正式な検証が完了し、TON ネットワークの 1 秒あたりのトランザクション (TPS) の検証が可能になります。
2023年11月、Web3.0モバイル端末に複数の重大なセキュリティ脆弱性が発見された。
2023 年 12 月には、コスモス生態セキュリティガイドが発行されます。
2023 年 12 月に、WalletConnect Verify API の XSS 脆弱性が発見されました。
2023年12月、ワームホールとOKXモバイル端末の脆弱性が発見された。
2023年12月、ワームホールとOKXモバイル端末の脆弱性が発見された。
これは、2023 年の Web 3.0 業界のセキュリティを守るための CertiK の取り組みのほんの一部にすぎません。 2023 年のコード監査のすべての行、すべてのインシデント後の徹夜の追跡、すべての分析と研究記事を振り返ると、これらは Web 3.0 の将来の世界に対する私たちの取り組みと期待です。
Web3.0 実践者、セキュリティ専門家、ユーザーの皆様、いつもお付き合いいただきありがとうございます。 2023 年に得られた成果と教訓は、安全な Web3.0 世界を構築する上で最も貴重な財産になると私は信じています。
記事末尾の「原文を読む」をクリックすると、PDF版の「Hack3d: 2023 Web3.0 Security Report」をすぐに入手できます。
全てのコメント