2024年Web3.0年度安全报告

↗与2023年相比，2024年的总损失增加了约31.61%，安全事件数量同比增加了29起。↗2024年每起安全事件的平均损失金额约为310.89万美元（较去年增长23.04%），损失金额的中位数约为15.09万美元（同比增幅高达46.83%）。↗5月是全年损失最严重的月份，共发生63起事件，损失总额达4.44亿美元。↗与2023年第三季度类似，2024年第三季度的损失也最为严重，共发生157起攻击、欺诈和漏洞利用事件，造成总损失约为7.53亿美元。而第四季度总损失金额下降了46.65%。↗排在第二位的是私钥泄露，本年度共发生65起事件，造成总损失约8.55亿美元。2024年全年，网络钓鱼和私钥泄露事件在各个季度都频繁发生。↗以太坊是遭受安全事件最多的区块链，共发生403起攻击、欺诈和漏洞利用攻击，总计损失约7.49亿美元，平均每起事件损失185.78万美元。↗比特币链和波场链（Tron）也成为频繁遭受攻击的目标，分别损失约5.67亿美元和1.36亿美元。↗涉及多链的安全事件共发生39起，造成4.35亿美元的损失。CertiK《Hack3d：2024年度安全报告》全面解析了Web3.0领域的重大事件和趋势，展现了行业现状，并探讨了未来的发展方向。↗网络钓鱼攻击成为2024年造成损失最严重的攻击方式，共发生296起事件，造成总损失约10.5亿美元，其中有3起单笔损失超过1亿美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半，同时占攻击事件总数的39.1%。这表明，平均来看，网络钓鱼事件造成的单次损失远高于其他漏洞。摘要↗2024年，Web3.0行业共发生760起链上安全事件，总损失约为23.63亿美元。 02 图表数据：2024年度总结Total IncidentsTotal #AttacksQ1Q2Q3AprJulMayAugJun月度统计按链统计2247759881837363471573639BTCBSCBlastAptosCROMintBaseHecoMultiple ChainsEthereumGnosisOptimismFantomArbitrumAvalancheCosmosLineaKlaytn4031253922182812211139 图表数据：2024年度总结Chrls LarsenBtcTurkWazlrxBitForexBingXMunchableRadiant CapitalIncident Count类型统计年度十大安全事件Access ControlCode VulnerabilityExit ScamPhishingPrice Manipulation3886.4M85.4M170.9M218912961.1B 类型统计按链统计月度统计图表和数据：2024年第一季度Incident Count0$025$50M5075$100M$150M100$200M15$68.3M47$42.6M34$78.7M30$37.7M7759$193.1M$176.9M88$149MArbitrumExitScamsCodeVulnerabilityAccessControlBNBChainBaseMultipleChainsOther/Off-ChainAvalancheFlash LoanAttackEthereumBlastOptimismPolygon$24.9M$0.4M$1.2M$0.9M$25.4M$68.1M$139.4M$97.3M$26.4M136333613115273JanFebMar 概述2024年，Web3.0行业迎来了里程碑式的进展，其在主流金融领域的接受度和整合程度显著提升。然而，这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。2024年，Web3.0领域因安全事件导致的被盗资金总额同比增长约31.61%，达到23.63亿美元。尽管这一数字远低于2021年的52.76亿美元和2022年的35.05亿美元，但增幅依然令人担忧。值得注意的是，如果剔除造成全年一半以上损失的网络钓鱼攻击，Web3.0生态系统的安全性似乎有所改善。例如，2021年最严重的两起安全事件是损失27亿美元的Thodex攻击事件和损失6.02亿美元的Poly Network攻击事件；2022年最严重的两起安全事件是损失约6.24亿美元的Ronin Network攻击事件和损失约为4.77亿美元的FTX安全事件。而在2024年，自2021年1月以来唯一进入前20大事件榜单的仅有损失额为2.31亿美元的WazirX安全事件，这表明损失超过1亿美元的重大安全事件数量正在减少。0246108 Incident >$100MTotal Incident$0200400800600Incidents >$100m Loss (Excluding Phishing)202120222023202470244558321509 2024年，Web3.0行业在传统金融领域的接受度进一步提升，多项重大里程碑事件重塑了市场格局。其中，美国证券交易委员会（SEC）批准现货比特币和以太坊的交易所交易基金（ETF）成为最引人注目的发展之一。在多年的期待和努力后，SEC批准了包括BlackRock和Fidelity等知名公司在内11只现货比特币ETF。7月，以太坊ETF也紧随其后，为机构投资者提供了新的投资机会，助力其投资组合的多元化，同时也标志着这些数字资产在主流金融中的地位得到认可。随着市场信心的恢复，“Web3.0寒冬”的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入，这种稳定的资金增长为比特币突破10万美元大关的历史性里程碑奠定了基础。此事件发生在2024年美国总统大选之后，同时推动了以太坊、Solana等其他主流数字货币的价格同步上涨。特朗普再次当选总统显然成为美国Web3.0行业的一个转折点，并可能对全球其他市场产生影响。新一届特朗普政府迅速表明了支持Web3.0行业的立场，任命区块链倡导者Paul Atkins领导SEC。埃隆·马斯克被任命为“政府效率部门”（DOGE）负责人，更是为这一议程注入了动力，同时推动了Dogecoin价值的飙升。尽管需要等到2025年1月中旬才能看到这些举措的实际效果，特朗普已经做出了更多与支持Web3.0行业发展相关的承诺，包括建立国家比特币储备、停止创建美国中央银行数字货币（CBDC）以及支持美国本土比特币挖矿活动。2024年，全球范围内的监管动态表明，各国政府在Web3.0行业发展上采取了多样化的策略。例如，欧盟积极推进《加密资产市场法规》（MiCA），为成员国间建立了统一的监管框架。MiCA对透明度、流动性和消费者保护的要求旨在促进创新的同时，确保Web3.0市场的完整性。亚洲地区同样呈现出多样化的监管策略。尽管部分地区已经批准了数字货币相关的ETF，日本监管机构出于保护投资者和维护市场稳定的考量，尚未批准类似产品。此外，日本金融厅（FSA）近期加强了监管力度，向未注册且无授权运营的海外数字货币交易所发出警告。亚洲地区的其他进展还包括韩国的《虚拟资产用户保护法》（VAUPA）和香港的加密税收优惠提案。尽管全球不同的监管策略对Web3.0行业的影响各有不同，但有一点始终不变：安全性至关重要。随着市场的持续发展并逐步融入传统金融体系，项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。作为Web3.0头部安全机构，CertiK的使命是通过行业领先的形式化验证技术，保护并监控区块链协议和智能合约，从而加强Web3.0生态系统的安全性。我们将学术界的前沿创新成果应用于企业实践，确保关键任务型应用能够在安全可靠的基础上实现规模化发展。截至目前，CertiK已与超过4,800家企业客户合作，保护了总价值超5,100亿美元的数字资产，并检测出11.5万多个区块链代码中的漏洞。10 我们的使命仍在继续。2024年，我们取得了多项重要成就，例如，因发现Apple Vision Pro眼动追踪技术中的漏洞，CertiK第六次受到苹果公司的致谢，以及因发现Samsung Blockchain Keystore中的高严重性漏洞而第三次获得三星公司的认可。此外，我们完成了包含144条指令的zkWasm电路的形式化验证，首次完成了零知识证明生态系统中的全面形式化验证工作。我们还将研究拓展至去中心化物理基础设施网络（DePIN）领域，帮助项目如APhone和Aethir降低安全风险。此外，我们为福布斯2024上半年度数字资产排行榜前十中的六大项目提供审计服务，包括TON、Core DAO、PEPE、FLOKI、FET和Bitget。在监管方面，CertiK向香港金融管理局（HKMA）和香港财经事务及库务局（FSTB）提交了两份稳定币提案，并均获得批准。尽管Web3.0行业正在以令人振奋的方式不断发展，但我们也清楚地认识到，去中心化的未来建立在信任之上。如果没有强有力的安全措施和监管配合，Web3.0领域的参与者将继续面临各种风险——仅2024年，恶意行为者就窃取了超过23亿美元的资金，这一事实已经足够说明问题。在CertiK的《Hack3d》系列报告中，我们致力于更深入地剖析行业的脆弱点，并评估其韧性。首先，我们通过统计分析行业安全的数据，包括最常见的攻击方式、最频繁被利用的区块链，以及被盗金额与总锁仓量（TVL）等因素的关系。此外，我们还探讨了年度重大安全事件、行业关键发展动态，以及为Web3.0参与者提供了最佳安全实践的建议。11 探索被盗资金背后：衡量TVL上升中的风险2024年，区块链的总锁仓量（TVL）大幅增长，仅以太坊流动质押的TVL就从2024年1月的约2.48亿美元激增至2024年12月的170亿美元。这一增长始于2023年末，显示出2024年DeFi再次被广泛采纳的趋势。TVL反映了在去中心化协议中主动质押、资金池或锁定的资产总量，是衡量区块链技术采纳和信任度的关键指标，能提供有关生态系统财务健康状况和资金规模的洞察。TVL的上升表明用户和机构信心的增长，而波动则可能反映出活动变化或市场对风险担忧。通过将被盗资金与TVL上升趋势结合分析，可以更好地评估安全措施在行业增长中的有效性。下图展示了2024年每月因黑客攻击和诈骗导致的资金损失与DeFi TVL之间的相关性。TVL数据来源于DeFiLlama，以每月最后一天的数值为准；被盗金额来自CertiK安全事件数据统计中的每月总损失。来源: DeFiLlama 12 由图可见，TVL与月度损失之间存在中等程度的正相关，R²值为0.32。这表明，大约32%的月度损失的变化在统计上可以归因于DeFi TVL的变化。趋势线的上升表明，随着TVL的增加，安全事件导致的损失也随之上升，但这种关系并不是严格成比例的。虽然这种相关性在统计上是显著的，但仅凭TVL无法解释剩余68%的变化，这意味着仍然有其他因素在影响损失。以下是一些可能的因素：攻击技术的演变：黑客不断改进其攻击方法，采用社会工程学攻击和零日漏洞等先进战术，目标是利用超出基本安全措施的漏洞。安全标准的差异：不同项目和交易所的安全质量的差异也会影响损失。安全审计不充分、智能合约设计有漏洞或私钥管理不当等都会导致协议更容易受到攻击。监管漏洞：不同地区的法规不一致可能影响盗窃行为的频率。例如，更严格的监管环境在某种程度上可以抑制此类活动。市场条件：市场价值高或价格飙升意味着攻击成功的高回报，从而激励更多黑客对其进行攻击。协议复杂性：复杂的DeFi协议更可能存在潜在的漏洞，容易被攻击者利用。这些技术缺陷可能来自于平衡创新与全面安全测试之间的挑战。13 2024年的R²值为0.32，仅比2023年的0.31略有增加。尽管2024年TVL大幅增长，这一微小差异仍为生态系统的动态演变提供了一个有趣的视角。除了前文提到的其他相关因素外，也有可能是被盗金额未与TVL成比例增长。这表明，不断改善的安全措施、用户提高的安全意识和功能更强大的安全防御都在减轻TVL的相