Cointime

Cointime

Download App
iOS & Android

Hit lớn nhất trong năm: CertiK phát hành "Hack3d: 2023 Web3.0 Security Report" (có link tải PDF)

Validated Project

Đầu năm mới, tin tức lớn cả năm của CertiK sắp đến như đã hứa - “Hack3d: Báo cáo bảo mật Web 3.0 2023” được phát hành lúc 22h ngày 3/1, giờ Bắc Kinh. Báo cáo này đã thu hút nhiều sự quan tâm của ngành, tiết lộ một cách toàn diện những xu hướng mới nhất về bảo mật Web 3.0 thông qua số liệu thống kê và phân tích các sự cố bảo mật trong lĩnh vực Web 3.0 trong năm qua.

Là báo cáo bảo mật chi tiết và có thẩm quyền nhất trong ngành, "Báo cáo bảo mật Web3.0 của Hack3d: 2023" bao gồm số liệu thống kê và phân tích toàn diện về các cuộc tấn công của hacker, gian lận, khai thác lỗ hổng và các sự cố khác xảy ra trong hệ sinh thái Web3.0 trong suốt năm 2023. Báo cáo này là Hướng dẫn cần thiết dành cho các nhà phát triển, người thực hành, cơ quan quản lý, người dùng và những người đam mê hiểu được hiện trạng, thách thức và cơ hội của bảo mật Web 3.0.

Trước khi đọc báo cáo đầy đủ, chúng ta hãy xem nhanh bối cảnh bảo mật tổng thể của ngành Web 3.0 vào năm 2023:

Tổng quan hàng năm - Tổng thiệt hại do sự cố an ninh giảm hơn một nửa

Tổng cộng có 751 sự cố bảo mật xảy ra vào năm 2023, gây thiệt hại tài sản 1,84 tỷ USD, số tiền thiệt hại giảm 51% so với 3,7 tỷ USD năm 2022. Thông qua phân tích thống kê, CertiK tin rằng có nhiều lý do dẫn đến sự sụt giảm này: Sự phát triển và phát triển của các giao thức hợp đồng thông minh, những thay đổi trong hành vi của người dùng, việc nâng cấp và hiệu quả của các biện pháp bảo mật đều có liên quan chặt chẽ đến việc giảm tổng thiệt hại do các sự cố bảo mật. . Ngoài ra, xu hướng vĩ mô của ngành cũng có tác động nhất định đến con số và tổn thất do sự cố an ninh gây ra.

Thông tin chi tiết về dữ liệu

Bằng cách phân loại thời gian, loại hình và hệ sinh thái của các sự cố bảo mật, chúng tôi đã phát hiện ra một số thông tin chi tiết đáng nghiên cứu:

  • Mức lỗ cao nhất trong quý 3 và tháng 11 là tháng nặng nề nhất. Quý 3/2023 là quý tốn kém nhất trong năm với tổng cộng 183 sự cố an ninh, gây thiệt hại 686 triệu USD; trong tháng 11, tổng cộng 45 sự cố an ninh xảy ra, gây thiệt hại 364 triệu USD.
  • Các sự cố như rò rỉ khóa riêng gây ra nhiều tổn thất nhất. Mặc dù tổng số sự cố chỉ chiếm 6,3% tổng số sự cố nhưng đã gây thiệt hại 881 triệu USD, gần một nửa tổng thiệt hại trong năm.
  • Ethereum có tổng số tiền thua lỗ cao nhất. Vào năm 2023, 224 sự cố bảo mật đã xảy ra ở Ethereum, gây thiệt hại 686 triệu USD, tổn thất trung bình cho mỗi sự cố là khoảng 3 triệu USD. Trong số tất cả các hệ sinh thái, Ethereum không có nhiều sự cố bảo mật nhất vào năm 2023, nhưng nó mang lại tổng số tổn thất cao nhất.
  • Sự cố bảo mật chuỗi chéo gây ra tổn thất nặng nề. Vào năm 2023, chỉ có 35 sự cố bảo mật chuỗi chéo gây thiệt hại 799 triệu USD, cho thấy các lỗ hổng về khả năng tương tác vẫn là điểm yếu đối với an ninh ngành.

Xu hướng công nghiệp

Mặt khác, qua phân tích so sánh hàng loạt sự cố bảo mật lớn, chúng tôi cũng phát hiện ra một số xu hướng mới của ngành thu hút sự quan tâm rộng rãi:

Xu hướng công nghiệp

Mặt khác, qua phân tích so sánh hàng loạt sự cố bảo mật lớn, chúng tôi cũng phát hiện ra một số xu hướng mới của ngành thu hút sự quan tâm rộng rãi:

1. Số tiền hoàn lại của "tiền thưởng lỗi hồi cứu" đã tăng lên, nhưng "khắc phục tình trạng trước khi nó xảy ra" không tốt bằng "ngăn chặn sự cố trước khi chúng xảy ra"

Vào năm 2023, 34 sự cố bảo mật đã thu hồi được khoản thiệt hại 219 triệu USD thông qua các cuộc đàm phán "tiền thưởng lỗi hồi tưởng" với những kẻ tấn công, chiếm 12% trong tổng số thiệt hại là 1,8 tỷ USD. So với những năm trước, số tiền hoàn trả được thương lượng đã tăng 54%. CertiK tin rằng mặc dù chiến lược này có thể giúp các dự án phục hồi tổn thất ở một mức độ nhất định, nhưng các dự án Web3.0 rõ ràng không thể dựa vào việc đàm phán với tin tặc để bảo vệ an ninh tài sản. Do đó, điều quan trọng là phải thiết lập một nền tảng tiền thưởng khuyến khích hoàn toàn các chuyên gia bảo mật mũ trắng báo cáo các lỗ hổng bảo mật trước khi một cuộc tấn công xảy ra.

Nếu bạn muốn biết thêm về thái độ của các bên dự án khác nhau đối với các cuộc đàm phán "tiền thưởng lỗi hồi tố", bạn có thể đọc phân tích chi tiết về các giải pháp tiếp theo cho hai sự cố của Euler Finance và KyberSwap trong báo cáo.

2. Rủi ro Web2.0 lan sang Web3.0—một thách thức lâu dài và liên tục

Vào ngày 14 tháng 12, gã khổng lồ ví phần cứng Web3.0 Ledger đã gặp phải một cuộc khủng hoảng bảo mật lớn. Một cựu nhân viên của Ledger trở thành nạn nhân của một cuộc tấn công lừa đảo. Kẻ tấn công đã kiểm soát tài khoản NPMJS của mình thông qua Github, tải mã độc lên NPMJS của Ledger, sau đó lấy thành công quyền truy cập vào Ledger Connect Kit, hướng người dùng ví đến các trang web độc hại. Ledger nhanh chóng triển khai các bản cập nhật trong vòng 40 phút sau khi phát hiện ra lỗ hổng, chứa đựng các mối đe dọa tiềm ẩn tiếp theo. Vụ tấn công đã gây thiệt hại trực tiếp khoảng 610.000 USD, tuy số tiền không lớn nhưng đã tác động tiêu cực khôn lường đến danh tiếng của Ledger.

Sự cố Ledger này, giống như trường hợp CertiK và WalletConnect hợp lực giải quyết các lỗ hổng XSS, nhắc nhở chúng ta rằng mặc dù Web3.0 và hệ sinh thái blockchain có tinh thần phi tập trung nhưng các ứng dụng Web3.0 hiện tại vẫn sử dụng một số lượng lớn các thành phần sinh thái Web2.0 , chẳng hạn như hệ thống tài khoản, mã QR, thư viện mã, v.v. nên chúng cũng thừa hưởng nguy cơ lỗ hổng tập trung trong thời đại Web 2.0. Khi tài khoản của nhân viên bị tấn công lừa đảo thành công, nó có thể gây ra tổn thất lớn cho phần lớn người dùng Web3.0. Để đạt được mục tiêu này, những người thực hành bảo mật Web 3.0, bao gồm cả CertiK, cần tìm ra sự cân bằng giữa khái niệm phân cấp và thực tế phát triển và bảo trì phần mềm. Đây là một thách thức lâu dài và liên tục.

3. Giám sát ngành tiếp tục phát triển

Vào năm 2023, chúng tôi rất vui khi thấy rằng khi hoạt động giám sát Web3.0 dần hoàn thiện, ngày càng có nhiều tổ chức bắt đầu tích cực khám phá sự kết hợp giữa công nghệ chuỗi khối và hoạt động kinh doanh truyền thống. Những nỗ lực của Swift trong việc thúc đẩy khả năng tương tác, thực tiễn của nhiều ngân hàng trên thế giới trong lĩnh vực token hóa tài sản và việc thăm dò các gã khổng lồ tài chính Internet như Paypal ở mức tiền tệ ổn định đều cho thấy các doanh nghiệp có hiểu biết sâu sắc về công nghệ blockchain và hệ sinh thái. sự đồng thuận của Web3.0 không ngừng được củng cố.

Về mặt quy định, nhiều khu vực, bao gồm Hồng Kông, Singapore, Nhật Bản, Hoa Kỳ, Liên minh Châu Âu và Vương quốc Anh, đã đưa ra các khung pháp lý hoặc hướng dẫn cho stablecoin. Nhóm CertiK gần đây cũng đã đóng vai trò là chuyên gia tư vấn, cung cấp lời khuyên chuyên nghiệp cho Cơ quan tiền tệ Singapore (MAS) trong việc xây dựng khuôn khổ stablecoin của mình và đã được cơ quan này công nhận. CertiK gần đây cũng đã triển khai các dịch vụ tư vấn tuân thủ và kiểm toán bảo mật stablecoin, đồng thời sẽ tiếp tục hỗ trợ phát triển bảo mật của lĩnh vực stablecoin và triển khai Web3.0 trên quy mô lớn bằng cách tích cực tham gia các hoạt động tư vấn với các cơ quan quản lý ở nhiều khu vực khác nhau.

Chứng nhận 2023

Với nỗ lực chung của toàn ngành, bảo mật Web3.0 đã đạt được tiến bộ về nhiều mặt vào năm 2023. CertiK rất vinh dự được tiếp tục đóng góp trong lĩnh vực này và hướng tới tương lai của Web 3.0. Cùng điểm lại những khoảnh khắc nổi bật của CertiK trong năm 2023:

Vào tháng 4 năm 2023, Skynet for Community được ra mắt để cung cấp cho người dùng nền tảng thông tin tổng hợp.

Vào tháng 5 năm 2023, họ tuyên bố hợp tác với Alibaba Cloud để đưa tính năng bảo mật blockchain vào nền tảng đám mây.

Vào tháng 6 năm 2023, anh đã được Sui Foundation trao tiền thưởng vì đã phát hiện ra mối đe dọa bảo mật lớn đối với chuỗi khối Sui.

Vào tháng 7 năm 2023, nó trở thành công ty kiểm tra bảo mật Web3.0 đầu tiên đạt được chứng nhận SOC 2 Loại I.

Vào tháng 7 năm 2023, quá trình xác minh chính thức nâng cao cho HyperEnclave, môi trường thực thi tin cậy đa nền tảng mở (TEE) đầy sáng tạo của Ant Group đã được hoàn thành.

Vào tháng 7 năm 2023, một lỗ hổng bảo mật trong giải pháp TEE nguồn mở Safeheron đã được phát hiện và cùng nhau giải quyết.

Vào tháng 8 năm 2023, một lỗ hổng bảo mật trong hệ thống Worldcoin đã được phát hiện.

Vào tháng 8 và tháng 10 năm 2023, CertiK đã nhận được hai lời cảm ơn từ Apple vì đã phát hiện ra nhiều lỗ hổng bảo mật trong nhân iOS của Apple.

Vào tháng 9 năm 2023, sản phẩm quản lý rủi ro và tuân thủ Web3.0 SkyInsights đã được phát hành.

Vào tháng 11 năm 2023, việc xác minh chính thức hợp đồng chuỗi chính TON sẽ được hoàn thành để cung cấp xác minh cho giao dịch mỗi giây (TPS) của mạng TON.

Vào tháng 11 năm 2023, nhiều lỗ hổng bảo mật lớn đã được phát hiện trong thiết bị đầu cuối di động Web3.0.

Vào tháng 12 năm 2023, hướng dẫn an ninh sinh thái Cosmos sẽ được phát hành.

Vào tháng 12 năm 2023, một lỗ hổng XSS trong API Xác minh WalletConnect đã được phát hiện.

Vào tháng 12 năm 2023, các lỗ hổng trong thiết bị đầu cuối di động Wormhole và OKX đã được phát hiện.

Vào tháng 12 năm 2023, các lỗ hổng trong thiết bị đầu cuối di động Wormhole và OKX đã được phát hiện.

Đây chỉ là một phần nhỏ trong nỗ lực của CertiK nhằm bảo vệ tính bảo mật của ngành Web 3.0 vào năm 2023. Nhìn lại từng dòng kiểm tra mã trong năm 2023, việc theo dõi suốt đêm sau mỗi sự cố cũng như mọi bài viết phân tích và nghiên cứu, đây là những cam kết và kỳ vọng của chúng tôi đối với thế giới tương lai của Web 3.0.

Cảm ơn tất cả những người thực hành Web3.0, các chuyên gia bảo mật và người dùng đã đồng hành cùng chúng tôi trong suốt chặng đường. Tôi tin rằng những lợi ích và bài học rút ra vào năm 2023 sẽ trở thành tài sản quý giá nhất trong việc xây dựng một thế giới Web3.0 an toàn.

Nhấp vào "Đọc văn bản gốc" ở cuối bài viết để nhận ngay phiên bản PDF của "Báo cáo bảo mật Hack3d: 2023 Web3.0".

sự cố an ninh đánh giá năm 2023
Các bình luận

Tất cả bình luận

Recommended for you

  • Đã có hơn 90 khoản tài trợ liên quan đến sinh thái Bitcoin trong năm nay

    Tính đến thời điểm hiện tại của năm 2024, đã có hơn 90 giao dịch tài chính liên quan đến hệ sinh thái Bitcoin, lập số lượng giao dịch tài chính trong một năm cao nhất trong lịch sử Bitcoin. Kyle Samani, đối tác quản lý của Multicoin Capital, đã chỉ ra rằng với việc nâng cấp Bitcoin Taproot và sự xuất hiện của giao thức Ordinals, hệ sinh thái Bitcoin đang trải qua “thời kỳ phục hưng của nhà phát triển”. Đối với một số nhà phát triển, việc xây dựng các công cụ tài chính trên Bitcoin hấp dẫn hơn vì đây là blockchain lâu đời nhất và an toàn nhất.

  • Tổng giá trị thị trường của stablecoin vượt quá 160 tỷ đô la Mỹ

    Theo dữ liệu của DefiLlama, tổng giá trị thị trường của stablecoin hiện là 161,144 tỷ USD, với mức tăng hàng tuần là 0,69%. Ngoài ra, giá trị thị trường của USDT là 111,128 tỷ USD, chiếm 68,96% thị phần.

  • Hồng Kông trở thành khu vực đầu tiên bên ngoài Trung Quốc đại lục nơi tất cả cư dân địa phương có thể mở ví điện tử CNY

    Cơ quan tiền tệ Hồng Kông đã thông báo vào ngày 17 tháng 5 năm 2024 rằng chương trình thí điểm Nhân dân tệ kỹ thuật số (e-CNY) tại Hồng Kông kể từ bây giờ sẽ được mở rộng cho tất cả công dân Hồng Kông. Người dùng có thể đăng ký và kích hoạt bằng điện thoại di động Hồng Kông. số điện thoại. Nó không chỉ có thể được sử dụng ở Hồng Kông mà còn có thể được sử dụng bên ngoài Hồng Kông. Thực hiện thanh toán xuyên biên giới với các thương gia có tên thật ở Trung Quốc đại lục hỗ trợ e-CNY. Nhân dân tệ kỹ thuật số hiện đang được thí điểm tại 26 khu vực tại 17 tỉnh, thành phố ở Đại lục. Hồng Kông đã trở thành khu vực đầu tiên bên ngoài Trung Quốc đại lục nơi tất cả người dân địa phương có thể mở ví điện tử CNY.

  • Tổng tài sản của 14 quỹ ETF hàng đầu vượt quá 3 nghìn tỷ USD và hiệu suất của chúng cho đến nay trong năm nay còn kém hơn so với các quỹ ETF giao ngay Bitcoin.

    Theo giám sát của HODL15Capital, tổng tài sản của 14 quỹ ETF hàng đầu vượt quá 3 nghìn tỷ USD, nhưng hiệu suất hàng năm của chúng đều tệ hơn so với các quỹ ETF giao ngay Bitcoin (BlackRock IBIT, Fidelity FBTC, ARK 21Shares' ARKB, Bitwise BITB ).

  • BlockBeats ·

    Coinbase: Tìm hiểu hệ sinh thái EigenLayer AVS trong một bài viết

    · EigenLayer* là một giao thức được xây dựng trên Ethereum nhằm giới thiệu việc đặt lại, một nguyên tắc mới trong bảo mật kinh tế tiền điện tử đã trở thành câu chuyện thống trị trong cộng đồng Ethereum. · Đặt cược lại thông qua EigenLayer cho phép các nhà phát triển tận dụng cơ sở hạ tầng bảo mật kinh tế hiện có của Ethereum (tức là bộ trình xác thực và ETH đặt cược) để khởi động Dịch vụ xác thực hoạt động (AVS) mới. · So với tác động của nền tảng đám mây truyền thống và giải pháp SaaS đối với việc phát triển web2, chúng tôi tin rằng sự xuất hiện của EigenLayer và hệ sinh thái AVS phát triển mạnh mẽ của nó đã mở ra mô hình "đám mây có thể kiểm chứng" cho web3. · Khi các mô hình bảo mật chia sẻ và đặt cược phát triển, tác động của chúng đối với hệ sinh thái blockchain sẽ ngày càng trở nên rõ ràng, được thúc đẩy bởi nhu cầu ngày càng tăng từ các nhà đặt cược và nhà phát triển đang tìm cách mở khóa các cơ hội mới trên chuỗi.

    Coinbase: Tìm hiểu hệ sinh thái EigenLayer AVS trong một bài viết
  • 深潮 TechFlow ·

    Biên giới tiếp theo của việc mở rộng quy mô chuỗi khối: Đi sâu vào các bản tổng hợp ZK

    · Trong khi Bằng chứng không có kiến ​​thức (ZKP) hứa hẹn về một hệ sinh thái blockchain riêng tư hơn và có thể mở rộng hơn, nhiều khía cạnh của Không có kiến ​​thức (ZK) lại bị hiểu sai hoặc được triển khai khác với cách hiểu thông thường. · ZKP chủ yếu có hai khía cạnh: "không có kiến ​​thức" và "đơn giản". Mặc dù tuyên bố này không sai, nhưng hầu hết các bản tổng hợp ZK chỉ tận dụng thuộc tính đơn giản và dữ liệu giao dịch cũng như thông tin tài khoản không hoàn toàn được giữ bí mật hoặc riêng tư. · Bản tổng hợp ZK có thể không phải là lựa chọn ngăn xếp phát triển tốt nhất cho nhiều loại DApp khác nhau. Ví dụ: việc tạo ZKP có thể trở thành nút thắt cổ chai cho việc chấm dứt nhanh chóng, do đó làm giảm hiệu suất của trò chơi Web3, trong khi các phương pháp đảm bảo tính khả dụng của dữ liệu dựa trên việc phát hành chênh lệch trạng thái có thể gây hại cho dịch vụ của các giao thức cho vay DeFi.

    Biên giới tiếp theo của việc mở rộng quy mô chuỗi khối: Đi sâu vào các bản tổng hợp ZK

  • Khối lượng giao dịch hàng tuần của DEX trên chuỗi Ethereum vượt 9,8 tỷ USD, đứng đầu với mức tăng 6,26% trong ngày thứ 7

    Dữ liệu DeFiLlama cho thấy khối lượng giao dịch của DEX trên chuỗi Ethereum trong bảy ngày qua là 9,872 tỷ USD, đứng đầu, với mức tăng 6,26% trong bảy ngày qua.
    Khối lượng giao dịch của DEX trên chuỗi Solana trong bảy ngày qua là 7,548 tỷ USD, với mức tăng 4,91% trong bảy ngày qua.
    Khối lượng giao dịch của DEX trên chuỗi BSC trong bảy ngày qua là 4,47 tỷ USD, với mức tăng 3,34% trong bảy ngày qua.
    Khối lượng giao dịch của DEX trên chuỗi Arbitrum trong bảy ngày qua là 2,723 tỷ USD, với mức giảm 3,81% trong 7 ngày qua.
    Khối lượng giao dịch của DEX trên chuỗi Base trong bảy ngày qua là 2,474 tỷ USD, với mức tăng 18,04% trong bảy ngày qua.

  • Hồng Kông ra mắt đợt phát hành mã thông báo bảo mật xanh đầu tiên trên thế giới cho mạng sạc xe năng lượng mới

    Hồng Kông đã triển khai đợt phát hành mã thông báo bảo mật xanh đầu tiên trên thế giới cho mạng sạc xe năng lượng mới. Đợt phát hành G-STO này được đồng tổ chức bởi nhà cung cấp giải pháp phương tiện năng lượng mới tại địa phương XECO và Gaopu Technology Finance (Hồng Kông), một tổ chức được cấp phép. của Ủy ban Điều tiết Chứng khoán Hồng Kông, có thông tin cho rằng việc phát hành mã thông báo bảo mật xanh sẽ được triển khai trên chuỗi khối Ethereum. Hiện chỉ dành cho các nhà đầu tư chuyên nghiệp. Mỗi người tham gia có thể hiểu ngay cách sử dụng sản phẩm hoặc dịch vụ. các dự án sạc xe năng lượng mới và ước tính lợi nhuận dựa trên hiệu quả kinh doanh, bằng cách tận dụng công nghệ chuỗi khối Ethereum, G-STO hạ thấp ngưỡng tài chính của thị trường vốn cổ phần tư nhân và kết hợp tuân thủ KYC/AML (Biết khách hàng/Chống rửa tiền), hoạt động kinh doanh. quản trị, đánh giá rủi ro và các biện pháp truyền thống như kiểm toán tài chính hàng năm.

  • Cointime ngày 18 tháng 5 Tin tức nhanh

    1. Tính đến ngày 17 tháng 5, AUM của Grayscale GBTC đã trở lại trên 19 tỷ USD và lượng nắm giữ của nó đã tăng khoảng 59 BTC so với ngày hôm trước.

  • Một địa chỉ đã chuyển nhầm khoảng 7.000 đô la BTC sang ví của Satoshi Nakamoto.

    Theo giám sát của Arkham, ai đó đã vô tình gửi 90% tài sản BTC của họ đến địa chỉ ví của Satoshi Nakamoto vào đêm qua. Họ đã cố gắng phá hủy một Ordinal và đổi nó lấy @PupsToken, nhưng vô tình gửi gần như toàn bộ số dư ví - khoảng 7.000 đô la BTC.

phải đọc hàng ngày

hoạt động phổ biến

GM Vietnam - Vietnam Blockchain Week

GM Vietnam - Vietnam Blockchain Week

June 07 - June 08

thẻ phổ biến

Cointime
Chủ Đề
Công Ty