HACK3D:

WEB3.0領域安全現狀

/

Q3

2023摘要摘要??2023年第三季度共計因攻擊損失約7億（699,790,794）美元，超過了第一季度的3.2億美元和第二季度的3.13億美元，成為了今年損失額度最高的一個季度。其中共發生184起安全事件，月度損失分別為：7月：79起事件共造成約3億

(308,195,474)

美元損失8月：66起事件共造成約6,000萬

(59,523,398)

美元損失9月：39起事件共造成約3億

(332,071,921)

美元損失按照漏洞類型劃分，損失金額如下：退出騙局：

93起事件共造成約5,000萬（55,216,397）美元損失預言機價格操縱：38起事件共造成約1,664萬（16,638,279）美元損失私鑰泄露：14起事件共造成約2億（204,314,320）美元損失其他攻擊46起，共造成約4億（423,621,797）美元損失????朝鮮的Lazarus犯罪集團仍是主要威脅來源之一。僅在2023年，就造成了至少2.91億美元的損失。在第三季度，該犯罪集團仍在持續活動中。總共14起私鑰泄露事件造成了共計約2億美元的損失。這些中心化的密鑰管理仍然是一個重要的風險點。Web3行業正處于一個充滿挑戰的時期，與技術產品生命周期中的“跨越鴻溝”階段相吻合。該“鴻溝”是早期采用者與主流用戶之間過渡的一個瓶頸。而金融機構也正在加大對鏈上技術的整合力度，這預示著區塊鏈技術即將向主流應用轉變。HACK3D:

WEB3.0領域安全現狀

/

Q3

20232023

Q3

統計圖表2023

Q3

統計圖表月度統計類型統計79806040200$4億$3億$2億$1億$010075$5億93$4.2億$3.3億66$3億$3.75億$2.5億$1.25億$039504638$2億250$0.6億$0.6億14$0.2億七月八月九月退出騙局預言機操縱私鑰丟失其他攻擊事件數量損失數額事件數量損失數額按鏈上統計1007550250$4.9億$5億86$3.75億$2.5億65$1.3億$1.25億12$0.4億6$0.2億4$400萬1$20萬3$0.1億1

$730萬1$0.1萬1

$110萬2

$460萬zkSync$0...Arbitrum

AvalancheBaseBNBChainEthereum

Multiple

OptimismChainsOther/Off-ChainPolygonSolana事件數量損失數額數字是近似值，可能會隨新信息而變化HACK3D:

WEB3.0領域安全現狀

/

Q3

20232023

Q3

統計圖表2023

Q3

統計圖表按月度及類型統計退出騙局：預言機操縱：50$3,890萬45$4,000萬$3,000萬$2,000萬$1,000萬$025$100萬$750萬$500萬$250萬23$870萬31$640萬25$1,450萬1787$150萬$190萬00$0七月八月九月七月八月九月事件數量損失數額事件數量損失數額私鑰丟失：其他攻擊：10$1.25億$1億2523$2.5億$2億$2.3億$2.2億$1億$9,760萬8642020151057$0.75億$0.5億$0.25億$0$1.5億$1億121143$0.5億$0$1,310萬$220萬八月0七月九月七月八月九月事件數量損失數額事件數量損失數額數字是近似值，可能會隨新信息而變化HACK3D:

WEB3.0領域安全現狀

/

Q3

2023簡介簡介歡迎閱讀Hack3d

——

CertiK

2023年第三季度Web3安全報告。Hack3d是了解Web3領域安全挑戰及漏洞的重要資源和統計記錄。它為各方提供了必要的知識和見解，幫助他們在日益嚴峻的環境中加強安全防御，并做出明智的決策。中心化管理是一個關鍵漏洞，尤其是讓那些曾被承諾會擁有去中心化機制的用戶感到不安。為了解決這個問題，我們與一個重要合作伙伴合作開發了一種新的驗證機制，幫助用戶確保項目采用了增強型私鑰管理解決方案。第三季度發生了184起安全事件，損失超過7億美元，是2023年損失金額最多的一個季度。第一季度的損失總額為3.2億美元，第二季度為3.13億美元。這也意味著第三季度的損失超過了整個2023年上半年的損失。軟件開發缺乏通用標準仍然是Web3領域的一個主要問題。大量的黑客攻擊和智能合約漏洞都可以歸因于到行業安全標準有所缺失。例如，項目大量使用fork的代碼合約，而開發者和用戶都沒有對fork的代碼有足夠的了解，因而造成了持續的損失。而較高的安全標準將為確保一致的安全措施、減少漏洞和提高整個Web3世界的復原力提供一個很好的執行框架。Web3黑色產業最主要的威脅之一是與朝鮮有關的Lazarus犯罪集團。Lazarus今年至少造成了2.91億美元的損失。該組織的復雜攻擊策略已經發展到專門針對Web3人員，其中包括利用社交工程方法破壞多個平臺的安全。本報告將詳細對其進行介紹。正面消息指出，目前一些主要金融機構正在開始有意識地整合鏈上技術，這表明主流金融機構正在把眼光投向區塊鏈應用。然而，這種轉變也帶來了新的風險，必須謹慎對待。我們給出了對這個正在日益成熟的行業未來六個月、十二個月和十八個月的預測。此

外

，

私

鑰

泄

露

是

另

一

個

重

要

的

損

失

原因。14起私鑰被盜事件造成了總計2.04億美元的損失，其中Mixin和Multichain事件共造成了3.25億美元的損失。可以說這是私鑰泄露造成的，但更準確地說，它是通過中心化管理私鑰造成的。事實證明，私鑰的CertiK會定期發布各種話題的技術和教育資源，同時我們也將在本報告末尾介紹第三季度的部分重點內容。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023LAZARUS效應Lazarus效應↗

朝鮮的Lazarus集團是目前Web3領域主要的高級持續性威脅(Advanced

PersistentThreat）。在2022年，有20%Web3.0攻擊的造成的損失是由該集團造成的，而2023年他們目前已竊取超過2.91億美元。↗

軟件供應商JumpCloud的數據泄露事件則與一個隸屬Lazarus的子團體所聯系起來。之后的幾起數百萬美元的攻擊都與該泄露有關，其中包括CoinsPaid和Alphapo的數據泄露事件。Lazarus成員在這些事件中假扮了招聘人員，并迫使員工下載惡意軟件從而發起攻擊。↗

美

國

聯

邦

調

查

局

和

C

e

r

t

i

K

的

取

證

分

析

將

L

a

z

a

r

u

s

集

團

與

A

t

o

m

i

cWallet、Alphapo、CoinsPaid、S和CoinEx等多個漏洞聯系起來，強調了他們針對

Web3人員的持續性魚叉式網絡釣魚活動。與朝鮮有關聯的Lazarus集團是Web3領域最主要的高級持續性威脅之一（AdvancedPersistent

Threat）。他們的網絡攻擊以系統性竊取私鑰為特點，造成了重大經濟損失。僅在2022年，他們盜取的金額就占據了Web3行業被盜總價值的約20%。2023年至今，Lazarus已在五次重大漏洞中造成超過2.91億美元的損失。高級持續性威脅：

擁有復雜的專業知識和大量資源的對手，通過使用多種不同的攻擊載體（如網絡、物理和欺騙），為實現其目標創造機會、這些目標通常是在組織的信息技術基礎設施內建立和擴大其存在，以不斷提取信息和/或破壞或阻礙任務、計劃或組織，或使自己處于將來能夠這樣做的位置；此外，高級持續威脅會在較長時間內保持頻率的反復試圖達成威脅目標并持續適應防御者采取的安全措施。–

美國國家標準與技術研究院，計算機安全資源中心HACK3D:

WEB3.0領域安全現狀

/

Q3

2023LAZARUS效應軟件供應商JumpCloud于7月份遭遇數據泄露，而他們將原因歸咎了一個為APT38的Lazarus下屬組織。JumpCloud雖然通知了用戶，并操作讓所有現有API密鑰失效。然而漏洞最終還是被利用，造成了數百萬美元的損失。在平臺被黑之后，CoinsPaid的事后調查揭示了這樣一個精心策劃的陰謀：Lazarus成

員

在

L

i

n

k

e

d

I

n

上

冒

充

招

聘

人

員

，

向CoinsPaid員工提供報酬豐厚的從16,000美元到24,000美元每月的工作機會。而這些工作機會的最終目的是迫使員工下載惡意軟件“JumpCloud

Agent”。該軟件主要用于提取包括私鑰等敏感數據，「幫助」Lazarus成功從平臺上竊取資金。而該手段可以看得出，Lazarus犯罪集團有了新的戰略計劃，那就是利用某些Web3組織固有的Web2漏洞。鑒于這些漏洞的復雜性，JumpCloud的漏洞有可能為隨后的CoinsPaid攻擊提供了便利。針對AtomicWallet、Alphapo、S和CoinEx的攻擊很可能也是采用了類似策略。鏈上資金追蹤美國聯邦調查局認為，S的4100萬美元漏洞是由Lazarus

Group所為。而CertiK的取證分析進一步確定了AtomicWallet、Alphapo、CoinsPaid、Stake.com和CoinEx漏洞鏈上之間的聯系。取證分析也充分表明了以上漏洞利用行為確為Lazarus集團所為。7月22日發生的CoinsPaid和Alphapo入侵事件分別造成了3,700萬美元和2,300萬美元的損失，而這兩起事件的原因都是私鑰被泄露。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023LAZARUS效應這些漏洞的確相互關聯，并且AtomicWallet、Alphapo、S和CoinEx共同交織在了一組已知的Lazarus錢包中。例如，在S的漏洞中，資金被轉移到了以太坊錢包地址，而這些地址與其他漏洞的相關地址進行了交易。這也為聯邦調查局得出Lazarus集團參與了這些事件提供了鏈上證據。Lazarus集團最近的作案手法主要是針對Web3人員發起的魚叉式網絡釣魚活動。為減少此類威脅，Web3專業人員需謹慎對待那些主動提供的工作機會，特別是那些包含文檔附件或提出異常豐厚報酬的“誘人餡餅”。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023私鑰被泄露私鑰被泄露↗

私鑰泄露造成的損失占第三季度總損失的23%。↗

CertiK與Safeheron的合作為用戶引入了一種驗證機制，以確保項目擁有安全的私鑰管理系統。私鑰泄露造成的損失竟高達第三季度總損失的近四分之一。而讓一個地址控制數以億計的價值，就如同把數噸黃金鉆石交給一個熟人，你只能祈禱他保管的時候不要出錯。盡管該協議稱自己是去中心化的，但據披露，Multichain的所有多方計算服務器和私鑰都完全在CEO趙軍的控制之下，而這些服務器和私鑰最后都被移交給了警方。這種中心化控制最終導致了協議無法運行，而

M

u

l

t

i

c

h

a

i

n

上

鎖

定

的

1

5

億

美

元

總

價

值（TVL）也因此無法被訪問。項

目

即

便

采

用

了

更

安

全

的

多

方

計

算（MPC）設置，也需要對控制合約的獨立密鑰進行真正的去中心化。但當Multichain上的資金開始被神秘轉移身份不明的錢包時，情況進一步惡化。7月份導致1.25億美元損失的Multichain入侵事件就是一個典型的例子。這一事件凸顯了安全私鑰保管在區塊鏈操作中的極端重要性。Multichain首席執行官被捕，再次敲響了單人掌握控制權可能會導致重大漏洞的警鐘。這種中心化操作不僅會危及協議的安全和功能，還會給系統中的資金和資產帶來不可控的風險。為

了

主

動

提

高

私

鑰

管

理

的

透

明

度

和

安

全性，CertiK與企業私鑰自我保管服務提供商Safeheron進行了合作。而此次合作之HACK3D:

WEB3.0領域安全現狀

/

Q3

2023私鑰被泄露下，也誕生了一種新型驗證機制。該機制旨在使用戶能夠確認項目是否集成了先進的私鑰管理系統。并不表示這些風險就被項目方最終解決了（實施建議解決方案的最終決策權在于項目的所有者）。許多Web3項目直接或間接地通過智能合約或個人賬戶地址管理資金。這種配置可能會無意中造成單點故障，正如Multichain事件中大家看到的那樣，如果這些地址被泄露，無論是通過私鑰泄漏還是惡意活動，項目及其用戶都很容易面臨重大風險和不可挽回的損失。為了彌補這個問題，CertiK與Safeheron的合作引入了接口，允許安全公司驗證項目地址是否真正受到密鑰托管解決方案的保護。此舉不僅提高了透明度，還有助于安全審計人員和用戶確認項目是否確實采取了措施來應對中心化風險。值得注意的是：雖然CertiK等安全公司在審計審查過程中強調了這些中心化風險，但HACK3D:

WEB3.0領域安全現狀

/

Q3

2023MIXIN百萬美元損失Mixin百萬美元損失北京時間2023年9月23日凌晨，總部位于香港的Web3公司Mixin發生了一起安全漏洞事件，導致約2億美元被盜。黑客入侵了Mixin

Network云服務提供商數據庫。隨后，公司暫時中止了其網絡上的存款和取款服務。該公司還保證，一旦漏洞得到確認和修復，將恢復服務。損失最高記錄則是Web3.0借貸平臺Euler于3月份損失的1.97億美元。Mixin對此尚未披露具體細節，我們只能了解到事件起因是中央控制點遭到破壞。該公司在隨后的更新中還宣布：“情況比預期的要樂觀很多；損失沒有預計的嚴重"。雖然更多細節還在不斷涌現，但由于非區塊鏈協議和依賴關系帶來了全新的潛在漏洞，該事件呈現出了完全去中心化的Web3協議的重要性。雖

然

漏

洞

常

有

，

但

是

此

次

漏

洞

的

發

生

在Web3領域可謂意義重大。該漏洞的損失金額是2023年Web3領域內最高的。此前的經過幾天的時間，我們完成了大部分資產統計工作，情況比預期樂觀得多。損失并沒有預估的那么嚴重。我們再次提醒大家，暫時不要在Mixin

Network上進行交易、做市等活動，以免造成不必要的損失。對于資產損失，除了表示歉意之外，我們將通過行動來承擔責任。同時，Mixin一直秉持負責的態度，具體的補償規則還需要一些時間。—

@MixinKernelHACK3D:

WEB3.0領域安全現狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞Vyper事件分析：年度最大重入鎖失效漏洞↗

Vyper事件造成了6,930萬美元的損失，白帽黑客追回1,670萬美元。↗

特定Vyper編譯器版本中的重入漏洞為利用漏洞提供了便利。↗

持續的安全評估和及時的升級對于保護資產和維護DeFi生態系統至關重要。2

0

2

3

年

7

月

3

0

日

，

專

為

以

太

坊

虛

擬

機（

E

V

M

）

設

計

的

面

向

合

約

的

編

程

語

言Vyper編譯器0.2.15、0.2.16和0.3.0版本被宣布存在重入鎖失效漏洞。攻擊者可在`remove_liquidity()`過程中調用`ad_liquidity()`函數，從而利用漏洞。該事件導

致

了

6

,

9

3

0

萬

美

元

的

損

失

，

其

中

1

,

6

7

0萬美元最終被白帽黑客追回，凈損失約為5,200萬美元，成為了2023年最重大的重入攻擊事件。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞C

e

r

t

i

K

確

定

有

六

個

地

址

涉

及

此

次

事

件

。第

一

個

錢

包

（

0

x

1

7

2

）

未

能

利

用

區

塊17806056中的漏洞。最初的漏洞利用者從Tornado

Cash提取了0.1ETH，并繼續創建攻擊合約。然而，一個搶先交易的錢包（0x6Ec21）支付了更多的gas費用，并

率

先

執

行

了

交

易

，

獲

得

了

大

約

6

,

1

0

0

枚WETH（1,140萬美元）。攻擊起因攻擊者及其作案手法為以太坊虛擬機（EVM）量身定制的面向合約的語言Vyper披露，上述編譯器版本易受重入鎖故障的影響。這個漏洞產生了連鎖效應，影響了多個DeFi項目，最終導致總計5,200萬美元的損失。經確認，重入鎖攻擊的主要目標是pETH-ETH-f池。與該事件有關的六個錢包已被鎖定。最初的一個錢包試圖利用該漏洞，但沒有成功。隨后攻擊者成功盜取了價值超過1,140萬美元的資產。該漏洞進一步促成了其他重大損失，其中一個價值約2,100萬美元。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023VYPER事件分析：

年度最大重入鎖失效漏洞VYPER簡介Vyper的語法與Python相似，是以太坊虛擬機（EVM）的一種面向合約的pythonic編程語言，專為EVM區塊鏈開發。雖然Solidity仍是以太坊生態系統中的主流語言，但Vyper的智能合約在DeFi協議的總鎖倉價值中占了很大一部分。盡管與Solidity相比，Vyper的總鎖倉價值主導地位較低，但這一事件仍影響了6,200萬美元的巨額資產。潛在漏洞該漏洞的核心是一個重入漏洞，該漏洞允許攻擊者在移除流動性過程中調用添加流動性函數。雖然這些函數本應受到@nonreentrant(‘lock’的保護，但對add_liquidty()remove_liquidity()

函數的測試證明，它并不能防止重入攻擊。和建議使用有漏洞的Vyper版本的項目應聯系Vyper協助進行修復。項目也應盡量升級到不含此漏洞的最新版Vyper。Vyper事件是2023年發現的最大的重入漏洞，占截至當時因此類攻擊而損失的資金總額的78.6%。該事件凸顯了嚴格的安全實踐的重要性，以及在快速發展的區塊鏈和DeFi世界中持續保持警惕的必要性。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠？跨越鴻溝：Web3春天究竟還有多遠？↗

在一些人士看來，Web3行業尚處在充滿挑戰的時期，距離重新崛起似乎還有一段路程。↗

這種低迷是傳統市場周期中“蕭條”階段的象征，而該行業目前正處于技術采納聲明周期曲線的“鴻溝”階段。跨越該鴻溝，早期創新者才能邁入更廣泛市場的受眾當中。↗

盡管存在不少挑戰，主要金融機構在整合區塊鏈技術方面正在取得重大進展。這也標志著區塊鏈應用正在發生切實轉變。雖

然

W

e

b

3

貨

幣

目

前

正

處

于

不

見

天

日

的

寒冬，但我們仍然取得了許多積極的進展。后文將探討技術應用周期的現狀，包括誰可能會是帶領大家走出Web3寒冬、邁向春天的主要參與者，最后，還將對未來6個月、12個月和18個月后的前景做出預測。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠？報告顯示，10%到20%的美國人擁有Web3貨

幣

，

而

這

一

數

字

在

尼

日

利

亞

和

土

耳

其

等國則躍升到了47%，印度尼西亞（29%）、巴西（28%）以及印度（27%）等國擁有Web3貨幣的民眾比例保持在四分之一以上，而瑞士（21%）、韓國（20%）、荷蘭（19%）和澳大利亞（17%）等發達經濟體均位居前20位。騙子愈加變本加厲地利用單純的用戶進行詐騙——Rug

pulls、pump

and

dumps、假ICOs。每一次下滑，該行業都會經歷某種“自然選擇”。那些基礎薄弱、沒有堅實基礎或明確使用案例的項目都會被淘汰出局。剩下的則是創新者、有遠見的項目和真正有價值的平臺。現

在

，

W

e

b

3

看

似

正

處

于

低

谷

。

由

于

看

跌趨

勢

超

過

看

漲

反

彈

，

市

場

波

動

甚

至

讓

最

堅定

的

H

O

D

L

e

r

（

長

期

持

有

W

e

b

3

貨

幣

的

群體）的信念也開始動搖。每當你打開X（前Twitter）時，就會看到某個DeFi平臺的流動性被耗盡，或者一個中心化交易所受到攻擊。每個項目的理想和光輝歲月都和這些信號還有負面消息看起來大相徑庭。而正是在這些看似停滯的時期，為下一階段的創新奠定了基礎。那么下一階段的創新是什么樣的呢？雖

然

無

法

做

出

具

體

預

測

，

但

市

場

還

是給

出

了

一

些

信

號

。

根

據

紐

約

梅

隆

銀

行而越是在這種情況下，騙子和投機分子的膽子就越來越大，快速致富的誘惑促使著許多HACK3D:

WEB3.0領域安全現狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠？（Mellon）2022

年的一份報告，97%的機構投資者都認為“代幣化將徹底改變資產管理”。在同一份報告中，63%的受訪者認為機構投資者將推動數字資產的采用——這有可能為鏈上帶來數萬億美元的價值。這項調查的受訪者包括對沖基金、資產所有者（養老基金、捐贈基金、保險機構等）和機構資產經理。與李嘉圖合約的結合是Web3技術在法律領域的創新應用。此外，該公司的目標是將發行債券的凈收益（約3,150萬港元）用于Web3和區塊鏈業務的發展。如果說DeFi在過去幾年的崛起是Web3技術的試驗場，那么大型金融機構似乎已經準備好涉足這一領域。由于私有鏈和公有鏈之間的互操作性是一個主要的工作領域，從TradFi到DeFi的價值自由流動是不可避免的。大多數用戶可能會通過前端應用程序與Web3.0技術進行交互，這些應用程序會抽象出技術的復雜性，同時保留其變革性優勢。在去中心化和傳統金融的交匯點上，已經出現了一些重大舉措。2023年6月23日，董事會審議并通過了一項決議。批準、確認并追認發行本金總額不超過1億港元的債券。債券將使

用

分

布

式

賬

本

技

術

（

代

替

紙

張

）

記錄，并將使用數字所有權token標準實施。雖然

Web3.0領域目前正處于低谷，但該行業的未來是光明可期的。中國信息科技發展有限公司發行債券等將傳統金融系統與去中心化技術融合的舉措，表明了向主流應用的邁進。在機構興趣和技術進步的推動下，該融合正是表明了我們處于創新和新時代增長的風口浪尖。–

中國信息科技發展有限公司中國信息科技發展有限公司正在利用區塊鏈技術發行債券，標志著傳統金融工具與Web3技術的結合邁出了重要一步。作為數字所有權token標準的一部分，智能合約HACK3D:

WEB3.0領域安全現狀

/

Q3

2023跨越鴻溝：

WEB3春天究竟還有多遠？未來預測6個月:18個月:↗

企業試點：大型企業或將啟動或擴大試點項目，將區塊鏈整合到供應鏈管理、身份驗證或數據完整性中。↗

廣泛的互操作性：大多數主流的區塊鏈都將具有完整的互操作性，從而實現真正互聯和統一的Web3生態系統。↗

互操作性的里程碑：第一代跨鏈橋和協議將從實驗階段進入穩定階段，實現以太坊等公共網絡與（半）許可網絡（如Avalanche的子網和Quorum）之間的無縫價值轉移。↗

隱私常規化：隱私功能不再是可選的附加功能，而是將成為大多數Web3應用程序的標配，以滿足用戶對數據安全日益增長的需求。↗金融產品融合：傳統金融產品和DeFi產↗

初步的隱私解決方案：在金融交易中實現零知識證明等基本隱私保護技術將得到采用。品在很大程度上可以互換互通。當然這很大程度上歸功于滿足監管要求的橋和合規措施。↗

全球采用率增長：用戶統計數據將顯示，在易用性、強大的安全功能和明確的監管準則的推動下，全球采用率將達到臨界質量——跨越鴻溝。12個月:↗

主流用戶體驗改進：Web3應用程序的用戶界面將變得越來越直觀，進而吸引新一波非專業技術類型用戶。↗

成熟的企業解決方案：企業級區塊鏈解決方案將從試點階段進入全面部署階段，這標志著其穩健性和主流業務使用的準備已就緒。以上預測都基于當前技術發展的趨勢和可觀察到的勢頭、監管的轉變和大眾觀念的變化。雖然過程中，我們會遇到不可避免及不可預見的挑戰，但這些趨勢足以表明，Web3生態系統正朝著更加集成、更易訪問的方向發展。↗

現實世界資產的代幣化：房地產、藝術品甚至知識產權都將開始加速代幣化，從而產生新型投資產品。↗

監管清晰化：更多明確的支持性法規將出臺，為機構投資提供所需的法律支持。↗

身份管理：去中心化身份解決方案將變得更加強大，并開始與政府和機構數據庫整合。↗

可持續性倡議：在社區倡議和機構資金的支持下，以減少行業碳足跡為重點的區塊鏈項目將受到重視并獲得更多支持。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023Q3Q3BOT及其相關的一切：黑客如何利用

DNS

劫持攻擊竊解讀TELEGRAM

BOT

TOKENS

取資金和復制網站Telegram

Bot代幣（TBTs）在第三季度增長迅速。該代幣方便用戶通過Telegram界面進行各種

DeFi操作，并在此過程中整合代幣。然而，CertiK對CoinGecko的Telegram

Bot

Token目錄中列出的61個項目進行仔細研究后發現，近40%的TBT可能不活躍，或者不太可能從大幅拋售中反彈，甚至是欺詐性的。雖然這些代幣引入了創新的交易方法，但許多代幣缺乏有關其操作和界面中私鑰管理的關鍵技術細節。Telegram

機器人（如

Unibot）已經獲得了廣泛的關注，為用戶提供了整合數據并將其納入交易策略的新方法。然而，這些平臺的迅速崛起也導致了一些純炒作項目的激增。鑒于其私鑰存儲和生成方面的風險，我們建議用戶謹慎使用這些平臺，并將其功能設定為交易用途，而非長期資產存儲。近

期

的

一

些

事

件

發

生

，

特

別

是

與

域

名

系統

(DNS)

劫持攻擊相關的事件，凸顯了Web3生態系統中Web

2基礎設施的薄弱。這些攻擊利用了DNS釣魚用戶的錢包種子短語，并模仿合法網站創建欺詐性網頁來以假亂真。對比分析表明，與傳統的分層中心化DNS相

比

，

基

于

分

布

式

賬

本

技

術

（

D

L

T

）

的DNS更具有安全優勢。一些Web3平臺因這些攻擊而受到了不少經濟損失，這也表明了向去中心化解決方案轉變的必要性。未來，我們可將基于分布式賬本技術的DNS與跨計劃文件系統

(IPFS)

相結合，以增強安全性和抵御此類威脅。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023Q3使用LAYER

2進行擴展：ROLLUPS

VS

SIDECHAINS側鏈什么是賬戶抽象？賬戶抽象是以太坊社區最近的一項發展，旨在增強以太坊區塊鏈的靈活性和用戶友好性。它允許用戶根據自己的特定需求定制與以太坊區塊鏈的交互。傳統上，用戶使用與唯一私鑰相連的外部擁有賬戶（EOA）與以太坊進行交互，而賬戶抽象則引入了更細顆粒度的控制，并實現了多重簽名交易、社交賬號恢復和智能合約交互限制等功能。Layer

2協議，特別是rollups和側鏈，是區塊鏈擴展解決方案的前沿選手。rollups在基礎Layer

1區塊鏈上捆綁交易。受益于L1和L2之間不同的執行狀態，L2上的交易處理速度更快。Rollups主要有兩種類型：樂觀型rollups和零知識型rollups，樂觀型rollups假定交易有效，只在出現爭議時才進行干預；零知識型rollups則利用專門的執行虛擬機來確認交易的準確性。相反，側鏈配備了獨特的共識算法和驗證器，幾乎獨立于其主鏈運行。雖然rollups和側鏈都能提高可擴展性，但它們也在安全性和去中心化方面帶來了特定的挑戰。這一創新帶來了很多優點：如易用性、安全性和包括gas費用支付形式在內的靈活性。通過允許用戶使用以太幣（ETH）以外的代幣支付gas費并使第三方能夠支付交易費用，賬戶抽象可以顯著改善用戶體驗，促進以太坊更廣泛的應用。HACK3D:

WEB3.0領域安全現狀

/

Q3

2023CERTIK端到端安全解決方案CertiK端到端安全解決方案在致力于保護Web3.0的道路上，CertiK開發了許多幫助項目采取端到端安全解決方案的工具。助客戶進行正確的修復。我們的0%費用模式降低了項目團隊的支付負擔，白帽黑客可因此獲取全額賞金。CertiK

KYC盡調服務可為項目團隊提供身份驗證，包括使用基于AI的檢測系統進行ID真實性檢查，以確保個人身份真實并與ID相匹配。除了在身份驗證過程中進行實時有效性檢查外，CertiK還將與每個項目團隊成員進行