Cointime

Cointime

Download App
iOS & Android

今年最大のヒット: CertiK が「Hack3d: 2023 Web3.0 Security Report」をリリース (PDF ダウンロード リンク付き)

Validated Project

新年の初めに、CertiK の年間通しての大きなニュースが約束どおり発表されます。「Hack3d: 2023 Web 3.0 Security Report」が北京時間 1 月 3 日午後 10 時にリリースされました。このレポートは、過去1年間のWeb 3.0分野のセキュリティインシデントの統計と分析を通じて、Web 3.0セキュリティの最新動向を包括的に明らかにするもので、業界から大きな注目を集めています。

業界で最も詳細かつ権威のあるセキュリティ レポートである「Hack3d: 2023 Web3.0 Security Report」は、2023 年を通じて Web3.0 エコシステムで発生したハッカー攻撃、詐欺、脆弱性悪用、その他のインシデントの包括的な統計と分析をカバーしています。開発者、実務者、規制当局、ユーザー、愛好家が Web 3.0 セキュリティの現状、課題、機会を理解するために不可欠なガイドです。

レポート全文を読む前に、2023 年の Web 3.0 業界の全体的なセキュリティ状況を簡単に見てみましょう。

年次概要 - セキュリティ インシデントの損失総額は半分以下に減少

2023 年には合計 751 件のセキュリティ インシデントが発生し、資産損失は 18 億 4000 万米ドルに達し、損失額は 2022 年の 37 億米ドルから 51% 減少しました。 CertiK は統計分析を通じて、この減少には複数の理由があると考えています。スマート コントラクト プロトコルの開発と進化、ユーザー行動の変化、セキュリティ対策のアップグレードと有効性はすべて、セキュリティ インシデントの総損失の削減と密接に関連しています。 。さらに、マクロ業界の動向も、セキュリティ インシデントによる被害の数と損失に一定の影響を与えます。

データの洞察

セキュリティ インシデントのタイミング、種類、エコシステムを分類することで、研究に値するいくつかの洞察が明らかになりました。

  • 損失額が最も大きかったのは第3四半期で、単月としては11月が最も大きかった。 2023 年の第 3 四半期は、年間で最も費用がかかった四半期で、合計 183 件のセキュリティ インシデントが発生し、6 億 8,600 万米ドルの損失が発生しました。11 月には合計 45 件のセキュリティ インシデントが発生し、3 億 6,400 万米ドルの損失が発生しました。
  • 秘密鍵の漏洩などのインシデントが最も大きな損失を引き起こします。インシデントの総数は全インシデントの 6.3% にすぎませんでしたが、これらによる損失は 8 億 8,100 万米ドルに達し、年間損失総額のほぼ半分に達しました。
  • 損失総額が最も多いのはイーサリアム。 2023 年にイーサリアムで 224 件のセキュリティ インシデントが発生し、6 億 8,600 万米ドルの損失が発生し、1 件あたりの平均損失は約 300 万米ドルでした。すべてのエコシステムの中で、イーサリアムは 2023 年に最も多くのセキュリティ インシデントが発生したわけではありませんが、損失総額が最も多かったです。
  • クロスチェーンのセキュリティインシデントは多大な損失を引き起こします。 2023 年に、7 億 9,900 万米ドルの損失を引き起こしたクロスチェーン セキュリティ インシデントはわずか 35 件であり、相互運用性の脆弱性が依然として業界のセキュリティにとって問題点であることを示しています。

業界の動向

その一方で、一連の重大なセキュリティインシデントの比較分析を通じて、広く注目を集めているいくつかの新しい業界トレンドも発見しました。

業界の動向

その一方で、一連の重大なセキュリティインシデントの比較分析を通じて、広く注目を集めているいくつかの新しい業界トレンドも発見しました。

1.「遡及バグ報奨金」の返還額は増加したが、「問題が起こる前に状況を修復する」は「問題を未然に防ぐ」には及ばない

2023 年には、34 件のセキュリティ インシデントが攻撃者との「遡及バグ報奨金」交渉を通じて 2 億 1,900 万米ドルの損失を取り戻し、損失総額 18 億米ドルの 12% を占め、前年と比較して、交渉による返金額は 54% 増加しました。 CertiK は、この戦略はプロジェクトの損失をある程度回復するのに役立ちますが、Web3.0 プロジェクトは資産のセキュリティを保護するためにハッカーとの交渉に依存できないことは明らかであると考えています。したがって、ホワイトハット セキュリティの専門家が攻撃が発生する前にセキュリティの脆弱性を報告するよう完全に奨励する報奨金プラットフォームを確立することが重要です。

「遡及バグ報奨金」交渉に対するさまざまなプロジェクト当事者の態度について詳しく知りたい場合は、レポートにある Euler Finance と KyberSwap の 2 つのインシデントに対するその後の解決策の詳細な分析をぜひお読みください。

2. Web2.0 のリスクが Web3.0 に波及 - 長期的かつ継続的な課題

12 月 14 日、Web3.0 ハードウェア ウォレットの大手レジャー社が重大なセキュリティ危機に遭遇しました。 Ledger の元従業員がフィッシング攻撃の被害に遭いました。攻撃者は、Github を通じて自分の NPMJS アカウントを制御し、悪意のあるコードを Ledger の NPMJS にアップロードした後、Ledger Connect Kit へのアクセスを取得することに成功し、ウォレット ユーザーを悪意のある Web サイトに誘導しました。 Ledger は、脆弱性を発見してから 40 分以内に、潜在的な後続の脅威を含むアップデートを迅速に展開しました。この攻撃による直接的な損失は約61万ドルに上り、金額はそれほど大きくなかったものの、Ledger社の評判に計り知れない悪影響を及ぼしました。

この Ledger のインシデントは、CertiK と WalletConnect が協力して XSS 脆弱性を解決するケースと同様に、Web3.0 とブロックチェーン エコシステムには分散化の精神があるにもかかわらず、現在の Web3.0 アプリケーションが依然として多数の Web2.0 エコロジカル コンポーネントを使用していることを思い出させます。 、アカウント システム、QR コード、コード ライブラリなど、これらは Web 2.0 時代の集中型脆弱性のリスクも引き継いでいます。従業員のアカウントがフィッシング攻撃に成功すると、大多数の Web3.0 ユーザーに多大な損害が発生する可能性があります。この目的を達成するために、CertiK を含む Web 3.0 セキュリティ専門家は、分散化の概念とソフトウェア開発および保守の現実との間のバランスを見つける必要があり、これは長期的かつ継続的な課題です。

3. 業界の監督は成熟し続ける

2023 年には、Web3.0 の監督が徐々に成熟し、ますます多くの機関がブロックチェーン テクノロジーと従来のビジネスの組み合わせを積極的に検討し始めていることを嬉しく思います。相互運用性の促進におけるスウィフトの取り組み、資産のトークン化の分野における世界中の多くの銀行の実践、安定した通貨レベルでのペイパルなどのインターネット金融大手の探求はすべて、企業がブロックチェーン技術とエコロジーについての深い理解があることを示しています。 Web3.0 に対するコンセンサスは常に強化されています。

規制の面では、香港、シンガポール、日本、米国、欧州連合、英国を含む多くの地域がステーブルコインに対する規制の枠組みやガイドラインを導入している。 CertiK チームは最近、コンサルティング専門家としても活動し、シンガポール金融管理局 (MAS) のステーブルコイン フレームワークの策定において専門的なアドバイスを提供し、後者から認められました。 CertiKは最近、ステーブルコインのセキュリティ監査およびコンプライアンスコンサルティングサービスも開始しており、今後もさまざまな地域の規制当局との協議活動に積極的に参加することで、ステーブルコイン分野のセキュリティ開発とWeb3.0の大規模実装をサポートしていきます。

認定資格 2023

業界全体の協力により、Web3.0 セキュリティは 2023 年に多くの面で進歩しました。 CertiK は、この分野で貢献し続け、Web 3.0 の将来に向けて取り組むことを光栄に思います。 2023 年の CertiK のハイライト瞬間を振り返ってみましょう。

2023 年 4 月、ユーザーにワンストップの情報プラットフォームを提供するために、スカイネット フォー コミュニティが開始されました。

2023年5月、クラウドプラットフォームにブロックチェーンセキュリティを導入するためのAlibaba Cloudとの提携を発表した。

2023 年 6 月、彼は、Sui ブロックチェーンに対する重大なセキュリティ上の脅威を発見したとして、Sui 財団から報奨金を授与されました。

2023 年 7 月に、同社は Web3.0 セキュリティ監査会社として初めて SOC 2 Type I 認定を取得しました。

2023 年 7 月、Ant Group の革新的なオープン クロスプラットフォーム Trusted ExecutionEnvironment (TEE) HyperEnclave の高度な正式検証が完了しました。

2023 年 7 月に、Safeheron オープンソース TEE ソリューションのセキュリティ脆弱性が発見され、解決するために協力しました。

2023 年 8 月、Worldcoin システムのセキュリティ脆弱性が発見されました。

2023 年 8 月と 10 月に、CertiK は Apple の iOS カーネルの複数のセキュリティ脆弱性を発見したことに対して Apple から 2 回の感謝状を受け取りました。

2023 年 9 月に、Web3.0 コンプライアンスおよびリスク管理製品 SkyInsights がリリースされました。

2023 年 11 月に、TON メインチ​​ェーン契約の正式な検証が完了し、TON ネットワークの 1 秒あたりのトランザクション (TPS) の検証が可能になります。

2023年11月、Web3.0モバイル端末に複数の重大なセキュリティ脆弱性が発見された。

2023 年 12 月には、コスモス生態セキュリティガイドが発行されます。

2023 年 12 月に、WalletConnect Verify API の XSS 脆弱性が発見されました。

2023年12月、ワームホールとOKXモバイル端末の脆弱性が発見された。

2023年12月、ワームホールとOKXモバイル端末の脆弱性が発見された。

これは、2023 年の Web 3.0 業界のセキュリティを守るための CertiK の取り組みのほんの一部にすぎません。 2023 年のコード監査のすべての行、すべてのインシデント後の徹夜の追跡、すべての分析と研究記事を振り返ると、これらは Web 3.0 の将来の世界に対する私たちの取り組みと期待です。

Web3.0 実践者、セキュリティ専門家、ユーザーの皆様、いつもお付き合いいただきありがとうございます。 2023 年に得られた成果と教訓は、安全な Web3.0 世界を構築する上で最も貴重な財産になると私は信じています。

記事末尾の「原文を読む」をクリックすると、PDF版の「Hack3d: 2023 Web3.0 Security Report」をすぐに入手できます。

セキュリティインシデント 2023年の振り返り
コメント

全てのコメント

Recommended for you

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Binance Alpha がプロジェクトの最初のバッチを発表: KOMA、Cheems、APX、ai16z、AIXBT

    公式ニュースによると、Binance Alphaはプロジェクトの最初のバッチ、つまりKOMA、Cheems、APX、ai16z、AIXBTを発表しました。

  • Kinto:公式を装ったフィッシングメールにご注意ください

    Kintoは、最近ユーザーがKintoを装ったフィッシングメールを受信して​​いることをXプラットフォーム上で通知した。 Kinto は、これらのメールが Kinto から送信されたものではなく、メールに含まれるリンクをクリックすべきではないことを確認します。さらに、Kinto は、ユーザーのメールボックスは漏洩しておらず、電子メールを受信したメールボックスの一部は Kinto アカウントに関連付けられていなかったと述べました。

  • 香港金融サービス長官兼財務省のホイ・チンユー氏がステーブルコイン法案の第2読会を進めた

    香港政府のプレスリリースによると、香港金融サービス兼財務長官のホイ・チンユー氏は本日の立法会会議で「安定通貨法案」の第二読会を行い、早期可決を望んでいるという。できるだけ。規制制度の要点は以下の 3 点である。 (1) ライセンシーは、ステーブルコインの準備資産が高品質かつ流動性の高い資産で構成され、総額が少なくとも常に流通している法定通貨と等しい ステーブルコインの額面は、適切に分離され、保管; (2) 安定通貨保有者は発行者から額面で償還する権利を有するべきであり、償還要求は不当な手数料なしで合理的な期間内に処理されなければなりません。 (3) マネーロンダリングの必要性と戦うための一連の措置。規定されるべき、リスク管理、開示規制および監査、および適切な候補者の要件。

  • PinaxChinese ·

    Unichain と The Graph: DeFi 開発者の新時代の到来

    Unichain は、Uniswap によって OP Stack 上に構築された新しい 2 層ブロックチェーンで、ほぼ瞬時のトランザクション速度とより低い手数料で DeFi に革命を起こすことを目的としています。 DeFi 用に特別に設計されたアプリケーション チェーンとして、Uniswap のエコシステムと深く統合されており、ERC-7683 標準を通じてシームレスなクロスチェーン インタラクションを提供します。 The Graph の統合により、開発者は重要なブロックチェーン データに即座にアクセスできるようになり、高性能 DeFi アプリケーションの構築が容易になります。

    Unichain と The Graph: DeFi 開発者の新時代の到来
  • BlockBooster ·

    AIエージェントは泡製造機になれるのか? Solana と Base、どちらのエコシステムが AI エージェントに適していますか?

    AIエージェントは泡製造機になれるのか?

    AIエージェントは泡製造機になれるのか? Solana と Base、どちらのエコシステムが AI エージェントに適していますか?
  • CointimeSG ·

    AI エージェント × 暗号通貨: それは暗号通貨の世界にとって革命的な瞬間ですか?

    暗号化された注意経済の下では、現在の AI エージェントは資本の注意、広範な物語の継続的な人気、資産効果の典型的なケース、および長期構築のための実用的な価値を持っています。

    AI エージェント × 暗号通貨: それは暗号通貨の世界にとって革命的な瞬間ですか?

  • AI エージェントのスタートアップ /dev/agents は、Index Ventures と CapitalG が主導し、評価額 5 億ドルで 5,600 万ドルのシードラウンドを完了

    12月18日のニュースによると、Stripeの元CTOであるDavid Singleton氏が設立したAIエージェントオペレーティングシステムプラットフォーム/dev/agentsが、評価額5億米ドルで5,600万米ドルのシードラウンドを完了した。このラウンドは Index Ventures と CapitalG が主導し、Conviction Capital も参加しました。このラウンドには、OpenAI 共同創設者の Andrej Karpathy 氏、Scale AI CEO の Alexandr Wang 氏、Palo Alto Networks CEO の Nikesh Arora 氏、Android 創設者の Andy Rubin 氏など、数多くの著名なテクノロジー リーダーも参加しました。 レポートによると、/dev/agents のビジョンは、AI 時代の Android オペレーティング システムを構築し、特別に最適化されたインターフェイスとプロトコルを提供し、新しい UI パターンとユーザー データ モデルを確立することです。

  • 金色财经 ·

    ビットワイズ:イーサリアムは2025年にトップに戻る

    トークン化されたファンドの資産は来年3倍になる予定で、その原動力となっているのがイーサリアムだ。 2024 年の暗号通貨のヘッドラインを占めた 2 つの重要な物語は、ビットコイン ETF の立ち上げと記録的な流入によるビットコインの流星的な上昇と、ミームコイン投機によるソラナの小売界の人気者としての台頭です。

    ビットワイズ:イーサリアムは2025年にトップに戻る
  • 比推 BitpushNews ·

    「米国戦略ビットコイン準備金」大統領令全文: BTCを永久国家資産として管理せよ

    2024年12月17日、ビットコイン政策研究所は、トランプ政権の米財務省為替安定基金(ESF)のもとで戦略的ビットコイン準備金の設立を提案する大統領令の草案を作成したが、これはトランプ大統領が就任するまで発効しないことを要求するものだった。

    「米国戦略ビットコイン準備金」大統領令全文: BTCを永久国家資産として管理せよ

毎日の必読

人気のアクティビティ

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul

人気のタグ

Cointime
Content
Company