2023年第三季度Web3.0领域安全现状报告

2023年第三季度共计因攻击损失约7亿（699,790,794）美元，超过了第一季度的3.2亿美元和第二季度的3.13亿美元，成为了今年损失额度最高的一个季度。 其中共发生184起安全事件，月度损失分别为： 7月：79起事件共造成约3亿(308,195,474) 美元损失8月：66起事件共造成约6,000万(59,523,398) 美元损失9月：39起事件共造成约3亿(332,071,921) 美元损失 按照漏洞类型划分，损失金额如下： 退出骗局：93起事件共造成约5,000万（55,216,397）美元损失预言机价格操纵：38起事件共造成约1,664万（16,638,279）美元损失私钥泄露：14起事件共造成约2亿（204,314,320）美元损失其他攻击46起，共造成约4亿（423,621,797）美元损失 朝鲜的Lazarus犯罪集团仍是主要威胁来源之一。仅在2023年，就造成了至少2.91亿美元的损失。在第三季度，该犯罪集团仍在持续活动中。 总共14起私钥泄露事件造成了共计约2亿美元的损失。这些中心化的密钥管理仍然是一个重要的风险点。 Web3行业正处于一个充满挑战的时期，与技术产品生命周期中的“跨越鸿沟”阶段相吻合。该“鸿沟”是早期采用者与主流用户之间过渡的一个瓶颈。 而金融机构也正在加大对链上技术的整合力度，这预示着区块链技术即将向主流应用转变。 2023 Q3 统计图表 2023 Q3 统计图表 简介 中心化管理是一个关键漏洞，尤其是让那些曾被承诺会拥有去中心化机制的用户感到不安。为了解决这个问题，我们与一个重要合作伙伴合作开发了一种新的验证机制，帮助用户确保项目采用了增强型私钥管理解决方案。 欢迎阅读Hack3d——CertiK 2023年第三季度Web3安全报告。Hack3d是了解Web3领域安全挑战及漏洞的重要资源和统计 记 录 。 它 为 各 方 提 供 了 必 要 的 知 识 和 见解，帮助他们在日益严峻的环境中加强安全防御，并做出明智的决策。 软件开发缺乏通用标准仍然是Web3领域的一 个 主 要 问 题 。 大 量 的 黑 客 攻 击 和 智 能 合约 漏 洞 都 可 以 归 因 于 到 行 业 安 全 标 准 有 所缺 失 。 例 如 ， 项 目 大 量 使 用 f o r k 的 代 码 合约 ， 而 开 发 者 和 用 户 都 没 有 对 f o r k 的 代 码有足够的了解，因而造成了持续的损失。而较高的安全标准将为确保一致的安全措施、减少漏洞和提高整个Web3世界的复原力提供一个很好的执行框架。 第三季度发生了184起安全事件，损失超过7亿 美 元， 是 2 0 2 3 年 损 失 金 额 最 多 的 一 个季度。第一季度的损失总额为3.2亿美元，第 二 季 度 为 3 . 1 3 亿 美 元 。 这 也 意 味 着 第 三季 度 的 损 失 超 过 了 整 个 2 0 2 3 年 上 半 年 的 损失。 Web3黑色产业最主要的威胁之一是与朝鲜有关的Lazarus犯罪集团。Lazarus今年至少造成了2.91亿美元的损失。该组织的复杂攻击策略已经发展到专门针对Web3人员，其中包括利用社交工程方法破坏多个平台的安全。本报告将详细对其进行介绍。 正面消息指出，目前一些主要金融机构正在开始有意识地整合链上技术，这表明主流金融机构正在把眼光投向区块链应用。然而，这 种 转 变 也 带 来 了 新 的 风 险 ， 必 须 谨 慎 对待。我们给出了对这个正在日益成熟的行业未来六个月、十二个月和十八个月的预测。 此 外 ， 私 钥 泄 露 是 另 一 个 重 要 的 损 失 原因 。 1 4 起 私 钥 被 盗 事 件 造 成 了 总 计 2 . 0 4 亿美元的损失，其中Mixin和Multichain事件共 造 成 了 3 . 2 5 亿 美 元 的 损 失 。 可 以 说 这 是私钥泄露造成的，但更准确地说，它是通过中心化管理私钥造成的。事实证明，私钥的 C e r t i K 会 定 期 发 布 各 种 话 题 的 技 术 和 教 育资源，同时我们也将在本报告末尾介绍第三季度的部分重点内容。 Lazarus效应 ↗朝鲜的Lazarus集团是目前Web3领域主要的高级持续性威胁(AdvancedPersistentThreat）。在2022年，有20%Web3.0攻击的造成的损失是由该集团造成的，而2023年他们目前已窃取超过2.91亿美元。 ↗软件供应商JumpCloud的数据泄露事件则与一个隶属Lazarus的子团体所联系起来。之后的几起数百万美元的攻击都与该泄露有关，其中包括CoinsPaid和Alphapo的数据泄露事件。Lazarus成员在这些事件中假扮了招聘人员，并迫使员工下载恶意软件从而发起攻击。 ↗美 国 联 邦 调 查 局 和 C e r t i K 的 取 证 分 析 将 L a z a r u s 集 团 与 A t o m i cWallet、Alphapo、CoinsPaid、Stake.com和CoinEx等多个漏洞联系起来，强调了他们针对Web3人员的持续性鱼叉式网络钓鱼活动。 失 。 仅 在 2 0 2 2 年 ， 他 们 盗 取 的 金 额 就 占 据了Web3行业被盗总价值的约20%。2023年至今，Lazarus已在五次重大漏洞中造成超过2.91亿美元的损失。 与朝鲜有关联的Lazarus集团是Web3领域最主要的高级持续性威胁之一（AdvancedPersistentThreat）。他们的网络攻击以系统性窃取私钥为特点，造成了重大经济损 高级持续性威胁：拥有复杂的专业知识和大量资源的对手，通过使用多种不同的攻击载体（如网络、物理和欺骗），为实现其目标创造机会、这些目标通常是在组织的信息技术基础设施内建立和扩大其存在，以不断提取信息和/或破坏或阻碍任务、计划或组织，或使自己处于将来能够这样做的位置；此外，高级持续威胁会在较长时间内保持频率的反复试图达成威胁目标并持续适应防御者采取的安全措施。 – 美国国家标准与技术研究院，计算机安全资源中心 软 件 供 应 商 J u m p C l o u d 于 7 月 份 遭 遇 数 据泄 露 ， 而 他 们 将 原 因 归 咎 了 一 个 为 A P T 3 8的 L a z a r u s 下 属 组 织 。 J u m p C l o u d 虽 然 通知 了 用 户 ， 并 操 作 让 所 有 现 有 A P I 密 钥 失效。然而漏洞最终还是被利用，造成了数百万美元的损失。 在 平 台 被 黑 之 后 ， C o i n s P a i d 的 事 后 调 查揭示了这样一个精心策划的阴谋：Lazarus成 员 在 L i n k e d I n 上 冒 充 招 聘 人 员 ， 向C o i n s P a i d 员 工 提 供 报 酬 丰 厚 的 从 1 6 , 0 0 0美 元 到 2 4 , 0 0 0 美 元 每 月 的 工 作 机 会 。 而 这些 工 作 机 会 的 最 终 目 的 是 迫 使 员 工 下 载 恶意软件“JumpCloud Agent”。该软件主要用 于 提 取 包 括 私 钥 等 敏 感 数 据 ， 「 帮 助 」Lazarus成功从平台上窃取资金。 而 该 手 段 可 以 看 得 出 ， L a z a r u s 犯 罪 集 团有了新的战略计划，那就是利用某些Web3组织固有的Web2漏洞。鉴于这些漏洞的复杂 性 ， J u m p C l o u d 的 漏 洞 有 可 能 为 随 后 的CoinsPaid攻击提供了便利。针对AtomicWallet、Alphapo、Stake.com和CoinEx的攻击很可能也是采用了类似策略。 链上资金追踪 美国联邦调查局认为，Stake.com的4100万美元漏洞是由LazarusGroup所为。而C e r t i K 的 取 证 分 析 进 一 步 确 定 了 A t o m i cW a l l e t 、 A l p h a p o 、 C o i n s P a i d 、 S t a k e .com和CoinEx漏洞链上之间的联系。取证分 析 也 充 分 表 明 了 以 上 漏 洞 利 用 行 为 确 为Lazarus集团所为。 7月22日发生的CoinsPaid和Alphapo入侵事件分别造成了3,700万美元和2,300万美元的损失，而这两起事件的原因都是私钥被泄露。 Lazarus集团最近的作案手法主要是针对Web3人员发起的鱼叉式网络钓鱼活动。为减少此类威胁，Web3专业人员需谨慎对待那些主动提供的工作机会，特别是那些包含文档附件或提出异常丰厚报酬的“诱人馅饼”。 这些漏洞的确相互关联，并且AtomicWallet、Alphapo、Stake.com和CoinEx共同交织在了一组已知的Lazarus钱包中。例如，在Stake.com的漏洞中，资金被转移到了以太坊钱包地址，而这些地址与其他漏洞的相关地址进行了交易。这也为联邦调查局得出Lazarus集团参与了这些事件提供了链上证据。 私钥被泄露 ↗私钥泄露造成的损失占第三季度总损失的23%。 ↗CertiK与Safeheron的合作为用户引入了一种验证机制，以确保项目拥有安全的私钥管理系统。 尽 管 该 协 议 称 自 己 是 去 中 心 化 的 ， 但 据 披露 ， M u l t i c h a i n 的 所 有 多 方 计 算 服 务 器 和私 钥 都 完 全 在 C E O 赵 军 的 控 制 之 下 ， 而 这些服务器和私钥最后都被移交给了警方。这种 中 心 化 控 制 最 终 导 致 了 协 议 无 法 运 行 ，而 M u l t i c h a i n 上 锁 定 的 1 5 亿 美 元 总 价 值（TVL）也因此无法被访问。 私钥泄露造成的损失竟高达第三季度总损失的近四分之一。而让一个地址控制数以亿计的价值，就如同把数吨黄金钻石交给一个熟人，你只能祈祷他保管的时候不要出错。 项 目 即 便 采 用 了 更 安 全 的 多 方 计 算（ M P C ） 设 置 ， 也 需 要 对 控 制 合 约 的 独 立密钥进行真正的去中心化。 但 当 M u l t i c h a i n 上 的 资 金 开 始 被 神 秘 转 移身份不明的钱包时，情况进一步恶化。 7月份导致1.25亿美元损失的Multichain入侵事件就是一个典型的例子。 这一事件凸显了安全私钥保管在区块链操作中 的 极 端 重 要 性 。 M u l t i c h a i n 首 席 执 行 官被捕，再次敲响了单人掌握控制权可能会导致重大漏洞的警钟。这种中心化操作不仅会危及协议的安全和功能，还会给系统中的资金和资产带来不可控的风险。 为 了 主 动 提 高 私 钥 管 理 的 透 明 度 和 安 全性 ， C e r t i K 与 企 业 私 钥 自 我 保 管 服 务 提 供商 S a f e h e r o n 进 行 了 合 作 。 而 此 次 合 作 之 下，也诞生了一种新型验证机制。该机制旨在使用户能够确认项目是否集成了先进的私钥管理系统。 并不表示这些风险就被项目方最终解决了（实施建议解决方案的最终决策权在于项目的所有者）。 许多Web3项目直接或间接地通过智能合约或个人账户地址管理资金。这种配置可能会无 意 中 造 成 单 点 故 障 ， 正 如 M u l t i c h a i n 事件 中 大 家 看 到 的 那 样 ， 如 果 这 些 地 址 被 泄露，无论是通过私钥泄漏还是恶意活动，项目及其用户都很容易面临重大风险和不可挽回的损失。 为 了 弥 补 这 个 问 题 ， C e r t i K 与 S a f e h e r o n的合作引入