ในช่วงต้นปีใหม่ ข่าวใหญ่ของ CertiK ตลอดทั้งปีกำลังมาตามที่สัญญาไว้ - "Hack3d: 2023 Web 3.0 Security Report" ได้รับการเผยแพร่เมื่อเวลา 22.00 น. ของวันที่ 3 มกราคม ตามเวลาปักกิ่ง รายงานนี้ ซึ่งดึงดูดความสนใจอย่างมากจากอุตสาหกรรม ได้เปิดเผยแนวโน้มล่าสุดด้านความปลอดภัยของ Web 3.0 อย่างครอบคลุม ผ่านสถิติและการวิเคราะห์เหตุการณ์ด้านความปลอดภัยในฟิลด์ Web 3.0 ในปีที่ผ่านมา
เนื่องจากรายงานความปลอดภัยที่มีรายละเอียดและเชื่อถือได้มากที่สุดในอุตสาหกรรม "รายงานความปลอดภัยของ Hack3d: 2023 Web3.0" ครอบคลุมสถิติที่ครอบคลุมและการวิเคราะห์การโจมตีของแฮ็กเกอร์ การฉ้อโกง การแสวงหาประโยชน์จากช่องโหว่ และเหตุการณ์อื่น ๆ ที่เกิดขึ้นในระบบนิเวศ Web3.0 ตลอดปี 2023 เป็นคู่มือที่จำเป็นสำหรับนักพัฒนา ผู้ปฏิบัติงาน หน่วยงานกำกับดูแล ผู้ใช้ และผู้ที่ชื่นชอบ เพื่อทำความเข้าใจสถานะปัจจุบัน ความท้าทาย และโอกาสของการรักษาความปลอดภัย Web 3.0
ก่อนที่จะอ่านรายงานฉบับเต็ม เรามาดูภาพรวมด้านความปลอดภัยโดยรวมของอุตสาหกรรม Web 3.0 ในปี 2023 กันก่อน:
ภาพรวมประจำปี - ความสูญเสียจากเหตุการณ์ด้านความปลอดภัยทั้งหมดลดลงมากกว่าครึ่งหนึ่ง
เหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 751 เหตุการณ์ในปี 2566 ส่งผลให้สูญเสียทรัพย์สินเป็นมูลค่า 1.84 พันล้านดอลลาร์สหรัฐ จำนวนความเสียหายลดลง 51% จาก 3.7 พันล้านดอลลาร์สหรัฐในปี 2565 ด้วยการวิเคราะห์ทางสถิติ CertiK เชื่อว่ามีเหตุผลหลายประการสำหรับการลดลงนี้ การพัฒนาและวิวัฒนาการของโปรโตคอลสัญญาอัจฉริยะ การเปลี่ยนแปลงพฤติกรรมผู้ใช้ การอัปเกรด และประสิทธิผลของมาตรการรักษาความปลอดภัย ล้วนเกี่ยวข้องอย่างใกล้ชิดกับการลดการสูญเสียเหตุการณ์ด้านความปลอดภัยทั้งหมด . นอกจากนี้ แนวโน้มอุตสาหกรรมมหภาคยังมีผลกระทบต่อจำนวนและความสูญเสียที่เกิดจากเหตุการณ์ด้านความปลอดภัยอีกด้วย
ข้อมูลเชิงลึก
เมื่อจัดหมวดหมู่ช่วงเวลา ประเภท และระบบนิเวศของเหตุการณ์ด้านความปลอดภัย เราค้นพบข้อมูลเชิงลึกที่ควรค่าแก่การศึกษา:
- การขาดทุนสูงสุดในไตรมาสที่สาม และเดือนพฤศจิกายนเป็นเดือนเดียวที่หนักที่สุด ไตรมาสที่ 3 ของปี 2566 เป็นไตรมาสที่มีค่าใช้จ่ายสูงที่สุดของปี โดยมีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 183 เหตุการณ์ ทำให้เกิดความเสียหายเป็นมูลค่า 686 ล้านดอลลาร์สหรัฐ ในเดือนพฤศจิกายน มีเหตุการณ์ด้านความปลอดภัยเกิดขึ้นทั้งหมด 45 เหตุการณ์ ก่อให้เกิดความเสียหายเป็นมูลค่า 364 ล้านดอลลาร์สหรัฐ
- เหตุการณ์ต่างๆ เช่น การรั่วไหลของคีย์ส่วนตัวทำให้เกิดการสูญเสียมากที่สุด แม้ว่าจำนวนเหตุการณ์ทั้งหมดคิดเป็นเพียง 6.3% ของเหตุการณ์ทั้งหมด แต่ก็ทำให้เกิดความสูญเสียจำนวน 881 ล้านดอลลาร์สหรัฐ หรือเกือบครึ่งหนึ่งของการสูญเสียทั้งหมดในปีนี้
- Ethereum มีจำนวนการสูญเสียรวมสูงสุด ในปี 2023 เหตุการณ์ด้านความปลอดภัย 224 ครั้งเกิดขึ้นใน Ethereum ทำให้เกิดการสูญเสียมูลค่า 686 ล้านดอลลาร์สหรัฐ การสูญเสียโดยเฉลี่ยต่อเหตุการณ์อยู่ที่ประมาณ 3 ล้านดอลลาร์สหรัฐ ในบรรดาระบบนิเวศทั้งหมด Ethereum ไม่มีเหตุการณ์ด้านความปลอดภัยมากที่สุดในปี 2023 แต่ทำให้เกิดความเสียหายรวมสูงสุด
- เหตุการณ์ด้านความปลอดภัยแบบ Cross-chain ทำให้เกิดการสูญเสียอย่างหนัก ในปี 2566 เหตุการณ์ด้านความปลอดภัยแบบข้ามสายโซ่เพียง 35 เหตุการณ์ทำให้เกิดความสูญเสียมูลค่า 799 ล้านดอลลาร์สหรัฐ ซึ่งบ่งชี้ว่าช่องโหว่ด้านความสามารถในการทำงานร่วมกันยังคงเป็นปัญหาด้านความปลอดภัยของอุตสาหกรรม
แนวโน้มอุตสาหกรรม
ในทางกลับกัน จากการวิเคราะห์เปรียบเทียบเหตุการณ์ด้านความปลอดภัยที่สำคัญต่างๆ เรายังค้นพบแนวโน้มใหม่ๆ ของอุตสาหกรรมที่ดึงดูดความสนใจอย่างกว้างขวาง:
แนวโน้มอุตสาหกรรม
ในทางกลับกัน จากการวิเคราะห์เปรียบเทียบเหตุการณ์ด้านความปลอดภัยที่สำคัญต่างๆ เรายังค้นพบแนวโน้มใหม่ๆ ของอุตสาหกรรมที่ดึงดูดความสนใจอย่างกว้างขวาง:
1. จำนวนการส่งคืน "ค่าหัวบั๊กย้อนหลัง" เพิ่มขึ้น แต่ "การซ่อมแซมสถานการณ์ก่อนที่จะเกิดขึ้น" นั้นไม่ดีเท่ากับ "การป้องกันปัญหาก่อนที่จะเกิดขึ้น"
ในปี 2566 เหตุการณ์ด้านความปลอดภัย 34 เหตุการณ์สามารถกู้คืนความเสียหายได้ 219 ล้านดอลลาร์สหรัฐผ่านการเจรจา "ค่าหัวบั๊กย้อนหลัง" กับผู้โจมตี ซึ่งคิดเป็น 12% ของการสูญเสียทั้งหมด 1.8 พันล้านดอลลาร์สหรัฐ เมื่อเทียบกับปีก่อน จำนวนผลตอบแทนที่เจรจาไว้เพิ่มขึ้น 54% CertiK เชื่อว่าแม้ว่ากลยุทธ์นี้สามารถช่วยโครงการกู้คืนความสูญเสียได้ในระดับหนึ่ง แต่โครงการ Web3.0 ก็ไม่สามารถพึ่งพาการเจรจากับแฮกเกอร์เพื่อปกป้องความปลอดภัยของสินทรัพย์ได้อย่างชัดเจน ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องสร้างแพลตฟอร์มที่ให้รางวัลซึ่งจูงใจผู้เชี่ยวชาญด้านความปลอดภัยหมวกขาวอย่างเต็มที่เพื่อรายงานช่องโหว่ด้านความปลอดภัยก่อนการโจมตีจะเกิดขึ้น
หากคุณต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับทัศนคติของฝ่ายต่างๆ ในโครงการที่มีต่อการเจรจา "ค่าหัวข้อบกพร่องย้อนหลัง" คุณสามารถอ่านการวิเคราะห์โดยละเอียดของโซลูชันติดตามผลสำหรับเหตุการณ์ทั้งสองของ Euler Finance และ KyberSwap ได้ในรายงาน
2. ความเสี่ยง Web2.0 ล้นเหลือ Web3.0—ความท้าทายระยะยาวและต่อเนื่อง
เมื่อวันที่ 14 ธันวาคม Ledger ยักษ์ใหญ่กระเป๋าเงินฮาร์ดแวร์ Web3.0 เผชิญกับวิกฤตด้านความปลอดภัยครั้งใหญ่ อดีตพนักงาน Ledger ตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง ผู้โจมตีควบคุมบัญชี NPMJS ของเขาผ่าน Github อัปโหลดโค้ดที่เป็นอันตรายไปยัง NPMJS ของ Ledger จากนั้นจึงเข้าถึง Ledger Connect Kit ได้สำเร็จ โดยนำผู้ใช้กระเป๋าเงินไปยังเว็บไซต์ที่เป็นอันตราย Ledger ปรับใช้การอัปเดตอย่างรวดเร็วภายใน 40 นาทีหลังจากค้นพบช่องโหว่ ซึ่งประกอบด้วยภัยคุกคามที่อาจเกิดขึ้นตามมา การโจมตีดังกล่าวทำให้เกิดการสูญเสียโดยตรงประมาณ 610,000 เหรียญสหรัฐ แม้ว่าจำนวนเงินจะไม่มาก แต่ก็มีผลกระทบเชิงลบอย่างล้นหลามต่อชื่อเสียงของ Ledger
เหตุการณ์ Ledger นี้ เช่นเดียวกับกรณีของ CertiK และ WalletConnect ที่ร่วมมือกันเพื่อแก้ไขช่องโหว่ XSS เตือนเราว่าแม้ว่า Web3.0 และระบบนิเวศบล็อกเชนจะมีจิตวิญญาณแบบกระจายอำนาจ แต่แอปพลิเคชัน Web3.0 ปัจจุบันยังคงใช้องค์ประกอบทางนิเวศวิทยา Web2.0 จำนวนมาก เช่นระบบบัญชี, รหัส QR, ไลบรารีรหัส ฯลฯ จึงรับความเสี่ยงจากช่องโหว่แบบรวมศูนย์ในยุค Web 2.0 เมื่อบัญชีของพนักงานถูกโจมตีด้วยฟิชชิ่งได้สำเร็จ อาจทำให้ผู้ใช้ Web3.0 ส่วนใหญ่สูญเสียอย่างมหาศาล ด้วยเหตุนี้ ผู้ปฏิบัติงานด้านความปลอดภัย Web 3.0 รวมถึง CertiK จำเป็นต้องค้นหาสมดุลระหว่างแนวคิดเรื่องการกระจายอำนาจและความเป็นจริงที่แท้จริงของการพัฒนาและบำรุงรักษาซอฟต์แวร์ นี่เป็นความท้าทายในระยะยาวและต่อเนื่อง
3. การกำกับดูแลอุตสาหกรรมยังคงเติบโตอย่างต่อเนื่อง
ในปี 2023 เรารู้สึกยินดีเป็นอย่างยิ่งที่เห็นว่าในขณะที่การดูแล Web3.0 ค่อยๆ เติบโตขึ้น สถาบันต่างๆ จำนวนมากขึ้นเรื่อยๆ ก็เริ่มสำรวจการผสมผสานระหว่างเทคโนโลยีบล็อกเชนและธุรกิจแบบดั้งเดิมอย่างแข็งขัน ความพยายามของ Swift ในการส่งเสริมการทำงานร่วมกัน แนวปฏิบัติของธนาคารหลายแห่งทั่วโลกในด้านโทเค็นสินทรัพย์ และการสำรวจยักษ์ใหญ่ทางการเงินทางอินเทอร์เน็ต เช่น Paypal ในระดับสกุลเงินที่มีเสถียรภาพ ล้วนแสดงให้เห็นว่าองค์กรต่างๆ มีความเข้าใจอย่างแข็งแกร่งเกี่ยวกับเทคโนโลยีบล็อกเชนและระบบนิเวศ ฉันทามติของ Web3.0 มีความเข้มแข็งอย่างต่อเนื่อง
ในแง่ของกฎระเบียบ หลายภูมิภาครวมถึงฮ่องกง สิงคโปร์ ญี่ปุ่น สหรัฐอเมริกา สหภาพยุโรป และสหราชอาณาจักร ได้แนะนำกรอบการกำกับดูแลหรือแนวปฏิบัติสำหรับ Stablecoins เมื่อเร็วๆ นี้ ทีมงาน CertiK ยังทำหน้าที่เป็นผู้เชี่ยวชาญที่ปรึกษา โดยให้คำแนะนำอย่างมืออาชีพแก่ Monetary Authority of Singapore (MAS) ในการกำหนดกรอบการทำงานของ Stablecoin และได้รับการยอมรับจากฝ่ายหลัง นอกจากนี้ CertiK ยังได้เปิดตัวบริการตรวจสอบความปลอดภัยของ Stablecoin และให้คำปรึกษาด้านการปฏิบัติตามกฎระเบียบเมื่อเร็วๆ นี้ และจะยังคงสนับสนุนการพัฒนาความปลอดภัยของ Stablecoin และการใช้งาน Web3.0 ในวงกว้าง ด้วยการเข้าร่วมกิจกรรมให้คำปรึกษากับหน่วยงานกำกับดูแลในภูมิภาคต่างๆ
ใบรับรอง CertiK 2023
ด้วยความพยายามร่วมกันของทั้งอุตสาหกรรม การรักษาความปลอดภัยของ Web3.0 มีความก้าวหน้าในหลายๆ ด้านในปี 2023 CertiK รู้สึกเป็นเกียรติที่ได้มีส่วนร่วมในสาขานี้ต่อไปและทำงานเพื่ออนาคตของ Web 3.0 เรามาทบทวนช่วงเวลาสำคัญของ CertiK ในปี 2023 กัน:
ในเดือนเมษายน พ.ศ. 2566 Skynet for Community เปิดตัวเพื่อให้ผู้ใช้มีแพลตฟอร์มข้อมูลแบบครบวงจร
ในเดือนสิงหาคม 2023 มีการค้นพบช่องโหว่ด้านความปลอดภัยในระบบ Worldcoin
ในเดือนพฤศจิกายน 2023 มีการค้นพบช่องโหว่ด้านความปลอดภัยที่สำคัญหลายรายการในเทอร์มินัลมือถือ Web3.0
ในเดือนธันวาคม พ.ศ. 2566 คู่มือความปลอดภัยทางนิเวศของคอสมอสจะเผยแพร่
ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ XSS ใน WalletConnect Verify API
ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ในเทอร์มินัลมือถือ Wormhole และ OKX
ในเดือนธันวาคม 2023 มีการค้นพบช่องโหว่ในเทอร์มินัลมือถือ Wormhole และ OKX
นี่เป็นเพียงส่วนเล็กๆ ของความพยายามของ CertiK ในการปกป้องความปลอดภัยของอุตสาหกรรม Web 3.0 ในปี 2023 เมื่อมองย้อนกลับไปที่การตรวจสอบโค้ดทุกบรรทัดในปี 2023 การติดตามตลอดทั้งคืนหลังจากทุกเหตุการณ์ และบทความการวิเคราะห์และการวิจัยทั้งหมด สิ่งเหล่านี้คือความมุ่งมั่นและความคาดหวังของเราสำหรับโลกอนาคตของ Web 3.0
ขอขอบคุณผู้ปฏิบัติงาน Web3.0 ผู้เชี่ยวชาญด้านความปลอดภัย และผู้ใช้ทุกคนที่อยู่กับเราตลอดทาง ฉันเชื่อว่าสิ่งที่ได้รับและบทเรียนที่ได้รับในปี 2023 จะกลายเป็นความมั่งคั่งที่มีค่าที่สุดในการสร้างโลก Web3.0 ที่ปลอดภัย
คลิก "อ่านข้อความต้นฉบับ" ที่ส่วนท้ายของบทความเพื่อรับ "รายงานความปลอดภัย Hack3d: 2023 Web3.0" เวอร์ชัน PDF ทันที
ความคิดเห็นทั้งหมด