1、摘要 2023年Web3.0领域共发生了751起安全事件，造成总计18.41亿美元的资产损失。损失金额较2022年的37亿美元下降了51%，平均每个事件损失245万美元。然而，仅损失top10安全事件总损失就高达 11.1 亿美元，且安全事件损失的中位数为$101,132美元，远低于245万美元的平均值。11月是全年损失最多的月份，45起事件共造成3.63亿美元的损失。2023年第三季度损失最多，共发生了183起黑客攻击及欺诈事件，总损失达6.87亿美元。私钥泄露是导致损失最严重的攻击类型，仅47起事件就造成了8.8亿美元的资产损失。尽管私钥泄露事件数量仅占所有安全事件的6.3%，但其造成的经

2、济损失却占所有安全事件损失的近一半。以太坊共发生了224起事件，但损失高达6.86亿美元，平均每个事件损失约300万美元。跨链互操作性仍然是一个持续存在的行业痛点，影响了多条链路的安全，导致了35起事件，共造成了7.99亿美元的损失。Hack3d 2023涵盖了本年度的重大安全事件、分享了Web3.0发展方向趋势、行业现状以及未来12个月的发展方向。摘要HACK3D 2023安全年度报告 /逆境中的DEFI统计数据图:2023统计数据图:2023数字是近似值，可能会随着新信息而变化80$4亿60$3亿40$2亿20$1亿0$01月2月3月4月5月6月7月8月9月10月11月12月按链上统计月度

3、统计400$8亿$4亿$6亿200100300$2亿0$0ArbitrumEthereumAvalancheFantomBaseMultiple ChainsScrollBNB ChainOptimismSolanaCoreOther/Off-ChainTronCosmosPolygonZksync.151322265454139657975627578715631351122438748331$590万$6.3万$110万$50万$460万$1.4亿$0.12亿$1.1亿$3.6亿$0.3亿$3.3亿$0.5亿$3亿$1.4亿$0.7亿$1亿$2.4亿$0.5亿$0.3亿$8亿$0.3万$1

4、10万$6.9亿$1.3亿$0.1亿$0.1亿$0.3亿$60万HACK3D 2023安全年度报告事件数量损失数额统计数据图:2023统计数据图:2023数字是近似值，可能会随着新信息而变化300$7.5亿200$5亿100$2.5亿0$0年度十大安全事故类型统计1973065547146$2.9亿$1.5亿$2.1亿$8.8亿$3.1亿$200M$100M$50M$150M$0Mixin KernelMulti-chainOrbit ChainEuler FinanceHECO BridgeCoinEXAlphapoPoloniexAtomic WalletVyper$2亿$1.1亿$1.3

5、1亿$0.8亿$1.97亿$1亿$1.25亿$0.6亿$0.5亿$0.5亿HACK3D 2023安全年度报告退出骗局代码漏洞网络钓鱼私钥泄露其他攻击事件数量损失数额统计数据图:Q1统计数据图:Q1数字是近似值，可能会随着新信息而变化8015075$225M$3亿$2亿6050$150M$2亿$1.5亿405010025$75M$1亿$1亿20$0.5亿000$0$0$01月2月3月BNB ChainEthereumSolanaArbitrumAvalanchePolygonMultichain.56708953510813013927781111402$0.3亿$0.5亿$0.25亿$2.3亿

6、$140万$0.27亿$0.18亿$450万$2.3亿$0.3亿$910万$600万$2.4亿$0.3亿$0.19亿$0.26亿$1.7万OptimismOtherHACK3D 2023安全年度报告退出骗局代码漏洞网络钓鱼私钥泄露其他攻击按链上统计月度统计类型统计事件数量损失数额统计数据图:Q2统计数据图:Q2数字是近似值，可能会随着新信息而变化75120$1.5亿$1.5亿50$1亿4080$0.5亿$1亿25$0.5亿00$0$0BNB ChainCOREEthereumArbitrumAvalancheOther/Off-ChainPolygonFantomMultichain.7462

7、973541221111375$1.03亿$0.75亿$0.49亿$1.1亿$240万$0.66亿$0.72亿$56万$0.3万$0.35万$0.14亿$1.36亿75$0.75亿50$0.5亿25$0.25亿0$095538550$0.7亿$0.24亿$0.35亿$0.82亿HACK3D 2023安全年度报告4月5月6月$1.03亿退出骗局代码漏洞网络钓鱼私钥泄露其他攻击按链上统计月度统计类型统计事件数量损失数额统计数据图:Q3统计数据图:Q3数字是近似值，可能会随着新信息而变化80100$5亿$4亿$3亿60$2.5亿$3.75亿502575$1.25亿$2亿4020$1亿00$0$0BN

8、BChainBaseEthereumArbitrum AvalanchezkSyncOptimismOther/Off-ChainPolygonSolanaMultiple Chains.75$6亿50$4亿25$2亿0$0913961729$0.42亿$0.18亿$0.29亿$5.3亿$0.7亿HACK3D 2023安全年度报告78651611264128531639$3.08亿$0.46亿$730万$0.4亿$3.1万$110万$460万$4.85亿$1.16亿$0.17亿$0.12亿$20万$400万$3.32亿7月8月9月退出骗局代码漏洞网络钓鱼私钥泄露其他攻击按链上统计月度统计类型统

9、计事件数量损失数额统计数据图:Q4统计数据图:Q4数字是近似值，可能会随着新信息而变化8080$2亿$4亿$3亿60$1亿$1.5亿402060$0.5亿$2亿4020$1亿00$0BNBChainBitcoinCosmosBaseEthereumArbitrumAvalancheTronScrollPolygonMultiple Chains30$3亿20$2亿10$1亿0$03034311434$0.15亿$0.13亿$0.47亿$2.97亿$1.43亿HACK3D 2023安全年度报告4145778512114214765$0.33亿$3.64亿$2.78亿$1.86亿$0.21万$6.

10、3万$50万$110万$30万$0.14亿$6.1万$360万$350万$1.17亿10月11月12月退出骗局代码漏洞网络钓鱼私钥泄露其他攻击按链上统计月度统计类型统计事件数量损失数额$02023年，Web3.0领域因黑客攻击、欺诈和漏洞利用等造成的资产损失总价值下降了51%。尽管如此，18亿美元的损失仍不容小觑，在本报告中，我们将详细探讨导致这一庞大损失的主要安全事件和漏洞利用攻击 事件。2023年，整个Web3.0货币行业都面临着法律和监管方面的挑战，美国证券交易委员会（SEC）对两家大型Web3.0货币交易所Coinbase和Binance提出了诉讼。美国证券交易委员会的行动表明，该委员

11、会不再只关注规模较小的平台和个人，而是将目标转向Web3.0货币领域中更重要的参与者。这一年，最重要的参与者之一Binance创始人赵长鹏（CZ）在Binance与美国联邦检察官达成43亿美元的和解协议后，辞去了首席执行官的职务。目前，CZ正在以1.75亿美元的保释金等待二月份的判决。与此同时，FTX事件在11月也有了新的进展，Sam Bankman-Fried因欺诈和洗钱等七项罪名被定罪。但是，FTX债权人仍未收到任何返还的资产。第四季度数字资产价格有所回升，这是市场在经历了18个月的持续下跌后出现的振奋人心的逆转。俗话说躲不过“熊市”，但可以努力创建明天，我们可以看到在此期间Web3.0从

12、技术到监管等各方面都取得了很大进展。回顾过去的这一年，我们应该坦然面对经历的挫折与失败、颂扬已取得的成就，同时满怀信心地展望未来的光明前景。首先，让我们为那些致力于建设Web3.0货币世界的人举杯致敬。他们在面对严格的监管、公众的质疑以及间歇性出现的项目价值缩水超过90%的情况下仍然持续深耕在这条道路上。这些链上参与者站在创新和风险的最前沿，以实际行动向那些看到区块链技术潜力却行事保守的风险保守人群证明Web3.0货币的价值。除此之外，这些建设者也在不断经受考验可用性障碍、安全漏洞、建立稳固的产品与市场适配度、来自行业外企业的贬低。尽管面临种种困难，但学者、投资者、业余爱好者和技术专家的无私奉

13、献为该领域未来的发展铺就了道路。这些先行者也将因此获得丰厚的回报，如利润丰厚的空投和站在技术创新前沿所带来的成就感。他们的成就不仅在于塑造了行业，也为未来的参与者奠定了基础，而其引领行业发展和积累的知识和财富也将在未来的周期中呈指数级增长。随着拥有数万亿美元的大型金融机构逐渐认可区块链技术，Web3.0的潜力也日益凸显。我们预计，区块链技术将在金融、游戏、艺术和数字体验等领域产生变革性影响。值得期待的是，2024年1月初可能会有多达近十只比特币ETF（交易所交易基金）简介简介HACK3D 2023安全年度报告简介们一直致力于提高Web3.0世界的安全性和可靠性。虽然我们可以确认的是Web3.0

14、行业的前景无比光明，但不可否认的是挑战依然存在。18万美元的巨额损失就算相比去年显著下降，也仍然是一个令人瞠目结舌的数字。CertiK Hack3d报告旨在从帮助读者提炼安全领域重点。在2023年，Web3.0 共发生了700多起安全事件，其中仅退出骗局就有近300起。数量之大，我们无法逐一研究。因此，本报告将重点放在关于系统漏洞和行业应变能力的事件上。首先，我们分析了2023年安全损失下降是否资产价值下降相关的函数，提出了Web3.0行业是否正在吸取教训的议题。紧接着，我们强调了私钥泄露的普遍性和强大破坏力。这一点挺令人失望，因为密码管理其实是早于区块链技术出现。最近的Ledger漏洞安全事

15、件凸显了网络钓鱼和供应链攻击的危险性，而我们对追溯漏洞赏金的研究则揭示了这种在攻击后通过谈判收回资金的可能性和有效性。第四步，我们继续报道KyberSwap黑客攻击事件，调查两套特定标准整合过程中出现的框架级漏洞，最后报告展望了2023年大型机构入局区块链的趋势。报告中趋势和事件是阐释我们当下面临的挑战的典型案例，但更重要的是，它们展示了Web3.0行业的集体响应和适应能力。正是这些案例表明：尽管遭遇挫折，但Web3.0正朝着更安全强大的数字未来稳步前进。被批准。2023年下半年，美国证券交易委员会（SEC）仔细审查了一系列比特币ETF提案，特别是延长了贝莱德（BlackRock）、ARK和富

16、达（Fidelity）等大公司申请的审查期。此前，华盛顿特区巡回法院要求美国证券交易委员会重新评估此前被拒的提案（类似Grayscale Investments提案）。法院裁定美国证券交易委员会拒绝Grayscale的比特币ETF申请的行为是不正确的，理由是美国证券交易委员会之前批准的比特币期货ETF与现货比特币ETF“是实质性相似的”。无论美国证券交易委员会（SEC）在1月10日前做何决定，Web3.0资产行业都将继续 发展。Web3.0每一位从业者均有其各自的责任，CertiK作为数字领域安全的先行者，使命就是为Web3.0世界的发展保驾护航。迄今为止，CertiK已完成了超过4,200个

17、Web3项目的审计，挖掘了近7万个代码漏洞，保护了近3700 xx亿美元的数字资产免受损失。我们的使命仍在继续，2023年我们取得了多项成就，如SkyInsights数字资产合规性和风险管理平台的发布。该平台是CertiK致力于加强数字资产安全的一个重要里程碑。在移动设备安全方面，CertiK因提出安全漏洞而得到了苹果和三星的认可，这凸显了我们对更广泛的技术生态系统的影响。此外，收到来自 SUI 和 Wormhole 的重大漏洞赏金也彰显了我们在 2023 年采取的具有前瞻性安全措施的有效性。这些成就表明，我HACK3D 2023安全年度报告统计分析：WEB3.0从业者是否吸取了教训？统计分析

18、：Web3.0从业者是否吸取了教训？2023年行业的资产损失较2022年减少了51%，这一数据的成因值得探讨。考虑到是源自资产估值下降的可能性，我们将研究总锁仓量（TVL）与Web3.0中因黑客攻击、欺诈和漏洞利用造成的损失之间的 关系。TVL（总锁仓）是DeFi中最重要的指标之一。它衡量了存放在去中心化金融协议中的资产价值，也反映了人们对DeFi产品的 需求。虽然存入DeFi协议的许多Web3.0资产都是稳定币，但仍有其他数字资产，这意味着它们会受到市场波动的影响。因此，TVL会受到整体市场状况和用户需求的影响，这也使其成为有效衡量 DeFi 领域实际的参与度和增长的指标，而不仅仅是表面上的

19、市值。与主要反映资产估值的Web3.0货币总市值不同，TVL可以让人们深入了解DeFi生态系统中实际使用到的资本数量。截至2023年末本报告撰写时，DeFi的TVL约为500亿美元，低于2021年11月最高时的1700亿美元，但也较今年10月的360亿美元的低点增长了40%。来源:DeFiLlamaHACK3D 2023安全年度报告2023年较2022年因安全事件造成损失存在的下降趋势，与2023年的时间加权平均TVL较2022年下降约46%的情况相一致。那么，这种相关性是2023年损失下降的唯一该散点图显示了Web3.0中每月因黑客攻击和欺诈造成的损失与DeFi的TVL之间的相关性。它涵盖了

20、从2020年6月（DeFi TVL首次超过10亿美元临界值）到2023年11月间的41个月的数据。TVL值取自DeFiLlama数据库每月最后一天的数据。因黑客攻击和欺诈而导致的价值损失是CertiK数据库中的每月总值。可见，TVL与每月损失之间存在中度正相统计分析：WEB3.0从业者是否吸取了教训？解释吗？是否还有其他可能性？这是否也意味着一旦资产增值，我们因黑客和欺诈造成的损失金额还会再破新高？让我们看一下数据：关，R2值为0.31。这表明，从统计角度看，每月损失中约有31%的变化可归因于DeFi TVL的变化，而TVL本身就代表了资产估值和用户需求。趋势线的正梯度表明，随着TVL的增加，

21、安全事件造成的损失也呈上升趋势，尽管并不完全成正比。这种相关性虽然在统计上显著，但仍有69%的变化无法仅用TVL来解释，这表明其他因素也发挥着重要作用。HACK3D 2023安全年度报告统计分析：WEB3.0从业者是否吸取了教训？“从统计角度看，每月损失中约有31%的变化可归因于DeFi TVL的变化，而TVL本身就代表了资产估值和用户需求”这项分析的R2值为0.31，相较于对每月安全事件损失和Web3.0货币总市值相同分析得出的R2值0.22高出约50%。我们的分析得出的F统计量为17.65，导致一个极小p值为0.000144。这一较低的p值拒绝了无效的零假设，表明我们的发现并非偶然。TVL

22、的回归系数为2.417e-12，这意味着TVL的变化很可能会影响安全事件总损失。TVL变量的p值实际上为零，因此我们可以确信TVL与损失之间存在着显著的统计关系。系数周围95%的置信区间进一步验证了这些结果。HACK3D 2023安全年度报告统计分析：WEB3.0从业者是否吸取了教训？由此可见，安全事件造成的损失与DeFi TVL之间的相关性要强于其与Web3.0货币总市值之间的相关性。这表明，与评估Web3.0货币的整体市值相比，TVL是了解DeFi行业损失动态更有效的指标。市值可以概括Web3.0货币行业的市场总价值，而TVL则具体反映了DeFi协议中资产的实际参与度和实时利用情况。与TV

23、L更强的相关性突显了DeFi活动和投资者行为对安全格局的直接影响。这些见解表明，与总市值所代表的更广泛的宏观趋势相比，DeFi特有的因素（如协议的复杂性、用户行为和安全措施的有效性）与安全事件造成的损失价值更为密切相关。市场状况，例如牛市或熊市的趋势，确实会影响DeFi平台对用户和攻击者的吸引力。在牛市中，活动增加和资产价值上涨可能会对攻击者提供更具有利可图的目标，从而导致安全事件的频率和规模上升。相反，在市场下行期间，资产和资金估值的缩水也会降低攻击的影响，但同时一些攻击者对市场的看衰可能也会导致其采用更激进的策略。值得注意的是，DeFi的TVL与黑客攻击及诈骗造成的损失之间的关系只能解释大

24、约三分之一的价值损失。因此显然还有其他因素在起作用，这表明Web3.0的参与者在降低安全风险层面仍有很大努力的空间。例如，随着重大黑客攻击或欺诈事件的发生，行业的集体知识库也在不断扩大从过去的错误中吸取教训，实施更有力的安全措施，提高用户的警惕性。例如，增加使用漏洞赏金计划、改进编码实践以及更广泛采用风险优化策略（如在部署前进行全面安全审计和上线后的持续监控）都表明了Web3.0正在不断学习和调整。但随着平台和协议的不断演变以及对已知漏洞的修补，攻击者也在不断改进，采用更先进的技术来攻击更新的、更隐蔽的防御薄弱之处。攻击者与防御者之间的开源竞争也是造成安全事件多发的原因。牛市的到来是DeFi改

25、进后的安全协议面临的真正考验。我们并不奢望100%的风险消失对于一个时刻发展尖端创新的行业来说，这是一个不切实际的目标。但我们可以做到的是提升我们自己应对安全挑战的能力，持续降低 TVL 与黑客攻击和欺诈造成的损失之间的相关性，这也是评判Web3.0是否跨入“安全成熟性”行业的显著指标。HACK3D 2023安全年度报告隐私保护威胁：私钥泄露损失百万Web3.0世界仍面临一个重大威胁：私钥泄露。2023年因私钥泄露导致的损失占总损失的近50%，金额高达8.8亿美元，这时刻提醒我们私钥安全管理的重要性。47起事件仅占全年安全事件总数的6.3%，却造成了一半以上的资产损失。值得注意的是，在2023

26、年期间发生的损失金额最高的10起安全事件中，有6起是由于私钥泄露造成的。为了应对此类风险，CertiK于今年9月宣布与领先企业级私钥自托管服务提供商Safeheron达成安全合作，将协力推出全新验证机制，以验证项目是否已采用增强的私钥管理方案，借此共同推动行业内私钥管理透明化标准的提高。这一举措至关重要，因为无论是通过智能合约还是个人账户地址，许多Web3.0项目都会在无意中产生单点故障问题。我们会在安全审计中突出强调此类中心化风险，预警并提出优化措施，但最终如何实施依然取决于项目方。因此，我们通过与Safeheron的合作引入了接口，以验证项目地址是否真实采用私钥托管解决方案，有效隐私保护威

27、胁：私钥泄露损失百万帮助安全机构和用户验证项目是否采用有效措施来减轻中心化风险从而提高信息透明度和安全性。私钥管理最佳实践1.多重签名钱包：利用多重签名钱包在多方之间分配钱包控制权，降低单点故障风险。2.硬件钱包：考虑使用硬件钱包进行高级别的密钥存储和加密操作，确保密钥绝不会以明文形式暴露。3.安全备份程序：将私人密钥备份保存在安全的离线环境中，如保险箱或保 险库。4.访问控制策略：制定严格的访问控制策略，确保只有授权人员才能访问私钥。5.加密存储：以加密格式存储私钥，最好使用强加密标准。6.审计和监控：定期审计和监控私钥的使用，以监测任何未经授权的访问或异常情况。“值得注意的是，在2023年

28、期间发生的损失金额最高的10起安全事件中，有6起是由于私钥泄露造成的。”HACK3D 2023安全年度报告隐私保护威胁：私钥泄露损失百万7.用于长期存储的冷钱包：使用冷钱包（离线存储）长期存储私钥，最大限度地降低线上威胁。8.员工培训：对所有相关员工进行密钥管理最佳实践的培训，强调安全和保密的重要性。9.多方计算（MPC）：考虑用多方计算方式来管理私钥，以实现私钥共享，而无需向单方公开整个私钥。10.使用私钥管理服务：采用专业的私钥管理服务或解决方案，尤其是针对企业项目运营，以确保其符合行业标准。阅读更多：What are Public and Private Keys?Web3 Mobile

29、 Wallet Apps:A Secret Key Protection Perspective What is Multi-Party Computation(MPC)?Exploring the Efficiency of MPC Algorithms in Crypto Wallets Multi-Party Computation(MPC)in Wallets:A Review of Current StrategiesHACK3D 2023安全年度报告LEDGER库泄露事件Ledger库泄露事件Wallet drainers仍一直是Web3.0中的隐患，威胁贯穿了整个2023。泄密者

30、有可能是恶意软件或脚本，使得欺诈者得以将受害者钱包中的资产“转移”到自己的钱包里。欺诈者通常通过钓鱼网站和欺诈性应用程序等手段诱骗用户授予权限。我们已经发现了几个主要的“钱包小偷”，他们已经瞄准了成千上万的用户，盗取了数百万美元。在这里，CertiK的建议是使用硬件钱包，并避免向未经完全验证确认的网站授予令牌权限。另外，使用revoke.cash等网站可以帮助管理已授予权限的网站。请及时撤销不再使用或无法识别的权限。12月14日，Web3.0硬件钱包巨头Ledger遭遇重大安全危机，一时间，Web3.0用户不知道哪个钱包才安全可靠。一名Ledger前员工成为网络钓鱼攻击的受害者。攻击者成功获取

31、到了Ledger Connect Kit（用于将网站连接到Ledger钱包的JavaScript库）的访问权限，将钱包用户引导至恶意网站。此次攻击造成了约61万美元的直接损失，尽管金额不算巨大，但对Ledger的声誉造成了难以估量的负面影响。本次成功的网络钓鱼攻击控制了该员工的NPMJS账户（这是JavaScript软件包生态系统中的一个关键节点），攻击者利用该漏洞将恶意文件上传到Ledger的NPMJS。HACK3D 2023安全年度报告Ledger库库库库库LEDGER库泄露事件虽然漏洞只被利用了大约5个小时，但在不到2个小时内资金就已被成功转移。Ledger在发现漏洞攻击后40分钟内部署

32、了更新。该修复包括更新NPMJS，移除并停用了恶意代码，从而有效地消除了漏洞利用所造成的直接威胁。这次漏洞攻击证明了我们之前讨论过的几个不同趋势所带来的威胁：Web3.0中心化正在产生的深远影响 Web2.0系统（本例中为NPMJS）对Web3.0平台和架构的影响 网络钓鱼仍是一种有效的攻击手段尽管区块链和Web3.0货币倡导去中心化的理念，但生态系统中的一些元素，如NPMJS账户和软件库（如Ledger Connect Kit），其漏洞反映了中心化的安全问题。只需对一名员工的账户进行一次成功的网络钓鱼攻击，就会影响到众多用户和 dApp。Ledger Connect Kit的漏洞攻击事件提醒

33、我们，在区块链的去中心化理念与软件开发及维护的现实之间取得平衡的过程中仍存在着巨大挑战。阅读更多：Exposing Wallet Drainer Scammers:Zentoh&Co.Ice Phishing Scams The Anatomy Of A Phish该文件看似合法更新，但实际上包含了恶意载荷。其代码专门攻击Ledger钱包和那些使用Connect Kit的去中心化应用程序(dApp)之间的交互。一旦文件就位，被感染的Ledger Connect Kit就会开始作为木马运行。当用户尝试将他们的Ledger硬件钱包连接到这些dApp时，他们就在不知情的情况下暴露在了该漏洞中。恶意代

34、码并非在他们的钱包和应用程序之间建立安全链接，而是通过伪造的WalletConnect协议重新路由连接。HACK3D 2023安全年度报告追溯性漏洞赏金谈判追溯性漏洞赏金谈判2023年，我们看到“追溯性漏洞赏金”趋势的兴起，共涉及36起事件，追回金额达2.19亿美元。这占到了总损失18亿美元的12%，与之前年份相比，今年的协商返还金额增长了54%。“追溯性漏洞赏金这个词具备明确的讽刺意味。在漏洞利用攻击后的谈判中，受害方处于非常不利的地位，这种谈判更像是一场敲诈勒索。但无论人们对此事的看法如何，不可否认的是，许多协议已经通过谈判，成功地就“灰帽”赏金达成一致，助力很大一部分被盗资金得以返还。E

35、uler Finance在2023年损失最惨重的安全事件排行榜上位居第二，攻击事件发生在3月份，共计损失1.97亿美元。本次攻击是通过恶意闪电贷实施的，攻击目标是Euler的donateToReserves()函数，共涉及五个独立的资金池。攻击者使用Euler的mint()函数创建了一个高杠杆的资不抵债的头寸，并在同一笔交易中清算头寸，获得大量衍生的eTokens且清空资金池。被盗资金主要是DAI、WETH、WBTC、stETH和USDC，而后被转换为ETH和DAI。遭受漏洞攻击后，Euler Finance悬赏100万美元征集信息以试图逮捕攻击者，并要求攻击者归还被盗资金。攻击者最初将部分被

36、盗资金转移到Tornado Cash，看似无视了Euler Finance的最后通牒。然而，一名自称为“Jacob”的攻击者随后向与Euler相关联的以太坊地址发送了一条信息，表示愿意对话，并且无意保留剩余的被盗资产。而后3月25日至3月28日期间，Euler攻击者共归还了84951个ETH（总价值约1.478亿美元）和2990万美元的DAI稳定币。黑客对此次攻击表示忏悔，承认对他人财产、工作和生活造成了影响，并声称其延迟归还资金是出于对自身安全的考虑。Euler团队对这些进展做出了积极回应，表示由于黑客“做了正确的事”，他们将不再搜集逮捕黑客的信息，并取消了100万美元的 赏金。此后，追溯性

37、漏洞赏金谈判已成为攻击后应对方案中的一个重要组成部分。虽然这种策略取得了不同程度的成果，但很明显Web3.0项目并不能依赖和黑客谈判以期保住资产。因此，能够支付足够报酬以激励白帽黑客在漏洞攻击前披露全面漏洞信息的赏金平台至关重要。HACK3D 2023安全年度报告追溯性漏洞赏金谈判HACK3D 2023安全年度报告阅读更多：A Grey Area:Retroactive Bug Bounty Negotiations Shifty Negotiations:Are Projects Still Benefiting From Negotiating With Their Attackers?E

38、uler Finance Incident AnalysisKYBERSWAP黑客攻击事件KyberSwap黑客攻击事件2023年11月22日，跨链去中心化交易所（DEX）KyberSwap成为闪电贷（flash loan）复杂漏洞攻击的受害者。本次攻击涉及多条区块链，导致了约4700万美元的总 损失。闪电贷：去中心化金融（DeFi）中的一种贷款方式，借款人可以在没有抵押物的情况下立即获取大量资产，但必须在同一交易区块内偿还。如果未能在同一交易区块中还清，则所有操作将被撤销，就好像一切从未发生过一样。这一独特功能使闪电贷在DeFi领域的各种金融策略中发挥着重要作用，例如套利、抵押品交换和自我清

39、算。KyberSwap的模型受到Uniswap v3的启发，引入了中心化流动性做市商（market makers）的概念，允许流动性提供者（LPs）在特定价格范围内（称为“ticks”）添加流动性。由于流动性在这些池子中是非同质化的，因此每个LP的头寸是被唯一跟 踪的。Tick：去中心化交易所流动性池中的特定价格点。流动性提供者可选择在这些离散的价格水平上为池子增加流动性，形成一系列集中的流动性区域。每个Tick代表一个价格阈值，流动性仅在池中的价格处于这些阈值范围内时才生效。这种机制可以更有效地利用资金，并更好地控制流动性提供者希望参与的价格范围。KyberSwap的事件涉及采用相同方法的多

40、轮攻击。下面我们以USDC-ETHX交易对为例进行说明。攻击者首先通过从Uniswap利用闪电贷借入500个ETHx，并瞄准了KyberSwap v2 Reinvestment Token（KS2-RT）池。通过将大量的ETHx交易成USDC，从而耗尽了该池的流动性，并大幅提高了该池的当前Tick值。由于池中只剩下少量的ETHX和USDC，攻击者随后在一个狭窄的Tick范围内创建了一个新的流动性池，并对其进行了战略定位，以方便其利用这一人为抬高的价格范围。他们移除了这个价格范围的部分流动性，只留下了足够操纵下一组交易的流动性。攻击者接下来的ETHx对USDC兑换操作看起来很不寻常，因为他们是该

41、价格范围内唯一的流动性提供者。然而，这只是为下一个阶段的漏洞攻击做铺垫。KyberSwap的computeSwapStep()函数负责确定本次兑换交易是否跨越了一个Tick范围，而攻击者正是通过精确的输入量操纵了这个函数。这种操纵阻止了函数更新到下一个价格，造成了池子中的虚假流动性。最后，攻击者进行反向兑换，将USDC换成ETHx，这降低了价格，使他们能够利用虚假流动性从而将池子中的USDC全部取走以获利。然后通过在多条链上的多个KyberSwap交易对中这样操作，导致了每个交易对上的大量损失。HACK3D 2023安全年度报告攻击发生后，黑客提出了一系列非常规的 要求：KYBERSWAP黑客

42、攻击事件*代币持有者和投资者，根据本条约，你们的代币将重新获得价值。这还不够贴心吗？我将更进一步推进。在我的管理下，Kyber将彻底改头换面，它将不再是第七大最受欢迎的DEX，而是一个全新的项目。*流动性提供者（LPs）：你们将获得近期做市活动的返还金额。返还金额为你们的损失金额的50%。我知道这可能比你们想要的少，但也比你们应得的要多。这是我最好的提议。也是我唯一的提议。我要求你们在12月10日之前满足我的要求，本次协商过时不候。此外，如果206个主权国中的任何一个就此事联系我，则本次协商同样作废在这种情况下，返还总额的数字将是0。Kyber是起源最早、运行时间最长的DeFi协议之一。没有人

43、愿意看到它一朝倾颓。为了协助管理权的交接，请通过Telegram与我联系：Kyber_Director谢谢。-Kyber Director 致所有相关人员及“看客们”，感谢你们在Kyber（协议/DAO）和Kyber（公司）处于不稳定时期给予的关注和耐心。以下是我制定的谈判条约，希望我们能达成共识。我的要求如下：*拥有对Kyber（公司）的完全行政控制权*拥有对KyberDAO的管理机制的临时完全控制权和所有权，以便立法变更。我目前的钱包地址可用于承接。*获取与公司/协议的成立、结构、运营、收入、利润、支出、资产、负债、投资者、工资等相关的所有文件和信息。*获取所有的Kyber（公司）资产。包

44、括链上和链下资产。包括但不限于：股份、股权、代币（KNC和非KNC）、合作伙伴关系、博客、网站、服务器、密码、代码、社交渠道、Kyber的任何及所有创意和知识产权。一旦我的要求得到满足，我将实行以下条例：*高管：你们将被公司以合理的价格赔偿并辞退。祝你们今后一切顺利。你们没有做错任何事。只是“走错了路”，任何人都可能犯这种错，运气不好而已。*员工：在新的管理制度下，你们的工资将翻倍。当然我们可以理解部分在职员工希望离开，不愿意留下的员工将获得为期12个月的遣散费和全额福利，同时我们还将协助寻找下一份工作。HACK3D 2023安全年度报告来源：EtherscanKyberSwap的回应是向黑客

45、提供赏金如果黑客归还被盗资金的90%，那么其可保留剩余的10%。然而当黑客没有立即照办时，KyberSwap将事态升级，威胁要采取法律行动并牵涉执法部门。黑客要求KyberSwap团队更为尊重的处理态度，并发声：除非KyberSwap的高管对其足够友善，否则将推迟任何谈判。KYBERSWAP黑客攻击事件黑客在他们的链上信息中写道：“我说过我愿意谈判。然而作为回报，我收到的却是（大部分是）威胁、最后期限和来自Kyber高管团队的不友好行为.假定我将受到进一步的敌对行为的情况下，我们可以重新将谈判延期，直到双方可以和平友好沟通。”尽管与攻击者的谈判陷入僵局，KyberSwap仍设法从参与攻击的前端

46、交易机器人操作员那里追回了价值467万美元的部分被盗资HACK3D 2023安全年度报告金。与此同时，KyberSwap推出了一个由其资金库资助的赠款计划，旨在向受安全漏洞影响的人提供经济补偿。该赠款计划的金额等同于损失资产的美元价值，用于补偿用户损失并履行KyberSwap对用户群的承诺。阅读更多:KyberSwap Incident AnalysisERC-2771 漏洞：定时炸弹ERC-2771 漏洞：定时炸弹12月7日，攻击者利用TIME协议造成了89.5枚ETH的损失。他们通过操纵通常被认为是合法发送者执行交易的Forwarder合约，从而得以烧毁$TIME来达到其攻击目的。这一漏洞

47、事件的起因是Forwarder合约在应用ERC-2771标准时出现了错误。而ERC-2771标准是帮助项目通过补贴gas费来促进用户与 dApp 的交互。ERC-2771 标准使用户能够无需支付以太gas费而与 dApp 进行交互，从而优化了用户体验。但是，这种便利同时也带来了某些必须解决的复杂问题。ERC-2771漏洞的问题核心在于其对交易中继的处理。该标准旨在允许元交易，即第三方可以代为支付交易所需燃料费。然而，漏洞的产生源于这些交易的处理和验证方式，导致实际交易发起人的身份可能被冒领。这一漏洞导致了TIME代币事件的发生，其根源在于该标准的交易处理机制，特别是ERC2771Context

48、和Multicall合约中存在的漏洞，使得攻击者能够伪造交易发送者 地址。攻击者通过精心设计交易，操纵可信转发者（trustedForwarder）检查来进行漏洞攻击。在这个流程中，ERC2771Context正是依靠该检查来验证交易的实际发送者。通过这种方式，攻击者可以让合约相信交易来自可信地址，但实际上并非如此。这种虚假陈HACK3D 2023安全年度报告ERC-2771 漏洞：定时炸弹述会导致合约执行未经授权的操作。TIME的验证功能包含一个有漏洞的逻辑检查，它错误地将交易的签名者等同于发件人地址，从而允许攻击者假冒该地址并授权本应受到限制的交易。这次事件产生了重大影响。本次漏洞攻击破坏

49、了用户对使用ERC-2771标准的dApp的安全性和的信任度。但对于开发者和项目来说，这表明对其合约尤其是涉及类似元交易等复杂交互流程的合约进行安全审计的迫切 需求。针对这一漏洞的发现，安全社区已经齐心协力修补了漏洞并加固了该框架，以防范未来的攻击。HACK3D 2023安全年度报告机构应用：目前进展如何？机构应用：目前进展如何？2023年，区块链技术在机构应用方面取得了长足进步，这预示着在2024年当概念验证（POCs）进入实际应用阶段后，区块链技术可能会达到一个转折点。引领这一转变的是具有影响力的大型金融机构，如Swift、香港金融管理局和澳新银行集团（ANZ）等，它们都在将区块链技术整合

50、到业务中的研究方面取得了重大进展。作为全球金融信息网络，Swift在区块链互操作性方面迈出了关键性的一步，特别是其关注的代币化资产结算领域。2022年，Swift展示了其基础设施连接各种私有区块链代币化平台的能力，并于2023年8月宣布将以太坊等公链纳入结算范围。这描绘了一幅光明的未来图景：公共网络与私人网络无缝运行，个人和组织可以充分利用这两者的优势。ANZ是澳大利亚四大银行之一，管理的资产规模（AUM）超过1万亿美元。该机构于2022年涉足数字资产领域，推出了该国首个私人稳定币（A$DC），并利用跨链基础设施交易代币化碳信用额度。该银行强调，潜在的中央银行Web3.0货币（CBDCs）和私

51、营企业的创新（如可用作现金等价物的代币化银行存款）在支付领域具有互补性。香港金融管理局（HKMA）于今年2月份发行了1亿美元的代币化绿色债券，继续推动了亚太地区的创新。长青计划（Project Evergreen）不仅倡导技术进步，还旨在为未来的对行业监管适应性调整树立先例。香港金融管理局关于其发行流程的报告中强调，坚持兼顾安全、效率和合规性的战略的重要性，最好能直接与已建成的系统集成。HACK3D 2023安全年度报告与其他传统系统（如现有的托管系统和支付系统）在保证互操作性的前提下集成，在技术上非常复杂。然而一旦克服了这一障碍，就可以成功支持债券交易每个组成部分的 上链。香港债券数字化,香

52、港金融管理局（第21页）香港金融管理局（HKMA）尽量将代币化债券与现行证券法规保持一致。该报告还指出，为促进区块链技术的发展和应用，需要不断更新法律和监管法规。报告提醒了市场割裂的风险，并强调了区块链在更广泛金融领域具备巨大潜力。这些进展表明，人们对区块链在传统金融领域的潜力的认知和接受程度日趋成熟。Swift在促进互操作性方面所做的努力，以及澳新银行在代币化资产和稳定币方面的实际尝试，都体现了人们对区块链作为金融生态系统可行且必要组成部分的信心不断增强。随着这些机构不断创新以及整合区块链的解决方案，它们为大量资本涌入区块链领域铺平了道路。代币化将成为这一转变的关键推动力，可能预示着数万亿美

53、元的机构资本浪潮将涌入区块链世界。机构应用：目前进展如何？HACK3D 2023安全年度报告阅读更多：Digital Assets:From Fringe to Future,BNY Mellon Larry Finks Annual Chairmans Letter to Investors,Blackrock Relevance of On-chain Asset Tokenization in Crypto Winter,Boston Consulting GroupCERTIK的2023年度总结CertiK的2023年度总结2023年对CertiK来说是关键的一年。我们将CertiK的

54、端到端安全解决方案覆盖至了更多的生态系统和项目，除此之外，我们还：发现并披露了Wormhole的Aptos合约中的安全漏洞 CertiK移动安全战略初现成果，苹果公司两度公开致谢，目前CertiK总计发布了8个CVE，还有更多CVE即将发布。重磅消息 CertiK发现重大安全隐患，获SUI奖励50万美元漏洞赏金 CertiK联合创始人顾荣辉教授获VMware重要学术奖项，学界精英开启Web3.0新时代 CertiK获SOC 2 类型 I 和类型II认证：首家通过美国AICPA严苛审核Web3安全审计公司 全球最快公链获认证：TON压力测试刷新纪录，CertiK确认结果有效 重磅|CertiK正

55、式推出Web3合规及风控管理产品SkyInsight，BitMart成为首家采用者 技 术 详 解|C e r t i K 对 蚂 蚁 集 团HyperEnclave先进形式化验证 CertiK携手Ripple：已完成对XRP Ledger自动做市商（AMM）审计 重磅|CertiK与阿里云达成合作伙伴关系，将区块链安全引入云平台 CertiK已完成对Finschia（原LINE区块链）的安全审计，并作为治理成员和节点验证者加入该网络 击破XSS漏洞：CertiK同WalletConnect一起守护用户安全 DeepSEA：智能合约编译器的 Web3 先进形式化验证 CertiK发现Safeh

56、eron开源可信执行环境解决方案安全漏洞，现已携手共同 解决 来自Web3.0的慈善项目：CertiK与Coala Pay合作，助力援助资金众筹 ChatGPT人工智能繁荣背后的基础技术深度学习如何应用于网络安全 对OpenZeppelin的ERC-20应用进行形式化验证 Zentoh&Co.：欺诈者你见过，抽空你几百万美元资产还要秀演技的欺诈者你见过吗 自带反侦察“炸弹”功能的假钱包，要如何识别？背后又隐藏着怎样的秘密？协助OKX等大型交易所和ZenGo等钱包供应商发现并解决漏洞 CertiK Skyfall团队主动的移动端安全研究得到三星认可，并获得多个CVE认证 HACK3D 2023安

57、全年度报告智能合约和区块链安全基础知识深层次区块链安全.与往常一样，我们在官网博客以及官方微信公众号等媒体平台上发布了大量内容，坚持履行了我们为Web3.0领域提供有意义的教育和研究的承诺。以下是2023年的一些关键内容：零知识证明的基础介绍及其在区块链领域的应用 Web3.0 移动钱包应用程序：保护好你的私钥 什么是智能合约审计中的形式化验证？什么是Soulbound NFT？什么是多方计算（MPC）？我们如何审计？CertiK审计方法综合 指南 探索BRC-20代币标准 V神强调的账户抽象，到底能带来怎样的未来？钱包中的多方计算(MPC)关键共识算法 Web3.0中的蜜罐合约 代币经济学在

58、DeFi质押中的应用 硬科技内含的致命威胁：Web3移动端设备安全挑战 Layer 2链扩展：Rollups与SideChains 深入了解了解Telegram机器人及其代币 以Kadena智能合约为例，简析如何规避重入攻击和跨函数攻击 干货分享：区块链运行时环境与智能合约安全建模 关键基础设施：区块链跨链桥的安全 工程 MoveProver：开启区块链开发革命，形式化验证的质量保证 干货满满|钻石代理合约最佳安全实践 技术干货|崩溃的RPC：内存安全区块链RPC节点新型漏洞解析 技术详解|CertiK对TON主链合约完成先进形式化验证 使用FSM进行审计：一种补充方法 ERC-20合约形式化

59、验证中遇到的挑战 FunC中的安全智能合约编程：TON开发人员的十大技巧 以太坊智能合约中的gas fee优化：10大最佳实践 干货满满|BNB链安全开发，这10大实用tips一定要收藏CERTIK的2023年度总结HACK3D 2023安全年度报告威胁与情报 ChatGPT人工智能繁荣背后的基础技术深度学习如何应用于网络安全 深度学习技术在软件安全中的应用初探 探索加密钱包中MPC算法的效率 发现最安全钱包ZenGo问题！防御特权用户攻击细节分析（独家）一茬接一茬，Web3.0移动钱包又现独特钓鱼攻击手法：Modal Phishing 技术详解|如何对Cosmos SDK标准模块进行形式化验

60、证 【研究报告】大多使用N某网站，项目平均不超N天：40个跑路项目，给我们什么启示？通缩币频遭闪电贷攻击，罪魁祸首竟是奖励分配机制？KYC黑色产业链日渐猖獗，Web3.0综合数据平台带你分辨土狗！吓得我一激灵，暗网销售KYC钱包真相 黑客如何利用DNS劫持攻击窃取资金并克隆网站 BGP劫持：黑客如何绕过互联网路由破坏数字信任结构安全 FinSoul：Fintoch欺诈仍在继续 市场低迷时期稳定币的崛起 洗钱：比特币网络在洗白被盗Web3.0货币的过程中发挥越来越大的作用CERTIK的2023年度总结HACK3D 2023安全年度报告CertiK端到端安全解决方案CERTIK端到端安全解决方案为

61、 达 成 确 保 W e b 3.0 世 界 安 全 的 使命，CertiK还开发了许多帮助项目个投资者采取端到端安全解决方案的工具。CertiK KYC尽调服务可为项目团队提供身份验证，包括使用基于AI的检测系统进行ID真实性检查，以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要参数。由于团队的匿名性越来越高，项目的风险行为也越来越具有可能。除此之外，CertiK安全排行榜赋予通过KYC调查的项目团队以青铜、白银、黄金等级的KYC徽章，最大程度上使项目团队去匿名化，建立更完善的问责制，从

62、而增强项目的可信度。渗透测试是确保运行环境中Web3应用程序安全综合解决方案的重要组成部分。我们的渗透测试服务由经验丰富的道德黑客团队通过利用专有工具来发现代码中即便是最为微小的易受攻击之处。漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客，收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK的安全专家团队将负责筛查和鉴定所有提交材料，并协助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。SkyTrace是一种智能、直观的追踪工具，可帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑资金流提供

63、了深入的分析。CertiK Advisory可协助项目团队充分利用Web3.0。我们经验丰富的分析师团队将为合作伙伴提供全面的服务，包括技术评估、专有的研究分析和战略建议。CertiK安全评分排行榜根据项目的安全分数和市场表现列出项目并对其进行排名。安全评分是通过一种专有算法产生的分数，该算法的计算和考量包含了项目的代码安全、基本健康、运营弹性、社区信任、市场稳定性和治理强度等因素。CertiK KYC团队榜则根据项目所获取的CertiK KYC徽章状态进行公示和排名。已通过严格背景调查的项目团队将获得CertiK KYC徽章，CertiK将根据项目团队提供的可验证信息和信息等级授予其KYC黄

64、金徽章、KYC白银徽章或KYC青铜徽章。CertiK KOL榜根据各个KOL的影响力得分进行了排名，这一排名体现了他们作为KOL输出的内容影响力和影响范围。此排行榜对那些有兴趣识别正在塑造Web3.0业内风向标KOL的用户很有帮助。HACK3D 2023安全年度报告CERTIK端到端安全解决方案交易所审计分析允许用户通过显示其链上资产持有量对中心化交易所进行尽职调查。这是储量证明验证的第一步，也是最为关键的一步。天网项目预警系统可对Web3.0货币领域的RugPull攻击和漏洞事件提供第一时间的预警。该系统将实时监控各类信息来源，以识别和报告潜在的Rug Pull攻击和漏洞恶意 利用。智能资金

65、向导是智能货币钱包分析器功能的接入点，可以让用户直接搜索钱包地址并查看钱包搜索趋势、智能资金榜及流动性交易对榜。钱包分析器提供了对钱包地址的分析，并通过显示关键钱包特征、钱包之间的关系和代币交易活动的可视化图片，使用户更容易解读钱包之间的链上交易。立即查看Skynet for Community平台，在Skynet教育中心了解更多信息，并观看使用Skynet提升尽职调查研究水平的大师课程。SkyInsights是一个全面的数字资产合规和风险管理平台。SkyInsights拥有一套功能，包括钱包筛选、实时交易监控和可定制的警报等功能，它可以帮助金融机构、中小企业和数字资产原生平台应对合规复杂性，并帮助面临Web3.0货币风险的机构轻松高效地适应市场监管环境，并增强客户信任。支持的生态系统：CertiK的审计及端到端解决方案已覆盖目前市面上大部分生态系统。目前与我们合作的生态系统包括：Algorand Aptos Arbitrum Avalanche BNB Chain Cardano Cosmos Cronos Ethereum Fantom Ferrum Harmony IoTeX Near OKTC Optimism Polkadot Polygon Solana Terra TON Tron WEMIX zkSyncHACK3D 2023安全年度报告