CertiK تصدر "Hack3d: تقرير أمان Web3.0 السنوي لعام 2023"

في بداية العام الجديد، تأتي أخبار CertiK المهمة للعام بأكمله كما وعدت - "Hack3d: 2023 Web3.0 Security Report" تم إصداره في 3 يناير بتوقيت بكين وتم إصداره في الساعة 10 مساءً اليوم. يكشف هذا التقرير، الذي اجتذب الكثير من الاهتمام من جانب الصناعة، بشكل شامل أحدث الاتجاهات في أمان الويب 3.0 من خلال إحصائيات وتحليل الحوادث الأمنية في مجال الويب 3.0 خلال العام الماضي.

باعتباره تقرير الأمان الأكثر تفصيلاً وموثوقية في الصناعة، يغطي "Hack3d: 2023 Web3.0 Security Report" النظام البيئي Web3.0 بأكمله في عام 2023 إحصائيات شاملة يعد تحليل هجمات القراصنة والاحتيال واستغلال الثغرات الأمنية أمرًا ضروريًا للمطورين والممارسين والمنظمين والمستخدمين والمتحمسين لفهم الوضع الحالي والتحديات والفرص الخاصة بأمن Web3.0.

قبل قراءة التقرير الكامل، دعونا نلقي نظرة سريعة على الوضع الأمني ​​العام لصناعة الويب 3.0 في عام 2023: < p style="text-align: left;">نظرة عامة سنوية - انخفض إجمالي خسائر الحوادث الأمنية بأكثر من النصف

وقع إجمالي 2023 حادثًا أمنيًا751، مما تسبب في خسائر في الأصول 1.84 مليار، بانخفاض عن 3.7 مليار دولار أمريكي في عام 2022 51%. من خلال التحليل الإحصائي، تعتقد CertiK أن هناك أسبابًا متعددة لهذا الانخفاض، حيث إن تطوير وتطور بروتوكولات العقود الذكية، والتغيرات في سلوك المستخدم، وترقية وفعالية التدابير الأمنية، كلها ترتبط ارتباطًا وثيقًا بالحد من الخسارة الإجمالية للحوادث الأمنية . بالإضافة إلى ذلك، فإن اتجاهات الصناعة الكلية لها أيضًا تأثير معين على العدد والخسائر الناجمة عن الحوادث الأمنية.

رؤى البيانات

من خلال تحليل الوقت والتاريخ الأحداث الأمنية، وتصنيف الأنواع والأنظمة البيئية، اكتشفنا بعض الأفكار التي تستحق الدراسة:

• الخسائر الربع سنوية الثالثة كانت الأعلى، وكان شهر تشرين الثاني (نوفمبر) هو الشهر الأكثر ثقلاً. الربع الثالث من عام 2023 هو الربع الذي شهد أكبر قدر من الخسائر في العام بأكمله، بإجمالي 183 حادثًا أمنيًا، مما تسبب في خسارة 686 مليون دولار أمريكي؛ ووقع إجمالي 45 حادثًا أمنيًا في نوفمبر مما تسبب في خسارة 364 مليون دولار أمريكي.

• تتسبب حوادث تسرب المفاتيح الخاصة في أكبر قدر من الخسائر. وعلى الرغم من أن العدد الإجمالي للحوادث لا يمثل سوى 6.3% من جميع الحوادث، إلا أنها تسببت في خسائر بلغت 881 مليون دولار أمريكي، أي ما يقرب من نصف إجمالي الخسائر لهذا العام.

• الإيثريوم لديه أعلى خسارة إجمالية. وفي عام 2023، وقع 224 حادثًا أمنيًا في إيثريوم، مما تسبب في خسائر قدرها 686 مليون دولار أمريكي، وبلغ متوسط ​​الخسارة لكل حادث حوالي 3 ملايين دولار أمريكي. من بين جميع الأنظمة البيئية، لم يكن لدى إيثريوم أكبر عدد من الحوادث الأمنية في عام 2023، لكنها جلبت أكبر قدر إجمالي من الخسائر.

• تسببت حوادث الأمان عبر السلسلة في خسائر فادحة. في عام 2023، تسبب 35 حادثًا أمنيًا عبر السلاسل فقط في خسائر بقيمة 799 مليون دولار أمريكي، مما يشير إلى أن ثغرات قابلية التشغيل البيني تظل نقطة ضعف بالنسبة لأمن الصناعة.

اتجاهات الصناعة

ومن ناحية أخرى، من خلال المقارنة بين سلسلة من الإجراءات الأمنية الرئيسية من خلال التحليل، اكتشفنا أيضًا بعض الاتجاهات الجديدة في الصناعة والتي حظيت باهتمام واسع النطاق:

1. المبلغ المرتجع من "مكافأة الأخطاء بأثر رجعي" لقد زاد، لكن "إصلاح الموقف قبل حدوثه" ليس جيدًا مثل "منعه قبل حدوثه"

في عام 2023،< قوي>تم التفاوض مع المهاجمين على 34 حادثًا أمنيًا مقابل "مكافآت اكتشاف الأخطاء بأثر رجعي"، وتم استرداد خسائر بقيمة 219 مليون دولار، وهو ما يمثل 12% من إجمالي الخسائر البالغة 1.8 مليار دولار، وزادت العائدات المتفاوض عليها بنسبة 54% مقارنة بالسنوات السابقة. يعتقد CertiK أنه على الرغم من أن هذه الإستراتيجية يمكن أن تساعد المشاريع على استرداد الخسائر إلى حد ما، فمن الواضح أن مشاريع Web3.0 لا يمكنها الاعتماد على التفاوض مع المتسللين لحماية أمن الأصول. لذلك، من الضروري إنشاء منصة مكافآت تحفز خبراء أمن القبعة البيضاء بشكل كامل للإبلاغ عن الثغرات الأمنية قبل حدوث الهجوم.

إذا كنت تريد معرفة المزيد عن مواقف أطراف المشروع المختلفة تجاه مفاوضات "مكافأة الأخطاء بأثر رجعي"، فيرجى قراءة التقرير الخاص بالقرار اللاحق للاثنين حوادث Euler Finance وKyberSwap تحليل تفصيلي للبرنامج.

2. خطر انتقال Web2.0 إلى Web3.0 - تحد طويل الأمد ومستمر

في 14 ديسمبر، واجهت شركة Ledger العملاقة لمحفظة الأجهزة Web3.0 أزمة أمنية كبيرة. وقع موظف سابق في Ledger ضحية لهجوم تصيد احتيالي. سيطر المهاجم على حساب NPMJS الخاص به من خلال Github، وقام بتحميل تعليمات برمجية ضارة إلى NPMJS الخاصة بـ Ledger، ثم نجح في الحصول على حق الوصول إلى Ledger Connect Kit، وتوجيه مستخدمي المحفظة إلى مواقع الويب الضارة. قام Ledger بنشر التحديثات بسرعة في غضون 40 دقيقة من اكتشاف الثغرة الأمنية، والتي تحتوي على تهديدات متابعة محتملة. تسبب الهجوم في خسارة مباشرة تقدر بحوالي 610.000 دولار أمريكي. وعلى الرغم من أن المبلغ لم يكن ضخمًا، إلا أنه كان له تأثير سلبي لا يمكن قياسه على سمعة ليدجر.

حادثة Ledger هذه هي نفس حالة توحيد جهود CertiK وWalletConnect لحل ثغرات XSS. وجميعها تذكرنا أنه على الرغم من أن Web3.0 والنظام البيئي blockchain هي روح لامركزية، لكن تطبيقات Web3.0 الحالية لا تزال تستخدم عددًا كبيرًا من مكونات Web2.0 البيئية، مثل أنظمة الحسابات، ورموز QR، ومكتبات الأكواد، وما إلى ذلك، لذا فهي ترث أيضًا مخاطر نقاط الضعف المركزية في Web2.0. حقبة. بمجرد نجاح هجوم التصيد على حساب الموظف، فقد يتسبب ذلك في خسائر فادحة لغالبية مستخدمي Web3.0. ولتحقيق هذه الغاية، يحتاج الممارسون في مجال أمن الويب 3.0، بما في ذلك شركة سيرتيك، إلى إيجاد التوازن بين مفهوم اللامركزية والواقع الفعلي لتطوير البرمجيات وصيانتها. وهو تحد طويل الأمد ومستمر.

3. تنظيم الصناعة مستمر في النضج

2023 , يسعدنا أن نرى أنه مع النضج التدريجي للإشراف على Web3.0، بدأ المزيد والمزيد من المؤسسات في استكشاف الجمع بين تقنية blockchain والأعمال التقليدية. إن جهود Swift في تعزيز قابلية التشغيل البيني، وممارسة العديد من البنوك حول العالم في مجال ترميز الأصول، واستكشاف عمالقة الإنترنت الماليين مثل Paypal على مستوى العملة المستقرة، كلها تظهر أن الشركات لديها فهم قوي لتكنولوجيا blockchain والنظام البيئي. يتم تعزيز إجماع Web3.0 باستمرار.

فيما يتعلق بالتنظيم، فقد أدخلت العديد من المناطق، بما في ذلك هونغ كونغ وسنغافورة واليابان والولايات المتحدة والاتحاد الأوروبي والمملكة المتحدة، تنظيمًا مستقرًا للعملة أطر أو مبادئ توجيهية. كما عمل فريق CertiK مؤخرًا كخبير استشاري، حيث قدم المشورة المهنية لسلطة النقد السنغافورية (MAS) في صياغة إطار عملتها المستقرة وقد تم الاعتراف به من قبل الأخيرة. كما أطلقت CertiK مؤخرًا خدمات استشارية للتدقيق الأمني ​​والامتثال للعملات المستقرة، وستواصل دعم التطوير الأمني ​​لمجال العملات المستقرة وتنفيذ Web3.0 على نطاق واسع من خلال المشاركة بنشاط في أنشطة التشاور مع الهيئات التنظيمية في مختلف المناطق.

CertiK في عام 2023

شائع في الصناعة بأكملها، شكرًا بفضل جهودنا، حقق أمان Web3.0 تقدمًا في العديد من الجوانب في عام 2023. وتتشرف CertiK بمواصلة المساهمة في هذا المجال والعمل نحو مستقبل Web 3.0. دعونا نراجع أبرز لحظات CertiK في عام 2023:

في أبريل 2023، تم إطلاق Skynet for Community لتزويد المستخدمين بمنصة معلومات ثابتة .

في مايو 2023، أعلنت عن شراكة مع Alibaba Cloud لإدخال أمان blockchain في النظام الأساسي السحابي.

في يونيو 2023، تم اكتشاف تهديد أمني كبير لـ Sui blockchain وتم منح مكافأة من قبل مؤسسة Sui.

في يوليو 2023، أصبحت أول شركة تدقيق أمان Web3.0 تحصل على شهادة SOC 2 Type I.

في يوليو 2023، تم الانتهاء من التحقق الرسمي المتقدم لبيئة التنفيذ الموثوقة المفتوحة عبر الأنظمة الأساسية (TEE) HyperEnclave من Ant Group.

في يوليو 2023، تم اكتشاف ثغرات أمنية في حل Safeheron مفتوح المصدر TEE وتم العمل معًا لحلها.

في أغسطس 2023، تم اكتشاف ثغرة أمنية في نظام Worldcoin.

في أغسطس وأكتوبر 2023، تلقت CertiK شكرين من Apple لاكتشافها ثغرات أمنية متعددة في نواة Apple iOS.

في سبتمبر 2023، سيتم إصدار منتج الامتثال وإدارة المخاطر لـ Web3.0 SkyInsights.

في نوفمبر 2023، سيتم الانتهاء من التحقق الرسمي من عقد سلسلة TON الرئيسية لتوفير التحقق من المعاملة في السجل الثاني (TPS) لشبكة TON.

في نوفمبر 2023، تم اكتشاف العديد من الثغرات الأمنية الرئيسية في محطة Web3.0 المحمولة.

في ديسمبر 2023، سيتم إصدار دليل الأمن البيئي Cosmos.

في ديسمبر 2023، تم اكتشاف ثغرة XSS في WalletConnect Verify API.

في ديسمبر 2023، تم اكتشاف ثغرات أمنية في الأجهزة المحمولة Wormhole وOKX.

هذا مجرد جزء صغير من جهود CertiK لحماية أمان صناعة Web3.0 في عام 2023. إذا نظرنا إلى الوراء في كل سطر من تدقيق التعليمات البرمجية في عام 2023، والتتبع طوال الليل بعد كل حادث، وكل تحليل ومقال بحثي، فهذا هو التزامنا وتوقعاتنا لعالم الويب 3.0 المستقبلي.

شكرًا لجميع ممارسي Web3.0 وخبراء الأمن والمستخدمين على السير معنا. أعتقد أن المكاسب والدروس المستفادة في عام 2023 ستصبح الثروة الأكثر قيمة في بناء عالم Web3.0 آمن.