Короткий огляд «Hack3d: щорічний звіт про безпеку Web3.0 за 2023 рік»

У звіті буде всебічно розкрито останні тенденції безпеки Web3.0 за допомогою статистики та аналізу інцидентів безпеки у сфері Web3.0 за останній рік.

Автор: CertiK

Повний текст див.: «Hack3d: 2023 Annual Web3.0 Security Report»

На початку нового року, як і було обіцяно, прийшла головна новина CertiK за весь рік – вийшов «Hack3d: 2023 Annual Web3.0 Security Report». У цьому звіті, який привернув велику увагу представників галузі, всебічно розкриваються останні тенденції безпеки Web3.0 за допомогою статистики та аналізу інцидентів безпеки в галузі Web3.0 за останній рік.

«Hack3d: 2023 Web3.0 Security Report» є найдокладнішим і найавторитетнішим звітом про безпеку в галузі, який охоплює вичерпну статистику та аналіз хакерських атак, шахрайства, використання вразливостей та інших інцидентів, які сталися в екосистемі Web3.0 протягом 2023 року. Це важливий посібник для розробників, практиків, регуляторів, користувачів та ентузіастів, щоб зрозуміти поточний стан, виклики та можливості безпеки Web 3.0.

Перш ніж читати повний звіт, давайте коротко поглянемо на загальний ландшафт безпеки в галузі Web 3.0 у 2023 році:

Річний огляд - Загальні втрати від інцидентів безпеки скоротилися більш ніж наполовину

Загалом у 2023 році стався 751 інцидент безпеки, що призвело до втрати активів на 1,84 мільярда доларів США, що на 51% менше порівняно з 3,7 мільярда доларів США у 2022 році. Завдяки статистичному аналізу CertiK вважає, що існує кілька причин для цього зниження.Розвиток і еволюція протоколів смарт-контрактів, зміни в поведінці користувачів, оновлення та ефективність заходів безпеки тісно пов’язані зі зменшенням загальної втрати інцидентів безпеки. . Крім того, тенденції макроіндустрії також мають певний вплив на кількість і втрати, спричинені інцидентами безпеки.

Статистика даних

Класифікувавши час, тип і екосистему інцидентів безпеки, CertiK виявив деякі ідеї, які варто вивчити:

1. Третій квартал має найбільші втрати, а листопад – найбільші втрати за один місяць. Третій квартал 2023 року став найдорожчим кварталом року: загалом було 183 інциденти з безпекою, що призвело до збитків у розмірі 686 мільйонів доларів США; у листопаді сталося загалом 45 інцидентів із безпекою, які спричинили збитки на суму 364 мільйони доларів США.

Щомісячна кількість інцидентів безпеки та сума збитків у 2023 році (дол. США)

2. Інциденти витоку приватного ключа викликають найбільше втрат. Хоча загальна кількість інцидентів становила лише 6,3% усіх інцидентів, вони завдали збитків у розмірі 881 мільйона доларів США, майже половини загальних збитків за рік.

Кількість випадків і сума збитків від різних інцидентів безпеки у 2023 році (дол. США)

3. Ethereum має найбільшу загальну суму збитків. У 2023 році в Ethereum сталося 224 інциденти безпеки, що призвело до збитків у розмірі 686 мільйонів доларів США. Середній збиток за інцидент становив приблизно 3 мільйони доларів США. Серед усіх екосистем Ethereum не мав найбільшої кількості інцидентів безпеки у 2023 році, але він приніс найбільшу загальну суму втрат.

4. Міжланцюгові інциденти безпеки спричиняють великі втрати. У 2023 році лише 35 міжланцюжкових інцидентів безпеки спричинили збитки на 799 мільйонів доларів США, що свідчить про те, що вразливі місця сумісності залишаються проблемною точкою для безпеки галузі.

Тенденції галузі

З іншого боку, завдяки порівняльному аналізу серії серйозних інцидентів безпеки CertiK також виявив деякі нові галузеві тенденції, які привернули широку увагу:

1. Сума відшкодування «Retroactive Bug Bounty» зросла, але «виправити проблему до того, як вона виникне» не так добре, як «запобігти проблемі до того, як вона станеться»

У 2023 році 34 інциденти безпеки відшкодували збитки на суму 219 мільйонів доларів США шляхом переговорів із зловмисниками про «ретроактивну винагороду за вразливість», що становить 12% від загальної суми збитків у розмірі 1,8 мільярда доларів США. Порівняно з попередніми роками обговорена сума повернення зросла на 54%. CertiK вважає, що хоча ця стратегія може допомогти проектам відшкодувати збитки до певної міри, проекти Web3.0, очевидно, не можуть покладатися на переговори з хакерами для захисту активів. Тому вкрай важливо створити платформу винагороди, яка повністю стимулюватиме експертів із безпеки, які працюють у білому капелюсі, повідомляти про вразливості системи безпеки до того, як станеться атака.

Якщо ви хочете дізнатися більше про ставлення різних сторін проекту до переговорів щодо «ретроактивної винагороди за помилки», можете прочитати детальний аналіз наступних рішень двох інцидентів Euler Finance та KyberSwap у звіті.

2. Поширення ризиків Web2.0 Web3.0 – довготерміновий і постійний виклик

14 грудня гігант апаратних гаманців Web3.0 Ledger зіткнувся з серйозною кризою безпеки. Колишній співробітник Ledger став жертвою фішингової атаки. Зловмисник контролював свій обліковий запис NPMJS через Github, завантажував шкідливий код у NPMJS Ledger, а потім успішно отримав доступ до Ledger Connect Kit, спрямовуючи користувачів гаманця на шкідливі веб-сайти. Ledger швидко розгорнув оновлення протягом 40 хвилин після виявлення вразливості, запобігаючи потенційним подальшим загрозам. Атака завдала прямих збитків у розмірі приблизно 610 000 доларів США. Хоча сума не була великою, вона мала невимірний негативний вплив на репутацію Леджера.

Цей інцидент з Ledger, як і випадок, коли CertiK і WalletConnect об’єднали зусилля для усунення вразливостей XSS, нагадує нам, що хоча Web3.0 і екосистема блокчейну мають децентралізований дух, поточні програми Web3.0 все ще використовують велику кількість екологічних компонентів Web2.0. , як-от системи облікових записів, QR-коди, бібліотеки кодів тощо, тому вони також успадковують ризик централізованих уразливостей в епоху Web2.0. Після успішної фішингової атаки на обліковий запис співробітника це може завдати величезних збитків більшості користувачів Web3.0. З цією метою спеціалісти з безпеки Web3.0, включаючи CertiK, повинні знайти баланс між концепцією децентралізації та фактичною реальністю розробки та обслуговування програмного забезпечення, що є довгостроковою та постійною проблемою.

3. Нагляд за галуззю продовжує розвиватися

У 2023 році CertiK із задоволенням спостерігає, що в міру того, як регулювання Web3.0 поступово розвивається, все більше і більше установ починають активно досліджувати поєднання технології блокчейн і традиційного бізнесу. Зусилля Swift щодо сприяння сумісності, практика багатьох банків у всьому світі у сфері токенізації активів та дослідження фінансових гігантів Інтернету, таких як Paypal, на рівні стабільної валюти – усе це свідчить про те, що підприємства добре розуміють технологію блокчейн та екологічні Консенсус Web3.0 постійно зміцнюється.

З точки зору регулювання, багато регіонів, включаючи Гонконг, Сінгапур, Японію, Сполучені Штати, Європейський Союз і Сполучене Королівство, запровадили нормативні рамки або вказівки для стейблкойнів. Команда CertiK також нещодавно працювала експертом-консультантом для надання професійних консультацій Валютно-кредитному управлінню Сінгапуру (MAS) у розробці його структури стейблкойнів і була визнана останнім. CertiK також нещодавно запустив послуги з аудиту безпеки стейблкойнів і консалтингових послуг із відповідності, і продовжуватиме підтримувати розвиток безпеки у сфері стейблкойнів і широкомасштабне впровадження Web3.0, активно беручи участь у консультаційній діяльності місцевих регуляторних органів.

Certik’s 2023

Завдяки спільним зусиллям усієї галузі безпека Web3.0 досягла прогресу в багатьох аспектах у 2023 році. CertiK має честь продовжувати робити внесок у цю сферу та працювати над майбутнім Web3.0. Давайте розглянемо основні моменти CertiK у 2023 році:

• У квітні 2023 року Skynet for Community буде запущено, щоб надати користувачам єдину інформаційну платформу.
• У травні 2023 року компанія оголосила про партнерство з Alibaba Cloud для запровадження безпеки блокчейну в хмарну платформу.
• У червні 2023 року фонд Sui присудив нагороду за виявлення серйозної загрози безпеці блокчейну Sui.
• У липні 2023 року стала першою компанією з аудиту безпеки Web3.0, яка отримала сертифікат SOC 2 Type I.
• У липні 2023 року було завершено розширену формальну перевірку інноваційного відкритого міжплатформного довіреного середовища виконання (TEE) HyperEnclave Ant Group.
• У липні 2023 року було виявлено вразливі місця в безпеці рішення Safeheron з відкритим вихідним кодом TEE, і спільно працювали над їх усуненням.
• У серпні 2023 року в системі Worldcoin було виявлено вразливість безпеки.
• У серпні та жовтні 2023 року компанія CertiK отримала дві подяки від Apple за виявлення багатьох вразливостей безпеки в ядрі Apple iOS.
• У вересні 2023 року було випущено продукт SkyInsights для відповідності Web3.0 і управління ризиками.
• У листопаді 2023 року забезпечте перевірку транзакцій за секунду (TPS) для мережі TON.
• У листопаді 2023 року в мобільному терміналі Web3.0 було виявлено численні серйозні вразливості безпеки.
• У грудні 2023 року буде випущено Посібник з екологічної безпеки Cosmos.
• У грудні 2023 року було виявлено вразливість XSS в WalletConnect Verify API.
• У грудні 2023 року було виявлено мобільні вразливості Wormhole і OKX.

Це лише невелика частина зусиль CertiK із забезпечення безпеки індустрії Web3.0 у 2023 році. Озираючись назад на перевірку кожного рядка коду в 2023 році, відстеження, що проводилося цілу ніч після кожного інциденту, а також на кожен аналіз і дослідження, це є зобов’язаннями CertiK і очікування щодо майбутнього світу Web3.0.

Дякуємо всім фахівцям Web3.0, експертам із безпеки та користувачам за те, що ви були з нами на цьому шляху. Я вірю, що досягнення та уроки, отримані у 2023 році, стануть найціннішим надбанням у побудові безпечного світу Web3.0.