CertiK《Hack3d:2024年度安全报告》(附报告全文链接)
CertiK《Hack3d:2024年度安全报告》现已发布,本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元,同比增幅高达31.61%;其中,12月的损失金额最少。过去一年,网络钓鱼攻击和私钥泄露频发,已成为对行业影响最为显著的攻击手段。
关键数据
全年损失:2024年,Web3.0行业共发生760起链上安全事件,总损失约为23.63亿美元。与2023年相比,2024年的总损失增加了约31.61%,安全事件数量同比增加了29起。
平均损失:2024年每起安全事件的平均损失金额约为310.89万美元(较去年增长23.04%),损失金额的中位数约为15.09万美元(同比增幅高达46.83%)。
月度数据:5月是全年损失最严重的月份,共发生63起事件,损失总额达4.44亿美元。12月的损失金额最少,共计2670万美元。
季度数据:与2023年第三季度类似,2024年第三季度的损失也最为严重,共发生157起攻击、欺诈和漏洞利用事件,造成总损失约为7.53亿美元。而第四季度总损失金额下降了46.65%。
主要攻击方式:网络钓鱼攻击成为2024年造成损失最严重的攻击方式,共发生296起事件,造成总损失约10.5亿美元,其中有3起单笔损失超过1亿美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半,同时占攻击事件总数的39.1%。这表明,平均来看,网络钓鱼事件造成的单次损失远高于其他漏洞。
排在第二位的是私钥泄露,本年度共发生65起事件,造成总损失约8.55亿美元。2024年全年,网络钓鱼和私钥泄露事件在各个季度都频繁发生。
链上安全事件分布:以太坊是遭受安全事件最多的区块链,共发生403起攻击、欺诈和漏洞利用攻击,总计损失约7.49亿美元,平均每起事件损失185.78万美元。比特币链和波场链(Tron)紧随其后,分别损失约5.67亿美元和1.36亿美元。涉及多链的安全事件共发生39起,造成4.35亿美元的损失。
安全趋势
网络钓鱼之所以成为攻击者的首选,源于其操作简单且高效:不同于依赖技术突破的攻击手段,网络钓鱼更多地利用了人性的弱点。攻击者通过伪造邮件、伪造网站或欺诈信息,诱导受害者主动泄露密码、私钥或钱包地址等敏感信息。在Web3.0领域,交易的不可逆性进一步放大了网络钓鱼的破坏力——一旦资金被转移,除非攻击者主动归还,否则几乎无法追回。
然而,如果剔除网络钓鱼攻击造成的损失,整体生态的安全性有所改善。例如,2024年仅有一起安全事件(WazirX,损失2.31亿美元)列入2021年至今的前20大事件名单。这意味着,单次损失超过1亿美元的重大事件正在逐渐减少。
行业趋势
2024年,Web3.0行业迎来了里程碑式的进展,其在主流金融领域的接受度和整合程度显著提升。然而,这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。
随着市场信心的恢复,“Web3.0寒冬”的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入,这种稳定的资金增长为比特币突破10万美元大关的历史性里程碑奠定了基础。此事件发生在2024年美国总统大选之后,同时推动了以太坊、Solana等其他主流数字货币的价格同步上涨。
特朗普再次当选总统显然成为美国Web3.0行业的一个转折点,并可能对全球其他市场产生影响。
尽管全球不同的监管策略对Web3.0行业的影响各有不同,但有一点始终不变:安全性至关重要。随着市场的持续发展并逐步融入传统金融体系,项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。
年度回顾
2024年,对CertiK来说也是具有里程碑意义的一年,我们取得了诸多成就,持续为Web3.0安全贡献着力量:
技术突破:
-
完成了zkWasm电路包含144条指令的形式化验证,这是零知识证明生态系统中的首个全面完成的形式化验证工作。
-
对Bybit拥有超过100万用户的无私钥钱包组件进行严格的渗透测试。
-
对GalaChain的首个公共SDK进行了安全评估,并使用SDK对GalaChain进行了性能测试,发现了一些系统效率问题,协助其团队优化了代码库。
漏洞发现:
-
发现CosmWasm中的重大漏洞,该漏洞允许不受信任的Wasm在超过20个Cosmos生态系统中的应用链上运行。
-
因成功识别并降低了系统中的重大安全风险,获得了字节跳动公司的致谢。
-
向蚂蚁安全响应中心报告了蚂蚁集团系统中的一项潜在风险,并协助其迅速实施了必要的安全措施。
-
因发现了Apple Vision Pro眼球追踪技术中的一项漏洞第六次获得Apple的认可。
-
发现了三星Blockchain Keystore中的一项高危漏洞而第三次获得三星致谢。
客户服务:
-
升级了CertiK的产品及服务,推出全生命周期安全解决方案,致力于覆盖项目从初创到成为明星项目的全部阶段;同时推出以Token Scan和Wallet Scan为首的多种免费安全工具,帮助用户保护资产安全。
-
推出了CertiK Ventures,公布其4500万美元的投资计划。
-
提出全新品牌标语“Elevating Your Entire Web3 Journey”,诠释了我们致力于提供创新和全周期产品与服务的承诺。
行业影响:
-
深入研究去中心化物理基础设施网络(DePIN),帮助如APhone和Aethir等项目降低安全风险,并在2024年高通产品安全峰会上分享有关DePIN领域的经验与见解。
-
为福布斯2024上半年度数字资产排行榜前十中的6个项目提供审计服务,包括TON、Core DAO、PEPE、FLOKI、FET和Bitget。
-
CertK联合创始人兼CEO顾荣辉教授出席2024年新加坡金融科技节,并接受包括Money FM、联合早报、香港明报、香港信报和彭博商业周刊在内的多家国际媒体采访。
-
顾荣辉教授与币安创始人CZ(赵长鹏)进行炉边谈话,探讨了Web3.0安全挑战、区块链创新及塑造生态未来等关键议题。
监管建议:
-
为新加坡金融管理局(MAS)的稳定币框架提供的建议获得认可。
-
向香港金融管理局(HKMA)及香港财经事务及库务局(FSTB)提交了两项稳定币监管建议,并均获批准。
市场地位:
-
2024年7月,CertiK占据全球Web3.0审计市场近50%的份额。
-
在TON官方的安全保障服务提供商名单中排名第一。
结语
CertiK致力于持续追踪Web3.0领域的安全趋势,迄今为止已进行70余次白帽行动,报告4000多起安全事件,发现11.5万多个代码漏洞,保护了超过5100亿美元的数字资产免受潜在损失;并通过年度和季度安全报告的形式,向业界提供关键的安全资讯。安全报告一经发布,便得到行业的高度重视,迅速被CoinDesk和Cointelegraph等Web3.0领域的核心媒体所报道和引用。
CertiK的年度报告还深入分析了2024年攻击频发的区块链平台、被盗金额与总锁仓量(TVL)等因素的关系、年度重大安全事件、行业关键发展动态,以及为Web3.0参与者提供了最佳安全实践的建议。
欢迎大家点击阅读完整的《Hack3d:2024年度安全报告》,获取更全面的分析、洞察和建议。
相关文章:
CertiK《Hack3d:2024年度安全报告》(附报告全文链接)
CertiK《Hack3d:2024年度安全报告》现已发布,本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元,同比增幅高达31.61%;其中,12月的损失金额最少。过去一年,网络钓鱼攻击和私钥泄露…...
TIOBE 指数 12 月排行榜公布,VB.Net排行第九
IT之家 12 月 10 日消息,TIOBE 编程社区指数是一个衡量编程语言受欢迎程度的指标,评判的依据来自世界范围内的工程师、课程、供应商及搜索引擎,今天 TIOBE 官网公布了 2024 年 12 月的编程语言排行榜,IT之家整理如下: …...
【网络协议】开放式最短路径优先协议OSPF详解(一)
OSPF 是为取代 RIP 而开发的一种无类别的链路状态路由协议,它通过使用区域划分以实现更好的可扩展性。 文章目录 链路状态路由协议OSPF 的工作原理OSPF 数据包类型Dijkstra算法、管理距离与度量值OSPF的管理距离OSPF的度量值 链路状态路由协议的优势拓扑结构路由器O…...
)
嵌入式Linux驱动开发的基本知识(驱动程序的本质、常见的设备类型、设备号的本质理解、设备实例的注册过程)
基本概念之什么是驱动程序()? 驱动程序本质上是代码逻辑的集合,通常用于管理、驱动多个设备实例。某个设备要想使用驱动程序,需要实例化相应的驱动程序的结构体,并在系统中注册,获得主设备号、次设备号,并…...
爱死机第四季(秘密关卡)4KHDR国语字幕
通过网盘分享的文件:love_death_robot 链接: https://pan.baidu.com/s/1bG3Xtdopenil2O_y93hY_g?pwd8kib 提取码: 8kib...
kubelet状态错误报错
journalctl -xeu kubelet 执行后的日志如下: -- -- The process exit code is exited and its exit status is 1. Jan 02 14:20:06 iv-ydipyqxfr4wuxjsij0bd systemd[1]: kubelet.service: Failed with result exit-code. -- Subject: Unit failed -- Defined-By: system…...
 }}</div> 中的$t是什么)
<div>{{ $t(“collectionPlan“) }}</div> 中的$t是什么
$t是Vue I18n插件提供的一种方法,用于根据当前应用的语言环境来获取相应的翻译文本。 以下是一个简单的示例,展示如何在Vue I18n中定义消息: const i18n new VueI18n({locale: en, // 设置默认语言messages: {en: {collectionPlan: Collec…...
[C++刷题] 求回文素数
求回文素数 题目 素数回文数的个数 题目描述 求 11 11 11 到 n n n 之间(包括 n n n),既是素数又是回文数的整数有多少个。 输入格式 一个大于 11 11 11 小于 10000 10000 10000 的整数 n n n。 输出格式 11 11 11 到 n n n 之…...
SQLALchemy如何将SQL语句编译为特定数据库方言
最近在一个使用fastapitortoise-orm的项目中,需要将orm的语句编译成特定数据库方言,但是查询了官方文档及一些资料却找不到合适的方法论😔,于是乎我就把目光放到了sqlalchemy身上,东找西找给我找着了。话不多说&#x…...
[卫星遥感] 解密卫星目标跟踪:挑战与突破的深度剖析
目录 [卫星遥感] 解密卫星目标跟踪:挑战与突破的深度剖析 1. 卫星目标跟踪的核心挑战 1.1 目标的高速与不确定性 1.2 卫星传感器的局限性 1.3 数据处理与融合问题 1.4 大尺度与实时性要求 2. 当前卫星目标跟踪的主流技术 2.1 卡尔曼滤波(Kalman …...
I2C(一):存储器模式:stm32作为主机对AT24C02写读数据
存储器模式:在HAL库中,I2C有专门对存储器外设设置的库函数 I2C(一):存储器模式的使用 1、I2C轮询式写读AT24C02一页数据2、I2C轮询式写读AT24C02多页数据3、I2C中断式写读AT24C02一页数据4、I2C使用DMA式写读AT24C02一…...
scrapy 教程
Scrapy Tutorial In this tutorial, we’ll assume that Scrapy is already installed on your system. If that’s not the case, see Installation guide. We are going to scrape quotes.toscrape.com, a website that lists quotes from famous authors. This tutorial …...
2025元旦源码免费送
我们常常在当下感到时间慢,觉得未来遥远,但一旦回头看,时间已经悄然流逝。对于未来,尽管如此,也应该保持一种从容的态度,相信未来仍有许多可能性等待着我们。 免费获取源码。 更多内容敬请期待。如有需要可…...
高级架构五 设计模式
一 设计模式七大原则 1.1. 设计模式目的 编写软件过程中,程序员面临着来自 耦合性,内聚性以及可维护性,可扩展性,重用性,灵活性 等多方面的挑战,设计模式是为了让程序(软件),具有更好的&#…...
RFID手持机与RFID工业平板在仓储物流管理系统中的选型
概述 随着物联网技术在仓储物流管理系统中的普及,RFID手持机与RFID工业平板作为基于RFID技术手持式读写器的两种重要终端设备形态,得到了广泛应用。尽管RFID手持机与RFID工业平板都具备读写 RFID标签的基本功能,使用场景较为类似,…...
IoC设计模式详解:控制反转的核心思想
前言:在软件开发中,设计模式是一种经过验证的、在特定场景下能有效解决问题的解决方案。控制反转(Inversion of Control,IoC) 作为一种设计模式,通过让程序的控制流和对象管理反转,从而使得代码…...
《云原生安全攻防》-- K8s安全配置:CIS安全基准与kube-bench工具
在本节课程中,我们来了解一下K8s集群的安全配置,通过对CIS安全基准和kube-bench工具的介绍,可以快速发现K8s集群中不符合最佳实践的配置项,及时进行修复,从而来提高集群的安全性。 在这个课程中,我们将学习…...
LINUX下载编译gtk
下载 选择自己合适的版本 GNOME / gtk GitLab 下载meson GNOME / gtk GitLab 编译 BUILD_DIRbuilddir INSTALL_DIR${HOME}/gtk-resultMESON_PATHpwd/meson-1.6.1/meson.py${MESON_PATH} setup \--prefix ${INSTALL_DIR} \${BUILD_DIR}cd builddir${MESON_PATH} compile…...
基于VSCode软件框架的RISC-V IDE MRS2正式上线发布
基于VSCode软件框架的RISC-V IDE MRS2正式上线发布 一、概述 MounRiver Studio Ⅱ(MRS2)为MounRiver Studio的换代版本,从V2.1开始,框架更换至更现代的VSCode,并深度定制开发。在工程管理、代码编辑、编译、调试等方面均兼容之前版本&#…...
AWS re:Invent 2024 - Dr. Werner Vogels 主题演讲
今年,我有幸亲临现场参加了所有的 keynote,每一场都让我感受到深深的震撼。无论是全新的功能发布,还是令人眼前一亮的新特性展示,每一场 keynote 都精彩纷呈,充满干货,值得反复学习和回味。 恰好ÿ…...
SkyWalking 10.2.0 SWCK 配置过程
SkyWalking 10.2.0 & SWCK 配置过程 skywalking oap-server & ui 使用Docker安装在K8S集群以外,K8S集群中的微服务使用initContainer按命名空间将skywalking-java-agent注入到业务容器中。 SWCK有整套的解决方案,全安装在K8S群集中。 具体可参…...
Xshell远程连接Kali(默认 | 私钥)Note版
前言:xshell远程连接,私钥连接和常规默认连接 任务一 开启ssh服务 service ssh status //查看ssh服务状态 service ssh start //开启ssh服务 update-rc.d ssh enable //开启自启动ssh服务 任务二 修改配置文件 vi /etc/ssh/ssh_config //第一…...
Day131 | 灵神 | 回溯算法 | 子集型 子集
Day131 | 灵神 | 回溯算法 | 子集型 子集 78.子集 78. 子集 - 力扣(LeetCode) 思路: 笔者写过很多次这道题了,不想写题解了,大家看灵神讲解吧 回溯算法套路①子集型回溯【基础算法精讲 14】_哔哩哔哩_bilibili 完…...
unix/linux,sudo,其发展历程详细时间线、由来、历史背景
sudo 的诞生和演化,本身就是一部 Unix/Linux 系统管理哲学变迁的微缩史。来,让我们拨开时间的迷雾,一同探寻 sudo 那波澜壮阔(也颇为实用主义)的发展历程。 历史背景:su的时代与困境 ( 20 世纪 70 年代 - 80 年代初) 在 sudo 出现之前,Unix 系统管理员和需要特权操作的…...
大学生职业发展与就业创业指导教学评价
这里是引用 作为软工2203/2204班的学生,我们非常感谢您在《大学生职业发展与就业创业指导》课程中的悉心教导。这门课程对我们即将面临实习和就业的工科学生来说至关重要,而您认真负责的教学态度,让课程的每一部分都充满了实用价值。 尤其让我…...
Pinocchio 库详解及其在足式机器人上的应用
Pinocchio 库详解及其在足式机器人上的应用 Pinocchio (Pinocchio is not only a nose) 是一个开源的 C 库,专门用于快速计算机器人模型的正向运动学、逆向运动学、雅可比矩阵、动力学和动力学导数。它主要关注效率和准确性,并提供了一个通用的框架&…...
JVM 内存结构 详解
内存结构 运行时数据区: Java虚拟机在运行Java程序过程中管理的内存区域。 程序计数器: 线程私有,程序控制流的指示器,分支、循环、跳转、异常处理、线程恢复等基础功能都依赖这个计数器完成。 每个线程都有一个程序计数…...
QT3D学习笔记——圆台、圆锥
类名作用Qt3DWindow3D渲染窗口容器QEntity场景中的实体(对象或容器)QCamera控制观察视角QPointLight点光源QConeMesh圆锥几何网格QTransform控制实体的位置/旋转/缩放QPhongMaterialPhong光照材质(定义颜色、反光等)QFirstPersonC…...
解读《网络安全法》最新修订,把握网络安全新趋势
《网络安全法》自2017年施行以来,在维护网络空间安全方面发挥了重要作用。但随着网络环境的日益复杂,网络攻击、数据泄露等事件频发,现行法律已难以完全适应新的风险挑战。 2025年3月28日,国家网信办会同相关部门起草了《网络安全…...
Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement
Cilium动手实验室: 精通之旅---13.Cilium LoadBalancer IPAM and L2 Service Announcement 1. LAB环境2. L2公告策略2.1 部署Death Star2.2 访问服务2.3 部署L2公告策略2.4 服务宣告 3. 可视化 ARP 流量3.1 部署新服务3.2 准备可视化3.3 再次请求 4. 自动IPAM4.1 IPAM Pool4.2 …...