CertiK(Hack3d:2024年度セキュリティ報告書)が発表されました。本報告書は2024年のWeb3.0分野のセキュリティ状況を詳細に分析しています。2024年の損失総額は23億ドルを超え、前年と比べて31.61%の増加を記録しました。その中で、12月の損失額は最も少なくなっています。過去1年間、フィッシング攻撃と秘密鍵の漏洩が頻発し、業界に最も大きな影響を与える攻撃手段となっています。
重要なデータ
年間損失:2024年、Web3.0業界では760件のブロックチェーン上のセキュリティ事件が発生し、総損失は約23.63億ドルです。2023年と比較して、2024年の総損失は約31.61%増加し、セキュリティ事件の数は前年より29件増加しました。
平均損失:2024年の各セキュリティ事件の平均損失額は約310.89万ドル(前年より23.04%増加)で、損失額の中央値は約15.09万ドル(前年比で46.83%の増加)です。
月次データ:5月は年間で最も損失が大きい月で、63件の事件が発生し、総損失額は4.44億ドルに達しました。12月の損失額は最も少なく、合計2670万ドルでした。
四半期データ:2023年第3四半期に似て、2024年第3四半期の損失も最も深刻で、157件の攻撃、詐欺、脆弱性の悪用事件が発生し、総損失は約7.53億ドルでした。一方で、第4四半期の総損失額は46.65%減少しました。
主要な攻撃手法:フィッシング攻撃は2024年に損失を最も引き起こした攻撃手法となり、296件の事件が発生し、総損失は約10.5億ドルで、そのうち3件は1億ドルを超える単独の損失を記録しました。フィッシング攻撃による損失は年間盗難総額のほぼ半分を占め、攻撃事件の総数の39.1%を占めています。これは、平均的に見て、フィッシング事件による単回の損失が他の脆弱性よりもはるかに高いことを示しています。
第2位は秘密鍵の漏洩であり、今年度は65件の事件が発生し、総損失は約8.55億ドルです。2024年全体で、フィッシングと秘密鍵の漏洩事件は各四半期で頻繁に発生しました。
ブロックチェーン上のセキュリティ事件の分布:イーサリアムは最も多くのセキュリティ事件に直面し、403件の攻撃、詐欺、脆弱性の悪用が発生し、総損失は約7.49億ドル、平均的な事件の損失は185.78万ドルです。ビットコインチェーンとトロン(Tron)が続き、それぞれ約5.67億ドルと1.36億ドルの損失を出しました。複数のチェーンに関連するセキュリティ事件は合計39件発生し、4.35億ドルの損失を引き起こしました。
セキュリティのトレンド
フィッシングが攻撃者の第一選択となる理由は、その操作が簡単で効率的だからです:技術の突破に依存した攻撃手段とは異なり、フィッシングは人間の弱点を利用しています。攻撃者は偽のメール、偽のウェブサイト、または詐欺情報を通じて、被害者にパスワード、秘密鍵、またはウォレットアドレスなどの敏感な情報を自発的に漏らさせるよう誘惑します。Web3.0分野では、トランザクションの不可逆性がフィッシングの破壊力をさらに増幅させています - 一度資金が移転されると、攻撃者が自発的に返還しない限り、ほぼ回収不可能です。
ただし、フィッシング攻撃による損失を除外すると、全体的なエコシステムのセキュリティは改善されています。例えば、2024年には安全事件が1件(WazirX、損失2.31億ドル)だけが2021年以降のトップ20事件リストに含まれています。これは、1回の損失が1億ドルを超える重大事件が徐々に減少していることを意味します。
業界のトレンド
2024年、Web3.0業界は画期的な進展を迎え、その主流金融分野での受容度と統合度が大幅に向上しました。しかし、この発展は、増加し続ける資本を守るためのセキュリティ対策の強化の重要性を浮き彫りにしています。
市場の信頼が回復するにつれて、「Web3.0の冬」の長期的な低迷が年度を通じて継続的に温まっています。機関投資家の市場復帰は資金の流入をもたらし、この安定した資金の増加がビットコインの10万ドル突破という歴史的なマイルストーンを築く基盤となりました。この出来事は2024年のアメリカ大統領選挙の後に発生し、同時にイーサリアム、ソラナなどの他の主流デジタル通貨の価格も同時に上昇しました。
トランプの再選は明らかにアメリカのWeb3.0業界の転換点となり、他の国の市場にも影響を与える可能性があります。
世界各国の異なる規制戦略がWeb3.0業界に与える影響はさまざまですが、一つだけは変わらないことがあります:セキュリティは極めて重要です。市場が引き続き発展し、伝統的な金融システムに徐々に統合されるにつれて、プロジェクトの不適合、詐欺行為、資産の盗難などのリスクも増加しています。
年度回顧
2024年はCertiKにとっても画期的な年であり、多くの成果を上げ、引き続きWeb3.0のセキュリティに貢献しています:
技術的なブレークスルー:
zkWasm回路の144命令を含む形式的検証を完了しました。これは、ゼロ知識証明エコシステムにおける初の完全に完了した形式的検証作業です。
Bybitの100万以上のユーザーを持つ無私鍵ウォレットコンポーネントに対して厳格なペネトレーションテストを実施しました。
GalaChainの最初の公共SDKに対してセキュリティ評価を行い、SDKを使用してGalaChainの性能テストを実施し、いくつかのシステム効率の問題を発見し、そのチームがコードベースを最適化するのを支援しました。
脆弱性の発見:
CosmWasmにおける重大な脆弱性を発見しました。この脆弱性により、信頼できないWasmを20以上のCosmosエコシステムのアプリケーションチェーンで実行することが可能になります。
システム内の重大なセキュリティリスクを成功裏に特定し、字節跳動から感謝状を受け取りました。
Ant Groupのシステム内の潜在的なリスクをAnt Security Response Centerに報告し、迅速に必要なセキュリティ対策を実施するのを支援しました。
Apple Vision Proの眼球追跡技術における脆弱性を発見し、Appleから6回目の認定を受けました。
SamsungのBlockchain Keystoreにおける高リスクの脆弱性を発見し、Samsungから3回目の感謝を受けました。
顧客サービス:
CertiKの製品とサービスをアップグレードし、プロジェクトの初期段階からスタープロジェクトに成長するまでのすべての段階をカバーするライフサイクル全体のセキュリティソリューションを導入しました。また、Token ScanとWallet Scanをはじめとする複数の無料のセキュリティツールを提供し、ユーザーが資産の安全を守るのを支援しています。
CertiK Venturesを立ち上げ、4500万ドルの投資計画を発表しました。
新しいブランドスローガン「Elevating Your Entire Web3 Journey」を提案し、革新と全周期の製品およびサービスの提供に対する私たちのコミットメントを表現しました。
業界への影響:
分散型物理基盤ネットワーク(DePIN)を深く研究し、APhoneやAethirなどのプロジェクトがセキュリティリスクを軽減するのを支援し、2024年のクアルコム製品セキュリティサミットでDePIN分野に関する経験と洞察を共有しました。
フォーブス2024年上半期のデジタル資産ランキング上位10のうち6つのプロジェクトに対して監査サービスを提供しました。これらのプロジェクトにはTON、Core DAO、PEPE、FLOKI、FET、Bitgetが含まれます。
CertKの共同創設者兼CEOである顾荣辉教授は、2024年のシンガポール金融技術祭に出席し、Money FM、联合早报、香港明報、香港信報、彭博ビジネスウィークなどの複数の国際メディアのインタビューを受けました。
顾荣辉教授はバイナンスの創設者CZ(赵长鹏)との炉辺対話を行い、Web3.0のセキュリティの課題、ブロックチェーンの革新、エコシステムの未来を形作るための重要なテーマについて議論しました。
規制の提案:
シンガポール金融管理局(MAS)のステーブルコインフレームワークに対する提案が承認されました。
香港金融管理局(HKMA)および香港財務及び財政局(FSTB)に対して2つのステーブルコイン規制提案を提出し、両方とも承認されました。
市場の地位:
2024年7月、CertiKは世界のWeb3.0監査市場でほぼ50%のシェアを占めています。
TON公式のセキュリティ保証サービス提供者リストで1位を獲得しました。
結論
CertiKはWeb3.0分野のセキュリティトレンドの追跡を継続しており、これまでに70回以上のホワイトハット活動を行い、4000件以上のセキュリティ事件を報告し、11.5万件以上のコードの脆弱性を発見し、5100億ドル以上のデジタル資産を潜在的な損失から保護してきました。また、年次および四半期のセキュリティ報告書の形で、業界に重要なセキュリティ情報を提供しています。セキュリティ報告書は発表されるとすぐに業界の注目を集め、CoinDeskやCointelegraphなどのWeb3.0分野の主要メディアに迅速に報道および引用されています。
CertiKの年次報告書は、2024年に攻撃が頻発したブロックチェーンプラットフォーム、盗まれた金額と総ロック量(TVL)などの要因の関係、年度の重大なセキュリティ事件、業界の重要な発展動向について詳細に分析し、Web3.0の参加者に最良のセキュリティ実践を提供する提案を行っています。
皆さん、文末の原文リンクをコピーして開き、(Hack3d:2024年度セキュリティ報告書)の完全な内容をお読みいただき、より包括的な分析、洞察、提案を得てください。
原文リンク:https://indd.adobe.com/view/ef25ad7c-8c1c-47b0-91f8-a9c18c49cfd3
