CertiK《Hack3d:2024年度安全报告》现已发布,本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元,同比增幅高达31.61%;其中,12月的损失金额最少 。过去一年,网络钓鱼攻击和私钥泄露频发,已成为对行业影响最为显著的攻击手段。
关键数据
全年损失: 2024年,Web3.0行业共发生760 起链上安全事件,总损失约为23.63亿 美元。与2023年相比,2024年的总损失增加了约31.61% ,安全事件数量同比增加了29起。
平均损失: 2024年每起安全事件的平均损失金额约为310.89万 美元(较去年增长23.04% ),损失金额的中位数约为15.09万 美元(同比增幅高达46.83%)。
月度数据: 5月 是全年损失最严重的月份,共发生63 起事件,损失总额达4.44亿 美元。12月 的损失金额最少,共计2670万美元。
季度数据: 与2023年第三季度类似,2024年第三季度的损失也最为严重,共发生157 起攻击、欺诈和漏洞利用事件,造成总损失约为7.53亿 美元。而第四季度总损失金额下降了46.65%。
主要攻击方式: 网络钓鱼攻击 成为2024年造成损失最严重的攻击方式,共发生296 起事件,造成总损失约10.5亿 美元,其中有3 起单笔损失超过1亿 美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半 ,同时占攻击事件总数的39.1%。这表明,平均来看,网络钓鱼事件造成的单次损失远高于其他漏洞。
排在第二位的是私钥泄露 ,本年度共发生65 起事件,造成总损失约8.55亿 美元。2024年全年,网络钓鱼和私钥泄露事件在各个季度都频繁发生。
链上安全事件分布: 以太坊是遭受安全事件最多的区块链,共发生4 03 起攻击、欺诈和漏洞利用攻击,总计损失约7.49 亿美元,平均每起事件损失185.78万 美元。比特币链和波场链(Tron)紧随其后,分别损失约5.67亿 美元和1.36亿 美元。涉及多链的安全事件共发生39 起,造成4.35亿美元的损失。
安全趋势
网络钓鱼之所以成为攻击者的首选,源于其操作简单且高效:不同于依赖技术突破的攻击手段,网络钓鱼更多地利用了人性的弱点。攻击者通过伪造邮件 、伪造网站 或欺诈信息 ,诱导受害者主动泄露密码 、私钥 或钱包地址等敏感信息。在Web3.0领域,交易的不可逆性进一步放大了网络钓鱼的破坏力------一旦资金被转移,除非攻击者主动归还,否则几乎无法追回。
然而,如果剔除网络钓鱼攻击造成的损失,整体生态的安全性有所改善。例如,2024年仅有一起安全事件(WazirX,损失2.31亿美元)列入2021年至今的前20大事件名单。这意味着,单次损失超过1亿美元的重大事件正在逐渐减少。
行业趋势
2024年,Web3.0行业迎来了里程碑式的进展,其在主流金融领域的接受度和整合程度显著提升。然而,这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。
随着市场信心的恢复,"Web3.0寒冬"的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入,这种稳定的资金增长为比特币突破10万美元大关的历史性里程碑奠定了基础。此事件发生在2024年美国总统大选之后,同时推动了以太坊、Solana等其他主流数字货币的价格同步上涨。
特朗普再次当选总统显然成为美国Web3.0行业的一个转折点,并可能对全球其他市场产生影响。
尽管全球不同的监管策略对Web3.0行业的影响各有不同,但有一点始终不变:安全性至关重要。随着市场的持续发展并逐步融入传统金融体系,项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。
年度回顾
2024年,对CertiK来说也是具有里程碑意义的一年,我们取得了诸多成就,持续为Web3.0安全贡献着力量:
技术突破:
-
完成了zkWasm电路包含144条指令的形式化验证,这是零知识证明生态系统中的首个全面完成的形式化验证工作。
-
对Bybit拥有超过100万用户的无私钥钱包组件进行严格的渗透测试。
-
对GalaChain的首个公共SDK进行了安全评估,并使用SDK对GalaChain进行了性能测试,发现了一些系统效率问题,协助其团队优化了代码库。
漏洞发现:
-
发现CosmWasm中的重大漏洞,该漏洞允许不受信任的Wasm在超过20个Cosmos生态系统中的应用链上运行。
-
因成功识别并降低了系统中的重大安全风险,获得了字节跳动公司的致谢。
-
向蚂蚁安全响应中心报告了蚂蚁集团系统中的一项潜在风险,并协助其迅速实施了必要的安全措施。
-
因发现了Apple Vision Pro眼球追踪技术中的一项漏洞第六次获得Apple的认可。
-
发现了三星Blockchain Keystore中的一项高危漏洞而第三次获得三星致谢。
客户服务:
-
升级了CertiK的产品及服务,推出全生命周期安全解决方案,致力于覆盖项目从初创到成为明星项目的全部阶段;同时推出以Token Scan和Wallet Scan为首的多种免费安全工具,帮助用户保护资产安全。
-
推出了CertiK Ventures,公布其4500万美元的投资计划。
-
提出全新品牌标语"Elevating Your Entire Web3 Journey",诠释了我们致力于提供创新和全周期产品与服务的承诺。
行业影响:
-
深入研究去中心化物理基础设施网络(DePIN),帮助如APhone和Aethir等项目降低安全风险,并在2024年高通产品安全峰会上分享有关DePIN领域的经验与见解。
-
为福布斯2024上半年度数字资产排行榜前十中的6个项目提供审计服务,包括TON、Core DAO、PEPE、FLOKI、FET和Bitget。
-
CertK联合创始人兼CEO顾荣辉教授出席2024年新加坡金融科技节,并接受包括Money FM、联合早报、香港明报、香港信报和彭博商业周刊在内的多家国际媒体采访。
-
顾荣辉教授与币安创始人CZ(赵长鹏)进行炉边谈话,探讨了Web3.0安全挑战、区块链创新及塑造生态未来等关键议题。
监管建议:
-
为新加坡金融管理局(MAS)的稳定币框架提供的建议获得认可。
市场地位:
-
2024年7月,CertiK占据全球Web3.0审计市场近50%的份额。
结语
CertiK致力于持续追踪Web3.0领域的安全趋势,迄今为止已进行70余次白帽行动,报告4000多起安全事件,发现11.5万多个代码漏洞,保护了超过5100亿美元的数字资产免受潜在损失;并通过年度和季度安全报告的形式,向业界提供关键的安全资讯。安全报告一经发布,便得到行业的高度重视,迅速被CoinDesk和Cointelegraph等Web3.0领域的核心媒体所报道和引用。
CertiK的年度报告还深入分析了2024年攻击频发的区块链平台、被盗金额与总锁仓量(TVL)等因素的关系、年度重大安全事件、行业关键发展动态,以及为Web3.0参与者提供了最佳安全实践的建议。
欢迎大家点击阅读完整的《Hack3d:2024年度安全报告》,获取更全面的分析、洞察和建议。