2023年第三季度Web3安全报告-2023.10

HACK3D:

WEB3.0领域安全现状

/

Q3

2023摘要摘要ԼԼ2023年第三季度共计因攻击损失约7亿（699,790,794）美元，超过了第一季度的3.2亿美元和第二季度的3.13亿美元，成为了今年损失额度最高的一个季度。其中共发生184起安全事件，月度损失分别为：7月：79起事件共造成约3亿

(308,195,474)

美元损失8月：66起事件共造成约6,000万

(59,523,398)

美元损失9月：39起事件共造成约3亿

(332,071,921)

美元损失按照漏洞类型划分，损失金额如下：退出骗局：

93起事件共造成约5,000万（55,216,397）美元损失预言机价格操纵：38起事件共造成约1,664万（16,638,279）美元损失私钥泄露：14起事件共造成约2亿（204,314,320）美元损失其他攻击46起，共造成约4亿（423,621,797）美元损失ԼԼԼԼ朝鲜的Lazarus犯罪集团仍是主要威胁来源之一。仅在2023年，就造成了至少2.91亿美元的损失。在第三季度，该犯罪集团仍在持续活动中。总共14起私钥泄露事件造成了共计约2亿美元的损失。这些中心化的密钥管理仍然是一个重要的风险点。Web3行业正处于一个充满挑战的时期，与技术产品生命周期中的“跨越鸿沟”阶段相吻合。该“鸿沟”是早期采用者与主流用户之间过渡的一个瓶颈。而金融机构也正在加大对链上技术的整合力度，这预示着区块链技术即将向主流应用转变。HACK3D:

WEB3.0领域安全现状

/

Q3

20232023

Q3

统计图表2023

Q3

统计图表月度统计类型统计79806040200$4亿$3亿$2亿$1亿$010075$5亿93$4.2亿$3.3亿66$3亿$3.75亿$2.5亿$1.25亿$039504638$2亿250$0.6亿$0.6亿14$0.2亿七月八月九月退出骗局预言机操纵私钥丢失其他攻击事件数量损失数额事件数量损失数额按链上统计1007550250$4.9亿$5亿86$3.75亿$2.5亿65$1.3亿$1.25亿12$0.4亿6$0.2亿4$400万1$20万3$0.1亿1

$730万1$0.1万1

$110万2

$460万zkSync$0...Arbitrum

AvalancheBaseBNBChainEthereum

Multiple

OptimismChainsOther/Off-ChainPolygonSolana事件数量损失数额数字是近似值，可能会随新信息而变化HACK3D:

WEB3.0领域安全现状

/

Q3

20232023

Q3

统计图表2023

Q3

统计图表按月度及类型统计退出骗局：预言机操纵：50$3,890万45$4,000万$3,000万$2,000万$1,000万$025$100万$750万$500万$250万23$870万31$640万25$1,450万1787$150万$190万00$0七月八月九月七月八月九月事件数量损失数额事件数量损失数额私钥丢失：其他攻擊：10$1.25亿$1亿2523$2.5亿$2亿$2.3亿$2.2亿$1亿$9,760万8642020151057$0.75亿$0.5亿$0.25亿$0$1.5亿$1亿121143$0.5亿$0$1,310万$220万八月0七月九月七月八月九月事件数量损失数额事件数量损失数额数字是近似值，可能会随新信息而变化HACK3D:

WEB3.0领域安全现状

/

Q3

2023简介简介欢迎阅读Hack3d

——

CertiK

2023年第三季度Web3安全报告。Hack3d是了解Web3领域安全挑战及漏洞的重要资源和统计记录。它为各方提供了必要的知识和见解，帮助他们在日益严峻的环境中加强安全防御，并做出明智的决策。中心化管理是一个关键漏洞，尤其是让那些曾被承诺会拥有去中心化机制的用户感到不安。为了解决这个问题，我们与一个重要合作伙伴合作开发了一种新的验证机制，帮助用户确保项目采用了增强型私钥管理解决方案。第三季度发生了184起安全事件，损失超过7亿美元，是2023年损失金额最多的一个季度。第一季度的损失总额为3.2亿美元，第二季度为3.13亿美元。这也意味着第三季度的损失超过了整个2023年上半年的损失。软件开发缺乏通用标准仍然是Web3领域的一个主要问题。大量的黑客攻击和智能合约漏洞都可以归因于到行业安全标准有所缺失。例如，项目大量使用fork的代码合约，而开发者和用户都没有对fork的代码有足够的了解，因而造成了持续的损失。而较高的安全标准将为确保一致的安全措施、减少漏洞和提高整个Web3世界的复原力提供一个很好的执行框架。Web3黑色产业最主要的威胁之一是与朝鲜有关的Lazarus犯罪集团。Lazarus今年至少造成了2.91亿美元的损失。该组织的复杂攻击策略已经发展到专门针对Web3人员，其中包括利用社交工程方法破坏多个平台的安全。本报告将详细对其进行介绍。正面消息指出，目前一些主要金融机构正在开始有意识地整合链上技术，这表明主流金融机构正在把眼光投向区块链应用。然而，这种转变也带来了新的风险，必须谨慎对待。我们给出了对这个正在日益成熟的行业未来六个月、十二个月和十八个月的预测。此

外

，

私

钥

泄

露

是

另

一

个

重

要

的

损

失

原因。14起私钥被盗事件造成了总计2.04亿美元的损失，其中Mixin和Multichain事件共造成了3.25亿美元的损失。可以说这是私钥泄露造成的，但更准确地说，它是通过中心化管理私钥造成的。事实证明，私钥的CertiK会定期发布各种话题的技术和教育资源，同时我们也将在本报告末尾介绍第三季度的部分重点内容。HACK3D:

WEB3.0领域安全现状

/

Q3

2023LAZARUS效应Lazarus效应↗

朝鲜的Lazarus集团是目前Web3领域主要的高级持续性威胁(Advanced

PersistentThreat）。在2022年，有20%Web3.0攻击的造成的损失是由该集团造成的，而2023年他们目前已窃取超过2.91亿美元。↗

软件供应商JumpCloud的数据泄露事件则与一个隶属Lazarus的子团体所联系起来。之后的几起数百万美元的攻击都与该泄露有关，其中包括CoinsPaid和Alphapo的数据泄露事件。Lazarus成员在这些事件中假扮了招聘人员，并迫使员工下载恶意软件从而发起攻击。↗

美

国

联

邦

调

查

局

和

C

e

r

t

i

K

的

取

证

分

析

将

L

a

z

a

r

u

s

集

团

与

A

t

o

m

i

cWallet、Alphapo、CoinsPaid、S和CoinEx等多个漏洞联系起来，强调了他们针对

Web3人员的持续性鱼叉式网络钓鱼活动。与朝鲜有关联的Lazarus集团是Web3领域最主要的高级持续性威胁之一（AdvancedPersistent

Threat）。他们的网络攻击以系统性窃取私钥为特点，造成了重大经济损失。仅在2022年，他们盗取的金额就占据了Web3行业被盗总价值的约20%。2023年至今，Lazarus已在五次重大漏洞中造成超过2.91亿美元的损失。高级持续性威胁：

拥有复杂的专业知识和大量资源的对手，通过使用多种不同的攻击载体（如网络、物理和欺骗），为实现其目标创造机会、这些目标通常是在组织的信息技术基础设施内建立和扩大其存在，以不断提取信息和/或破坏或阻碍任务、计划或组织，或使自己处于将来能够这样做的位置；此外，高级持续威胁会在较长时间内保持频率的反复试图达成威胁目标并持续适应防御者采取的安全措施。–

美国国家标准与技术研究院，计算机安全资源中心HACK3D:

WEB3.0领域安全现状

/

Q3

2023LAZARUS效应软件供应商JumpCloud于7月份遭遇数据泄露，而他们将原因归咎了一个为APT38的Lazarus下属组织。JumpCloud虽然通知了用户，并操作让所有现有API密钥失效。然而漏洞最终还是被利用，造成了数百万美元的损失。在平台被黑之后，CoinsPaid的事后调查揭示了这样一个精心策划的阴谋：Lazarus成

员

在

L

i

n

k

e

d

I

n

上

冒

充

招

聘

人

员

，

向CoinsPaid员工提供报酬丰厚的从16,000美元到24,000美元每月的工作机会。而这些工作机会的最终目的是迫使员工下载恶意软件“JumpCloud

Agent”。该软件主要用于提取包括私钥等敏感数据，「帮助」Lazarus成功从平台上窃取资金。而该手段可以看得出，Lazarus犯罪集团有了新的战略计划，那就是利用某些Web3组织固有的Web2漏洞。鉴于这些漏洞的复杂性，JumpCloud的漏洞有可能为随后的CoinsPaid攻击提供了便利。针对AtomicWallet、Alphapo、S和CoinEx的攻击很可能也是采用了类似策略。链上资金追踪美国联邦调查局认为，S的4100万美元漏洞是由Lazarus

Group所为。而CertiK的取证分析进一步确定了AtomicWallet、Alphapo、CoinsPaid、Stake.com和CoinEx漏洞链上之间的联系。取证分析也充分表明了以上漏洞利用行为确为Lazarus集团所为。7月22日发生的CoinsPaid和Alphapo入侵事件分别造成了3,700万美元和2,300万美元的损失，而这两起事件的原因都是私钥被泄露。HACK3D:

WEB3.0领域安全现状

/

Q3

2023LAZARUS效应这些漏洞的确相互关联，并且AtomicWallet、Alphapo、S和CoinEx共同交织在了一组已知的Lazarus钱包中。例如，在S的漏洞中，资金被转移到了以太坊钱包地址，而这些地址与其他漏洞的相关地址进行了交易。这也为联邦调查局得出Lazarus集团参与了这些事件提供了链上证据。Lazarus集团最近的作案手法主要是针对Web3人员发起的鱼叉式网络钓鱼活动。为减少此类威胁，Web3专业人员需谨慎对待那些主动提供的工作机会，特别是那些包含文档附件或提出异常丰厚报酬的“诱人馅饼”。HACK3D:

WEB3.0领域安全现状

/

Q3

2023私钥被泄露私钥被泄露↗

私钥泄露造成的损失占第三季度总损失的23%。↗

CertiK与Safeheron的合作为用户引入了一种验证机制，以确保项目拥有安全的私钥管理系统。私钥泄露造成的损失竟高达第三季度总损失的近四分之一。而让一个地址控制数以亿计的价值，就如同把数吨黄金钻石交给一个熟人，你只能祈祷他保管的时候不要出错。尽管该协议称自己是去中心化的，但据披露，Multichain的所有多方计算服务器和私钥都完全在CEO赵军的控制之下，而这些服务器和私钥最后都被移交给了警方。这种中心化控制最终导致了协议无法运行，而

M

u

l

t

i

c

h

a

i

n

上

锁

定

的

1

5

亿

美

元

总

价

值（TVL）也因此无法被访问。项

目

即

便

采

用

了

更

安

全

的

多

方

计

算（MPC）设置，也需要对控制合约的独立密钥进行真正的去中心化。但当Multichain上的资金开始被神秘转移身份不明的钱包时，情况进一步恶化。7月份导致1.25亿美元损失的Multichain入侵事件就是一个典型的例子。这一事件凸显了安全私钥保管在区块链操作中的极端重要性。Multichain首席执行官被捕，再次敲响了单人掌握控制权可能会导致重大漏洞的警钟。这种中心化操作不仅会危及协议的安全和功能，还会给系统中的资金和资产带来不可控的风险。为

了

主

动

提

高

私

钥

管

理

的

透

明

度

和

安

全性，CertiK与企业私钥自我保管服务提供商Safeheron进行了合作。而此次合作之HACK3D:

WEB3.0领域安全现状

/

Q3

2023私钥被泄露下，也诞生了一种新型验证机制。该机制旨在使用户能够确认项目是否集成了先进的私钥管理系统。并不表示这些风险就被项目方最终解决了（实施建议解决方案的最终决策权在于项目的所有者）。许多Web3项目直接或间接地通过智能合约或个人账户地址管理资金。这种配置可能会无意中造成单点故障，正如Multichain事件中大家看到的那样，如果这些地址被泄露，无论是通过私钥泄漏还是恶意活动，项目及其用户都很容易面临重大风险和不可挽回的损失。为了弥补这个问题，CertiK与Safeheron的合作引入了接口，允许安全公司验证项目地址是否真正受到密钥托管解决方案的保护。此举不仅提高了透明度，还有助于安全审计人员和用户确认项目是否确实采取了措施来应对中心化风险。值得注意的是：虽然CertiK等安全公司在审计审查过程中强调了这些中心化风险，但HACK3D:

WEB3.0领域安全现状

/

Q3

2023MIXIN百万美元损失Mixin百万美元损失北京时间2023年9月23日凌晨，总部位于香港的Web3公司Mixin发生了一起安全漏洞事件，导致约2亿美元被盗。黑客入侵了Mixin

Network云服务提供商数据库。随后，公司暂时中止了其网络上的存款和取款服务。该公司还保证，一旦漏洞得到确认和修复，将恢复服务。损失最高记录则是Web3.0借贷平台Euler于3月份损失的1.97亿美元。Mixin对此尚未披露具体细节，我们只能了解到事件起因是中央控制点遭到破坏。该公司在随后的更新中还宣布：“情况比预期的要乐观很多；损失没有预计的严重"。虽然更多细节还在不断涌现，但由于非区块链协议和依赖关系带来了全新的潜在漏洞，该事件呈现出了完全去中心化的Web3协议的重要性。虽

然

漏

洞

常

有

，

但

是

此

次

漏

洞

的

发

生

在Web3领域可谓意义重大。该漏洞的损失金额是2023年Web3领域内最高的。此前的经过几天的时间，我们完成了大部分资产统计工作，情况比预期乐观得多。损失并没有预估的那么严重。我们再次提醒大家，暂时不要在Mixin

Network上进行交易、做市等活动，以免造成不必要的损失。对于资产损失，除了表示歉意之外，我们将通过行动来承担责任。同时，Mixin一直秉持负责的态度，具体的补偿规则还需要一些时间。—

@MixinKernelHACK3D:

WEB3.0领域安全现状

/

Q3

2023VYPER事件分析：

年度最大重入锁失效漏洞Vyper事件分析：年度最大重入锁失效漏洞↗

Vyper事件造成了6,930万美元的损失，白帽黑客追回1,670万美元。↗

特定Vyper编译器版本中的重入漏洞为利用漏洞提供了便利。↗

持续的安全评估和及时的升级对于保护资产和维护DeFi生态系统至关重要。2

0

2

3

年

7

月

3

0

日

，

专

为

以

太

坊

虚

拟

机（

E

V

M

）

设

计

的

面

向

合

约

的

编

程

语

言Vyper编译器0.2.15、0.2.16和0.3.0版本被宣布存在重入锁失效漏洞。攻击者可在`remove_liquidity()`过程中调用`ad_liquidity()`函数，从而利用漏洞。该事件导

致

了

6

,

9

3

0

万

美

元

的

损

失

，

其

中

1

,

6

7

0万美元最终被白帽黑客追回，净损失约为5,200万美元，成为了2023年最重大的重入攻击事件。HACK3D:

WEB3.0领域安全现状

/

Q3

2023VYPER事件分析：

年度最大重入锁失效漏洞C

e

r

t

i

K

确

定

有

六

个

地

址

涉

及

此

次

事

件

。第

一

个

钱

包

（

0

x

1

7

2

）

未

能

利

用

区

块17806056中的漏洞。最初的漏洞利用者从Tornado

Cash提取了0.1ETH，并继续创建攻击合约。然而，一个抢先交易的钱包（0x6Ec21）支付了更多的gas费用，并

率

先

执

行

了

交

易

，

获

得

了

大

约

6

,

1

0

0

枚WETH（1,140万美元）。攻击起因攻击者及其作案手法为以太坊虚拟机（EVM）量身定制的面向合约的语言Vyper披露，上述编译器版本易受重入锁故障的影响。这个漏洞产生了连锁效应，影响了多个DeFi项目，最终导致总计5,200万美元的损失。经确认，重入锁攻击的主要目标是pETH-ETH-f池。与该事件有关的六个钱包已被锁定。最初的一个钱包试图利用该漏洞，但没有成功。随后攻击者成功盗取了价值超过1,140万美元的资产。该漏洞进一步促成了其他重大损失，其中一个价值约2,100万美元。HACK3D:

WEB3.0领域安全现状

/

Q3

2023VYPER事件分析：

年度最大重入锁失效漏洞VYPER简介Vyper的语法与Python相似，是以太坊虚拟机（EVM）的一种面向合约的pythonic编程语言，专为EVM区块链开发。虽然Solidity仍是以太坊生态系统中的主流语言，但Vyper的智能合约在DeFi协议的总锁仓价值中占了很大一部分。尽管与Solidity相比，Vyper的总锁仓价值主导地位较低，但这一事件仍影响了6,200万美元的巨额资产。潜在漏洞该漏洞的核心是一个重入漏洞，该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。虽然这些函数本应受到@nonreentrant(‘lock’的保护，但对add_liquidty()remove_liquidity()

函数的测试证明，它并不能防止重入攻击。和建议使用有漏洞的Vyper版本的项目应联系Vyper协助进行修复。项目也应尽量升级到不含此漏洞的最新版Vyper。Vyper事件是2023年发现的最大的重入漏洞，占截至当时因此类攻击而损失的资金总额的78.6%。该事件凸显了严格的安全实践的重要性，以及在快速发展的区块链和DeFi世界中持续保持警惕的必要性。HACK3D:

WEB3.0领域安全现状

/

Q3

2023跨越鸿沟：

WEB3春天究竟还有多远？跨越鸿沟：Web3春天究竟还有多远？↗

在一些人士看来，Web3行业尚处在充满挑战的时期，距离重新崛起似乎还有一段路程。↗

这种低迷是传统市场周期中“萧条”阶段的象征，而该行业目前正处于技术采纳声明周期曲线的“鸿沟”阶段。跨越该鸿沟，早期创新者才能迈入更广泛市场的受众当中。↗

尽管存在不少挑战，主要金融机构在整合区块链技术方面正在取得重大进展。这也标志着区块链应用正在发生切实转变。虽

然

W

e

b

3

货

币

目

前

正

处

于

不

见

天

日

的

寒冬，但我们仍然取得了许多积极的进展。后文将探讨技术应用周期的现状，包括谁可能会是带领大家走出Web3寒冬、迈向春天的主要参与者，最后，还将对未来6个月、12个月和18个月后的前景做出预测。HACK3D:

WEB3.0领域安全现状

/

Q3

2023跨越鸿沟：

WEB3春天究竟还有多远？报告显示，10%到20%的美国人拥有Web3货

币

，

而

这

一

数

字

在

尼

日

利

亚

和

土

耳

其

等国则跃升到了47%，印度尼西亚（29%）、巴西（28%）以及印度（27%）等国拥有Web3货币的民众比例保持在四分之一以上，而瑞士（21%）、韩国（20%）、荷兰（19%）和澳大利亚（17%）等发达经济体均位居前20位。骗子愈加变本加厉地利用单纯的用户进行诈骗——Rug

pulls、pump

and

dumps、假ICOs。每一次下滑，该行业都会经历某种“自然选择”。那些基础薄弱、没有坚实基础或明确使用案例的项目都会被淘汰出局。剩下的则是创新者、有远见的项目和真正有价值的平台。现

在

，

W

e

b

3

看

似

正

处

于

低

谷

。

由

于

看

跌趋

势

超

过

看

涨

反

弹

，

市

场

波

动

甚

至

让

最

坚定

的

H

O

D

L

e

r

（

长

期

持

有

W

e

b

3

货

币

的

群体）的信念也开始动摇。每当你打开X（前Twitter）时，就会看到某个DeFi平台的流动性被耗尽，或者一个中心化交易所受到攻击。每个项目的理想和光辉岁月都和这些信号还有负面消息看起来大相径庭。而正是在这些看似停滞的时期，为下一阶段的创新奠定了基础。那么下一阶段的创新是什么样的呢？虽

然

无

法

做

出

具

体

预

测

，

但

市

场

还

是给

出

了

一

些

信

号

。

根

据

纽

约

梅

隆

银

行而越是在这种情况下，骗子和投机分子的胆子就越来越大，快速致富的诱惑促使着许多HACK3D:

WEB3.0领域安全现状

/

Q3

2023跨越鸿沟：

WEB3春天究竟还有多远？（Mellon）2022

年的一份报告，97%的机构投资者都认为“代币化将彻底改变资产管理”。在同一份报告中，63%的受访者认为机构投资者将推动数字资产的采用——这有可能为链上带来数万亿美元的价值。这项调查的受访者包括对冲基金、资产所有者（养老基金、捐赠基金、保险机构等）和机构资产经理。与李嘉图合约的结合是Web3技术在法律领域的创新应用。此外，该公司的目标是将发行债券的净收益（约3,150万港元）用于Web3和区块链业务的发展。如果说DeFi在过去几年的崛起是Web3技术的试验场，那么大型金融机构似乎已经准备好涉足这一领域。由于私有链和公有链之间的互操作性是一个主要的工作领域，从TradFi到DeFi的价值自由流动是不可避免的。大多数用户可能会通过前端应用程序与Web3.0技术进行交互，这些应用程序会抽象出技术的复杂性，同时保留其变革性优势。在去中心化和传统金融的交汇点上，已经出现了一些重大举措。2023年6月23日，董事会审议并通过了一项决议。批准、确认并追认发行本金总额不超过1亿港元的债券。债券将使

用

分

布

式

账

本

技

术

（

代

替

纸

张

）

记录，并将使用数字所有权token标准实施。虽然

Web3.0领域目前正处于低谷，但该行业的未来是光明可期的。中国信息科技发展有限公司发行债券等将传统金融系统与去中心化技术融合的举措，表明了向主流应用的迈进。在机构兴趣和技术进步的推动下，该融合正是表明了我们处于创新和新时代增长的风口浪尖。–

中国信息科技发展有限公司中国信息科技发展有限公司正在利用区块链技术发行债券，标志着传统金融工具与Web3技术的结合迈出了重要一步。作为数字所有权token标准的一部分，智能合约HACK3D:

WEB3.0领域安全现状

/

Q3

2023跨越鸿沟：

WEB3春天究竟还有多远？未来预测6个月:18个月:↗

企业试点：大型企业或将启动或扩大试点项目，将区块链整合到供应链管理、身份验证或数据完整性中。↗

广泛的互操作性：大多数主流的区块链都将具有完整的互操作性，从而实现真正互联和统一的Web3生态系统。↗

互操作性的里程碑：第一代跨链桥和协议将从实验阶段进入稳定阶段，实现以太坊等公共网络与（半）许可网络（如Avalanche的子网和Quorum）之间的无缝价值转移。↗

隐私常规化：隐私功能不再是可选的附加功能，而是将成为大多数Web3应用程序的标配，以满足用户对数据安全日益增长的需求。↗金融产品融合：传统金融产品和DeFi产↗

初步的隐私解决方案：在金融交易中实现零知识证明等基本隐私保护技术将得到采用。品在很大程度上可以互换互通。当然这很大程度上归功于满足监管要求的桥和合规措施。↗

全球采用率增长：用户统计数据将显示，在易用性、强大的安全功能和明确的监管准则的推动下，全球采用率将达到临界质量——跨越鸿沟。12个月:↗

主流用户体验改进：Web3应用程序的用户界面将变得越来越直观，进而吸引新一波非专业技术类型用户。↗

成熟的企业解决方案：企业级区块链解决方案将从试点阶段进入全面部署阶段，这标志着其稳健性和主流业务使用的准备已就绪。以上预测都基于当前技术发展的趋势和可观察到的势头、监管的转变和大众观念的变化。虽然过程中，我们会遇到不可避免及不可预见的挑战，但这些趋势足以表明，Web3生态系统正朝着更加集成、更易访问的方向发展。↗

现实世界资产的代币化：房地产、艺术品甚至知识产权都将开始加速代币化，从而产生新型投资产品。↗

监管清晰化：更多明确的支持性法规将出台，为机构投资提供所需的法律支持。↗

身份管理：去中心化身份解决方案将变得更加强大，并开始与政府和机构数据库整合。↗

可持续性倡议：在社区倡议和机构资金的支持下，以减少行业碳足迹为重点的区块链项目将受到重视并获得更多支持。HACK3D:

WEB3.0领域安全现状

/

Q3

2023Q3Q3BOT及其相关的一切：黑客如何利用

DNS

劫持攻击窃解读TELEGRAM

BOT

TOKENS

取资金和复制网站Telegram

Bot代币（TBTs）在第三季度增长迅速。该代币方便用户通过Telegram界面进行各种

DeFi操作，并在此过程中整合代币。然而，CertiK对CoinGecko的Telegram

Bot

Token目录中列出的61个项目进行仔细研究后发现，近40%的TBT可能不活跃，或者不太可能从大幅抛售中反弹，甚至是欺诈性的。虽然这些代币引入了创新的交易方法，但许多代币缺乏有关其操作和界面中私钥管理的关键技术细节。Telegram

机器人（如

Unibot）已经获得了广泛的关注，为用户提供了整合数据并将其纳入交易策略的新方法。然而，这些平台的迅速崛起也导致了一些纯炒作项目的激增。鉴于其私钥存储和生成方面的风险，我们建议用户谨慎使用这些平台，并将其功能设定为交易用途，而非长期资产存储。近

期

的

一

些

事

件

发

生

，

特

别

是

与

域

名

系统

(DNS)

劫持攻击相关的事件，凸显了Web3生态系统中Web

2基础设施的薄弱。这些攻击利用了DNS钓鱼用户的钱包种子短语，并模仿合法网站创建欺诈性网页来以假乱真。对比分析表明，与传统的分层中心化DNS相

比

，

基

于

分

布

式

账

本

技

术

（

D

L

T

）

的DNS更具有安全优势。一些Web3平台因这些攻击而受到了不少经济损失，这也表明了向去中心化解决方案转变的必要性。未来，我们可将基于分布式账本技术的DNS与跨计划文件系统

(IPFS)

相结合，以增强安全性和抵御此类威胁。HACK3D:

WEB3.0领域安全现状

/

Q3

2023Q3使用LAYER

2进行扩展：ROLLUPS

VS

SIDECHAINS侧链什么是账户抽象？账户抽象是以太坊社区最近的一项发展，旨在增强以太坊区块链的灵活性和用户友好性。它允许用户根据自己的特定需求定制与以太坊区块链的交互。传统上，用户使用与唯一私钥相连的外部拥有账户（EOA）与以太坊进行交互，而账户抽象则引入了更细颗粒度的控制，并实现了多重签名交易、社交账号恢复和智能合约交互限制等功能。Layer

2协议，特别是rollups和侧链，是区块链扩展解决方案的前沿选手。rollups在基础Layer

1区块链上捆绑交易。受益于L1和L2之间不同的执行状态，L2上的交易处理速度更快。Rollups主要有两种类型：乐观型rollups和零知识型rollups，乐观型rollups假定交易有效，只在出现争议时才进行干预；零知识型rollups则利用专门的执行虚拟机来确认交易的准确性。相反，侧链配备了独特的共识算法和验证器，几乎独立于其主链运行。虽然rollups和侧链都能提高可扩展性，但它们也在安全性和去中心化方面带来了特定的挑战。这一创新带来了很多优点：如易用性、安全性和包括gas费用支付形式在内的灵活性。通过允许用户使用以太币（ETH）以外的代币支付gas费并使第三方能够支付交易费用，账户抽象可以显著改善用户体验，促进以太坊更广泛的应用。HACK3D:

WEB3.0领域安全现状

/

Q3

2023CERTIK端到端安全解决方案CertiK端到端安全解决方案在致力于保护Web3.0的道路上，CertiK开发了许多帮助项目采取端到端安全解决方案的工具。助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。CertiK

KYC尽调服务可为项目团队提供身份验证，包括使用基于AI的检测系统进行ID真实性检查，以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK还将与每个项目团队成员进行