Ο χώρος ασφαλείας Web3 γνώρισε μια δραματική αλλαγή το 2023, παρουσιάζοντας τόσο πρόοδο στην ανθεκτικότητα όσο και ανθεκτικές δυσκολίες. Οι κυβερνοεπιθέσεις κατά του τομέα Web3 είχαν ως αποτέλεσμα πάνω από $ 1.7 δισεκατομμύρια σε αποζημιώσεις το 2023· Καταγράφηκαν 453 περιστατικά. Η ποικιλία των κινδύνων που παρουσιάζονται από αυτές τις επιθέσεις υπογραμμίζει την κρίσιμη ανάγκη για την κοινότητα Web3 να διατηρεί συνεχή επίγνωση. Μια ομάδα ειδικών στο Σάλους, μια επιχείρηση ασφάλειας web3 επικεντρωμένη στην έρευνα, ανέπτυξε αυτήν την εκτενή αναφορά ανάλυσης.
Hacks: A Year of Differing Patterns
Παρόλο που οι συνολικές απώλειες μειώθηκαν σημαντικά το 2023, τα υψηλού προφίλ exploit συνέχισαν να έχουν σημαντικό αντίκτυπο. Η ζημιά 200 εκατομμυρίων δολαρίων που υπέστη το Mixin Network τον Σεπτέμβριο, μαζί με τις ζημίες 197 εκατομμυρίων δολαρίων που υπέστη η Euler Finance τον Μάρτιο και οι ζημίες 126.36 εκατομμυρίων δολαρίων που υπέστη η Multichain τον Ιούλιο, υπογραμμίζουν τους συνεχιζόμενους κινδύνους για τις γέφυρες και Defi πρωτόκολλα.
Η λεπτομερέστερη εξέταση των μηνιαίων απωλειών δείχνει ένα ενδιαφέρον μοτίβο. Αν και υπήρξαν μεγάλες απώλειες τον Σεπτέμβριο, τον Νοέμβριο και τον Ιούλιο, σημειώθηκε αξιοσημείωτη πτώση τον Οκτώβριο και τον Δεκέμβριο, υποδηλώνοντας ότι η ευαισθητοποίηση σχετικά με την ασφάλεια και η εφαρμογή ισχυρών μέτρων προστασίας γίνονται όλο και πιο σημαντικές.
Στιγμιότυπο 2023 ευπάθειας ασφαλείας Web3
Έξοδος από απάτες:
Από όλες τις επιθέσεις, οι απάτες εξόδου αποτελούσαν το 12.24%, με 276 περιστατικά που είχαν ως αποτέλεσμα ζημιά 208 εκατομμυρίων δολαρίων. Εξέχουσες περιπτώσεις εγχειρημάτων που υποσχέθηκαν σημαντικά κέρδη αλλά εξαφανίστηκαν απότομα με τα χρήματα των επενδυτών.
Μέτρα ασφαλείας:
1. Διερεύνηση έργων και ομάδων σε βάθος, διασφάλιση ότι έχουν αποδεδειγμένο ιστορικό και κατάταξη έργων σύμφωνα με διαφανείς αξιολογήσεις ασφαλείας που παρέχονται από αξιόπιστες εταιρείες.
2. Αλλάξτε το επενδυτικό σας χαρτοφυλάκιο και να είστε προσεκτικοί όταν εξετάζετε εγχειρήματα που προσφέρουν αδικαιολόγητα υψηλές αποδόσεις.
Προβλήματα με τον έλεγχο πρόσβασης:
Το 39.18% των επιθέσεων είχαν προβλήματα ελέγχου πρόσβασης και 29 από αυτά τα περιστατικά είχαν ως αποτέλεσμα σημαντική απώλεια 666 εκατομμυρίων δολαρίων. Οι εξέχουσες περιπτώσεις περιλαμβάνουν ευαισθησίες που χρησιμοποιήθηκαν στο Multichain, το Poloniex και το Atomic Wallet.
Μέτρα ασφαλείας:
Τηρείτε την αρχή των ελάχιστων προνομίων, εφαρμόζετε ισχυρές διαδικασίες ελέγχου ταυτότητας και εξουσιοδότησης και ενημερώνετε συχνά τα δικαιώματα πρόσβασης. Επιπλέον, παρέχετε στο προσωπικό τακτική εκπαίδευση σε θέματα ασφάλειας, ιδιαίτερα σε εκείνους με υψηλά προνόμια, και δημιουργήστε ενδελεχή συστήματα παρακολούθησης για τον γρήγορο εντοπισμό και αντιμετώπιση τυχόν ύποπτης δραστηριότητας σε εφαρμογές και υποδομές.
phishing:
Οι περιπτώσεις phishing αποτελούσαν το 3.98% των επιθέσεων και 13 από αυτά τα περιστατικά κόστισαν ζημιές 67.6 εκατομμυρίων δολαρίων. Οι επιτιθέμενοι χρησιμοποίησαν μια ποικιλία από συνεχώς μεταβαλλόμενες στρατηγικές phishing, όπως φαίνεται από την επίθεση AlphaPo από την ομάδα Lazarus.
Μέτρα ασφαλείας:
Οι επιθέσεις στο front-end έχουν αυξηθεί στην αρένα του web3 ως αποτέλεσμα πρωτοβουλιών που υποτιμούν την ασφάλεια του front-end. Είναι απαραίτητο να γίνει Web3 δοκιμές διείσδυσης για την εύρεση ελαττωμάτων και τρωτών σημείων του συστήματος που θα μπορούσαν να εκμεταλλευτούν οι χάκερ. Κάντε την εκπαίδευση των χρηστών κορυφαία προτεραιότητα, ενθαρρύνετε τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και πορτοφολιών υλικού και χρησιμοποιήστε την παρακολούθηση τομέα και την επαλήθευση email.
Επιθέσεις με χρήση Flash Loans:
Το 16.12% των επιθέσεων ήταν επεισόδια έκτακτων δανείων, με 37 περιστατικά που οδήγησαν σε απώλεια 274 εκατομμυρίων δολαρίων. Ξεκίνησαν επιθέσεις φλας δανείων ακριβείας κατά των Yearn Finance, KyberSwap και Euler Finance.
Μέτρα ασφαλείας:
Μειώστε τους κινδύνους που συνδέονται με τα έκτακτα δάνεια θέτοντας περιορισμούς όπως χρονικά όρια και ελάχιστες ποσότητες δανεισμού. Αυξάνοντας το κόστος για τους εισβολείς, η χρέωση για τη χρήση φλας δανείων μπορεί να χρησιμεύσει ως αντικίνητρο για τη χρήση εχθρικών επιθέσεων.
Επανεισαγωγή:
Το 4.35% των επιθέσεων προκλήθηκαν από ευπάθειες επανεισόδου και 15 από αυτά τα περιστατικά είχαν ως αποτέλεσμα απώλεια 74 εκατομμυρίων δολαρίων. Οι συνέπειες ενός μικροσκοπικού ελαττώματος που προκαλεί μεγάλες απώλειες ήρθαν στο φως από το ζήτημα του Vyper και την επίθεση του Exactly Protocol.
Μέτρα ασφαλείας:
1. Ακολουθήστε αυστηρά το μοντέλο ελέγχου-αποτελέσματος-αλληλεπίδρασης: Βεβαιωθείτε ότι έχουν γίνει όλοι οι σχετικοί έλεγχοι και επικυρώσεις πριν προχωρήσετε. Θα πρέπει να κάνετε αλλαγές κατάστασης και να συνεργαστείτε με εξωτερικές οντότητες μόνο αφού ολοκληρώσετε επιτυχώς αυτές τις δοκιμές.
2. Εφαρμόστε την ολοκληρωμένη προστασία επανεισόδου στην πράξη: Χρησιμοποιήστε την για κάθε λειτουργία της σύμβασης που περιλαμβάνει ευαίσθητες διαδικασίες.
Προβλήματα με την Oracle:
Το 7.88% των επιθέσεων προκλήθηκαν από προβλήματα της Oracle και 7 από αυτές τις περιπτώσεις οδήγησαν σε απώλεια 134 εκατομμυρίων δολαρίων. Το hack του BonqDAO έδειξε πώς να αλλάζετε τις τιμές token χρησιμοποιώντας τις αδυναμίες του μαντείου.
Μέτρα ασφαλείας:
1. Οι προβλέψεις τιμών δεν πρέπει να γίνονται σε αγορές με μικρή ρευστότητα.
2. Προσδιορίστε εάν η ρευστότητα του διακριτικού είναι αρκετή για να εγγυηθεί την ενοποίηση της πλατφόρμας προτού σκεφτείτε οποιοδήποτε συγκεκριμένο σχέδιο μαντείου τιμών.
3. Ενσωματώστε τη χρονικά σταθμισμένη μέση τιμή (TWAP) για να αυξήσετε το κόστος χειραγώγησης για τον εισβολέα.
Πρόσθετα τρωτά σημεία
Το 16.47% των επιθέσεων έγιναν χρησιμοποιώντας άλλα τρωτά σημεία και 76 από αυτά τα περιστατικά οδήγησαν σε απώλεια 280 εκατομμυρίων δολαρίων. Πολλά τρωτά σημεία του web2 και η παραβίαση της βάσης δεδομένων του Mixin κατέδειξαν το ευρύ φάσμα των θεμάτων ασφαλείας που αντιμετωπίζονται στον τομέα Web3.
Top 10 hacks 2023: Σύνοψη
Οι δέκα κορυφαίες εισβολές του 2023, οι οποίες αντιπροσώπευαν περίπου το 70% των ζημιών του έτους (περίπου 1.2 δισεκατομμύρια δολάρια), εντόπισαν μια κοινή αδυναμία: προβλήματα ελέγχου πρόσβασης, ειδικά αυτά που περιλαμβάνουν κλοπή ιδιωτικών κλειδιών. Οι περισσότερες από αυτές τις παραβιάσεις συνέβησαν στο δεύτερο εξάμηνο του έτους. τρεις σημαντικές επιθέσεις έγιναν τον Νοέμβριο.
Σημειωτέον, ο Όμιλος Lazarus ενεπλάκη σε πολλές παραβιάσεις που είχαν ως αποτέλεσμα την απώλεια κεφαλαίων μέσω συμβιβασμών για το πορτοφόλι. Τα Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo και CoinEx ήταν μεταξύ των πρωτοκόλλων που αξιοποιήθηκαν.
Συμπέρασμα:
Μέχρι το τέλος του έτους, οι συνολικές απώλειες του 2023 είναι λιγότερες από αυτές του 2022. Αλλά η συγκέντρωση των ζημιών στις 10 κορυφαίες επιθέσεις υπογραμμίζει πόσο σημαντικό είναι να έχουμε καλύτερη προστασία. Λόγω ενός ευρέος φάσματος τρωτών σημείων, η προστασία του χώρου Web3 απαιτεί μια πολύπλευρη στρατηγική.
Είναι αδύνατο να υπερεκτιμηθεί η σημασία των ενδελεχών ελέγχων και της αυξημένης γνώσης των δοκιμών διείσδυσης στο Web3, ιδιαίτερα εν όψει νέων τεχνικών διείσδυσης όπως αυτές που χρησιμοποιούνται στις επιθέσεις του Ομίλου Lazarus. Συνιστάται ιδιαίτερα οι χρήστες και οι ενδιαφερόμενοι να δώσουν προτεραιότητα σε πλατφόρμες και υπηρεσίες που πληρούν τόσο τις λειτουργικές απαιτήσεις όσο και τα υψηλότερα πρότυπα ασφάλειας, προκειμένου να ανοίξει ο δρόμος για ένα ασφαλές μέλλον στο Web3.
Περισσότερα για να δείτε τη ζωντανή αναφορά από την ομάδα ειδικών στο Salus.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/
