1、摘要 2023年第三季度共计因攻击损失约7亿（699,790,794）美元，超过了第一季度的3.2亿美元和第二季度的3.13亿美元，成为了今年损失额度最高的一个季度。其中共发生184起安全事件，月度损失分别为：7月：79起事件共造成约3亿(308,195,474)美元损失 8月：66起事件共造成约6,000万(59,523,398)美元损失 9月：39起事件共造成约3亿(332,071,921)美元损失按照漏洞类型划分，损失金额如下：退出骗局：93起事件共造成约5,000万（55,216,397）美元损失 预言机价格操纵：38起事件共造成约1,664万（16,638,279）美元损失 私钥泄露

2、：14起事件共造成约2亿（204,314,320）美元损失 其他攻击46起，共造成约4亿（423,621,797）美元损失 朝鲜的Lazarus犯罪集团仍是主要威胁来源之一。仅在2023年，就造成了至少2.91亿美元的损失。在第三季度，该犯罪集团仍在持续活动中。总共14起私钥泄露事件造成了共计约2亿美元的损失。这些中心化的密钥管理仍然是一个重要的风险点。Web3行业正处于一个充满挑战的时期，与技术产品生命周期中的“跨越鸿沟”阶段相吻合。该“鸿沟”是早期采用者与主流用户之间过渡的一个瓶颈。而金融机构也正在加大对链上技术的整合力度，这预示着区块链技术即将向主流应用转变。摘要HACK3D:WEB3.

3、0领域安全现状 /Q3 20232023 Q3 统计图表2023 Q3 统计图表数字是近似值，可能会随新信息而变化80100100$5亿$5亿$4亿$3亿605075$2.5亿$3.75亿$2.5亿$3.75亿50257525$1.25亿$1.25亿$2亿4020$1亿000$0$0$0七月八月九月BNBChainBaseEthereumArbitrum AvalanchezkSync退出骗局OptimismOther/Off-ChainPolygonSolana预言机操纵Multiple Chains私钥丢失.HACK3D:WEB3.0领域安全现状 /Q3 2023事件数量损失数额事件数量损

4、失数额事件数量损失数额 按链上统计月度统计类型统计7966931639381446$3亿$0.6亿$0.6亿$730万$0.4亿$0.1万$110万$460万$4.9亿$1.3亿$0.2亿$0.1亿$20万$400万$3.3亿$0.2亿$2亿$4.2亿其他攻击3500$4,000万$1.25亿$100万$2.5亿415$3,000万$1亿$750万$2亿2525$2,000万$1,000万$0.5亿$0.25亿$0.75亿$500万$250万$1.5亿$1亿$0.5亿0000$0$0$0$0退出骗局：按月度及类型统计私钥丢失：预言机操纵：其他攻擊：事

5、件数量损失数额事件数量损失数额事件数量损失数额事件数量损失数额七月七月七月七月八月八月八月八月九月九月九月九月HACK3D:WEB3.0领域安全现状 /Q3 20232023 Q3 统计图表2023 Q3 统计图表数字是近似值，可能会随新信息而变化32177711$1,450万$9,760万$870万$2.2亿$3,890万$220万$640万$1,310万$190万$1亿$150万$2.3亿欢迎阅读Hack3d CertiK 2023年第三季度Web3安全报告。Hack3d是了解Web3领域安全挑战及漏洞的重要资源和统计记录。它为各方提供了必要的知识和见解，帮助他们在日

6、益严峻的环境中加强安全防御，并做出明智的决策。第三季度发生了184起安全事件，损失超过7亿美元，是2023年损失金额最多的一个季度。第一季度的损失总额为3.2亿美元，第二季度为3.13亿美元。这也意味着第三季度的损失超过了整个2023年上半年的损失。Web3黑色产业最主要的威胁之一是与朝鲜有关的Lazarus犯罪集团。Lazarus今年至少造成了2.91亿美元的损失。该组织的复杂攻击策略已经发展到专门针对Web3人员，其中包括利用社交工程方法破坏多个平台的安全。本报告将详细对其进行介绍。此 外，私 钥 泄 露 是 另 一 个 重 要 的 损 失 原因。14起私钥被盗事件造成了总计2.04亿美元

7、的损失，其中Mixin和Multichain事件共造成了3.25亿美元的损失。可以说这是私钥泄露造成的，但更准确地说，它是通过中心化管理私钥造成的。事实证明，私钥的简介中心化管理是一个关键漏洞，尤其是让那些曾被承诺会拥有去中心化机制的用户感到不安。为了解决这个问题，我们与一个重要合作伙伴合作开发了一种新的验证机制，帮助用户确保项目采用了增强型私钥管理解决方案。软件开发缺乏通用标准仍然是Web3领域的一个主要问题。大量的黑客攻击和智能合约漏洞都可以归因于到行业安全标准有所缺失。例如，项目大量使用fork的代码合约，而开发者和用户都没有对fork的代码有足够的了解，因而造成了持续的损失。而较高的安

8、全标准将为确保一致的安全措施、减少漏洞和提高整个Web3世界的复原力提供一个很好的执行框架。正面消息指出，目前一些主要金融机构正在开始有意识地整合链上技术，这表明主流金融机构正在把眼光投向区块链应用。然而，这种转变也带来了新的风险，必须谨慎对待。我们给出了对这个正在日益成熟的行业未来六个月、十二个月和十八个月的预测。CertiK会定期发布各种话题的技术和教育资源，同时我们也将在本报告末尾介绍第三季度的部分重点内容。HACK3D:WEB3.0领域安全现状 /Q3 2023简介LAZARUS效应Lazarus效应 朝鲜的Lazarus集团是目前Web3领域主要的高级持续性威胁(AdvancedPe

9、rsistentThreat）。在2022年，有20%Web3.0攻击的造成的损失是由该集团造成的，而2023年他们目前已窃取超过2.91亿美元。软件供应商JumpCloud的数据泄露事件则与一个隶属Lazarus的子团体所联系起来。之后的几起数百万美元的攻击都与该泄露有关，其中包括CoinsPaid和Alphapo的数据泄露事件。Lazarus成员在这些事件中假扮了招聘人员，并迫使员工下载恶意软件从而发起攻击。美 国 联 邦 调 查 局 和 C e r t i K 的 取 证 分 析 将 L a z a r u s 集 团 与 A t o m i cWallet、Alphapo、CoinsP

10、aid、S和CoinEx等多个漏洞联系起来，强调了他们针对Web3人员的持续性鱼叉式网络钓鱼活动。与朝鲜有关联的Lazarus集团是Web3领域最主要的高级持续性威胁之一（AdvancedPersistent Threat）。他们的网络攻击以系统性窃取私钥为特点，造成了重大经济损高级持续性威胁：拥有复杂的专业知识和大量资源的对手，通过使用多种不同的攻击载体（如网络、物理和欺骗），为实现其目标创造机会、这些目标通常是在组织的信息技术基础设施内建立和扩大其存在，以不断提取信息和/或破坏或阻碍任务、计划或组织，或使自己处于将来能够这样做的位置；此外，高级持续威胁会在较长时间内保持频率的反复试图达成威

11、胁目标并持续适应防御者采取的安全措施。美国国家标准与技术研究院，计算机安全资源中心失。仅在2022年，他们盗取的金额就占据了Web3行业被盗总价值的约20%。2023年至今，Lazarus已在五次重大漏洞中造成超过2.91亿美元的损失。HACK3D:WEB3.0领域安全现状 /Q3 2023软件供应商JumpCloud于7月份遭遇数据泄露，而他们将原因归咎了一个为APT38 的Lazarus下属组织。JumpCloud虽然通知了用户，并操作让所有现有API密钥失效。然而漏洞最终还是被利用，造成了数千万美元的损失。7月22日发生的CoinsPaid和Alphapo入侵事件分别造成了3,700万美

12、元和2,300万美元的损失，而这两起事件的原因都是私钥被泄露。在平台被黑之后，CoinsPaid的事后调查揭示了这样一个精心策划的阴谋：Lazarus成 员 在 L i n k e d I n 上 冒 充 招 聘 人 员，向CoinsPaid员工提供报酬丰厚的从16,000美元到24,000美元每月的工作机会。而这些工作机会的最终目的是迫使员工下载恶意软件“JumpCloud Agent”。该软件主要用于提取包括私钥等敏感数据，帮助Lazarus成功从平台上窃取资金。而该手段可以看得出，Lazarus犯罪集团有了新的战略计划，那就是利用某些Web3组织固有的Web2漏洞。鉴于这些漏洞的复杂性，

13、JumpCloud的漏洞有可能为随后的CoinsPaid攻击提供了便利。针对Atomic Wallet、Alphapo、S和CoinEx的攻击很可能也是采用了类似策略。美国联邦调查局认为，S的4100万美元漏洞是由Lazarus Group所为。而CertiK的取证分析进一步确定了Atomic Wallet、Alphapo、CoinsPaid、S和CoinEx漏洞链上之间的联系。取证分析也充分表明了以上漏洞利用行为确为Lazarus集团所为。链上资金追踪LAZARUS效应HACK3D:WEB3.0领域安全现状 /Q3 2023这些漏洞的确相互关联，并且Atomic Wallet、Alphapo

14、、S和CoinEx共同交织在了一组已知的Lazarus钱包中。例如，在S的漏洞中，资金被转移到了以太坊钱包地址，而这些地址与其他漏洞的相关地址进行了交易。这也为联邦调查局得出Lazarus集团参与了这些事件提供了链上证据。Lazarus集团最近的作案手法主要是针对 Web3人员发起的鱼叉式网络钓鱼活动。为减少此类威胁，Web3专业人员需谨慎对待那些主动提供的工作机会，特别是那些包含文档附件或提出异常丰厚报酬的“诱人馅饼”。LAZARUS效应HACK3D:WEB3.0领域安全现状 /Q3 2023私钥泄露造成的损失竟高达第三季度总损失的近四分之一。而让一个地址控制数以亿计的价值，就如同把数吨黄金

15、钻石交给一个熟人，你只能祈祷他保管的时候不要出错。项 目 即 便 采 用 了 更 安 全 的 多 方 计 算（MPC）设置，也需要对控制合约的独立密钥进行真正的去中心化。7月份导致1.25亿美元损失的Multichain入侵事件就是一个典型的例子。私钥被泄露尽管该协议称自己是去中心化的，但据披露，Multichain的所有多方计算服务器和私钥都完全在CEO赵军的控制之下，而这些服务器和私钥最后都被移交给了警方。这种中心化控制最终导致了协议无法运行，而Multichain上锁定的15亿美元总价值（TVL）也因此无法被访问。但当Multichain上的资金开始被神秘转移身份不明的钱包时，情况进一步

16、恶化。这一事件凸显了安全私钥保管在区块链操作中的极端重要性。Multichain首席执行官被捕，再次敲响了单人掌握控制权可能会导致重大漏洞的警钟。这种中心化操作不仅会危及协议的安全和功能，还会给系统中的资金和资产带来不可控的风险。为 了 主 动 提 高 私 钥 管 理 的 透 明 度 和 安 全性，CertiK与企业私钥自我保管服务提供商Safeheron进行了合作。而此次合作之 私钥泄露造成的损失占第三季度总损失的23%。CertiK与Safeheron的合作为用户引入了一种验证机制，以确保项目拥有安全的私钥管理系统。私钥被泄露HACK3D:WEB3.0领域安全现状 /Q3 2023下，也诞

17、生了一种新型验证机制。该机制旨在使用户能够确认项目是否集成了先进的私钥管理系统。许多Web3项目直接或间接地通过智能合约或个人账户地址管理资金。这种配置可能会无意中造成单点故障，正如Multichain事件中大家看到的那样，如果这些地址被泄露，无论是通过私钥泄漏还是恶意活动，项目及其用户都很容易面临重大风险和不可挽回的损失。值得注意的是：虽然CertiK等安全公司在审计审查过程中强调了这些中心化风险，但并不表示这些风险就被项目方最终解决了（实施建议解决方案的最终决策权在于项目的所有者）。为了弥补这个问题，CertiK与Safeheron的合作引入了接口，允许安全公司验证项目地址是否真正受到密钥

18、托管解决方案的保护。此举不仅提高了透明度，还有助于安全审计人员和用户确认项目是否确实采取了措施来应对中心化风险。私钥被泄露HACK3D:WEB3.0领域安全现状 /Q3 2023Mixin百万美元损失北京时间2023年9月23日凌晨，总部位于香港的Web3公司Mixin发生了一起安全漏洞事件，导致约2亿美元被盗。黑客入侵了MixinNetwork云服务提供商数据库。随后，公司暂时中止了其网络上的存款和取款服务。该公司还保证，一旦漏洞得到确认和修复，将恢复服务。虽 然 漏 洞 常 有，但 是 此 次 漏 洞 的 发 生 在Web3领域可谓意义重大。该漏洞的损失金额是2023年Web3领域内最高的

19、。此前的损失最高记录则是Web3.0借贷平台Euler于3月份损失的1.97亿美元。Mixin对此尚未披露具体细节，我们只能了解到事件起因是中央控制点遭到破坏。该公司在随后的更新中还宣布：“情况比预期的要乐观很多；损失没有预计的严重。虽然更多细节还在不断涌现，但由于非区块链协议和依赖关系带来了全新的潜在漏洞，该事件呈现出了完全去中心化的Web3协议的重要性。经过几天的时间，我们完成了大部分资产统计工作，情况比预期乐观得多。损失并没有预估的那么严重。我们再次提醒大家，暂时不要在Mixin Network上进行交易、做市等活动，以免造成不必要的损失。对于资产损失，除了表示歉意之外，我们将通过行动来

20、承担责任。同时，Mixin一直秉持负责的态度，具体的补偿规则还需要一些时间。MixinKernelMIXIN百万美元损失HACK3D:WEB3.0领域安全现状 /Q3 2023Vyper事件分析：年度最大重入锁失效漏洞2 0 2 3 年 7 月 3 0 日，专 为 以 太 坊 虚 拟 机（E V M）设 计 的 面 向 合 约 的 编 程 语 言Vyper编译器0.2.15、0.2.16和0.3.0版本被宣布存在重入锁失效漏洞。攻击者可在remove_liquidity()过程中调用ad_liquidity()函数，从而利用漏洞。该事件导致了6,930万美元的损失，其中1,670万美元最终被白

21、帽黑客追回，净损失约为5,200万美元，成为了2023年最重大的重入攻击事件。Vyper事件造成了6,930万美元的损失，白帽黑客追回1,670万美元。特定Vyper编译器版本中的重入漏洞为利用漏洞提供了便利。持续的安全评估和及时的升级对于保护资产和维护DeFi生态系统至关重要。VYPER事件分析：年度最大重入锁失效漏洞HACK3D:WEB3.0领域安全现状 /Q3 2023CertiK确定有六个地址涉及此次事件。第 一 个 钱 包（0 x 1 7 2）未 能 利 用 区 块17806056中的漏洞。最初的漏洞利用者从Tornado Cash提取了0.1ETH，并继续创建攻击合约。然而，一个抢

22、先交易的钱包（0 x6Ec21）支付了更多的gas费用，并率先执行了交易，获得了大约6,100枚WETH（1,140万美元）。为以太坊虚拟机（EVM）量身定制的面向合约的语言Vyper披露，上述编译器版本易受重入锁故障的影响。这个漏洞产生了连锁效应，影响了多个DeFi项目，最终导致总计5,200万美元的损失。经确认，重入锁攻击的主要目标是pETH-ETH-f池。与该事件有关的六个钱包已被锁定。最初的一个钱包试图利用该漏洞，但没有成功。随后攻击者成功盗取了价值超过1,140万美元的资产。该漏洞进一步促成了其他重大损失，其中一个价值约2,100万美元。攻击起因攻击者及其作案手法VYPER事件分析：

23、年度最大重入锁失效漏洞HACK3D:WEB3.0领域安全现状 /Q3 2023Vyper的语法与Python相似，是以太坊虚拟机（EVM）的一种面向合约的pythonic编程语言，专为EVM区块链开发。虽然Solidity仍是以太坊生态系统中的主流语言，但Vyper该漏洞的核心是一个重入漏洞，该漏洞允许攻击者在移除流动性过程中调用添加流动性函数。虽然这些函数本应受到nonreentrant(lock的保护，但对add_liquidty()和remove_liquidity()函数的测试证明，它并不能防止重入攻击。建议使用有漏洞的Vyper版本的项目应联系Vyper协助进行修复。项目也应尽量升级

24、到不含此漏洞的最新版Vyper。Vyper事件是2023年发现的最大的重入漏洞，占截至当时因此类攻击而损失的资金总额的78.6%。该事件凸显了严格的安全实践的重要性，以及在快速发展的区块链和DeFi世界中持续保持警惕的必要性。VYPER简介潜在漏洞的智能合约在DeFi协议的总锁仓价值中占了很大一部分。尽管与Solidity相比，Vyper的总锁仓价值主导地位较低，但这一事件仍影响了6,200万美元的巨额资产。VYPER事件分析：年度最大重入锁失效漏洞HACK3D:WEB3.0领域安全现状 /Q3 2023跨越鸿沟：Web3春天究竟还有多远？虽然Web3货币目前正处于不见天日的寒冬，但我们仍然取

25、得了许多积极的进展。后文将探讨技术应用周期的现状，包括谁可能会是带领大家走出Web3寒冬、迈向春天的主要参与者，最后，还将对未来6个月、12个月和18个月后的前景做出预测。在一些人士看来，Web3行业尚处在充满挑战的时期，距离重新崛起似乎还有 一段路程。这种低迷是传统市场周期中“萧条”阶段的象征，而该行业目前正处于技术采纳声明周期曲线的“鸿沟”阶段。跨越该鸿沟，早期创新者才能迈入更广泛市场的受众当中。尽管存在不少挑战，主要金融机构在整合区块链技术方面正在取得重大进展。这也标志着区块链应用正在发生切实转变。跨越鸿沟：WEB3春天究竟还有多远？HACK3D:WEB3.0领域安全现状 /Q3 202

26、3报告显示，10%到20%的美国人拥有Web3货币，而这一数字在尼日利亚和土耳其等国则跃升到了47%，印度尼西亚（29%）、巴西（28%）以及印度（27%）等国拥有Web3货币的民众比例保持在四分之一以上，而瑞士（21%）、韩国（20%）、荷兰（19%）和澳大利亚（17%）等发达经济体均位居前20位。现在，Web3看似正处于低谷。由于看跌趋势超过看涨反弹，市场波动甚至让最坚定的HODLer（长期持有Web3货币的群体）的信念也开始动摇。每当你打开X（前Twitter）时，就会看到某个DeFi平台的流动性被耗尽，或者一个中心化交易所受到攻击。每个项目的理想和光辉岁月都和这些信号还有负面消息看起来

27、大相径庭。而越是在这种情况下，骗子和投机分子的胆子就越来越大，快速致富的诱惑促使着许多骗子愈加变本加厉地利用单纯的用户进行诈骗Rug pulls、pump and dumps、假ICOs。每一次下滑，该行业都会经历某种“自然选择”。那些基础薄弱、没有坚实基础或明确使用案例的项目都会被淘汰出局。剩下的则是创新者、有远见的项目和真正有价值的平台。而正是在这些看似停滞的时期，为下一阶段的创新奠定了基础。那么下一阶段的创新是什么样的呢？虽 然 无 法 做 出 具 体 预 测，但 市 场 还 是给 出 了 一 些 信 号。根 据 纽 约 梅 隆 银 行跨越鸿沟：WEB3春天究竟还有多远？HACK3D:W

28、EB3.0领域安全现状 /Q3 2023（Mellon）2022年的一份报告，97%的机构投资者都认为“代币化将彻底改变资产管理”。在同一份报告中，63%的受访者认为机构投资者将推动数字资产的采用这有可能为链上带来数万亿美元的价值。这项调查的受访者包括对冲基金、资产所有者（养老基金、捐赠基金、保险机构等）和机构资产经理。在去中心化和传统金融的交汇点上，已经出现了一些重大举措。中国信息科技发展有限公司正在利用区块链技术发行债券，标志着传统金融工具与Web3技术的结合迈出了重要一步。作为数字所有权token标准的一部分，智能合约2023年6月23日，董事会审议并通过了一项决议。批准、确认并追认发行

29、本金总额不超过1亿港元的债券。债券将使用分布式账本技术（代替纸张）记录，并将使用数字所有权token标准实施。中国信息科技发展有限公司与李嘉图合约的结合是Web3技术在法律领域的创新应用。此外，该公司的目标是将发行债券的净收益（约3,150万港元）用于Web3和区块链业务的发展。如果说DeFi在过去几年的崛起是Web3技术的试验场，那么大型金融机构似乎已经准备好涉足这一领域。由于私有链和公有链之间的互操作性是一个主要的工作领域，从TradFi到DeFi的价值自由流动是不可避免的。大多数用户可能会通过前端应用程序与Web3.0技术进行交互，这些应用程序会抽象出技术的复杂性，同时保留其变革性优势。

30、虽然Web3.0领域目前正处于低谷，但该行业的未来是光明可期的。中国信息科技发展有限公司发行债券等将传统金融系统与去中心化技术融合的举措，表明了向主流应用的迈进。在机构兴趣和技术进步的推动下，该融合正是表明了我们处于创新和新时代增长的风口浪尖。跨越鸿沟：WEB3春天究竟还有多远？HACK3D:WEB3.0领域安全现状 /Q3 20236个月:企业试点：大型企业或将启动或扩大试点项目，将区块链整合到供应链管理、身份验证或数据完整性中。互操作性的里程碑：第一代跨链桥和协议将从实验阶段进入稳定阶段，实现以太坊等公共网络与（半）许可网络（如Avalanche的子网和Quorum）之间的无缝价值转移。初

31、步的隐私解决方案：在金融交易中实现零知识证明等基本隐私保护技术将得到采用。12个月:主流用户体验改进：Web3应用程序的用户界面将变得越来越直观，进而吸引新一波非专业技术类型用户。成熟的企业解决方案：企业级区块链解决方案将从试点阶段进入全面部署阶段，这标志着其稳健性和主流业务使用的准备已就绪。现实世界资产的代币化：房地产、艺术品甚至知识产权都将开始加速代币化，从而产生新型投资产品。监管清晰化：更多明确的支持性法规将出台，为机构投资提供所需的法律支持。身份管理：去中心化身份解决方案将变得更加强大，并开始与政府和机构数据库整合。可持续性倡议：在社区倡议和机构资金的支持下，以减少行业碳足迹为重点的区

32、块链项目将受到重视并获得更多支持。未来预测18个月:广泛的互操作性：大多数主流的区块链都将具有完整的互操作性，从而实现真正互联和统一的Web3生态系统。隐私常规化：隐私功能不再是可选的附加功能，而是将成为大多数Web3应用程序的标配，以满足用户对数据安全日益增长的需求。金融产品融合：传统金融产品和DeFi产品在很大程度上可以互换互通。当然这很大程度上归功于满足监管要求的桥和合规措施。全球采用率增长：用户统计数据将显示，在易用性、强大的安全功能和明确的监管准则的推动下，全球采用率将达到临界质量跨越鸿沟。以上预测都基于当前技术发展的趋势和可观察到的势头、监管的转变和大众观念的变化。虽然过程中，我们

33、会遇到不可避免及不可预见的挑战，但这些趋势足以表明，Web3生态系统正朝着更加集成、更易访问的方向发展。跨越鸿沟：WEB3春天究竟还有多远？HACK3D:WEB3.0领域安全现状 /Q3 2023Q3BOT及其相关的一切：解读TELEGRAM BOT TOKENS黑客如何利用 DNS 劫持攻击窃取资金和复制网站Q3HACK3D:WEB3.0领域安全现状 /Q3 2023TelegramBot代币（TBTs）在第三季度增长迅速。该代币方便用户通过Telegram界面进行各种 DeFi操作，并在此过程中整合代币。然而，CertiK对CoinGecko的Telegram Bot Token目录中列出

34、的61个项目进行仔细研究后发现，近40%的TBT可能不活跃，或者不太可能从大幅抛售中反弹，甚至是欺诈性的。虽然这些代币引入了创新的交易方法，但许多代币缺乏有关其操作和界面中私钥管理的关键技术细节。Telegram 机器人（如 Unibot）已经获得了广泛的关注，为用户提供了整合数据并将其纳入交易策略的新方法。然而，这些平台的迅速崛起也导致了一些纯炒作项目的激增。鉴于其私钥存储和生成方面的风险，我们建议用户谨慎使用这些平台，并将其功能设定为交易用途，而非长期资产存储。近 期 的 一 些 事 件 发 生，特 别 是 与 域 名 系统(DNS)劫持攻击相关的事件，凸显了Web3生态系统中Web2基础

35、设施的薄弱。这些攻击利用了DNS钓鱼用户的钱包种子短语，并模仿合法网站创建欺诈性网页来以假乱真。对比分析表明，与传统的分层中心化DNS相 比，基 于 分 布 式 账 本 技 术（D L T）的DNS更具有安全优势。一些Web3平台因这些攻击而受到了不少经济损失，这也表明了向去中心化解决方案转变的必要性。未来，我们可将基于分布式账本技术的DNS与跨计划文件系统(IPFS)相结合，以增强安全性和抵御此类威胁。Q3HACK3D:WEB3.0领域安全现状 /Q3 2023使用LAYER 2进行扩展：ROLLUPS VS SIDECHAINS 侧链什么是账户抽象？Layer2协议，特别是rollups和

36、侧链，是区块链扩展解决方案的前沿选手。rollups在基础Layer 1区块链上捆绑交易。受益于L1和L2之间不同的执行状态，L2上的交易处理速度更快。Rollups主要有两种类型：乐观型rollups和零知识型rollups，乐观型rollups假定交易有效，只在出现争议时才进行干预；零知识型rollups则利用专门的执行虚拟机来确认交易的准确性。相反，侧链配备了独特的共识算法和验证器，几乎独立于其主链运行。虽然rollups和侧链都能提高可扩展性，但它们也在安全性和去中心化方面带来了特定的挑战。账户抽象是以太坊社区最近的一项发展，旨在增强以太坊区块链的灵活性和用户友好性。它允许用户根据自己

37、的特定需求定制与以太坊区块链的交互。传统上，用户使用与唯一私钥相连的外部拥有账户（EOA）与以太坊进行交互，而账户抽象则引入了更细颗粒度的控制，并实现了多重签名交易、社交账号恢复和智能合约交互限制等功能。这一创新带来了很多优点：如易用性、安全性和包括gas费用支付形式在内的灵活性。通过允许用户使用以太币（ETH）以外的代币支付gas费并使第三方能够支付交易费用，账户抽象可以显著改善用户体验，促进以太坊更广泛的应用。CertiK端到端安全解决方案在致力于保护Web3.0的道路上，CertiK开发了许多帮助项目采取端到端安全解决方案的工具。CertiK KYC尽调服务可为项目团队提供身份验证，包括

38、使用基于AI的检测系统进行ID真实性检查，以确保个人身份真实并与ID相匹配。除了在身份验证过程中进行实时有效性检查外，CertiK还将与每个项目团队成员进行实时视频沟通，以验证他们的身份和其他必要参数。由于团队的匿名性越来越高，项目的风险行为也越来越具有可能。除此之外，CertiK安全排行榜赋予通过KYC调查的项目团队以青铜、白银、黄金等级的KYC徽章，最大程度上使项目团队去匿名化，建立更完善的问责制，从而增强项目的可信度。渗透测试是确保运行环境中Web3应用程序安全综合解决方案的重要组成部分。我们的渗透测试服务由经验丰富的道德黑客团队通过利用专有工具来发现代码中即便是最为微小的易受攻击之处。

39、漏洞赏金计划招募并遴选了一批世界顶级的白帽黑客，收集情报以在恶意行为者利用漏洞之前将其及时发现。CertiK的安全专家团队将负责筛查和鉴定所有提交材料，并协助客户进行正确的修复。我们的0%费用模式降低了项目团队的支付负担，白帽黑客可因此获取全额赏金。SkyTrace是一种智能、直观的追踪工具，可帮助分析和可视化以太坊和BSC钱包的交易数据。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。支持的生态系统：CertiK的审计及端到端解决方案已覆盖目前市面上大部分生态系统。目前与我们合作的生态系统包括：Algorand Aptos Arbitrum Avalanche

40、BNB Chain Cardano Cosmos Cronos Ethereum Fantom Ferrum Harmony IoTeX Near OKTC Optimism Polkadot Polygon Solana Terra TON Tron WEMIX zkSyncCERTIK端到端安全解决方案HACK3D:WEB3.0领域安全现状 /Q3 2023CertiK专业咨询服务，会由我们经验丰富的分析师团队提供定制化全面服务，包括技术评估、专有研究和策略建议。在 第 三 季 度，我 们 还 隆 重 推 出 了SkyInsights，一款针对Web3公司的合规性和风险管理工具。SkyIn

41、sights：全面的Web3合规平台第三季度，CertiK推出了SkyInsights，一款用于Web3合规性和风险管理的创新解决方案。该方案旨在协助金融机构、中小企业和业内原生平台应对错综复杂的合规性问题。钱包筛查：该功能提供了一个直观的仪表板，用于分析与特定钱包相关的风险，并考虑与受制裁实体的联系以及风险钱包的风险敞口等因素。了解你的交易(Know Your Transaction KYT)：KYT可对Web3货币交易进行深入分析，清晰描绘链上活动，并利用警报表和风险严重性计数等工具识别可疑交易。监控定制化小组：监控组可根据个人业务需CERTIK端到端安全解决方案HACK3D:WEB3.0领域安全现状 /Q3 2023求量身定制，深入了解交易时间轴、警报状态和风险级别变化，并通过每周报告加以丰富。及时警报和升级：SkyInsights可确保实时交易监控与即时警报相结合，从而实现高效组织并及时应对潜在威胁。审计跟踪和报告：自动记录对案件中任何地址采取的所有行动，确保透明度和问责制。这些日志可以以PDF格式下载，并且每周提供报告或按需提供额外颗粒度的报告。SkyInsights API：该应用程序接口可与现有系统无缝集成，提供行业标准的风险评估和实时交易监控。其设计具有可扩展性，可满足各种规模企业的需求，同时适应新兴趋势和法规。