Cointime

Cointime

Download App
iOS & Android

올해 최대 히트작: CertiK, "Hack3d: 2023 Web3.0 보안 보고서" 출시(PDF 다운로드 링크 포함)

Validated Project

새해가 시작되면서 CertiK의 일년 내내 빅 뉴스가 약속대로 다가오고 있습니다. "Hack3d: 2023 Web 3.0 보안 보고서"가 베이징 시간으로 1월 3일 오후 10시에 공개되었습니다. 업계의 많은 관심을 받고 있는 본 보고서는 지난 1년간 웹 3.0 분야의 보안 사고에 대한 통계 및 분석을 통해 웹 3.0 보안의 최신 동향을 종합적으로 밝히고 있다.

업계에서 가장 상세하고 권위 있는 보안 보고서인 "Hack3d: 2023 Web3.0 보안 보고서"는 2023년 한 해 동안 Web3.0 생태계에서 발생한 해커 공격, 사기, 취약점 악용 및 기타 사건에 대한 종합적인 통계 및 분석을 다루고 있습니다. 개발자, 실무자, 규제 기관, 사용자 및 매니아가 Web 3.0 보안의 현재 상태, 과제 및 기회를 이해하는 데 필수적인 가이드입니다.

전체 보고서를 읽기 전에 2023년 웹 3.0 산업의 전반적인 보안 환경을 간단히 살펴보겠습니다.

연간 개요 - 총 보안 사고 손실이 절반 이상 감소

2023년에는 총 751건의 보안 사고가 발생해 18억4천만 달러의 자산 손실을 입었으며, 손실 규모는 2022년 37억 달러에 비해 51% 감소했다. 통계 분석을 통해 CertiK는 이러한 감소에 여러 가지 이유가 있다고 생각합니다.스마트 계약 프로토콜의 개발 및 진화, 사용자 행동 변화, 보안 조치의 업그레이드 및 효과는 모두 보안 사고의 총 손실 감소와 밀접한 관련이 있습니다. . 또한, 거시 산업 동향도 보안 사고로 인한 피해 수와 손실에 일정한 영향을 미칩니다.

데이터 통찰력

보안 사고의 시기, 유형, 생태계를 분류함으로써 우리는 연구할 가치가 있는 몇 가지 통찰력을 발견했습니다.

  • 3분기에 손실이 가장 많았고, 11월이 가장 큰 달이었습니다. 2023년 3분기는 총 183건의 보안 사고가 발생해 6억8600만 달러의 손실을 초래하며 올해 가장 비용이 많이 드는 분기였다. 11월에는 총 45건의 보안 사고가 발생해 3억6400만 달러의 손실을 입었다.
  • 개인키 유출 등의 사고로 인해 가장 많은 손실이 발생합니다. 전체 사고 건수는 전체 사고의 6.3%에 불과했지만, 이로 인한 손실은 8억 8100만 달러에 달해 해당 연도 전체 손실의 거의 절반에 달했다.
  • 이더리움은 총 손실액이 가장 높습니다. 2023년 이더리움에서는 224건의 보안 사고가 발생해 6억 8,600만 달러의 손실이 발생했으며, 사건당 평균 손실액은 약 300만 달러에 달했다. 전체 생태계 중에서 이더리움은 2023년에 가장 많은 보안 사고가 발생하지 않았지만 총 손실액은 가장 높았습니다.
  • 크로스체인 보안 사고는 막대한 손실을 초래합니다. 2023년에는 35건의 크로스체인 보안 사고로 인해 미화 7억 9900만 달러의 손실이 발생했습니다. 이는 상호 운용성 취약성이 업계 보안의 문제점으로 남아 있음을 나타냅니다.

업계 동향

한편, 일련의 주요 보안 사고에 대한 비교 분석을 통해 우리는 광범위한 관심을 끄는 몇 가지 새로운 산업 동향도 발견했습니다.

업계 동향

한편, 일련의 주요 보안 사고에 대한 비교 분석을 통해 우리는 광범위한 관심을 끄는 몇 가지 새로운 산업 동향도 발견했습니다.

1. '회고적 버그 바운티' 반환량이 늘어났지만, '문제가 발생하기 전에 복구하는 것'은 '문제가 발생하기 전에 예방하는 것'만큼 좋지 않습니다.

2023년에는 34건의 보안 사고에서 공격자와의 '회고적 버그 바운티' 협상을 통해 2억 1900만 달러의 손실을 복구했는데, 이는 전체 손실액 18억 달러의 12%에 해당하며, 전년 대비 협상 반환 금액은 54% 증가했다. CertiK는 이 전략이 프로젝트의 손실을 어느 정도 복구하는 데 도움이 될 수 있지만 Web3.0 프로젝트는 분명히 자산 보안을 보호하기 위해 해커와의 협상에 의존할 수 없다고 믿습니다. 따라서 화이트 햇 보안 전문가가 공격이 발생하기 전에 보안 취약점을 보고하도록 완전한 인센티브를 제공하는 포상금 플랫폼을 구축하는 것이 중요합니다.

"소급 버그 바운티" 협상에 대한 다양한 프로젝트 당사자의 태도에 대해 더 알고 싶다면 보고서에서 Euler Finance와 KyberSwap의 두 사건에 대한 후속 솔루션에 대한 자세한 분석을 읽어보세요.

2. Web2.0 위험이 Web3.0으로 전이됨 - 장기적이고 지속적인 과제

12월 14일, Web3.0 하드웨어 지갑의 거대 기업인 Ledger는 심각한 보안 위기에 직면했습니다. Ledger의 전직 직원이 피싱 공격을 받았습니다. 공격자는 Github를 통해 자신의 NPMJS 계정을 조종하고 Ledger의 NPMJS에 악성 코드를 업로드한 후 Ledger Connect Kit에 대한 접근권 획득에 성공하여 지갑 사용자를 악성 웹사이트로 연결했습니다. Ledger는 취약점을 발견한 후 40분 이내에 잠재적인 후속 위협이 포함된 업데이트를 신속하게 배포했습니다. 이번 공격으로 인해 약 610,000달러의 직접적인 손실이 발생했으며, 금액은 크지 않지만 Ledger의 평판에 헤아릴 수 없을 만큼 부정적인 영향을 미쳤습니다.

XSS 취약점을 해결하기 위해 힘을 합친 CertiK와 WalletConnect의 사례와 같은 이 Ledger 사건은 Web3.0과 블록체인 생태계가 분산형 정신을 가지고 있지만 현재 Web3.0 애플리케이션은 여전히 ​​많은 수의 Web2.0 생태학적 구성 요소를 사용하고 있음을 상기시켜줍니다. 계정 시스템, QR 코드, 코드 라이브러리 등과 같은 웹 2.0 시대의 중앙 집중식 취약점의 위험도 상속됩니다. 직원의 계정이 피싱 공격에 성공하면 대다수의 Web3.0 사용자에게 막대한 손실을 초래할 수 있습니다. 이를 위해 CertiK를 포함한 Web 3.0 보안 실무자들은 분산화 개념과 소프트웨어 개발 및 유지 관리의 실제 현실 사이에서 균형을 찾아야 하며 이는 장기적이고 지속적인 과제입니다.

3. 산업 감독은 계속해서 성숙해지고 있습니다.

2023년에는 Web3.0 감독이 점차 성숙해지면서 점점 더 많은 기관이 블록체인 기술과 기존 비즈니스의 결합을 적극적으로 탐색하기 시작하는 것을 보게 되어 기쁩니다. 상호 운용성을 촉진하려는 Swift의 노력, 자산 토큰화 분야에서 전 세계 많은 은행의 실행, 안정적인 통화 수준에서 Paypal과 같은 인터넷 금융 거대 기업의 탐구는 모두 기업이 블록체인 기술과 생태 환경에 대한 강한 이해를 가지고 있음을 보여줍니다. Web3.0에 대한 공감대는 지속적으로 강화되고 있습니다.

규제 측면에서 홍콩, 싱가포르, 일본, 미국, 유럽연합, 영국 등 많은 지역에서 스테이블코인에 대한 규제 프레임워크나 지침을 도입했습니다. CertiK 팀은 최근 컨설팅 전문가로 활동하여 싱가포르 통화청(MAS)의 스테이블코인 프레임워크 공식화에 전문적인 조언을 제공했으며 MAS로부터 인정을 받았습니다. CertiK도 최근 스테이블코인 보안 감사 및 컴플라이언스 컨설팅 서비스를 시작했으며, 앞으로도 다양한 지역 규제기관과의 협의 활동에 적극적으로 참여해 스테이블코인 분야의 보안 발전과 Web3.0의 대규모 구현을 지속적으로 지원할 예정이다.

CertiK 2023

업계 전체의 공동 노력으로 Web3.0 보안은 2023년 여러 측면에서 진전을 이루었습니다. CertiK는 이 분야에 지속적으로 기여하고 웹 3.0의 미래를 위해 노력할 수 있게 된 것을 영광으로 생각합니다. 2023년 CertiK의 주요 순간을 검토해 보겠습니다.

2023년 4월, 사용자에게 원스톱 정보 플랫폼을 제공하기 위해 커뮤니티용 스카이넷(Skynet for Community)이 출시되었습니다.

2023년 5월에는 클라우드 플랫폼에 블록체인 보안을 도입하기 위해 알리바바 클라우드와의 파트너십을 발표했습니다.

2023년 6월, 그는 Sui 블록체인에 대한 주요 보안 위협을 발견한 공로로 Sui 재단으로부터 현상금을 받았습니다.

2023년 7월에는 Web3.0 보안 감사 기업 최초로 SOC 2 Type I 인증을 획득했습니다.

2023년 7월 Ant Group의 혁신적인 개방형 크로스 플랫폼 TEE(Trusted Execution Environment) HyperEnclave에 대한 고급 공식 검증이 완료되었습니다.

2023년 7월, Safeheron 오픈소스 TEE 솔루션의 보안 취약점이 발견되어 함께 해결하기 위해 노력했습니다.

2023년 8월, Worldcoin 시스템의 보안 취약점이 발견되었습니다.

2023년 8월과 10월에 CertiK는 Apple의 iOS 커널에서 여러 보안 취약점을 발견한 데 대해 Apple로부터 두 번의 감사를 받았습니다.

2023년 9월 Web3.0 규정 준수 및 위험 관리 제품인 SkyInsights가 출시되었습니다.

2023년 11월, TON 네트워크의 TPS(초당 트랜잭션)에 대한 검증을 제공하기 위해 TON 메인 체인 계약의 공식 검증이 완료됩니다.

2023년 11월 Web3.0 모바일 단말기에서 다수의 주요 보안 취약점이 발견되었습니다.

2023년 12월 코스모스 생태보안 가이드가 공개될 예정입니다.

2023년 12월 WalletConnect 검증 API에서 XSS 취약점이 발견되었습니다.

2023년 12월 Wormhole과 OKX 모바일 단말기에서 취약점이 발견되었습니다.

2023년 12월 Wormhole과 OKX 모바일 단말기에서 취약점이 발견되었습니다.

이는 2023년 웹 3.0 산업의 보안을 지키기 위한 CertiK의 노력의 일부일 뿐입니다. 2023년의 모든 코드 감사 라인, 모든 사건 이후의 밤새 추적, 모든 분석 및 연구 기사를 되돌아보면 이것이 웹 3.0의 미래 세계에 대한 우리의 약속이자 기대입니다.

끝까지 함께 해주신 Web3.0 실무자, 보안 전문가, 사용자 여러분께 감사드립니다. 2023년에 얻은 성과와 교훈은 안전한 Web3.0 세상을 구축하는 데 가장 귀중한 자산이 될 것이라고 믿습니다.

기사 끝 부분의 "원문 읽기"를 클릭하면 "Hack3d: 2023 Web3.0 보안 보고서" PDF 버전을 즉시 얻을 수 있습니다.

보안 사고 2023년 검토
댓글

모든 댓글

Recommended for you

  • 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

    Trader T 모니터링에 따르면 미국 현물 비트코인 ​​ETF는 어제 4,397만 달러의 순유출을 기록했습니다.

  • 향후 5년간 암호화폐 정책을 결정할 새로운 유럽위원회

    유럽의회는 올 가을에 향후 5년간 EU의 암호화폐 정책을 결정할 새로운 유럽위원회를 선출할 예정입니다. 새 위원회는 이르면 11월까지 출범하지 않을 예정이지만, 이미 암호화폐 규제에 대한 위원회의 접근 방식을 예측하는 몇 가지 추세가 있습니다. 첫째, 유럽 정치의 중심이 오른쪽으로 이동하고 있으며, 이는 조세 및 혁신 접근 방식에 대한 논의에 영향을 미칠 수 있습니다. 프랑스는 정치적 불안정으로 인해 앞으로 더 많은 어려움에 직면하게 될 것입니다. 둘째, 정책 입안자들은 혁신 정책에 대한 영향력을 놓고 경쟁할 것입니다. 새로운 의원들은 암호화 정책에 초점을 맞춰 개인적 위상을 높일 가능성이 높으며, 위원회 내 고위 정책 고문들은 권력을 놓고 경쟁할 가능성이 높습니다. 셋째, 디지털 개인정보 보호와 인공지능이 EU 정책 우선순위로 확인되면서 혁신이 정책의 기둥이 될 것입니다. 위원회는 디지털시장법과 디지털서비스법을 적극적으로 시행할 것으로 예상된다. 시장 측면에서 암호화폐의 제도적 채택 증가는 정치적 개입을 촉발할 수 있는 반면, 전통 금융에서 암호화폐에 대한 더 많은 소매 투자 노출은 정치적 반응을 촉발할 수도 있습니다. EU는 글로벌 암호화 정책에 있어 상당한 진전을 이루었으며 새로운 입법 작업을 통해 기존 규칙의 효과적인 구현을 보장해야 합니다.

  • 금융감독원, 업비트 등 가상자산 서비스 제공업체 6곳 조사

    금융감독원이 지난 7월 가상자산 이용자 보호법 시행 이후 첫 번째로 가상자산 서비스 제공자에 대한 점검을 실시한다고 밝혔다. 금감원은 원화마켓 거래소 2곳, 토큰마켓 거래소 3곳, 지갑·수탁 서비스 제공업체 1곳 등 6개 기관을 조사할 계획이다. 업비트, 빗썸, 코인원, 고팍스, 코빗 등 국내 주요 원화시장 거래소 2곳이 점검 대상으로 선정된다는 점은 주목할 만하다. 검사의 초점은 규제 준수, 이용자 보호 시스템, 내부 통제 메커니즘 및 불공정 거래 감독 등입니다. 금감원은 이용자 자산관리, 콜드월렛 활용, 보험 및 적립금 현황, 거래기록 유지, 이상거래 모니터링 시스템 등을 검토하게 된다. 불법행위에 대해서는 시장질서 유지를 위해 엄중히 제재하는 동시에 기업의 자제와 감독이 강화될 수 있도록 지원하겠다고 밝혔다.

  • 1,200만 달러 규모의 암호화폐 사기 혐의를 받고 있는 한국인 남성이 성형수술을 이용해 10개월 동안 탈출했다가 체포됐다.

    9월 2일 뉴스에 따르면, 한국 경찰은 2024년 8월 40대 남성을 체포했다. 이 남성은 대규모 암호화폐 사기 사건을 계획하고 투자자 158명에게 총 160억 원을 사취한 혐의를 받고 있다. 사기 행위는 2021년 11월부터 2022년 6월까지 지속된 것으로 알려졌으며, 용의자들은 가짜 암호화폐 채굴 사업을 빙자해 투자자들에게 월 18%의 수익률을 약속했습니다. 피해자 개인의 피해액은 120만원에서 2억5000만원에 이른다. 피의자는 2023년 9월 예심에 불출석한 뒤 눈, 코, 안면윤곽 성형수술에 약 2100만원을 쓰고 가발을 착용해 외모를 바꾸는 등 10개월 동안 검거를 회피했다. 결국 경찰은 감시카메라 영상, 통화기록, 인터넷 검색기록 등의 단서를 통해 A씨를 검거하는데 성공했다.

  • Telegram은 CEO 체포에 대응합니다: Telegram은 EU 법률을 준수하고 감사는 업계 표준을 준수하며 지속적으로 개선하고 있습니다.

    텔레그램은 CEO의 체포에 대응하여 공식 X 플랫폼 계정에 다음과 같은 성명을 발표했습니다.

  • 아르헨티나, '크레시미엔토' 운동으로 현지 암호화폐 기반 개혁 추진

    8월 26일자 뉴스에 따르면, 코인데스크 칼럼니스트 벤자민 쉴러는 아르헨티나가 이제 기술 르네상스를 앞두고 있다고 말했다. 아르헨티나는 오랫동안 경제적 불안정의 상징이었지만 이제는 암호화폐를 통한 글로벌 경제 변혁의 시험장이 되고 있습니다. 아르헨티나는 치솟는 인플레이션과 엄청난 부채 속에서 경제를 안정시키고 성장을 촉진하기 위한 도구로 암호화폐를 선택하고 있습니다. 미국이 암호화폐 분야의 리더십에서 물러나면서 아르헨티나는 그 공백을 메울 기회를 포착하고 있습니다. 이러한 변화의 중심에는 지속 가능한 암호화 기반 개혁을 추진하기 위해 노력하는 암호화폐 신봉자, 기업가 및 혁신가를 하나로 묶는 "Crecimiento" 운동이 있습니다. 새로 선출된 대통령은 암호화폐의 잠재력에 관심을 보였으며 "Crecimiento" 운동은 암호화폐를 사용하여 지불, 신용, 부동산 및 기타 분야에 초점을 맞춰 경제를 재편하는 데 도움을 주고 있습니다.

  • BTC가 $60,500를 돌파했습니다.

    시장 상황에 따르면 BTC는 60,500달러를 넘어 현재 60,500.02달러에 거래되고 있으며 24시간 기준 2.72%의 상승률을 기록하고 있으니 리스크를 잘 관리하시기 바랍니다.

  • ETH는 2600 USDT를 초과하여 24시간 동안 1.47% 증가했습니다.

    OKX 시장에서는 ETH가 2600 USDT를 돌파했으며 현재 2603.85 USDT에 거래되고 있으며 24시간 동안 1.47% 상승한 것으로 나타났습니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

  • 스위스, 암호화폐 세금 정보 공유에 대한 공개 협의 시작

    스위스는 국제 정보 교환 협정에 암호화된 세금 데이터를 포함시키는 것을 고려하고 있습니다. 연방 의회는 수요일에 새로운 법안에 대한 협의 과정을 시작했습니다. 이 법안은 111개 관할권과 암호화폐 자산 정보의 공유를 촉진하는 것을 목표로 합니다. 이러한 관할권은 현재 자동 정보 교환의 일부입니다. 공유는 OECD의 암호화폐 자산 보고 프레임워크 준수 여부에 따라 결정됩니다. 스위스는 오랫동안 암호화폐 채택의 선두주자였습니다. 루가노와 같은 곳은 세금 목적으로 테더(USDT) 및 비트코인(BTC)과 같은 암호화폐를 최초로 허용합니다. 국가의 정치적 틀에 따라 연방세청은 비트코인을 결제 수단으로 분류할 수 있습니다. 따라서 비트코인은 부가가치세(VAT)가 면제됩니다. 연방 의회는 파트너 국가와 암호화 관련 정보의 자동 교환 시작일을 설정하는 것을 목표로 하고 있습니다. 입법 제안에 대한 협의 기간은 2024년 11월 15일에 종료됩니다.

매일 필독

대중적인 활동

Delysium $AGI & AI Private Yacht Party

Delysium $AGI & AI Private Yacht Party

March 27 - March 27
Seoul
Cointime
Content
Company