CertiK《Hack3d：2024 年度安全报告》现已发布，本次报告深入分析了 2024 年 Web3.0 领域的安全状况。2024 年损失总额超过 23 亿美元，同比增幅高达 31.61%；其中，12 月的损失金额最少。过去一年，网络钓鱼攻击和私钥泄露频发，已成为对行业影响最为显著的攻击手段。

关键数据

全年损失：2024 年，Web3.0 行业共发生 760 起链上安全事件，总损失约为 23.63 亿美元。与 2023 年相比，2024 年的总损失增加了约 31.61%，安全事件数量同比增加了 29 起。

平均损失：2024 年每起安全事件的平均损失金额约为 310.89 万美元（较去年增长 23.04%），损失金额的中位数约为 15.09 万美元（同比增幅高达 46.83%）。

月度数据：5 月是全年损失最严重的月份，共发生 63 起事件，损失总额达 4.44 亿美元。12 月的损失金额最少，共计 2670 万美元。

季度数据：与 2023 年第三季度类似，2024 年第三季度的损失也最为严重，共发生 157 起攻击、欺诈和漏洞利用事件，造成总损失约为 7.53 亿美元。而第四季度总损失金额下降了 46.65%。

主要攻击方式：网络钓鱼攻击成为 2024 年造成损失最严重的攻击方式，共发生 296 起事件，造成总损失约 10.5 亿美元，其中有 3 起单笔损失超过 1 亿美元。网络钓鱼攻击造成的损失占全年被盗总额的近一半，同时占攻击事件总数的 39.1%。这表明，平均来看，网络钓鱼事件造成的单次损失远高于其他漏洞。

排在第二位的是私钥泄露，本年度共发生 65 起事件，造成总损失约 8.55 亿美元。2024 年全年，网络钓鱼和私钥泄露事件在各个季度都频繁发生。

链上安全事件分布：以太坊是遭受安全事件最多的区块链，共发生 403 起攻击、欺诈和漏洞利用攻击，总计损失约 7.49 亿美元，平均每起事件损失 185.78 万美元。比特币链和波场链（Tron）紧随其后，分别损失约 5.67 亿美元和 1.36 亿美元。涉及多链的安全事件共发生 39 起，造成 4.35 亿美元的损失。

安全趋势

网络钓鱼之所以成为攻击者的首选，源于其操作简单且高效：不同于依赖技术突破的攻击手段，网络钓鱼更多地利用了人性的弱点。攻击者通过伪造邮件、伪造网站或欺诈信息，诱导受害者主动泄露密码、私钥或钱包地址等敏感信息。在 Web3.0 领域，交易的不可逆性进一步放大了网络钓鱼的破坏力——一旦资金被转移，除非攻击者主动归还，否则几乎无法追回。

然而，如果剔除网络钓鱼攻击造成的损失，整体生态的安全性有所改善。例如，2024 年仅有一起安全事件（WazirX，损失 2.31 亿美元）列入 2021 年至今的前 20 大事件名单。这意味着，单次损失超过 1 亿美元的重大事件正在逐渐减少。

行业趋势

2024 年，Web3.0 行业迎来了里程碑式的进展，其在主流金融领域的接受度和整合程度显著提升。然而，这一发展也凸显了加强安全措施以保护不断增长的资本的重要性。

随着市场信心的恢复，“Web3.0 寒冬”的长期低迷在全年间持续回暖。机构投资者的重回市场带来了一波资金流入，这种稳定的资金增长为比特币突破 10 万美元大关的历史性里程碑奠定了基础。此事件发生在 2024 年美国总统大选之后，同时推动了以太坊、Solana 等其他主流数字货币的价格同步上涨。

特朗普再次当选总统显然成为美国 Web3.0 行业的一个转折点，并可能对全球其他市场产生影响。

尽管全球不同的监管策略对 Web3.0 行业的影响各有不同，但有一点始终不变：安全性至关重要。随着市场的持续发展并逐步融入传统金融体系，项目不合规、欺诈行为以及资产盗窃等风险也在不断攀升。

年度回顾

2024 年，对 CertiK 来说也是具有里程碑意义的一年，我们取得了诸多成就，持续为 Web3.0 安全贡献着力量：

技术突破：

• 完成了 zkWasm 电路包含 144 条指令的形式化验证，这是零知识证明生态系统中的首个全面完成的形式化验证工作。
• 对 Bybit 拥有超过 100 万用户的无私钥钱包组件进行严格的渗透测试。
• 对 GalaChain 的首个公共 SDK 进行了安全评估，并使用 SDK 对 GalaChain 进行了性能测试，发现了一些系统效率问题，协助其团队优化了代码库。

漏洞发现：

• 发现 CosmWasm 中的重大漏洞，该漏洞允许不受信任的 Wasm 在超过 20 个 Cosmos 生态系统中的应用链上运行。
• 因成功识别并降低了系统中的重大安全风险，获得了字节跳动公司的致谢。
• 向蚂蚁安全响应中心报告了蚂蚁集团系统中的一项潜在风险，并协助其迅速实施了必要的安全措施。
• 因发现了 Apple Vision Pro 眼球追踪技术中的一项漏洞第六次获得 Apple 的认可。
• 发现了三星 Blockchain Keystore 中的一项高危漏洞而第三次获得三星致谢。

客户服务：

• 升级了 CertiK 的产品及服务，推出全生命周期安全解决方案，致力于覆盖项目从初创到成为明星项目的全部阶段；同时推出以 Token Scan 和 Wallet Scan 为首的多种免费安全工具，帮助用户保护资产安全。
• 推出了 CertiK Ventures，公布其 4500 万美元的投资计划。
• 提出全新品牌标语“Elevating Your Entire Web3 Journey”，诠释了我们致力于提供创新和全周期产品与服务的承诺。

行业影响：

• 深入研究去中心化物理基础设施网络（DePIN），帮助如 APhone 和 Aethir 等项目降低安全风险，并在 2024 年高通产品安全峰会上分享有关 DePIN 领域的经验与见解。
• 为福布斯 2024 上半年度数字资产排行榜前十中的 6 个项目提供审计服务，包括 TON、Core DAO、PEPE、FLOKI、FET 和 Bitget。
• CertK 联合创始人兼 CEO 顾荣辉教授出席 2024 年新加坡金融科技节，并接受包括 Money FM、联合早报、香港明报、香港信报和彭博商业周刊在内的多家国际媒体采访。
• 顾荣辉教授与币安创始人 CZ（赵长鹏）进行炉边谈话，探讨了 Web3.0 安全挑战、区块链创新及塑造生态未来等关键议题。

监管建议：

• 为新加坡金融管理局（MAS）的稳定币框架提供的建议获得认可。
• 向香港金融管理局（HKMA）及香港财经事务及库务局（FSTB）提交了两项稳定币监管建议，并均获批准。
• 市场地位：
• 2024 年 7 月，CertiK 占据全球 Web3.0 审计市场近 50% 的份额。
• 在 TON 官方的安全保障服务提供商名单中排名第一。

结语

CertiK 致力于持续追踪 Web3.0 领域的安全趋势，迄今为止已进行 70 余次白帽行动，报告 4000 多起安全事件，发现 11.5 万多个代码漏洞，保护了超过 5100 亿美元的数字资产免受潜在损失；并通过年度和季度安全报告的形式，向业界提供关键的安全资讯。安全报告一经发布，便得到行业的高度重视，迅速被 CoinDesk 和 Cointelegraph 等 Web3.0 领域的核心媒体所报道和引用。

CertiK 的年度报告还深入分析了 2024 年攻击频发的区块链平台、被盗金额与总锁仓量（TVL）等因素的关系、年度重大安全事件、行业关键发展动态，以及为 Web3.0 参与者提供了最佳安全实践的建议。

欢迎大家复制打开文末的原文链接来阅读完整的《Hack3d：2024 年度安全报告》，获取更全面的分析、洞察和建议。

原文链接：https://indd.adobe.com/view/ef25ad7c-8c1c-47b0-91f8-a9c18c49cfd3