CertiK (Hack3d: Informe de Seguridad 2024) ya ha sido publicado, este informe analiza en profundidad la situación de seguridad en el ámbito de Web3.0 en 2024. Las pérdidas totales superaron los 2.3 mil millones de dólares, con un aumento interanual del 31.61%; de las cuales, diciembre tuvo la menor cantidad de pérdidas. En el último año, los ataques de phishing y las filtraciones de claves privadas han sido frecuentes, convirtiéndose en los métodos de ataque más significativos para la industria.
Datos clave
Pérdidas anuales: En 2024, la industria de Web3.0 experimentó un total de 760 incidentes de seguridad en la cadena, con pérdidas totales de aproximadamente 2.363 millones de dólares. En comparación con 2023, las pérdidas totales en 2024 aumentaron alrededor del 31.61%, y el número de incidentes de seguridad aumentó en 29.
Pérdida promedio: En 2024, la pérdida promedio por cada incidente de seguridad fue de aproximadamente 3.1089 millones de dólares (un aumento del 23.04% respecto al año anterior), y la mediana de las pérdidas fue de aproximadamente 150.9 mil dólares (un aumento interanual del 46.83%).
Datos mensuales: Mayo fue el mes con mayores pérdidas del año, con un total de 63 incidentes y pérdidas totales de 444 millones de dólares. Diciembre tuvo la menor cantidad de pérdidas, con un total de 26.7 millones de dólares.
Datos trimestrales: Al igual que en el tercer trimestre de 2023, el tercer trimestre de 2024 también tuvo las pérdidas más severas, con un total de 157 incidentes de ataque, fraude y explotación de vulnerabilidades, causando pérdidas totales de aproximadamente 753 millones de dólares. Las pérdidas totales en el cuarto trimestre disminuyeron en un 46.65%.
Principales métodos de ataque: Los ataques de phishing se convirtieron en el método de ataque más perjudicial en 2024, con un total de 296 incidentes, causando pérdidas totales de aproximadamente 1.05 mil millones de dólares, de los cuales 3 incidentes tuvieron pérdidas individuales que superaron los 100 millones de dólares. Las pérdidas causadas por ataques de phishing representan casi la mitad del total robado en el año, y constituyen el 39.1% del total de incidentes de ataque. Esto indica que, en promedio, las pérdidas individuales causadas por incidentes de phishing son mucho más altas que las de otras vulnerabilidades.
En segundo lugar está la filtración de claves privadas, con un total de 65 incidentes este año, causando pérdidas totales de aproximadamente 855 millones de dólares. Durante todo el año 2024, los incidentes de phishing y filtraciones de claves privadas ocurrieron con frecuencia en todos los trimestres.
Distribución de incidentes de seguridad en la cadena: Ethereum es la blockchain que ha sufrido más incidentes de seguridad, con 403 ataques, fraudes y explotación de vulnerabilidades, con una pérdida total de aproximadamente 749 millones de dólares, con una pérdida promedio de 1.8578 millones de dólares por incidente. La cadena de Bitcoin y la cadena de Tron (Tron) le siguen, con pérdidas de aproximadamente 567 millones de dólares y 136 millones de dólares, respectivamente. Se produjeron 39 incidentes de seguridad que involucraron múltiples cadenas, causando pérdidas de 435 millones de dólares.
Tendencias de seguridad
El phishing se ha convertido en el método preferido de los atacantes debido a su simplicidad y eficacia: a diferencia de las técnicas de ataque que dependen de avances tecnológicos, el phishing explota más las debilidades humanas. Los atacantes inducen a las víctimas a revelar de forma activa información sensible, como contraseñas, claves privadas o direcciones de billetera, a través de correos electrónicos falsificados, sitios web falsos o información fraudulenta. En el ámbito de Web3.0, la irreversibilidad de las transacciones amplifica aún más el poder destructivo del phishing: una vez que se transfieren los fondos, es casi imposible recuperarlos a menos que el atacante lo devuelva de forma voluntaria.
Sin embargo, si se excluyen las pérdidas causadas por ataques de phishing, la seguridad general del ecosistema ha mejorado. Por ejemplo, en 2024 solo hubo un incidente de seguridad (WazirX, con una pérdida de 231 millones de dólares) en la lista de los 20 principales incidentes desde 2021 hasta la fecha. Esto significa que los eventos importantes con pérdidas que superan los 100 millones de dólares están disminuyendo gradualmente.
Tendencias de la industria
En 2024, la industria de Web3.0 logró avances significativos, aumentando notablemente su aceptación e integración en el ámbito financiero convencional. Sin embargo, este desarrollo también subraya la importancia de fortalecer las medidas de seguridad para proteger el capital en crecimiento.
A medida que la confianza del mercado se restablece, la larga depresión del 'invierno de Web3.0' continúa recuperándose a lo largo del año. El regreso de los inversores institucionales al mercado ha traído una ola de entrada de capital, y este crecimiento estable de capital ha sentado las bases para el hito histórico de Bitcoin superando los 100,000 dólares. Este evento ocurrió después de las elecciones presidenciales de EE. UU. de 2024 y también impulsó un aumento sincronizado en los precios de otras criptomonedas importantes como Ethereum y Solana.
La reelección de Trump como presidente se ha convertido en un punto de inflexión evidente para la industria de Web3.0 en Estados Unidos y puede tener un impacto en otros mercados globales.
A pesar de que las diferentes estrategias regulatorias globales tienen distintos efectos en la industria de Web3.0, hay una cosa que permanece constante: la seguridad es crucial. A medida que el mercado sigue desarrollándose y se integra gradualmente en el sistema financiero tradicional, los riesgos de incumplimiento, fraude y robo de activos también están en aumento.
Revisión anual
El año 2024 también es un año de hitos para CertiK, hemos logrado muchos logros, contribuyendo continuamente a la seguridad de Web3.0:
Avances tecnológicos:
Se completó la verificación formal de circuitos zkWasm que incluye 144 instrucciones, lo que representa el primer trabajo de verificación formal completamente completado en el ecosistema de pruebas de conocimiento cero.
Se realizaron pruebas de penetración rigurosas en el componente de billetera sin clave de Bybit, que tiene más de 1 millón de usuarios.
Se evaluó la seguridad del primer SDK público de GalaChain y se realizaron pruebas de rendimiento utilizando el SDK, identificando algunos problemas de eficiencia del sistema, ayudando a su equipo a optimizar el código.
Descubrimiento de vulnerabilidades:
Se descubrió una vulnerabilidad crítica en CosmWasm que permite que el Wasm no confiable se ejecute en las cadenas de aplicación de más de 20 ecosistemas de Cosmos.
Recibió agradecimientos de ByteDance por identificar y reducir con éxito un riesgo de seguridad significativo en su sistema.
Se reportó un riesgo potencial en el sistema del Grupo Ant a la Ant Security Response Center y se ayudó a implementar rápidamente las medidas de seguridad necesarias.
Por descubrir una vulnerabilidad en la tecnología de seguimiento ocular de Apple Vision Pro, recibió el reconocimiento de Apple por sexta vez.
Descubrió una vulnerabilidad crítica en el Samsung Blockchain Keystore y recibió agradecimientos de Samsung por tercera vez.
Servicio al cliente:
Se actualizaron los productos y servicios de CertiK, lanzando una solución de seguridad de ciclo de vida completo, destinada a cubrir todas las etapas de un proyecto desde su inicio hasta convertirse en un proyecto destacado; al mismo tiempo, se introdujeron varias herramientas de seguridad gratuitas, encabezadas por Token Scan y Wallet Scan, para ayudar a los usuarios a proteger la seguridad de sus activos.
Se lanzó CertiK Ventures, anunciando su plan de inversión de 45 millones de dólares.
Se presentó un nuevo eslogan de marca 'Elevando Tu Viaje Completo en Web3', que refleja nuestro compromiso de proporcionar productos y servicios innovadores y de ciclo completo.
Impacto en la industria:
Se realizó una investigación profunda sobre la red de infraestructura física descentralizada (DePIN), ayudando a proyectos como APhone y Aethir a reducir los riesgos de seguridad, y compartiendo experiencias y conocimientos sobre el campo DePIN en la Cumbre de Seguridad de Productos de Qualcomm 2024.
Se brindaron servicios de auditoría a 6 de los 10 proyectos principales en la lista de activos digitales de Forbes para la primera mitad de 2024, incluyendo TON, Core DAO, PEPE, FLOKI, FET y Bitget.
El profesor Gu Ronghui, cofundador y CEO de CertiK, asistió al Festival de Tecnología Financiera de Singapur 2024 y fue entrevistado por varios medios internacionales, incluidos Money FM, Lianhe Zaobao, Ming Pao de Hong Kong, Sing Tao Daily y Bloomberg Businessweek.
El profesor Gu Ronghui tuvo una charla junto al fuego con CZ (Zhao Changpeng), fundador de Binance, donde discutieron los desafíos de seguridad en Web3.0, la innovación en blockchain y otros temas clave sobre la configuración del futuro del ecosistema.
Recomendaciones regulatorias:
Las recomendaciones para el marco de monedas estables de la Autoridad Monetaria de Singapur (MAS) han sido reconocidas.
Se presentaron dos propuestas de regulación de monedas estables a la Autoridad Monetaria de Hong Kong (HKMA) y a la Oficina de Asuntos Financieros y del Tesoro de Hong Kong (FSTB), ambas aprobadas.
Posición en el mercado:
En julio de 2024, CertiK ocupa casi el 50% del mercado global de auditoría de Web3.0.
Clasificado como el principal proveedor de servicios de garantía de seguridad en la lista oficial de TON.
Conclusión
CertiK se compromete a seguir rastreando las tendencias de seguridad en el ámbito de Web3.0, habiendo realizado hasta ahora más de 70 operaciones de white hat, reportando más de 4,000 incidentes de seguridad y descubriendo más de 115,000 vulnerabilidades de código, protegiendo más de 510 mil millones de dólares en activos digitales de posibles pérdidas; además, a través de informes de seguridad anuales y trimestrales, proporciona información de seguridad clave a la industria. Una vez publicado, el informe de seguridad recibe una gran atención en la industria y es rápidamente reportado y citado por los principales medios de comunicación del ámbito de Web3.0, como CoinDesk y Cointelegraph.
El informe anual de CertiK también analiza en profundidad la relación entre las plataformas blockchain con alta frecuencia de ataques en 2024, el monto robado y el volumen total de fondos bloqueados (TVL), así como los eventos de seguridad significativos anuales, las dinámicas clave de desarrollo de la industria y proporciona recomendaciones sobre las mejores prácticas de seguridad para los participantes de Web3.0.
Invitamos a todos a copiar y abrir el enlace original al final del texto para leer el informe completo (Hack3d: Informe de Seguridad 2024), para obtener un análisis, perspectivas y recomendaciones más completas.
Enlace al texto original: https://indd.adobe.com/view/ef25ad7c-8c1c-47b0-91f8-a9c18c49cfd3
