ในช่วงต้นปีใหม่ ข่าวใหญ่ของ CertiK ตลอดทั้งปีกำลังมาตามที่สัญญาไว้ - "Hack3d: 2023 Web 3.0 Security Report" ได้รับการเผยแพร่เมื่อเวลา 22.00 น. ของวันที่ 3 มกราคม ตามเวลาปักกิ่ง รายงานนี้ ซึ่งดึงดูดความสนใจอย่างมากจากอุตสาหกรรม ได้เปิดเผยแนวโน้มล่าสุดด้านความปลอดภัยของ Web 3.0 อย่างครอบคลุม ผ่านสถิติและการวิเคราะห์เหตุการณ์ด้านความปลอดภัยในฟิลด์ Web 3.0 ในปีที่ผ่านมา

เนื่องจากรายงานความปลอดภัยที่มีรายละเอียดและเชื่อถือได้มากที่สุดในอุตสาหกรรม "รายงานความปลอดภัยของ Hack3d: 2023 Web3.0" ครอบคลุมสถิติที่ครอบคลุมและการวิเคราะห์การโจมตีของแฮ็กเกอร์ การฉ้อโกง การแสวงหาประโยชน์จากช่องโหว่ และเหตุการณ์อื่น ๆ ที่เกิดขึ้นในระบบนิเวศ Web3.0 ตลอดปี 2023 เป็นคู่มือที่จำเป็นสำหรับนักพัฒนา ผู้ปฏิบัติงาน หน่วยงานกำกับดูแล ผู้ใช้ และผู้ที่ชื่นชอบ เพื่อทำความเข้าใจสถานะปัจจุบัน ความท้าทาย และโอกาสของการรักษาความปลอดภัย Web 3.0

ก่อนที่จะอ่านรายงานฉบับเต็ม เรามาดูภาพรวมด้านความปลอดภัยโดยรวมของอุตสาหกรรม Web 3.0 ในปี 2023 กันก่อน:

ภาพรวมประจำปี - ความสูญเสียจากเหตุการณ์ด้านความปลอดภัยทั้งหมดลดลงมากกว่าครึ่งหนึ่ง

เหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 751 เหตุการณ์ในปี 2566 ส่งผลให้สูญเสียทรัพย์สินเป็นมูลค่า 1.84 พันล้านดอลลาร์สหรัฐ จำนวนความเสียหายลดลง 51% จาก 3.7 พันล้านดอลลาร์สหรัฐในปี 2565 ด้วยการวิเคราะห์ทางสถิติ CertiK เชื่อว่ามีเหตุผลหลายประการสำหรับการลดลงนี้ การพัฒนาและวิวัฒนาการของโปรโตคอลสัญญาอัจฉริยะ การเปลี่ยนแปลงพฤติกรรมผู้ใช้ การอัปเกรด และประสิทธิผลของมาตรการรักษาความปลอดภัย ล้วนเกี่ยวข้องอย่างใกล้ชิดกับการลดการสูญเสียเหตุการณ์ด้านความปลอดภัยทั้งหมด . นอกจากนี้ แนวโน้มอุตสาหกรรมมหภาคยังมีผลกระทบต่อจำนวนและความสูญเสียที่เกิดจากเหตุการณ์ด้านความปลอดภัยอีกด้วย

ข้อมูลเชิงลึก

เมื่อจัดหมวดหมู่ช่วงเวลา ประเภท และระบบนิเวศของเหตุการณ์ด้านความปลอดภัย เราค้นพบข้อมูลเชิงลึกที่ควรค่าแก่การศึกษา:

แนวโน้มอุตสาหกรรม

ในทางกลับกัน จากการวิเคราะห์เปรียบเทียบเหตุการณ์ด้านความปลอดภัยที่สำคัญต่างๆ เรายังค้นพบแนวโน้มใหม่ๆ ของอุตสาหกรรมที่ดึงดูดความสนใจอย่างกว้างขวาง:

แนวโน้มอุตสาหกรรม

ในทางกลับกัน จากการวิเคราะห์เปรียบเทียบเหตุการณ์ด้านความปลอดภัยที่สำคัญต่างๆ เรายังค้นพบแนวโน้มใหม่ๆ ของอุตสาหกรรมที่ดึงดูดความสนใจอย่างกว้างขวาง:

1. จำนวนการส่งคืน "ค่าหัวบั๊กย้อนหลัง" เพิ่มขึ้น แต่ "การซ่อมแซมสถานการณ์ก่อนที่จะเกิดขึ้น" นั้นไม่ดีเท่ากับ "การป้องกันปัญหาก่อนที่จะเกิดขึ้น"

ในปี 2566 เหตุการณ์ด้านความปลอดภัย 34 เหตุการณ์สามารถกู้คืนความเสียหายได้ 219 ล้านดอลลาร์สหรัฐผ่านการเจรจา "ค่าหัวบั๊กย้อนหลัง" กับผู้โจมตี ซึ่งคิดเป็น 12% ของการสูญเสียทั้งหมด 1.8 พันล้านดอลลาร์สหรัฐ เมื่อเทียบกับปีก่อน จำนวนผลตอบแทนที่เจรจาไว้เพิ่มขึ้น 54% CertiK เชื่อว่าแม้ว่ากลยุทธ์นี้สามารถช่วยโครงการกู้คืนความสูญเสียได้ในระดับหนึ่ง แต่โครงการ Web3.0 ก็ไม่สามารถพึ่งพาการเจรจากับแฮกเกอร์เพื่อปกป้องความปลอดภัยของสินทรัพย์ได้อย่างชัดเจน ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องสร้างแพลตฟอร์มที่ให้รางวัลซึ่งจูงใจผู้เชี่ยวชาญด้านความปลอดภัยหมวกขาวอย่างเต็มที่เพื่อรายงานช่องโหว่ด้านความปลอดภัยก่อนการโจมตีจะเกิดขึ้น

หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับทัศนคติของฝ่ายต่างๆ ในโครงการที่มีต่อการเจรจา "ค่าหัวข้อบกพร่องย้อนหลัง" คุณสามารถอ่านการวิเคราะห์โดยละเอียดของโซลูชันติดตามผลสำหรับเหตุการณ์ทั้งสองของ Euler Finance และ KyberSwap ได้ในรายงาน

2. ความเสี่ยง Web2.0 ล้นเหลือ Web3.0—ความท้าทายระยะยาวและต่อเนื่อง

เมื่อวันที่ 14 ธันวาคม Ledger ยักษ์ใหญ่กระเป๋าเงินฮาร์ดแวร์ Web3.0 เผชิญกับวิกฤตด้านความปลอดภัยครั้งใหญ่ อดีตพนักงาน Ledger ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ผู้โจมตีควบคุมบัญชี NPMJS ของเขาผ่าน Github อัปโหลดโค้ดที่เป็นอันตรายไปยัง NPMJS ของ Ledger จากนั้นจึงเข้าถึง Ledger Connect Kit ได้สำเร็จ โดยนำผู้ใช้กระเป๋าเงินไปยังเว็บไซต์ที่เป็นอันตราย Ledger ปรับใช้การอัปเดตอย่างรวดเร็วภายใน 40 นาทีหลังจากค้นพบช่องโหว่ ซึ่งประกอบด้วยภัยคุกคามที่อาจเกิดขึ้นตามมา การโจมตีดังกล่าวทำให้เกิดการสูญเสียโดยตรงประมาณ 610,000 เหรียญสหรัฐ แม้ว่าจำนวนเงินจะไม่มาก แต่ก็มีผลกระทบเชิงลบอย่างล้นหลามต่อชื่อเสียงของ Ledger

เหตุการณ์ Ledger นี้ เช่นเดียวกับกรณีของ CertiK และ WalletConnect ที่ร่วมมือกันเพื่อแก้ไขช่องโหว่ XSS เตือนเราว่าแม้ว่า Web3.0 และระบบนิเวศบล็อกเชนจะมีจิตวิญญาณแบบกระจายอำนาจ แต่แอปพลิเคชัน Web3.0 ปัจจุบันยังคงใช้องค์ประกอบทางนิเวศวิทยา Web2.0 จำนวนมาก เช่นระบบบัญชี, รหัส QR, ไลบรารีรหัส ฯลฯ จึงรับความเสี่ยงจากช่องโหว่แบบรวมศูนย์ในยุค Web 2.0 เมื่อบัญชีของพนักงานถูกโจมตีด้วยฟิชชิ่งได้สำเร็จ อาจทำให้ผู้ใช้ Web3.0 ส่วนใหญ่สูญเสียอย่างมหาศาล ด้วยเหตุนี้ ผู้ปฏิบัติงานด้านความปลอดภัย Web 3.0 รวมถึง CertiK จำเป็นต้องค้นหาสมดุลระหว่างแนวคิดเรื่องการกระจายอำนาจและความเป็นจริงที่แท้จริงของการพัฒนาและบำรุงรักษาซอฟต์แวร์ นี่เป็นความท้าทายในระยะยาวและต่อเนื่อง

3. การกำกับดูแลอุตสาหกรรมยังคงเติบโตอย่างต่อเนื่อง

ในปี 2023 เรารู้สึกยินดีเป็นอย่างยิ่งที่เห็นว่าในขณะที่การดูแล Web3.0 ค่อยๆ เติบโตขึ้น สถาบันต่างๆ จำนวนมากขึ้นเรื่อยๆ ก็เริ่มสำรวจการผสมผสานระหว่างเทคโนโลยีบล็อกเชนและธุรกิจแบบดั้งเดิมอย่างแข็งขัน ความพยายามของ Swift ในการส่งเสริมการทำงานร่วมกัน แนวปฏิบัติของธนาคารหลายแห่งทั่วโลกในด้านโทเค็นสินทรัพย์ และการสำรวจยักษ์ใหญ่ทางการเงินทางอินเทอร์เน็ต เช่น Paypal ในระดับสกุลเงินที่มีเสถียรภาพ ล้วนแสดงให้เห็นว่าองค์กรต่างๆ มีความเข้าใจอย่างแข็งแกร่งเกี่ยวกับเทคโนโลยีบล็อกเชนและระบบนิเวศ ฉันทามติของ Web3.0 มีความเข้มแข็งอย่างต่อเนื่อง

ในแง่ของกฎระเบียบ หลายภูมิภาครวมถึงฮ่องกง สิงคโปร์ ญี่ปุ่น สหรัฐอเมริกา สหภาพยุโรป และสหราชอาณาจักร ได้แนะนำกรอบการกำกับดูแลหรือแนวปฏิบัติสำหรับ Stablecoins เมื่อเร็วๆ นี้ ทีมงาน CertiK ยังทำหน้าที่เป็นผู้เชี่ยวชาญที่ปรึกษา โดยให้คำแนะนำอย่างมืออาชีพแก่ Monetary Authority of Singapore (MAS) ในการกำหนดกรอบการทำงานของ Stablecoin และได้รับการยอมรับจากฝ่ายหลัง นอกจากนี้ CertiK ยังได้เปิดตัวบริการตรวจสอบความปลอดภัยของ Stablecoin และให้คำปรึกษาด้านการปฏิบัติตามกฎระเบียบเมื่อเร็วๆ นี้ และจะยังคงสนับสนุนการพัฒนาความปลอดภัยของ Stablecoin และการใช้งาน Web3.0 ในวงกว้าง ด้วยการเข้าร่วมกิจกรรมให้คำปรึกษากับหน่วยงานกำกับดูแลในภูมิภาคต่างๆ

ใบรับรอง CertiK 2023

ด้วยความพยายามร่วมกันของทั้งอุตสาหกรรม การรักษาความปลอดภัยของ Web3.0 มีความก้าวหน้าในหลายๆ ด้านในปี 2023 CertiK รู้สึกเป็นเกียรติที่ได้มีส่วนร่วมในสาขานี้ต่อไปและทำงานเพื่ออนาคตของ Web 3.0 เรามาทบทวนช่วงเวลาสำคัญของ CertiK ในปี 2023 กัน:

ในเดือนเมษายน พ.ศ. 2566 Skynet for Community เปิดตัวเพื่อให้ผู้ใช้มีแพลตฟอร์มข้อมูลแบบครบวงจร

ในเดือนพฤษภาคม ปี 2023 บริษัทได้ประกาศความร่วมมือกับ Alibaba Cloud เพื่อแนะนำการรักษาความปลอดภัยบล็อกเชนให้กับแพลตฟอร์มคลาวด์

ในเดือนมิถุนายน 2023 เขาได้รับรางวัลจากมูลนิธิ Sui จากการค้นพบภัยคุกคามด้านความปลอดภัยที่สำคัญต่อ Sui blockchain

ในเดือนกรกฎาคม ปี 2023 บริษัทกลายเป็นบริษัทตรวจสอบความปลอดภัย Web3.0 แห่งแรกที่ได้รับการรับรอง SOC 2 Type I

ในเดือนกรกฎาคม ปี 2023 การตรวจสอบอย่างเป็นทางการขั้นสูงของ Trusted Execution Environment (TEE) HyperEnclave ที่เป็นนวัตกรรมข้ามแพลตฟอร์มแบบเปิดของ Ant Group เสร็จสมบูรณ์

ในเดือนกรกฎาคม 2023 มีการค้นพบช่องโหว่ด้านความปลอดภัยในโซลูชัน TEE โอเพ่นซอร์สของ Safeheron และทำงานร่วมกันเพื่อแก้ไข

ในเดือนสิงหาคม 2023 มีการค้นพบช่องโหว่ด้านความปลอดภัยในระบบ Worldcoin

ในเดือนสิงหาคมและตุลาคม 2023 CertiK ได้รับการขอบคุณสองครั้งจาก Apple ที่ค้นพบช่องโหว่ด้านความปลอดภัยหลายประการในเคอร์เนล iOS ของ Apple

ในเดือนกันยายน 2023 SkyInsights ผลิตภัณฑ์การปฏิบัติตามกฎระเบียบและการจัดการความเสี่ยง Web3.0 ได้รับการเผยแพร่

ในเดือนพฤศจิกายน 2566 การตรวจสอบอย่างเป็นทางการของสัญญาลูกโซ่หลัก TON จะเสร็จสิ้น เพื่อให้มีการตรวจสอบธุรกรรมต่อวินาที (TPS) ของเครือข่าย TON

ในเดือนพฤศจิกายน 2023 มีการค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญหลายรายการในเทอร์มินัลมือถือ Web3.0

ในเดือนธันวาคม พ.ศ. 2566 คู่มือความปลอดภัยทางนิเวศของคอสมอสจะเผยแพร่

ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ XSS ใน WalletConnect Verify API

ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ในเทอร์มินัลมือถือ Wormhole และ OKX

ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ในเทอร์มินัลมือถือ Wormhole และ OKX

นี่เป็นเพียงส่วนเล็กๆ ของความพยายามของ CertiK ในการปกป้องความปลอดภัยของอุตสาหกรรม Web 3.0 ในปี 2023 เมื่อมองย้อนกลับไปที่การตรวจสอบโค้ดทุกบรรทัดในปี 2023 การติดตามตลอดทั้งคืนหลังจากทุกเหตุการณ์ และบทความการวิเคราะห์และการวิจัยทั้งหมด สิ่งเหล่านี้คือความมุ่งมั่นและความคาดหวังของเราสำหรับโลกอนาคตของ Web 3.0

ขอขอบคุณผู้ปฏิบัติงาน Web3.0 ผู้เชี่ยวชาญด้านความปลอดภัย และผู้ใช้ทุกคนที่อยู่กับเราตลอดทาง ฉันเชื่อว่าสิ่งที่ได้รับและบทเรียนที่ได้รับในปี 2023 จะกลายเป็นความมั่งคั่งที่มีค่าที่สุดในการสร้างโลก Web3.0 ที่ปลอดภัย

คลิก "อ่านข้อความต้นฉบับ" ที่ส่วนท้ายของบทความเพื่อรับ "รายงานความปลอดภัย Hack3d: 2023 Web3.0" เวอร์ชัน PDF ทันที