CertiK《Hack3d:2024年度安全报告》(附报告全文链接)
CertiK《Hack3d:2024年度安全报告》现已发布,本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元,同比增幅高达31.61%;其中,12月的损失金额最少。过去一年,网络钓鱼攻击和私钥泄露频发,已成为对行业影响最为显著的攻击手段。
关键数据
全年损失:2024年,Web3.0行业共发生760起链上安全事件,总损失约为23.63亿美元。与2023年相比,2024年的总损失增加了约31.61%,安全事件数量同比增加了29起。
平均损失:2024年每起安全事件的平均损失金额约为310.89万美元(较去年增长23.04%),损失金额的中位数约为15.09万美元(同比增幅高达46.83%)。
月度数据:5月是全年损失最严重的月份,共发生63起事件,损失总额达4.44亿美元。12月的损失金额最少,共计2670万美元。
季度数据:与2023年第三季度类似,2024年第三季度的损失也最为严重,共发生157起攻击、欺诈和漏洞利用事件,造成总损失约为7.53亿美元。而第四季度总损失金额下降了46.65%。
主要攻击方式:网络钓鱼攻击成为2024年造成损失最严重的攻击方式,共发生296起事件,造成总损失约10.5亿美元,其中有3起单笔损失超过1亿美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半,同时占攻击事件总数的39.1%。这表明,平均来看,网络钓鱼事件造成的单次损失远高于其他漏洞。
排在第二位的是私钥泄露,本年度共发生65起事件,造成总损失约8.55亿美元。2024年全年,网络钓鱼和私钥泄露事件在各个季度都频繁发生。
链上安全事件分布:以太坊是遭受安全事件最多的区块链,共发生403起攻击、欺诈和漏洞利用攻击,总计损失约7.49亿美元,平均每起事件损失185.78万美元。比特币链和波场链(Tron)紧随其后,分别损失约5.67亿美元和1.36亿美元。涉及多链的安全事件共发生39起,造成4.35亿美元的损失。
安全趋势
网络钓鱼之所以成为攻击者的首选,源于其操作简单且高效:不同于依赖技术突破的攻击手段,网络钓鱼更多地利用了人性的弱点。攻击者通过伪造邮件、伪造网站或欺诈信息,诱导受害者主动泄露密码、私钥或钱包地址等敏感信息。在Web3.0领域,交易的不可逆性进一步放大了网络钓鱼的破坏力——一旦资金被转移,除非攻击者主动归还,否则几乎无法追回。
然而,如果剔除网络钓鱼攻击造成的损失,整体生态的安全性有所改善。例如,2024年仅有一起安全事件(WazirX,损失2.31亿美元)列入2021年至今的前20大事件名单。这意味着,单次损失超过1亿美元的重大事件正在逐渐减少。
行业趋势
2024年,Web3.0行业迎来了里程碑式的进展,其在主流金融领域的接受度和整合程度显著提升。然而,这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。
随着市场信心的恢复,“Web3.0寒冬”的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入,这种稳定的资金增长为比特币突破10万美元大关的历史性里程碑奠定了基础。此事件发生在2024年美国总统大选之后,同时推动了以太坊、Solana等其他主流数字货币的价格同步上涨。
特朗普再次当选总统显然成为美国Web3.0行业的一个转折点,并可能对全球其他市场产生影响。
尽管全球不同的监管策略对Web3.0行业的影响各有不同,但有一点始终不变:安全性至关重要。随着市场的持续发展并逐步融入传统金融体系,项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。
年度回顾
2024年,对CertiK来说也是具有里程碑意义的一年,我们取得了诸多成就,持续为Web3.0安全贡献着力量:
技术突破:
-
完成了zkWasm电路包含144条指令的形式化验证,这是零知识证明生态系统中的首个全面完成的形式化验证工作。
-
对Bybit拥有超过100万用户的无私钥钱包组件进行严格的渗透测试。
-
对GalaChain的首个公共SDK进行了安全评估,并使用SDK对GalaChain进行了性能测试,发现了一些系统效率问题,协助其团队优化了代码库。
漏洞发现:
-
发现CosmWasm中的重大漏洞,该漏洞允许不受信任的Wasm在超过20个Cosmos生态系统中的应用链上运行。
-
因成功识别并降低了系统中的重大安全风险,获得了字节跳动公司的致谢。
-
向蚂蚁安全响应中心报告了蚂蚁集团系统中的一项潜在风险,并协助其迅速实施了必要的安全措施。
-
因发现了Apple Vision Pro眼球追踪技术中的一项漏洞第六次获得Apple的认可。
-
发现了三星Blockchain Keystore中的一项高危漏洞而第三次获得三星致谢。
客户服务:
-
升级了CertiK的产品及服务,推出全生命周期安全解决方案,致力于覆盖项目从初创到成为明星项目的全部阶段;同时推出以Token Scan和Wallet Scan为首的多种免费安全工具,帮助用户保护资产安全。
-
推出了CertiK Ventures,公布其4500万美元的投资计划。
-
提出全新品牌标语“Elevating Your Entire Web3 Journey”,诠释了我们致力于提供创新和全周期产品与服务的承诺。
行业影响:
-
深入研究去中心化物理基础设施网络(DePIN),帮助如APhone和Aethir等项目降低安全风险,并在2024年高通产品安全峰会上分享有关DePIN领域的经验与见解。
-
为福布斯2024上半年度数字资产排行榜前十中的6个项目提供审计服务,包括TON、Core DAO、PEPE、FLOKI、FET和Bitget。
-
CertK联合创始人兼CEO顾荣辉教授出席2024年新加坡金融科技节,并接受包括Money FM、联合早报、香港明报、香港信报和彭博商业周刊在内的多家国际媒体采访。
-
顾荣辉教授与币安创始人CZ(赵长鹏)进行炉边谈话,探讨了Web3.0安全挑战、区块链创新及塑造生态未来等关键议题。
监管建议:
-
为新加坡金融管理局(MAS)的稳定币框架提供的建议获得认可。
-
向香港金融管理局(HKMA)及香港财经事务及库务局(FSTB)提交了两项稳定币监管建议,并均获批准。
市场地位:
-
2024年7月,CertiK占据全球Web3.0审计市场近50%的份额。
-
在TON官方的安全保障服务提供商名单中排名第一。
结语
CertiK致力于持续追踪Web3.0领域的安全趋势,迄今为止已进行70余次白帽行动,报告4000多起安全事件,发现11.5万多个代码漏洞,保护了超过5100亿美元的数字资产免受潜在损失;并通过年度和季度安全报告的形式,向业界提供关键的安全资讯。安全报告一经发布,便得到行业的高度重视,迅速被CoinDesk和Cointelegraph等Web3.0领域的核心媒体所报道和引用。
CertiK的年度报告还深入分析了2024年攻击频发的区块链平台、被盗金额与总锁仓量(TVL)等因素的关系、年度重大安全事件、行业关键发展动态,以及为Web3.0参与者提供了最佳安全实践的建议。
欢迎大家点击阅读完整的《Hack3d:2024年度安全报告》,获取更全面的分析、洞察和建议。
相关文章:
CertiK《Hack3d:2024年度安全报告》(附报告全文链接)
CertiK《Hack3d:2024年度安全报告》现已发布,本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元,同比增幅高达31.61%;其中,12月的损失金额最少。过去一年,网络钓鱼攻击和私钥泄露…...
TIOBE 指数 12 月排行榜公布,VB.Net排行第九
IT之家 12 月 10 日消息,TIOBE 编程社区指数是一个衡量编程语言受欢迎程度的指标,评判的依据来自世界范围内的工程师、课程、供应商及搜索引擎,今天 TIOBE 官网公布了 2024 年 12 月的编程语言排行榜,IT之家整理如下: …...
【网络协议】开放式最短路径优先协议OSPF详解(一)
OSPF 是为取代 RIP 而开发的一种无类别的链路状态路由协议,它通过使用区域划分以实现更好的可扩展性。 文章目录 链路状态路由协议OSPF 的工作原理OSPF 数据包类型Dijkstra算法、管理距离与度量值OSPF的管理距离OSPF的度量值 链路状态路由协议的优势拓扑结构路由器O…...
嵌入式Linux驱动开发的基本知识(驱动程序的本质、常见的设备类型、设备号的本质理解、设备实例的注册过程)
基本概念之什么是驱动程序()? 驱动程序本质上是代码逻辑的集合,通常用于管理、驱动多个设备实例。某个设备要想使用驱动程序,需要实例化相应的驱动程序的结构体,并在系统中注册,获得主设备号、次设备号,并…...
爱死机第四季(秘密关卡)4KHDR国语字幕
通过网盘分享的文件:love_death_robot 链接: https://pan.baidu.com/s/1bG3Xtdopenil2O_y93hY_g?pwd8kib 提取码: 8kib...
kubelet状态错误报错
journalctl -xeu kubelet 执行后的日志如下: -- -- The process exit code is exited and its exit status is 1. Jan 02 14:20:06 iv-ydipyqxfr4wuxjsij0bd systemd[1]: kubelet.service: Failed with result exit-code. -- Subject: Unit failed -- Defined-By: system…...
<div>{{ $t(“collectionPlan“) }}</div> 中的$t是什么
$t是Vue I18n插件提供的一种方法,用于根据当前应用的语言环境来获取相应的翻译文本。 以下是一个简单的示例,展示如何在Vue I18n中定义消息: const i18n new VueI18n({locale: en, // 设置默认语言messages: {en: {collectionPlan: Collec…...
[C++刷题] 求回文素数
求回文素数 题目 素数回文数的个数 题目描述 求 11 11 11 到 n n n 之间(包括 n n n),既是素数又是回文数的整数有多少个。 输入格式 一个大于 11 11 11 小于 10000 10000 10000 的整数 n n n。 输出格式 11 11 11 到 n n n 之…...
SQLALchemy如何将SQL语句编译为特定数据库方言
最近在一个使用fastapitortoise-orm的项目中,需要将orm的语句编译成特定数据库方言,但是查询了官方文档及一些资料却找不到合适的方法论😔,于是乎我就把目光放到了sqlalchemy身上,东找西找给我找着了。话不多说&#x…...
[卫星遥感] 解密卫星目标跟踪:挑战与突破的深度剖析
目录 [卫星遥感] 解密卫星目标跟踪:挑战与突破的深度剖析 1. 卫星目标跟踪的核心挑战 1.1 目标的高速与不确定性 1.2 卫星传感器的局限性 1.3 数据处理与融合问题 1.4 大尺度与实时性要求 2. 当前卫星目标跟踪的主流技术 2.1 卡尔曼滤波(Kalman …...
I2C(一):存储器模式:stm32作为主机对AT24C02写读数据
存储器模式:在HAL库中,I2C有专门对存储器外设设置的库函数 I2C(一):存储器模式的使用 1、I2C轮询式写读AT24C02一页数据2、I2C轮询式写读AT24C02多页数据3、I2C中断式写读AT24C02一页数据4、I2C使用DMA式写读AT24C02一…...
scrapy 教程
Scrapy Tutorial In this tutorial, we’ll assume that Scrapy is already installed on your system. If that’s not the case, see Installation guide. We are going to scrape quotes.toscrape.com, a website that lists quotes from famous authors. This tutorial …...
2025元旦源码免费送
我们常常在当下感到时间慢,觉得未来遥远,但一旦回头看,时间已经悄然流逝。对于未来,尽管如此,也应该保持一种从容的态度,相信未来仍有许多可能性等待着我们。 免费获取源码。 更多内容敬请期待。如有需要可…...
高级架构五 设计模式
一 设计模式七大原则 1.1. 设计模式目的 编写软件过程中,程序员面临着来自 耦合性,内聚性以及可维护性,可扩展性,重用性,灵活性 等多方面的挑战,设计模式是为了让程序(软件),具有更好的&#…...
RFID手持机与RFID工业平板在仓储物流管理系统中的选型
概述 随着物联网技术在仓储物流管理系统中的普及,RFID手持机与RFID工业平板作为基于RFID技术手持式读写器的两种重要终端设备形态,得到了广泛应用。尽管RFID手持机与RFID工业平板都具备读写 RFID标签的基本功能,使用场景较为类似,…...
IoC设计模式详解:控制反转的核心思想
前言:在软件开发中,设计模式是一种经过验证的、在特定场景下能有效解决问题的解决方案。控制反转(Inversion of Control,IoC) 作为一种设计模式,通过让程序的控制流和对象管理反转,从而使得代码…...
《云原生安全攻防》-- K8s安全配置:CIS安全基准与kube-bench工具
在本节课程中,我们来了解一下K8s集群的安全配置,通过对CIS安全基准和kube-bench工具的介绍,可以快速发现K8s集群中不符合最佳实践的配置项,及时进行修复,从而来提高集群的安全性。 在这个课程中,我们将学习…...
LINUX下载编译gtk
下载 选择自己合适的版本 GNOME / gtk GitLab 下载meson GNOME / gtk GitLab 编译 BUILD_DIRbuilddir INSTALL_DIR${HOME}/gtk-resultMESON_PATHpwd/meson-1.6.1/meson.py${MESON_PATH} setup \--prefix ${INSTALL_DIR} \${BUILD_DIR}cd builddir${MESON_PATH} compile…...
基于VSCode软件框架的RISC-V IDE MRS2正式上线发布
基于VSCode软件框架的RISC-V IDE MRS2正式上线发布 一、概述 MounRiver Studio Ⅱ(MRS2)为MounRiver Studio的换代版本,从V2.1开始,框架更换至更现代的VSCode,并深度定制开发。在工程管理、代码编辑、编译、调试等方面均兼容之前版本&#…...
AWS re:Invent 2024 - Dr. Werner Vogels 主题演讲
今年,我有幸亲临现场参加了所有的 keynote,每一场都让我感受到深深的震撼。无论是全新的功能发布,还是令人眼前一亮的新特性展示,每一场 keynote 都精彩纷呈,充满干货,值得反复学习和回味。 恰好ÿ…...
前端小案例——520表白信封
前言:我们在学习完了HTML和CSS之后,就会想着使用这两个东西去做一些小案例,不过又没有什么好的案例让我们去练手,本篇文章就提供里一个案例——520表白信封 ✨✨✨这里是秋刀鱼不做梦的BLOG ✨✨✨想要了解更多内容可以访问我的主…...
FPGA随记——过约束
什么是过约束? 从字面意思来看,所谓过约束是指约束过紧了。这个“过”体现在setup requirement变小了,对于单周期路径,这个值通常与时钟周期一致,但在过约束情况下,等效于这个值变小了,也就是时…...
如何利用云计算进行灾难恢复?
云计算环境下的灾难恢复实践指南 天有不测风云,企业的IT系统也一样,我见过太多因为没有做好灾备而吃大亏的案例。今天就和大家聊聊如何用云计算来做灾难恢复。 一个惊心动魄的真实案例:某电商平台的主数据中心因为市政施工不小心挖断了光纤…...
【华为OD-E卷 - 九宫格按键输入 100分(python、java、c++、js、c)】
【华为OD-E卷 - 九宫格按键输入 100分(python、java、c、js、c)】 题目 九宫格按键输入,有英文和数字两个模式,默认是数字模式,数字模式直接输出数字,英文模式连续按同一个按键会依次出现这个按键上的字母…...
基于AI大模型的医院SOP优化:架构、实践与展望
一、引言 1.1 研究背景与意义 近年来,人工智能(AI)技术取得了迅猛发展,尤其是大模型的出现,为各个领域带来了革命性的变化。在医疗领域,AI 医疗大模型正逐渐崭露头角,展现出巨大的应用潜力。随着医疗数据的海量积累以及计算能力的大幅提升,AI 医疗大模型能够对复杂的…...
Linux快速入门-一道简单shell编程题目
编写一个 Shell 程序。 功能:在用户家目录下创建一个文件夹myshell;进入此文件夹;在文件中创建文件aa.sh,如果文件夹或文件存在,则提示对象已存在,不创建。 代码编写 #!/bin/bash#获取用户家目录:方便后…...
Hive如何创建自定义函数(UDF)?
目录 1 自定义UDF函数基础 2 自定义UDF函数案例 3 创建临时函数 4 创建永久函数 1 自定义UDF函数基础 1. 内置函数:Hive 自带了一些函数...
聊聊前端框架中的process.env,env的来源及优先级(next.js、vue-cli、vite)
在平时开发中,常常使用vue、react相关脚手架创建项目,在项目根目录可以创建.env、.env.[mode](mode为development、production、test)、.env.local等文件,然后在项目中就可以通过process.env来访问相关的环境变量了。 下面针对如下…...
linux shell脚本 【分支结构case...in 、循环结构、函数】内附练习
1.思维导图 2.练习 1.定义一个find函数,查找ubuntu和root的gid 2.定义一个数组,写一个函数完成对数组的冒泡排序 bubble() {n${#arr[*]}for((i0;i<n-1;i));dofor((j0;j<n-1-i;j));doif ((arr[j]>arr[j1]));thentemp${arr[j]}arr[j]${arr[j1]}a…...
VSCode 终端显示“pnpm : 无法加载文件 C:\Program Files\nodejs\npm.ps1,因为在此系统上禁止运行脚本”
VSCode 终端显示“pnpm : 无法加载文件 C:\Program Files\nodejs\npm.ps1,因为在此系统上禁止运行脚本”VSCode 终端显示“pnpm : 无法加载文件 C:\Program Files\nodejs\npm.ps1,因为在此系统上禁止运行脚本”解决方案: 1.用get-ExecutionP…...