2023年第三季度Web3.0领域安全现状报告

摘要 Լ2023年第三季度共计因攻击损失约7亿（699,790,794）美元，超过了第一季度的3.2亿美元和第二季度的3.13亿美元，成为了今年损失额度最高的一个季度。 Լ其中共发生184起安全事件，月度损失分别为： 7月：79起事件共造成约3亿 (308,195,474) 美元损失 8月：66起事件共造成约6,000万 (59,523,398) 美元损失 9月：39起事件共造成约3亿 (332,071,921) 美元损失 按照漏洞类型划分，损失金额如下： 退出骗局： 93起事件共造成约5,000万（55,216,397）美元损失 预言机价格操纵：38起事件共造成约1,664万（16,638,279）美元损失 私钥泄露：14起事件共造成约2亿（204,314,320）美元损失 其他攻击46起，共造成约4亿（423,621,797）美元损失 Լ朝鲜的Lazarus犯罪集团仍是主要威胁来源之一。仅在2023年，就造成了至少2.91亿美元的损失。在第三季度，该犯罪集团仍在持续活动中。 Լ总共14起私钥泄露事件造成了共计约2亿美元的损失。这些中心化的密钥管理仍然是一个重要的风险点。 ԼWeb3行业正处于一个充满挑战的时期，与技术产品生命周期中的“跨越鸿沟”阶段相吻合。该“鸿沟”是早期采用者与主流用户之间过渡的一个瓶颈。 Լ而金融机构也正在加大对链上技术的整合力度，这预示着区块链技术即将向主流应用转变。摘要HACK3D: WEB3.0领域安全现状 / Q3 2023 2023 Q3 统计图表2023 Q3 统计图表数字是近似值，可能会随新信息而变化80100100$5亿$5亿$4亿$3亿605075$2.5亿$3.75亿$2.5亿$3.75亿50257525$1.25亿$1.25亿$2亿4020$1亿000$0$0$0七月八月九月BNBChainBaseEthereumArbitrumAvalanchezkSync退出骗局OptimismOther/Off-ChainPolygonSolana预言机操纵Multiple Chains私钥丢失...HACK3D: WEB3.0领域安全现状 / Q3 2023事件数量损失数额事件数量损失数额事件数量损失数额 按链上统计月度统计类型统计796693141126512861639381446$3亿$0.6亿$0.6亿$730万$0.4亿$0.1万$110万$460万$4.9亿$1.3亿$0.2亿$0.1亿$20万$400万$3.3亿$0.2亿$2亿$4.2亿其他攻击3 50108625252010$4,000万$1.25亿$100万$2.5亿415$3,000万$1亿$750万$2亿2525$2,000万$1,000万$0.5亿$0.25亿$0.75亿$500万$250万$1.5亿$1亿$0.5亿0000$0$0$0$0退出骗局：按月度及类型统计私钥丢失：预言机操纵：其他攻擊：事件数量损失数额事件数量损失数额事件数量损失数额事件数量损失数额七月七月七月七月八月八月八月八月九月九月九月九月HACK3D: WEB3.0领域安全现状 / Q3 20232023 Q3 统计图表2023 Q3 统计图表数字是近似值，可能会随新信息而变化3132323454812177711$1,450万$9,760万$870万$2.2亿$3,890万$220万$640万$1,310万$190万$1亿$150万$2.3亿 欢迎阅读Hack3d —— CertiK 2023年第三季度Web3安全报告。Hack3d是了解Web3领域安全挑战及漏洞的重要资源和统计记录。它为各方提供了必要的知识和见解，帮助他们在日益严峻的环境中加强安全防御，并做出明智的决策。第三季度发生了184起安全事件，损失超过7亿美元，是2023年损失金额最多的一个季度。第一季度的损失总额为3.2亿美元，第二季度为3.13亿美元。这也意味着第三季度的损失超过了整个2023年上半年的损失。Web3黑色产业最主要的威胁之一是与朝鲜有关的Lazarus犯罪集团。Lazarus今年至少造成了2.91亿美元的损失。该组织的复杂攻击策略已经发展到专门针对Web3人员，其中包括利用社交工程方法破坏多个平台的安全。本报告将详细对其进行介绍。此外，私钥泄露是另一个重要的损失原因。14起私钥被盗事件造成了总计2.04亿美元的损失，其中Mixin和Multichain事件共造成了3.25亿美元的损失。可以说这是私钥泄露造成的，但更准确地说，它是通过中心化管理私钥造成的。事实证明，私钥的简介中心化管理是一个关键漏洞，尤其是让那些曾被承诺会拥有去中心化机制的用户感到不安。为了解决这个问题，我们与一个重要合作伙伴合作开发了一种新的验证机制，帮助用户确保项目采用了增强型私钥管理解决方案。软件开发缺乏通用标准仍然是Web3领域的一个主要问题。大量的黑客攻击和智能合约漏洞都可以归因于到行业安全标准有所缺失。例如，项目大量使用fork的代码合约，而开发者和用户都没有对fork的代码有足够的了解，因而造成了持续的损失。而较高的安全标准将为确保一致的安全措施、减少漏洞和提高整个Web3世界的复原力提供一个很好的执行框架。正面消息指出，目前一些主要金融机构正在开始有意识地整合链上技术，这表明主流金融机构正在把眼光投向区块链应用。然而，这种转变也带来了新的风险，必须谨慎对待。我们给出了对这个正在日益成熟的行业未来六个月、十二个月和十八个月的预测。CertiK会定期发布各种话题的技术和教育资源，同时我们也将在本报告末尾介绍第三季度的部分重点内容。HACK3D: WEB3.0领域安全现状 / Q3 2023简介 LAZARUS效应Lazarus效应 ↗朝鲜的Lazarus集团是目前Web3领域主要的高级持续性威胁(Advanced Persistent Threat）。在2022年，有20%Web3.0攻击的造成的损失是由该集团造成的，而2023年他们目前已窃取超过2.91亿美元。 ↗软件供应商JumpCloud的数据泄露事件则与一个隶属Lazarus的子团体所联系起来。之后的几起数百万美元的攻击都与该泄露有关，其中包括CoinsPaid和Alphapo的数据泄露事件。Lazarus成员在这些事件中假扮了招聘人员，并迫使员工下载恶意软件从而发起攻击。 ↗美国联邦调查局和CertiK的取证分析将Lazarus集团与Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx等多个漏洞联系起来，强调了他们针对 Web3人员的持续性鱼叉式网络钓鱼活动。与朝鲜有关联的Lazarus集团是Web3领域最主要的高级持续性威胁之一（Advanced Persistent Threat）。他们的网络攻击以系统性窃取私钥为特点，造成了重大经济损高级持续性威胁： 拥有复杂的专业知识和大量资源的对手，通过使用多种不同的攻击载体（如网络、物理和欺骗），为实现其目标创造机会、这些目标通常是在组织的信息技术基础设施内建立和扩大其存在，以不断提取信息和/或破坏或阻碍任务、计划或组织，或使自己处于将来能够这样做的位置；此外，高级持续威胁会在较长时间内保持频率的反复试图达成威胁目标并持续适应防御者采取的安全措施。– 美国国家标准与技术研究院，计算机安全资源中心失。仅在2022年，他们盗取的金额就占据了Web3行业被盗总价值的约20%。2023年至今，Lazarus已在五次重大漏洞中造成超过2.91亿美元的损失。HACK3D: WEB3.0领域安全现状 / Q3 2023 软件供应商JumpCloud于7月份遭遇数据泄露，而他们将原因归咎了一个为APT38 的Lazarus下属组织。JumpCloud虽然通知了用户，并操作让所有现有API密钥失效。然而漏洞最终还是被利用，造成了数百万美元的损失。7月22日发生的CoinsPaid和Alphapo入侵事件分别造成了3,700万美元和2,300万美元的损失，而这两起事件的原因都是私钥被泄露。在平台被黑之后，CoinsPaid的事后调查揭示了这样一个精心策划的阴谋：Lazarus成员在LinkedIn上冒充招聘人员，向CoinsPaid员工提供报酬丰厚的从16,000美元到24,000美元每月的工作机会。而这些工作机会的最终目的是迫使员工下载恶意软件“JumpCloud Agent”。该软件主要用于提取包括私钥等敏感数据，「帮助」Lazarus成功从平台上窃取资金。而该手段可以看得出，Lazarus犯罪集团有了新的战略计划，那就是利用某些Web3组织固有的Web2漏洞。鉴于这些漏洞的复杂性，JumpCloud的漏洞有可能为随后的CoinsPaid攻击提供了便利。针对Atomic Wallet、Alphapo、Stake.com和CoinEx的攻击很可能也是采用了类似策略。美国联邦调查局认为，Stake.com的4100万美元漏洞是由Lazarus Group所为。而CertiK的取证分析进一步确定了Atomic Wallet、Alphapo、CoinsPaid、Stake.com和CoinEx漏洞链上之间的联系。取证分析也充分表明了以上漏洞利用行为确为Lazarus集团所为。链上资金追踪LAZARUS效应HACK3D: WEB3.0领域安全现状 / Q3 2023 这些漏洞的确相互关联，并且Atomic Wallet、Alphapo、Stake.com和CoinEx共同交织在了一组已知的Lazarus钱包中。例如，在Stake.com的漏洞中，资金被转移到了以太坊钱包地址，而这些地址与其他漏洞的相关地址进行了交易。这也为联邦调查局得出Lazarus集团参与了这些事件提供了链上证据。Lazarus集团最近的作案手法主要是针对 Web3人员发起的鱼叉式网络钓鱼活动。为减少此类威胁，Web3专业人员需谨慎对待那些主动提供的工作机会，特别是那些包含文档附件或提出异常丰厚报酬的“诱人馅饼”。LAZARUS效应HACK3D: WEB3.0领域安全现状 / Q3 2023 私钥泄露造成的损失竟高达第三季度总损失的近四分之一。而让一个地址控制数以亿计的价值，就如同把数吨黄金钻石交给一个熟人，你只能祈祷他保管的时候不要出错。项目即便采用了更安全的多方计算（MPC）设置，也需要对控制合约的独立密钥进行真正的去中心化。7月份导致1.25亿美元损失的Multichain入侵事件就是一个典型的例子。私钥被泄露尽管该协议称自己是去中心化的，但据披露，Multichain的所有多方计算服务器和私钥都完全在CEO赵军的控制之下，而这些服务器和私钥最后都被移交给了警方。这种中心化控制最终导致了协议无法运行，而Multichain上锁定的15亿美元总价值（TVL）也因此无法被访问。但当Multichain上的资金开始被神秘转移身份不明的钱包时，情况进一步恶化。这一事件凸显了安全私钥保管在区块链操作中的极端重要性。Multichain首席执行官被捕，再次敲响了单人掌握控制权可能会导致重大漏洞的警钟。这种中心化操作不仅会危及协议的安全和功能，还会给系统中的资金和资产带来不可控的风险。为了主动提高私钥管理的透明度和安全性，CertiK与企业私钥自我保管服务提供商Safeheron进行了合作。而此次合作之 ↗私钥泄露造成的损失占第三季度总损失的23%。 ↗CertiK与Safeheron的合作为用户引入了一种验证机制，以确保项目拥有安全的私钥管理系统。私钥被泄露HACK3D: WEB3.0领域安全现状 / Q3 2023 下，也诞生了一种新型验证机制。该机制旨在使用户能够确认项目是否集成了先进的私钥管理系统。许多Web3项目直接或间接地通过智能合约或个人账户地址管理资金。这种配置可能会无意中造成单点故障，正如Multichain事件中大家看到的那样，如果这些地址被泄露，无论是通过私钥泄漏还是恶意活动，项目及其用户都很容易面临重大