CertiK《Hack3d：2024年度安全报告》（附报告全文链接）

CertiK《Hack3d：2024年度安全报告》现已发布，本次报告深入分析了2024年Web3.0领域的安全状况。2024年损失总额超过23亿美元，同比增幅高达31.61%；其中，12月的损失金额最少。过去一年，网络钓鱼攻击和私钥泄露频发，已成为对行业影响最为显著的攻击手段。

关键数据

全年损失：2024年，Web3.0行业共发生760起链上安全事件，总损失约为23.63亿美元。与2023年相比，2024年的总损失增加了约31.61%，安全事件数量同比增加了29起。

平均损失：2024年每起安全事件的平均损失金额约为310.89万美元（较去年增长23.04%），损失金额的中位数约为15.09万美元（同比增幅高达46.83%）。

月度数据：5月是全年损失最严重的月份，共发生63起事件，损失总额达4.44亿美元。12月的损失金额最少，共计2670万美元。

季度数据：与2023年第三季度类似，2024年第三季度的损失也最为严重，共发生157起攻击、欺诈和漏洞利用事件，造成总损失约为7.53亿美元。而第四季度总损失金额下降了46.65%。

主要攻击方式：网络钓鱼攻击成为2024年造成损失最严重的攻击方式，共发生296起事件，造成总损失约10.5亿美元，其中有3起单笔损失超过1亿美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半，同时占攻击事件总数的39.1%。这表明，平均来看，网络钓鱼事件造成的单次损失远高于其他漏洞。

排在第二位的是私钥泄露，本年度共发生65起事件，造成总损失约8.55亿美元。2024年全年，网络钓鱼和私钥泄露事件在各个季度都频繁发生。

链上安全事件分布：以太坊是遭受安全事件最多的区块链，共发生403起攻击、欺诈和漏洞利用攻击，总计损失约7.49亿美元，平均每起事件损失185.78万美元。比特币链和波场链（Tron）紧随其后，分别损失约5.67亿美元和1.36亿美元。涉及多链的安全事件共发生39起，造成4.35亿美元的损失。

安全趋势

网络钓鱼之所以成为攻击者的首选，源于其操作简单且高效：不同于依赖技术突破的攻击手段，网络钓鱼更多地利用了人性的弱点。攻击者通过伪造邮件、伪造网站或欺诈信息，诱导受害者主动泄露密码、私钥或钱包地址等敏感信息。在Web3.0领域，交易的不可逆性进一步放大了网络钓鱼的破坏力——一旦资金被转移，除非攻击者主动归还，否则几乎无法追回。

然而，如果剔除网络钓鱼攻击造成的损失，整体生态的安全性有所改善。例如，2024年仅有一起安全事件（WazirX，损失2.31亿美元）列入2021年至今的前20大事件名单。这意味着，单次损失超过1亿美元的重大事件正在逐渐减少。

行业趋势

2024年，Web3.0行业迎来了里程碑式的进展，其在主流金融领域的接受度和整合程度显著提升。然而，这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。

随着市场信心的恢复，“Web3.0寒冬”的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入，这种稳定的资金增长为比特币突破10万美元大关的历史性里程碑奠定了基础。此事件发生在2024年美国总统大选之后，同时推动了以太坊、Solana等其他主流数字货币的价格同步上涨。

特朗普再次当选总统显然成为美国Web3.0行业的一个转折点，并可能对全球其他市场产生影响。

尽管全球不同的监管策略对Web3.0行业的影响各有不同，但有一点始终不变：安全性至关重要。随着市场的持续发展并逐步融入传统金融体系，项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。

年度回顾

2024年，对CertiK来说也是具有里程碑意义的一年，我们取得了诸多成就，持续为Web3.0安全贡献着力量：

技术突破：

• 完成了zkWasm电路包含144条指令的形式化验证，这是零知识证明生态系统中的首个全面完成的形式化验证工作。

• 对Bybit拥有超过100万用户的无私钥钱包组件进行严格的渗透测试。

• 对GalaChain的首个公共SDK进行了安全评估，并使用SDK对GalaChain进行了性能测试，发现了一些系统效率问题，协助其团队优化了代码库。

漏洞发现：

• 发现CosmWasm中的重大漏洞，该漏洞允许不受信任的Wasm在超过20个Cosmos生态系统中的应用链上运行。

• 因成功识别并降低了系统中的重大安全风险，获得了字节跳动公司的致谢。

• 向蚂蚁安全响应中心报告了蚂蚁集团系统中的一项潜在风险，并协助其迅速实施了必要的安全措施。

• 因发现了Apple Vision Pro眼球追踪技术中的一项漏洞第六次获得Apple的认可。

• 发现了三星Blockchain Keystore中的一项高危漏洞而第三次获得三星致谢。

客户服务：

• 升级了CertiK的产品及服务，推出全生命周期安全解决方案，致力于覆盖项目从初创到成为明星项目的全部阶段；同时推出以Token Scan和Wallet Scan为首的多种免费安全工具，帮助用户保护资产安全。

• 推出了CertiK Ventures，公布其4500万美元的投资计划。

• 提出全新品牌标语“Elevating Your Entire Web3 Journey”，诠释了我们致力于提供创新和全周期产品与服务的承诺。

行业影响：

• 深入研究去中心化物理基础设施网络（DePIN），帮助如APhone和Aethir等项目降低安全风险，并在2024年高通产品安全峰会上分享有关DePIN领域的经验与见解。

• 为福布斯2024上半年度数字资产排行榜前十中的6个项目提供审计服务，包括TON、Core DAO、PEPE、FLOKI、FET和Bitget。

• CertK联合创始人兼CEO顾荣辉教授出席2024年新加坡金融科技节，并接受包括Money FM、联合早报、香港明报、香港信报和彭博商业周刊在内的多家国际媒体采访。

• 顾荣辉教授与币安创始人CZ（赵长鹏）进行炉边谈话，探讨了Web3.0安全挑战、区块链创新及塑造生态未来等关键议题。

监管建议：

• 为新加坡金融管理局（MAS）的稳定币框架提供的建议获得认可。

• 向香港金融管理局（HKMA）及香港财经事务及库务局（FSTB）提交了两项稳定币监管建议，并均获批准。

市场地位：

• 2024年7月，CertiK占据全球Web3.0审计市场近50%的份额。

• 在TON官方的安全保障服务提供商名单中排名第一。

结语

CertiK致力于持续追踪Web3.0领域的安全趋势，迄今为止已进行70余次白帽行动，报告4000多起安全事件，发现11.5万多个代码漏洞，保护了超过5100亿美元的数字资产免受潜在损失；并通过年度和季度安全报告的形式，向业界提供关键的安全资讯。安全报告一经发布，便得到行业的高度重视，迅速被CoinDesk和Cointelegraph等Web3.0领域的核心媒体所报道和引用。

CertiK的年度报告还深入分析了2024年攻击频发的区块链平台、被盗金额与总锁仓量（TVL）等因素的关系、年度重大安全事件、行业关键发展动态，以及为Web3.0参与者提供了最佳安全实践的建议。

欢迎大家点击阅读完整的《Hack3d：2024年度安全报告》，获取更全面的分析、洞察和建议。