새해가 시작되면서 CertiK의 일년 내내 빅 뉴스가 약속대로 다가오고 있습니다. "Hack3d: 2023 Web 3.0 보안 보고서"가 베이징 시간으로 1월 3일 오후 10시에 공개되었습니다. 업계의 많은 관심을 받고 있는 본 보고서는 지난 1년간 웹 3.0 분야의 보안 사고에 대한 통계 및 분석을 통해 웹 3.0 보안의 최신 동향을 종합적으로 밝히고 있다.
업계에서 가장 상세하고 권위 있는 보안 보고서인 "Hack3d: 2023 Web3.0 보안 보고서"는 2023년 한 해 동안 Web3.0 생태계에서 발생한 해커 공격, 사기, 취약점 악용 및 기타 사건에 대한 종합적인 통계 및 분석을 다루고 있습니다. 개발자, 실무자, 규제 기관, 사용자 및 매니아가 Web 3.0 보안의 현재 상태, 과제 및 기회를 이해하는 데 필수적인 가이드입니다.
전체 보고서를 읽기 전에 2023년 웹 3.0 산업의 전반적인 보안 환경을 간단히 살펴보겠습니다.
연간 개요 - 총 보안 사고 손실이 절반 이상 감소
2023년에는 총 751건의 보안 사고가 발생해 18억4천만 달러의 자산 손실을 입었으며, 손실 규모는 2022년 37억 달러에 비해 51% 감소했다. 통계 분석을 통해 CertiK는 이러한 감소에 여러 가지 이유가 있다고 생각합니다.스마트 계약 프로토콜의 개발 및 진화, 사용자 행동 변화, 보안 조치의 업그레이드 및 효과는 모두 보안 사고의 총 손실 감소와 밀접한 관련이 있습니다. . 또한, 거시 산업 동향도 보안 사고로 인한 피해 수와 손실에 일정한 영향을 미칩니다.
데이터 통찰력
보안 사고의 시기, 유형, 생태계를 분류함으로써 우리는 연구할 가치가 있는 몇 가지 통찰력을 발견했습니다.
- 3분기에 손실이 가장 많았고, 11월이 가장 큰 달이었습니다. 2023년 3분기는 총 183건의 보안 사고가 발생해 6억8600만 달러의 손실을 초래하며 올해 가장 비용이 많이 드는 분기였다. 11월에는 총 45건의 보안 사고가 발생해 3억6400만 달러의 손실을 입었다.
- 개인키 유출 등의 사고로 인해 가장 많은 손실이 발생합니다. 전체 사고 건수는 전체 사고의 6.3%에 불과했지만, 이로 인한 손실은 8억 8100만 달러에 달해 해당 연도 전체 손실의 거의 절반에 달했다.
- 이더리움은 총 손실액이 가장 높습니다. 2023년 이더리움에서는 224건의 보안 사고가 발생해 6억 8,600만 달러의 손실이 발생했으며, 사건당 평균 손실액은 약 300만 달러에 달했다. 전체 생태계 중에서 이더리움은 2023년에 가장 많은 보안 사고가 발생하지 않았지만 총 손실액은 가장 높았습니다.
- 크로스체인 보안 사고는 막대한 손실을 초래합니다. 2023년에는 35건의 크로스체인 보안 사고로 인해 미화 7억 9900만 달러의 손실이 발생했습니다. 이는 상호 운용성 취약성이 업계 보안의 문제점으로 남아 있음을 나타냅니다.
업계 동향
한편, 일련의 주요 보안 사고에 대한 비교 분석을 통해 우리는 광범위한 관심을 끄는 몇 가지 새로운 산업 동향도 발견했습니다.
업계 동향
한편, 일련의 주요 보안 사고에 대한 비교 분석을 통해 우리는 광범위한 관심을 끄는 몇 가지 새로운 산업 동향도 발견했습니다.
1. '회고적 버그 바운티' 반환량이 늘어났지만, '문제가 발생하기 전에 복구하는 것'은 '문제가 발생하기 전에 예방하는 것'만큼 좋지 않습니다.
2023년에는 34건의 보안 사고에서 공격자와의 '회고적 버그 바운티' 협상을 통해 2억 1900만 달러의 손실을 복구했는데, 이는 전체 손실액 18억 달러의 12%에 해당하며, 전년 대비 협상 반환 금액은 54% 증가했다. CertiK는 이 전략이 프로젝트의 손실을 어느 정도 복구하는 데 도움이 될 수 있지만 Web3.0 프로젝트는 분명히 자산 보안을 보호하기 위해 해커와의 협상에 의존할 수 없다고 믿습니다. 따라서 화이트 햇 보안 전문가가 공격이 발생하기 전에 보안 취약점을 보고하도록 완전한 인센티브를 제공하는 포상금 플랫폼을 구축하는 것이 중요합니다.
"소급 버그 바운티" 협상에 대한 다양한 프로젝트 당사자의 태도에 대해 더 알고 싶다면 보고서에서 Euler Finance와 KyberSwap의 두 사건에 대한 후속 솔루션에 대한 자세한 분석을 읽어보세요.
2. Web2.0 위험이 Web3.0으로 전이됨 - 장기적이고 지속적인 과제
12월 14일, Web3.0 하드웨어 지갑의 거대 기업인 Ledger는 심각한 보안 위기에 직면했습니다. Ledger의 전직 직원이 피싱 공격을 받았습니다. 공격자는 Github를 통해 자신의 NPMJS 계정을 조종하고 Ledger의 NPMJS에 악성 코드를 업로드한 후 Ledger Connect Kit에 대한 접근권 획득에 성공하여 지갑 사용자를 악성 웹사이트로 연결했습니다. Ledger는 취약점을 발견한 후 40분 이내에 잠재적인 후속 위협이 포함된 업데이트를 신속하게 배포했습니다. 이번 공격으로 인해 약 610,000달러의 직접적인 손실이 발생했으며, 금액은 크지 않지만 Ledger의 평판에 헤아릴 수 없을 만큼 부정적인 영향을 미쳤습니다.
XSS 취약점을 해결하기 위해 힘을 합친 CertiK와 WalletConnect의 사례와 같은 이 Ledger 사건은 Web3.0과 블록체인 생태계가 분산형 정신을 가지고 있지만 현재 Web3.0 애플리케이션은 여전히 많은 수의 Web2.0 생태학적 구성 요소를 사용하고 있음을 상기시켜줍니다. 계정 시스템, QR 코드, 코드 라이브러리 등과 같은 웹 2.0 시대의 중앙 집중식 취약점의 위험도 상속됩니다. 직원의 계정이 피싱 공격에 성공하면 대다수의 Web3.0 사용자에게 막대한 손실을 초래할 수 있습니다. 이를 위해 CertiK를 포함한 Web 3.0 보안 실무자들은 분산화 개념과 소프트웨어 개발 및 유지 관리의 실제 현실 사이에서 균형을 찾아야 하며 이는 장기적이고 지속적인 과제입니다.
3. 산업 감독은 계속해서 성숙해지고 있습니다.
2023년에는 Web3.0 감독이 점차 성숙해지면서 점점 더 많은 기관이 블록체인 기술과 기존 비즈니스의 결합을 적극적으로 탐색하기 시작하는 것을 보게 되어 기쁩니다. 상호 운용성을 촉진하려는 Swift의 노력, 자산 토큰화 분야에서 전 세계 많은 은행의 실행, 안정적인 통화 수준에서 Paypal과 같은 인터넷 금융 거대 기업의 탐구는 모두 기업이 블록체인 기술과 생태 환경에 대한 강한 이해를 가지고 있음을 보여줍니다. Web3.0에 대한 공감대는 지속적으로 강화되고 있습니다.
규제 측면에서 홍콩, 싱가포르, 일본, 미국, 유럽연합, 영국 등 많은 지역에서 스테이블코인에 대한 규제 프레임워크나 지침을 도입했습니다. CertiK 팀은 최근 컨설팅 전문가로 활동하여 싱가포르 통화청(MAS)의 스테이블코인 프레임워크 공식화에 전문적인 조언을 제공했으며 MAS로부터 인정을 받았습니다. CertiK도 최근 스테이블코인 보안 감사 및 컴플라이언스 컨설팅 서비스를 시작했으며, 앞으로도 다양한 지역 규제기관과의 협의 활동에 적극적으로 참여해 스테이블코인 분야의 보안 발전과 Web3.0의 대규모 구현을 지속적으로 지원할 예정이다.
CertiK 2023
업계 전체의 공동 노력으로 Web3.0 보안은 2023년 여러 측면에서 진전을 이루었습니다. CertiK는 이 분야에 지속적으로 기여하고 웹 3.0의 미래를 위해 노력할 수 있게 된 것을 영광으로 생각합니다. 2023년 CertiK의 주요 순간을 검토해 보겠습니다.
2023년 4월, 사용자에게 원스톱 정보 플랫폼을 제공하기 위해 커뮤니티용 스카이넷(Skynet for Community)이 출시되었습니다.
2023년 5월에는 클라우드 플랫폼에 블록체인 보안을 도입하기 위해 알리바바 클라우드와의 파트너십을 발표했습니다.
2023년 6월, 그는 Sui 블록체인에 대한 주요 보안 위협을 발견한 공로로 Sui 재단으로부터 현상금을 받았습니다.
2023년 7월에는 Web3.0 보안 감사 기업 최초로 SOC 2 Type I 인증을 획득했습니다.
2023년 7월, Safeheron 오픈소스 TEE 솔루션의 보안 취약점이 발견되어 함께 해결하기 위해 노력했습니다.
2023년 8월, Worldcoin 시스템의 보안 취약점이 발견되었습니다.
2023년 8월과 10월에 CertiK는 Apple의 iOS 커널에서 여러 보안 취약점을 발견한 데 대해 Apple로부터 두 번의 감사를 받았습니다.
2023년 9월 Web3.0 규정 준수 및 위험 관리 제품인 SkyInsights가 출시되었습니다.
2023년 11월, TON 네트워크의 TPS(초당 트랜잭션)에 대한 검증을 제공하기 위해 TON 메인 체인 계약의 공식 검증이 완료됩니다.
2023년 11월 Web3.0 모바일 단말기에서 다수의 주요 보안 취약점이 발견되었습니다.
2023년 12월 코스모스 생태보안 가이드가 공개될 예정입니다.
2023년 12월 WalletConnect 검증 API에서 XSS 취약점이 발견되었습니다.
2023년 12월 Wormhole과 OKX 모바일 단말기에서 취약점이 발견되었습니다.
2023년 12월 Wormhole과 OKX 모바일 단말기에서 취약점이 발견되었습니다.
이는 2023년 웹 3.0 산업의 보안을 지키기 위한 CertiK의 노력의 일부일 뿐입니다. 2023년의 모든 코드 감사 라인, 모든 사건 이후의 밤새 추적, 모든 분석 및 연구 기사를 되돌아보면 이것이 웹 3.0의 미래 세계에 대한 우리의 약속이자 기대입니다.
끝까지 함께 해주신 Web3.0 실무자, 보안 전문가, 사용자 여러분께 감사드립니다. 2023년에 얻은 성과와 교훈은 안전한 Web3.0 세상을 구축하는 데 가장 귀중한 자산이 될 것이라고 믿습니다.
기사 끝 부분의 "원문 읽기"를 클릭하면 "Hack3d: 2023 Web3.0 보안 보고서" PDF 버전을 즉시 얻을 수 있습니다.
모든 댓글