2023年第三季度Web3安全報(bào)告-2023.10

HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023摘要摘要??2023年第三季度共計(jì)因攻擊損失約7億（699,790,794）美元，超過了第一季度的3.2億美元和第二季度的3.13億美元，成為了今年損失額度最高的一個(gè)季度。其中共發(fā)生184起安全事件，月度損失分別為：7月：79起事件共造成約3億

(308,195,474)

美元損失8月：66起事件共造成約6,000萬

(59,523,398)

美元損失9月：39起事件共造成約3億

(332,071,921)

美元損失按照漏洞類型劃分，損失金額如下：退出騙局：

93起事件共造成約5,000萬（55,216,397）美元損失預(yù)言機(jī)價(jià)格操縱：38起事件共造成約1,664萬（16,638,279）美元損失私鑰泄露：14起事件共造成約2億（204,314,320）美元損失其他攻擊46起，共造成約4億（423,621,797）美元損失????朝鮮的Lazarus犯罪集團(tuán)仍是主要威脅來源之一。僅在2023年，就造成了至少2.91億美元的損失。在第三季度，該犯罪集團(tuán)仍在持續(xù)活動(dòng)中?？偣?4起私鑰泄露事件造成了共計(jì)約2億美元的損失。這些中心化的密鑰管理仍然是一個(gè)重要的風(fēng)險(xiǎn)點(diǎn)。Web3行業(yè)正處于一個(gè)充滿挑戰(zhàn)的時(shí)期，與技術(shù)產(chǎn)品生命周期中的“跨越鴻溝”階段相吻合。該“鴻溝”是早期采用者與主流用戶之間過渡的一個(gè)瓶頸。而金融機(jī)構(gòu)也正在加大對(duì)鏈上技術(shù)的整合力度，這預(yù)示著區(qū)塊鏈技術(shù)即將向主流應(yīng)用轉(zhuǎn)變。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

20232023

Q3

統(tǒng)計(jì)圖表2023

Q3

統(tǒng)計(jì)圖表月度統(tǒng)計(jì)類型統(tǒng)計(jì)79806040200$4億$3億$2億$1億$010075$5億93$4.2億$3.3億66$3億$3.75億$2.5億$1.25億$039504638$2億250$0.6億$0.6億14$0.2億七月八月九月退出騙局預(yù)言機(jī)操縱私鑰丟失其他攻擊事件數(shù)量損失數(shù)額事件數(shù)量損失數(shù)額按鏈上統(tǒng)計(jì)1007550250$4.9億$5億86$3.75億$2.5億65$1.3億$1.25億12$0.4億6$0.2億4$400萬1$20萬3$0.1億1

$730萬1$0.1萬1

$110萬2

$460萬zkSync$0...Arbitrum

AvalancheBaseBNBChainEthereum

Multiple

OptimismChainsOther/Off-ChainPolygonSolana事件數(shù)量損失數(shù)額數(shù)字是近似值，可能會(huì)隨新信息而變化HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

20232023

Q3

統(tǒng)計(jì)圖表2023

Q3

統(tǒng)計(jì)圖表按月度及類型統(tǒng)計(jì)退出騙局：預(yù)言機(jī)操縱：50$3,890萬45$4,000萬$3,000萬$2,000萬$1,000萬$025$100萬$750萬$500萬$250萬23$870萬31$640萬25$1,450萬1787$150萬$190萬00$0七月八月九月七月八月九月事件數(shù)量損失數(shù)額事件數(shù)量損失數(shù)額私鑰丟失：其他攻擊：10$1.25億$1億2523$2.5億$2億$2.3億$2.2億$1億$9,760萬8642020151057$0.75億$0.5億$0.25億$0$1.5億$1億121143$0.5億$0$1,310萬$220萬八月0七月九月七月八月九月事件數(shù)量損失數(shù)額事件數(shù)量損失數(shù)額數(shù)字是近似值，可能會(huì)隨新信息而變化HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023簡(jiǎn)介簡(jiǎn)介歡迎閱讀Hack3d

——

CertiK

2023年第三季度Web3安全報(bào)告。Hack3d是了解Web3領(lǐng)域安全挑戰(zhàn)及漏洞的重要資源和統(tǒng)計(jì)記錄。它為各方提供了必要的知識(shí)和見解，幫助他們?cè)谌找鎳?yán)峻的環(huán)境中加強(qiáng)安全防御，并做出明智的決策。中心化管理是一個(gè)關(guān)鍵漏洞，尤其是讓那些曾被承諾會(huì)擁有去中心化機(jī)制的用戶感到不安。為了解決這個(gè)問題，我們與一個(gè)重要合作伙伴合作開發(fā)了一種新的驗(yàn)證機(jī)制，幫助用戶確保項(xiàng)目采用了增強(qiáng)型私鑰管理解決方案。第三季度發(fā)生了184起安全事件，損失超過7億美元，是2023年損失金額最多的一個(gè)季度。第一季度的損失總額為3.2億美元，第二季度為3.13億美元。這也意味著第三季度的損失超過了整個(gè)2023年上半年的損失。軟件開發(fā)缺乏通用標(biāo)準(zhǔn)仍然是Web3領(lǐng)域的一個(gè)主要問題。大量的黑客攻擊和智能合約漏洞都可以歸因于到行業(yè)安全標(biāo)準(zhǔn)有所缺失。例如，項(xiàng)目大量使用fork的代碼合約，而開發(fā)者和用戶都沒有對(duì)fork的代碼有足夠的了解，因而造成了持續(xù)的損失。而較高的安全標(biāo)準(zhǔn)將為確保一致的安全措施、減少漏洞和提高整個(gè)Web3世界的復(fù)原力提供一個(gè)很好的執(zhí)行框架。Web3黑色產(chǎn)業(yè)最主要的威脅之一是與朝鮮有關(guān)的Lazarus犯罪集團(tuán)。Lazarus今年至少造成了2.91億美元的損失。該組織的復(fù)雜攻擊策略已經(jīng)發(fā)展到專門針對(duì)Web3人員，其中包括利用社交工程方法破壞多個(gè)平臺(tái)的安全。本報(bào)告將詳細(xì)對(duì)其進(jìn)行介紹。正面消息指出，目前一些主要金融機(jī)構(gòu)正在開始有意識(shí)地整合鏈上技術(shù)，這表明主流金融機(jī)構(gòu)正在把眼光投向區(qū)塊鏈應(yīng)用。然而，這種轉(zhuǎn)變也帶來了新的風(fēng)險(xiǎn)，必須謹(jǐn)慎對(duì)待。我們給出了對(duì)這個(gè)正在日益成熟的行業(yè)未來六個(gè)月、十二個(gè)月和十八個(gè)月的預(yù)測(cè)。此

外

，

私

鑰

泄

露

是

另

一

個(gè)

重

要

的

損

失

原因。14起私鑰被盜事件造成了總計(jì)2.04億美元的損失，其中Mixin和Multichain事件共造成了3.25億美元的損失?？梢哉f這是私鑰泄露造成的，但更準(zhǔn)確地說，它是通過中心化管理私鑰造成的。事實(shí)證明，私鑰的CertiK會(huì)定期發(fā)布各種話題的技術(shù)和教育資源，同時(shí)我們也將在本報(bào)告末尾介紹第三季度的部分重點(diǎn)內(nèi)容。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023LAZARUS效應(yīng)Lazarus效應(yīng)↗

朝鮮的Lazarus集團(tuán)是目前Web3領(lǐng)域主要的高級(jí)持續(xù)性威脅(Advanced

PersistentThreat）。在2022年，有20%Web3.0攻擊的造成的損失是由該集團(tuán)造成的，而2023年他們目前已竊取超過2.91億美元。↗

軟件供應(yīng)商JumpCloud的數(shù)據(jù)泄露事件則與一個(gè)隸屬Lazarus的子團(tuán)體所聯(lián)系起來。之后的幾起數(shù)百萬美元的攻擊都與該泄露有關(guān)，其中包括CoinsPaid和Alphapo的數(shù)據(jù)泄露事件。Lazarus成員在這些事件中假扮了招聘人員，并迫使員工下載惡意軟件從而發(fā)起攻擊。↗

美

國(guó)

聯(lián)

邦

調(diào)

查

局

和

C

e

r

t

i

K

的

取

證

分

析

將

L

a

z

a

r

u

s

集

團(tuán)

與

A

t

o

m

i

cWallet、Alphapo、CoinsPaid、S和CoinEx等多個(gè)漏洞聯(lián)系起來，強(qiáng)調(diào)了他們針對(duì)

Web3人員的持續(xù)性魚叉式網(wǎng)絡(luò)釣魚活動(dòng)。與朝鮮有關(guān)聯(lián)的Lazarus集團(tuán)是Web3領(lǐng)域最主要的高級(jí)持續(xù)性威脅之一（AdvancedPersistent

Threat）。他們的網(wǎng)絡(luò)攻擊以系統(tǒng)性竊取私鑰為特點(diǎn)，造成了重大經(jīng)濟(jì)損失。僅在2022年，他們盜取的金額就占據(jù)了Web3行業(yè)被盜總價(jià)值的約20%。2023年至今，Lazarus已在五次重大漏洞中造成超過2.91億美元的損失。高級(jí)持續(xù)性威脅：

擁有復(fù)雜的專業(yè)知識(shí)和大量資源的對(duì)手，通過使用多種不同的攻擊載體（如網(wǎng)絡(luò)、物理和欺騙），為實(shí)現(xiàn)其目標(biāo)創(chuàng)造機(jī)會(huì)、這些目標(biāo)通常是在組織的信息技術(shù)基礎(chǔ)設(shè)施內(nèi)建立和擴(kuò)大其存在，以不斷提取信息和/或破壞或阻礙任務(wù)、計(jì)劃或組織，或使自己處于將來能夠這樣做的位置；此外，高級(jí)持續(xù)威脅會(huì)在較長(zhǎng)時(shí)間內(nèi)保持頻率的反復(fù)試圖達(dá)成威脅目標(biāo)并持續(xù)適應(yīng)防御者采取的安全措施。–

美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院，計(jì)算機(jī)安全資源中心HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023LAZARUS效應(yīng)軟件供應(yīng)商JumpCloud于7月份遭遇數(shù)據(jù)泄露，而他們將原因歸咎了一個(gè)為APT38的Lazarus下屬組織。JumpCloud雖然通知了用戶，并操作讓所有現(xiàn)有API密鑰失效。然而漏洞最終還是被利用，造成了數(shù)百萬美元的損失。在平臺(tái)被黑之后，CoinsPaid的事后調(diào)查揭示了這樣一個(gè)精心策劃的陰謀：Lazarus成

員

在

L

i

n

k

e

d

I

n

上

冒

充

招

聘

人

員

，

向CoinsPaid員工提供報(bào)酬豐厚的從16,000美元到24,000美元每月的工作機(jī)會(huì)。而這些工作機(jī)會(huì)的最終目的是迫使員工下載惡意軟件“JumpCloud

Agent”。該軟件主要用于提取包括私鑰等敏感數(shù)據(jù)，「幫助」Lazarus成功從平臺(tái)上竊取資金。而該手段可以看得出，Lazarus犯罪集團(tuán)有了新的戰(zhàn)略計(jì)劃，那就是利用某些Web3組織固有的Web2漏洞。鑒于這些漏洞的復(fù)雜性，JumpCloud的漏洞有可能為隨后的CoinsPaid攻擊提供了便利。針對(duì)AtomicWallet、Alphapo、S和CoinEx的攻擊很可能也是采用了類似策略。鏈上資金追蹤美國(guó)聯(lián)邦調(diào)查局認(rèn)為，S的4100萬美元漏洞是由Lazarus

Group所為。而CertiK的取證分析進(jìn)一步確定了AtomicWallet、Alphapo、CoinsPaid、Stake.com和CoinEx漏洞鏈上之間的聯(lián)系。取證分析也充分表明了以上漏洞利用行為確為L(zhǎng)azarus集團(tuán)所為。7月22日發(fā)生的CoinsPaid和Alphapo入侵事件分別造成了3,700萬美元和2,300萬美元的損失，而這兩起事件的原因都是私鑰被泄露。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023LAZARUS效應(yīng)這些漏洞的確相互關(guān)聯(lián)，并且AtomicWallet、Alphapo、S和CoinEx共同交織在了一組已知的Lazarus錢包中。例如，在S的漏洞中，資金被轉(zhuǎn)移到了以太坊錢包地址，而這些地址與其他漏洞的相關(guān)地址進(jìn)行了交易。這也為聯(lián)邦調(diào)查局得出Lazarus集團(tuán)參與了這些事件提供了鏈上證據(jù)。Lazarus集團(tuán)最近的作案手法主要是針對(duì)Web3人員發(fā)起的魚叉式網(wǎng)絡(luò)釣魚活動(dòng)。為減少此類威脅，Web3專業(yè)人員需謹(jǐn)慎對(duì)待那些主動(dòng)提供的工作機(jī)會(huì)，特別是那些包含文檔附件或提出異常豐厚報(bào)酬的“誘人餡餅”。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023私鑰被泄露私鑰被泄露↗

私鑰泄露造成的損失占第三季度總損失的23%。↗

CertiK與Safeheron的合作為用戶引入了一種驗(yàn)證機(jī)制，以確保項(xiàng)目擁有安全的私鑰管理系統(tǒng)。私鑰泄露造成的損失竟高達(dá)第三季度總損失的近四分之一。而讓一個(gè)地址控制數(shù)以億計(jì)的價(jià)值，就如同把數(shù)噸黃金鉆石交給一個(gè)熟人，你只能祈禱他保管的時(shí)候不要出錯(cuò)。盡管該協(xié)議稱自己是去中心化的，但據(jù)披露，Multichain的所有多方計(jì)算服務(wù)器和私鑰都完全在CEO趙軍的控制之下，而這些服務(wù)器和私鑰最后都被移交給了警方。這種中心化控制最終導(dǎo)致了協(xié)議無法運(yùn)行，而

M

u

l

t

i

c

h

a

i

n

上

鎖

定

的

1

5

億

美

元

總

價(jià)

值（TVL）也因此無法被訪問。項(xiàng)

目

即

便

采

用

了

更

安

全

的

多

方

計(jì)

算（MPC）設(shè)置，也需要對(duì)控制合約的獨(dú)立密鑰進(jìn)行真正的去中心化。但當(dāng)Multichain上的資金開始被神秘轉(zhuǎn)移身份不明的錢包時(shí)，情況進(jìn)一步惡化。7月份導(dǎo)致1.25億美元損失的Multichain入侵事件就是一個(gè)典型的例子。這一事件凸顯了安全私鑰保管在區(qū)塊鏈操作中的極端重要性。Multichain首席執(zhí)行官被捕，再次敲響了單人掌握控制權(quán)可能會(huì)導(dǎo)致重大漏洞的警鐘。這種中心化操作不僅會(huì)危及協(xié)議的安全和功能，還會(huì)給系統(tǒng)中的資金和資產(chǎn)帶來不可控的風(fēng)險(xiǎn)。為

了

主

動(dòng)

提

高

私

鑰

管

理

的

透

明

度

和

安

全性，CertiK與企業(yè)私鑰自我保管服務(wù)提供商Safeheron進(jìn)行了合作。而此次合作之HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023私鑰被泄露下，也誕生了一種新型驗(yàn)證機(jī)制。該機(jī)制旨在使用戶能夠確認(rèn)項(xiàng)目是否集成了先進(jìn)的私鑰管理系統(tǒng)。并不表示這些風(fēng)險(xiǎn)就被項(xiàng)目方最終解決了（實(shí)施建議解決方案的最終決策權(quán)在于項(xiàng)目的所有者）。許多Web3項(xiàng)目直接或間接地通過智能合約或個(gè)人賬戶地址管理資金。這種配置可能會(huì)無意中造成單點(diǎn)故障，正如Multichain事件中大家看到的那樣，如果這些地址被泄露，無論是通過私鑰泄漏還是惡意活動(dòng)，項(xiàng)目及其用戶都很容易面臨重大風(fēng)險(xiǎn)和不可挽回的損失。為了彌補(bǔ)這個(gè)問題，CertiK與Safeheron的合作引入了接口，允許安全公司驗(yàn)證項(xiàng)目地址是否真正受到密鑰托管解決方案的保護(hù)。此舉不僅提高了透明度，還有助于安全審計(jì)人員和用戶確認(rèn)項(xiàng)目是否確實(shí)采取了措施來應(yīng)對(duì)中心化風(fēng)險(xiǎn)。值得注意的是：雖然CertiK等安全公司在審計(jì)審查過程中強(qiáng)調(diào)了這些中心化風(fēng)險(xiǎn)，但HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023MIXIN百萬美元損失Mixin百萬美元損失北京時(shí)間2023年9月23日凌晨，總部位于香港的Web3公司Mixin發(fā)生了一起安全漏洞事件，導(dǎo)致約2億美元被盜。黑客入侵了Mixin

Network云服務(wù)提供商數(shù)據(jù)庫(kù)。隨后，公司暫時(shí)中止了其網(wǎng)絡(luò)上的存款和取款服務(wù)。該公司還保證，一旦漏洞得到確認(rèn)和修復(fù)，將恢復(fù)服務(wù)。損失最高記錄則是Web3.0借貸平臺(tái)Euler于3月份損失的1.97億美元。Mixin對(duì)此尚未披露具體細(xì)節(jié)，我們只能了解到事件起因是中央控制點(diǎn)遭到破壞。該公司在隨后的更新中還宣布：“情況比預(yù)期的要樂觀很多；損失沒有預(yù)計(jì)的嚴(yán)重"。雖然更多細(xì)節(jié)還在不斷涌現(xiàn)，但由于非區(qū)塊鏈協(xié)議和依賴關(guān)系帶來了全新的潛在漏洞，該事件呈現(xiàn)出了完全去中心化的Web3協(xié)議的重要性。雖

然

漏

洞

常

有

，

但

是

此

次

漏

洞

的

發(fā)

生

在Web3領(lǐng)域可謂意義重大。該漏洞的損失金額是2023年Web3領(lǐng)域內(nèi)最高的。此前的經(jīng)過幾天的時(shí)間，我們完成了大部分資產(chǎn)統(tǒng)計(jì)工作，情況比預(yù)期樂觀得多。損失并沒有預(yù)估的那么嚴(yán)重。我們?cè)俅翁嵝汛蠹遥瑫簳r(shí)不要在Mixin

Network上進(jìn)行交易、做市等活動(dòng)，以免造成不必要的損失。對(duì)于資產(chǎn)損失，除了表示歉意之外，我們將通過行動(dòng)來承擔(dān)責(zé)任。同時(shí)，Mixin一直秉持負(fù)責(zé)的態(tài)度，具體的補(bǔ)償規(guī)則還需要一些時(shí)間。—

@MixinKernelHACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞Vyper事件分析：年度最大重入鎖失效漏洞↗

Vyper事件造成了6,930萬美元的損失，白帽黑客追回1,670萬美元。↗

特定Vyper編譯器版本中的重入漏洞為利用漏洞提供了便利。↗

持續(xù)的安全評(píng)估和及時(shí)的升級(jí)對(duì)于保護(hù)資產(chǎn)和維護(hù)DeFi生態(tài)系統(tǒng)至關(guān)重要。2

0

2

3

年

7

月

3

0

日

，

專

為

以

太

坊

虛

擬

機(jī)（

E

V

M

）

設(shè)

計(jì)

的

面

向

合

約

的

編

程

語

言Vyper編譯器0.2.15、0.2.16和0.3.0版本被宣布存在重入鎖失效漏洞。攻擊者可在`remove_liquidity()`過程中調(diào)用`ad_liquidity()`函數(shù)，從而利用漏洞。該事件導(dǎo)

致

了

6

,

9

3

0

萬

美

元

的

損

失

，

其

中

1

,

6

7

0萬美元最終被白帽黑客追回，凈損失約為5,200萬美元，成為了2023年最重大的重入攻擊事件。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞C

e

r

t

i

K

確

定

有

六

個(gè)

地

址

涉

及

此

次

事

件

。第

一

個(gè)

錢

包

（

0

x

1

7

2

）

未

能

利

用

區(qū)

塊17806056中的漏洞。最初的漏洞利用者從Tornado

Cash提取了0.1ETH，并繼續(xù)創(chuàng)建攻擊合約。然而，一個(gè)搶先交易的錢包（0x6Ec21）支付了更多的gas費(fèi)用，并

率

先

執(zhí)

行

了

交

易

，

獲

得

了

大

約

6

,

1

0

0

枚WETH（1,140萬美元）。攻擊起因攻擊者及其作案手法為以太坊虛擬機(jī)（EVM）量身定制的面向合約的語言Vyper披露，上述編譯器版本易受重入鎖故障的影響。這個(gè)漏洞產(chǎn)生了連鎖效應(yīng)，影響了多個(gè)DeFi項(xiàng)目，最終導(dǎo)致總計(jì)5,200萬美元的損失。經(jīng)確認(rèn)，重入鎖攻擊的主要目標(biāo)是pETH-ETH-f池。與該事件有關(guān)的六個(gè)錢包已被鎖定。最初的一個(gè)錢包試圖利用該漏洞，但沒有成功。隨后攻擊者成功盜取了價(jià)值超過1,140萬美元的資產(chǎn)。該漏洞進(jìn)一步促成了其他重大損失，其中一個(gè)價(jià)值約2,100萬美元。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞VYPER簡(jiǎn)介Vyper的語法與Python相似，是以太坊虛擬機(jī)（EVM）的一種面向合約的pythonic編程語言，專為EVM區(qū)塊鏈開發(fā)。雖然Solidity仍是以太坊生態(tài)系統(tǒng)中的主流語言，但Vyper的智能合約在DeFi協(xié)議的總鎖倉(cāng)價(jià)值中占了很大一部分。盡管與Solidity相比，Vyper的總鎖倉(cāng)價(jià)值主導(dǎo)地位較低，但這一事件仍影響了6,200萬美元的巨額資產(chǎn)。潛在漏洞該漏洞的核心是一個(gè)重入漏洞，該漏洞允許攻擊者在移除流動(dòng)性過程中調(diào)用添加流動(dòng)性函數(shù)。雖然這些函數(shù)本應(yīng)受到@nonreentrant(‘lock’的保護(hù)，但對(duì)add_liquidty()remove_liquidity()

函數(shù)的測(cè)試證明，它并不能防止重入攻擊。和建議使用有漏洞的Vyper版本的項(xiàng)目應(yīng)聯(lián)系Vyper協(xié)助進(jìn)行修復(fù)。項(xiàng)目也應(yīng)盡量升級(jí)到不含此漏洞的最新版Vyper。Vyper事件是2023年發(fā)現(xiàn)的最大的重入漏洞，占截至當(dāng)時(shí)因此類攻擊而損失的資金總額的78.6%。該事件凸顯了嚴(yán)格的安全實(shí)踐的重要性，以及在快速發(fā)展的區(qū)塊鏈和DeFi世界中持續(xù)保持警惕的必要性。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠(yuǎn)？跨越鴻溝：Web3春天究竟還有多遠(yuǎn)？↗

在一些人士看來，Web3行業(yè)尚處在充滿挑戰(zhàn)的時(shí)期，距離重新崛起似乎還有一段路程。↗

這種低迷是傳統(tǒng)市場(chǎng)周期中“蕭條”階段的象征，而該行業(yè)目前正處于技術(shù)采納聲明周期曲線的“鴻溝”階段?？缭皆擑櫆希缙趧?chuàng)新者才能邁入更廣泛市場(chǎng)的受眾當(dāng)中。↗

盡管存在不少挑戰(zhàn)，主要金融機(jī)構(gòu)在整合區(qū)塊鏈技術(shù)方面正在取得重大進(jìn)展。這也標(biāo)志著區(qū)塊鏈應(yīng)用正在發(fā)生切實(shí)轉(zhuǎn)變。雖

然

W

e

b

3

貨

幣

目

前

正

處

于

不

見

天

日

的

寒冬，但我們?nèi)匀蝗〉昧嗽S多積極的進(jìn)展。后文將探討技術(shù)應(yīng)用周期的現(xiàn)狀，包括誰可能會(huì)是帶領(lǐng)大家走出Web3寒冬、邁向春天的主要參與者，最后，還將對(duì)未來6個(gè)月、12個(gè)月和18個(gè)月后的前景做出預(yù)測(cè)。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠(yuǎn)？報(bào)告顯示，10%到20%的美國(guó)人擁有Web3貨

幣

，

而

這

一

數(shù)

字

在

尼

日

利

亞

和

土

耳

其

等國(guó)則躍升到了47%，印度尼西亞（29%）、巴西（28%）以及印度（27%）等國(guó)擁有Web3貨幣的民眾比例保持在四分之一以上，而瑞士（21%）、韓國(guó)（20%）、荷蘭（19%）和澳大利亞（17%）等發(fā)達(dá)經(jīng)濟(jì)體均位居前20位。騙子愈加變本加厲地利用單純的用戶進(jìn)行詐騙——Rug

pulls、pump

and

dumps、假ICOs。每一次下滑，該行業(yè)都會(huì)經(jīng)歷某種“自然選擇”。那些基礎(chǔ)薄弱、沒有堅(jiān)實(shí)基礎(chǔ)或明確使用案例的項(xiàng)目都會(huì)被淘汰出局。剩下的則是創(chuàng)新者、有遠(yuǎn)見的項(xiàng)目和真正有價(jià)值的平臺(tái)。現(xiàn)

在

，

W

e

b

3

看

似

正

處

于

低

谷

。

由

于

看

跌趨

勢(shì)

超

過

看

漲

反

彈

，

市

場(chǎng)

波

動(dòng)

甚

至

讓

最

堅(jiān)定

的

H

O

D

L

e

r

（

長(zhǎng)

期

持

有

W

e

b

3

貨

幣

的

群體）的信念也開始動(dòng)搖。每當(dāng)你打開X（前Twitter）時(shí)，就會(huì)看到某個(gè)DeFi平臺(tái)的流動(dòng)性被耗盡，或者一個(gè)中心化交易所受到攻擊。每個(gè)項(xiàng)目的理想和光輝歲月都和這些信號(hào)還有負(fù)面消息看起來大相徑庭。而正是在這些看似停滯的時(shí)期，為下一階段的創(chuàng)新奠定了基礎(chǔ)。那么下一階段的創(chuàng)新是什么樣的呢？雖

然

無

法

做

出

具

體

預(yù)

測(cè)

，

但

市

場(chǎng)

還

是給

出

了

一

些

信

號(hào)

。

根

據(jù)

紐

約

梅

隆

銀

行而越是在這種情況下，騙子和投機(jī)分子的膽子就越來越大，快速致富的誘惑促使著許多HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠(yuǎn)？（Mellon）2022

年的一份報(bào)告，97%的機(jī)構(gòu)投資者都認(rèn)為“代幣化將徹底改變資產(chǎn)管理”。在同一份報(bào)告中，63%的受訪者認(rèn)為機(jī)構(gòu)投資者將推動(dòng)數(shù)字資產(chǎn)的采用——這有可能為鏈上帶來數(shù)萬億美元的價(jià)值。這項(xiàng)調(diào)查的受訪者包括對(duì)沖基金、資產(chǎn)所有者（養(yǎng)老基金、捐贈(zèng)基金、保險(xiǎn)機(jī)構(gòu)等）和機(jī)構(gòu)資產(chǎn)經(jīng)理。與李嘉圖合約的結(jié)合是Web3技術(shù)在法律領(lǐng)域的創(chuàng)新應(yīng)用。此外，該公司的目標(biāo)是將發(fā)行債券的凈收益（約3,150萬港元）用于Web3和區(qū)塊鏈業(yè)務(wù)的發(fā)展。如果說DeFi在過去幾年的崛起是Web3技術(shù)的試驗(yàn)場(chǎng)，那么大型金融機(jī)構(gòu)似乎已經(jīng)準(zhǔn)備好涉足這一領(lǐng)域。由于私有鏈和公有鏈之間的互操作性是一個(gè)主要的工作領(lǐng)域，從TradFi到DeFi的價(jià)值自由流動(dòng)是不可避免的。大多數(shù)用戶可能會(huì)通過前端應(yīng)用程序與Web3.0技術(shù)進(jìn)行交互，這些應(yīng)用程序會(huì)抽象出技術(shù)的復(fù)雜性，同時(shí)保留其變革性優(yōu)勢(shì)。在去中心化和傳統(tǒng)金融的交匯點(diǎn)上，已經(jīng)出現(xiàn)了一些重大舉措。2023年6月23日，董事會(huì)審議并通過了一項(xiàng)決議。批準(zhǔn)、確認(rèn)并追認(rèn)發(fā)行本金總額不超過1億港元的債券。債券將使

用

分

布

式

賬

本

技

術(shù)

（

代

替

紙

張

）

記錄，并將使用數(shù)字所有權(quán)token標(biāo)準(zhǔn)實(shí)施。雖然

Web3.0領(lǐng)域目前正處于低谷，但該行業(yè)的未來是光明可期的。中國(guó)信息科技發(fā)展有限公司發(fā)行債券等將傳統(tǒng)金融系統(tǒng)與去中心化技術(shù)融合的舉措，表明了向主流應(yīng)用的邁進(jìn)。在機(jī)構(gòu)興趣和技術(shù)進(jìn)步的推動(dòng)下，該融合正是表明了我們處于創(chuàng)新和新時(shí)代增長(zhǎng)的風(fēng)口浪尖。–

中國(guó)信息科技發(fā)展有限公司中國(guó)信息科技發(fā)展有限公司正在利用區(qū)塊鏈技術(shù)發(fā)行債券，標(biāo)志著傳統(tǒng)金融工具與Web3技術(shù)的結(jié)合邁出了重要一步。作為數(shù)字所有權(quán)token標(biāo)準(zhǔn)的一部分，智能合約HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠(yuǎn)？未來預(yù)測(cè)6個(gè)月:18個(gè)月:↗

企業(yè)試點(diǎn)：大型企業(yè)或?qū)?dòng)或擴(kuò)大試點(diǎn)項(xiàng)目，將區(qū)塊鏈整合到供應(yīng)鏈管理、身份驗(yàn)證或數(shù)據(jù)完整性中。↗

廣泛的互操作性：大多數(shù)主流的區(qū)塊鏈都將具有完整的互操作性，從而實(shí)現(xiàn)真正互聯(lián)和統(tǒng)一的Web3生態(tài)系統(tǒng)。↗

互操作性的里程碑：第一代跨鏈橋和協(xié)議將從實(shí)驗(yàn)階段進(jìn)入穩(wěn)定階段，實(shí)現(xiàn)以太坊等公共網(wǎng)絡(luò)與（半）許可網(wǎng)絡(luò)（如Avalanche的子網(wǎng)和Quorum）之間的無縫價(jià)值轉(zhuǎn)移。↗

隱私常規(guī)化：隱私功能不再是可選的附加功能，而是將成為大多數(shù)Web3應(yīng)用程序的標(biāo)配，以滿足用戶對(duì)數(shù)據(jù)安全日益增長(zhǎng)的需求。↗金融產(chǎn)品融合：傳統(tǒng)金融產(chǎn)品和DeFi產(chǎn)↗

初步的隱私解決方案：在金融交易中實(shí)現(xiàn)零知識(shí)證明等基本隱私保護(hù)技術(shù)將得到采用。品在很大程度上可以互換互通。當(dāng)然這很大程度上歸功于滿足監(jiān)管要求的橋和合規(guī)措施。↗

全球采用率增長(zhǎng)：用戶統(tǒng)計(jì)數(shù)據(jù)將顯示，在易用性、強(qiáng)大的安全功能和明確的監(jiān)管準(zhǔn)則的推動(dòng)下，全球采用率將達(dá)到臨界質(zhì)量——跨越鴻溝。12個(gè)月:↗

主流用戶體驗(yàn)改進(jìn)：Web3應(yīng)用程序的用戶界面將變得越來越直觀，進(jìn)而吸引新一波非專業(yè)技術(shù)類型用戶。↗

成熟的企業(yè)解決方案：企業(yè)級(jí)區(qū)塊鏈解決方案將從試點(diǎn)階段進(jìn)入全面部署階段，這標(biāo)志著其穩(wěn)健性和主流業(yè)務(wù)使用的準(zhǔn)備已就緒。以上預(yù)測(cè)都基于當(dāng)前技術(shù)發(fā)展的趨勢(shì)和可觀察到的勢(shì)頭、監(jiān)管的轉(zhuǎn)變和大眾觀念的變化。雖然過程中，我們會(huì)遇到不可避免及不可預(yù)見的挑戰(zhàn)，但這些趨勢(shì)足以表明，Web3生態(tài)系統(tǒng)正朝著更加集成、更易訪問的方向發(fā)展。↗

現(xiàn)實(shí)世界資產(chǎn)的代幣化：房地產(chǎn)、藝術(shù)品甚至知識(shí)產(chǎn)權(quán)都將開始加速代幣化，從而產(chǎn)生新型投資產(chǎn)品。↗

監(jiān)管清晰化：更多明確的支持性法規(guī)將出臺(tái)，為機(jī)構(gòu)投資提供所需的法律支持。↗

身份管理：去中心化身份解決方案將變得更加強(qiáng)大，并開始與政府和機(jī)構(gòu)數(shù)據(jù)庫(kù)整合。↗

可持續(xù)性倡議：在社區(qū)倡議和機(jī)構(gòu)資金的支持下，以減少行業(yè)碳足跡為重點(diǎn)的區(qū)塊鏈項(xiàng)目將受到重視并獲得更多支持。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023Q3Q3BOT及其相關(guān)的一切：黑客如何利用

DNS

劫持攻擊竊解讀TELEGRAM

BOT

TOKENS

取資金和復(fù)制網(wǎng)站Telegram

Bot代幣（TBTs）在第三季度增長(zhǎng)迅速。該代幣方便用戶通過Telegram界面進(jìn)行各種

DeFi操作，并在此過程中整合代幣。然而，CertiK對(duì)CoinGecko的Telegram

Bot

Token目錄中列出的61個(gè)項(xiàng)目進(jìn)行仔細(xì)研究后發(fā)現(xiàn)，近40%的TBT可能不活躍，或者不太可能從大幅拋售中反彈，甚至是欺詐性的。雖然這些代幣引入了創(chuàng)新的交易方法，但許多代幣缺乏有關(guān)其操作和界面中私鑰管理的關(guān)鍵技術(shù)細(xì)節(jié)。Telegram

機(jī)器人（如

Unibot）已經(jīng)獲得了廣泛的關(guān)注，為用戶提供了整合數(shù)據(jù)并將其納入交易策略的新方法。然而，這些平臺(tái)的迅速崛起也導(dǎo)致了一些純炒作項(xiàng)目的激增。鑒于其私鑰存儲(chǔ)和生成方面的風(fēng)險(xiǎn)，我們建議用戶謹(jǐn)慎使用這些平臺(tái)，并將其功能設(shè)定為交易用途，而非長(zhǎng)期資產(chǎn)存儲(chǔ)。近

期

的

一

些

事

件

發(fā)

生

，

特

別

是

與

域

名

系統(tǒng)

(DNS)

劫持攻擊相關(guān)的事件，凸顯了Web3生態(tài)系統(tǒng)中Web

2基礎(chǔ)設(shè)施的薄弱。這些攻擊利用了DNS釣魚用戶的錢包種子短語，并模仿合法網(wǎng)站創(chuàng)建欺詐性網(wǎng)頁來以假亂真。對(duì)比分析表明，與傳統(tǒng)的分層中心化DNS相

比

，

基

于

分

布

式

賬

本

技

術(shù)

（

D

L

T

）

的DNS更具有安全優(yōu)勢(shì)。一些Web3平臺(tái)因這些攻擊而受到了不少經(jīng)濟(jì)損失，這也表明了向去中心化解決方案轉(zhuǎn)變的必要性。未來，我們可將基于分布式賬本技術(shù)的DNS與跨計(jì)劃文件系統(tǒng)

(IPFS)

相結(jié)合，以增強(qiáng)安全性和抵御此類威脅。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023Q3使用LAYER

2進(jìn)行擴(kuò)展：ROLLUPS

VS

SIDECHAINS側(cè)鏈?zhǔn)裁词琴~戶抽象？賬戶抽象是以太坊社區(qū)最近的一項(xiàng)發(fā)展，旨在增強(qiáng)以太坊區(qū)塊鏈的靈活性和用戶友好性。它允許用戶根據(jù)自己的特定需求定制與以太坊區(qū)塊鏈的交互。傳統(tǒng)上，用戶使用與唯一私鑰相連的外部擁有賬戶（EOA）與以太坊進(jìn)行交互，而賬戶抽象則引入了更細(xì)顆粒度的控制，并實(shí)現(xiàn)了多重簽名交易、社交賬號(hào)恢復(fù)和智能合約交互限制等功能。Layer

2協(xié)議，特別是rollups和側(cè)鏈，是區(qū)塊鏈擴(kuò)展解決方案的前沿選手。rollups在基礎(chǔ)Layer

1區(qū)塊鏈上捆綁交易。受益于L1和L2之間不同的執(zhí)行狀態(tài)，L2上的交易處理速度更快。Rollups主要有兩種類型：樂觀型rollups和零知識(shí)型rollups，樂觀型rollups假定交易有效，只在出現(xiàn)爭(zhēng)議時(shí)才進(jìn)行干預(yù)；零知識(shí)型rollups則利用專門的執(zhí)行虛擬機(jī)來確認(rèn)交易的準(zhǔn)確性。相反，側(cè)鏈配備了獨(dú)特的共識(shí)算法和驗(yàn)證器，幾乎獨(dú)立于其主鏈運(yùn)行。雖然rollups和側(cè)鏈都能提高可擴(kuò)展性，但它們也在安全性和去中心化方面帶來了特定的挑戰(zhàn)。這一創(chuàng)新帶來了很多優(yōu)點(diǎn)：如易用性、安全性和包括gas費(fèi)用支付形式在內(nèi)的靈活性。通過允許用戶使用以太幣（ETH）以外的代幣支付gas費(fèi)并使第三方能夠支付交易費(fèi)用，賬戶抽象可以顯著改善用戶體驗(yàn)，促進(jìn)以太坊更廣泛的應(yīng)用。HACK3D:

WEB3.0領(lǐng)域安全現(xiàn)狀

/

Q3

2023CERTIK端到端安全解決方案CertiK端到端安全解決方案在致力于保護(hù)Web3.0的道路上，CertiK開發(fā)了許多幫助項(xiàng)目采取端到端安全解決方案的工具。助客戶進(jìn)行正確的修復(fù)。我們的0%費(fèi)用模式降低了項(xiàng)目團(tuán)隊(duì)的支付負(fù)擔(dān)，白帽黑客可因此獲取全額賞金。CertiK

KYC盡調(diào)服務(wù)可為項(xiàng)目團(tuán)隊(duì)提供身份驗(yàn)證，包括使用基于AI的檢測(cè)系統(tǒng)進(jìn)行ID真實(shí)性檢查，以確保個(gè)人身份真實(shí)并與ID相匹配。除了在身份驗(yàn)證過程中進(jìn)行實(shí)時(shí)有效性檢查外，CertiK還將與每個(gè)項(xiàng)目團(tuán)隊(duì)成員進(jìn)行