Salus Web3-Sicherheitsbericht 2023: Wichtige Erkenntnisse enthüllt

Der Web3-Sicherheitsbereich erlebte im Jahr 2023 einen dramatischen Wandel, der sowohl Fortschritte in der Widerstandsfähigkeit als auch anhaltende Schwierigkeiten zeigte. Cyberangriffe gegen den Web3-Sektor führten dazu über $ 1.7 Milliarden an Schadensersatz im Jahr 2023; 453 Vorfälle wurden dokumentiert. Die vielfältigen Gefahren, die diese Angriffe mit sich bringen, verdeutlichen, wie wichtig es für die Web3-Community ist, sich ständig darüber im Klaren zu sein. Ein Expertenteam von Salus, ein auf Forschung spezialisiertes Web3-Sicherheitsunternehmen, hat diesen umfassenden Analysebericht entwickelt.

Hacks: Ein Jahr mit unterschiedlichen Mustern

Auch wenn die Gesamtschäden im Jahr 2023 erheblich zurückgingen, hatten hochkarätige Exploits weiterhin erhebliche Auswirkungen. Der Verlust von 200 Millionen US-Dollar, den Mixin Network im September erlitt, sowie die Verluste von 197 Millionen US-Dollar, die Euler Finance im März erlitten haben, und die Verluste von 126.36 Millionen US-Dollar, die Multichain im Juli erlitten hat, verdeutlichen die anhaltenden Gefahren für Bridges und DeFi Protokolle.

Eine genauere Betrachtung der monatlichen Verluste zeigt ein interessantes Muster. Obwohl es im September, November und Juli große Verluste gab, war im Oktober und Dezember ein spürbarer Rückgang zu verzeichnen, was darauf hindeutet, dass Sicherheitsbewusstsein und die Umsetzung starker Schutzmaßnahmen immer wichtiger werden. 

Snapshot 2023 der Web3-Sicherheitslücken

Exit-Betrug: 

Von allen Angriffen entfielen 12.24 % auf Exit-Scams, wobei 276 Vorfälle zu einem Verlust von 208 Millionen US-Dollar führten. Prominente Beispiele für Unternehmungen, die beträchtliche Gewinne versprachen, aber mit dem Geld der Investoren plötzlich verschwanden.

Sicherheitsvorkehrungen:

1. Projekte und Teams eingehend untersuchen, sicherstellen, dass sie über eine nachgewiesene Erfolgsbilanz verfügen, und Projekte anhand transparenter Sicherheitsbewertungen zuverlässiger Unternehmen bewerten. 

2. Variieren Sie Ihr Anlageportfolio und seien Sie vorsichtig, wenn Sie Unternehmungen in Betracht ziehen, die unangemessen hohe Renditen bieten. 

Probleme mit der Zugangskontrolle: 

Bei 39.18 % der Angriffe gab es Probleme bei der Zugangskontrolle, und 29 dieser Vorfälle führten zu einem erheblichen Verlust von 666 Millionen US-Dollar. Prominente Beispiele sind Anfälligkeiten, die in Multichain, Poloniex und Atomic Wallet genutzt wurden.

Sicherheitsvorkehrungen:

Halten Sie sich an das Prinzip der geringsten Rechte, richten Sie strenge Authentifizierungs- und Autorisierungsverfahren ein und aktualisieren Sie die Zugriffsberechtigungen häufig. Darüber hinaus sollten Sie das Personal regelmäßig in Sicherheitsschulungen schulen, insbesondere für diejenigen mit hohen Berechtigungen, und umfassende Überwachungssysteme einrichten, um verdächtige Aktivitäten in Anwendungen und Infrastruktur schnell zu erkennen und zu bekämpfen.

Phishing: 

Phishing-Vorfälle machten 3.98 % der Angriffe aus, und 13 dieser Vorfälle verursachten Verluste in Höhe von 67.6 Millionen US-Dollar. Angreifer nutzten eine Vielzahl ständig wechselnder Phishing-Strategien, wie der AlphaPo-Angriff der Lazarus Group zeigt.

Sicherheitsvorkehrungen:

Front-End-Angriffe haben im Web3-Bereich aufgrund von Initiativen, die die Front-End-Sicherheit unterschätzen, zugenommen. Es ist wichtig, dies zu tun Web3 Penetrationstests, um Systemfehler und Schwachstellen zu finden, die Hacker ausnutzen könnten. Machen Sie die Benutzerschulung zur obersten Priorität, fördern Sie die Verwendung von Multi-Faktor-Authentifizierung (MFA) und Hardware-Wallets und nutzen Sie Domänenüberwachung und E-Mail-Verifizierung.

Angriffe mit Flash Loans: 

Bei 16.12 % der Angriffe handelte es sich um Flash-Loan-Angriffe, wobei 37 Vorfälle zu einem Verlust von 274 Millionen US-Dollar führten. Gegen Yearn Finance, KyberSwap und Euler Finance wurden gezielte Blitzkreditangriffe gestartet.

Sicherheitsvorkehrungen: 

Reduzieren Sie die mit Schnellkrediten verbundenen Gefahren, indem Sie Beschränkungen wie Fristen und Mindestkreditbeträge einführen. Da die Kosten für die Nutzung von Flash-Krediten die Kosten für Angreifer erhöhen, kann dies als Abschreckung für feindliche Angriffe dienen.

Wiedereintritt:

4.35 % der Angriffe wurden durch Wiedereintrittsschwachstellen verursacht, und 15 dieser Vorfälle führten zu einem Verlust von 74 Millionen US-Dollar. Die Auswirkungen eines kleinen Fehlers, der große Verluste verursacht, wurden durch das Vyper-Problem und den Exactly Protocol-Angriff ans Licht gebracht.

Sicherheitsvorkehrungen:

1. Befolgen Sie strikt das Check-Effect-Interaction-Modell: Stellen Sie sicher, dass alle relevanten Prüfungen und Validierungen durchgeführt wurden, bevor Sie fortfahren. Erst wenn Sie diese Tests erfolgreich abgeschlossen haben, sollten Sie Statusänderungen vornehmen und mit externen Entitäten zusammenarbeiten.

2. Umfassenden Wiedereintrittsschutz in die Praxis umsetzen: Nutzen Sie ihn für jede Funktion im Vertrag, die sensible Vorgänge beinhaltet.

Probleme mit Oracle: 

7.88 % der Angriffe wurden durch Oracle-Probleme verursacht, und sieben dieser Fälle führten zu einem Verlust von 7 Millionen US-Dollar. Der BonqDAO-Hack demonstrierte, wie man Token-Preise ändern kann, indem man Oracle-Schwächen ausnutzt.

Sicherheitsvorkehrungen:

1. Preisprognosen sollten nicht für Märkte mit geringer Liquidität erstellt werden.

2. Stellen Sie fest, ob die Liquidität des Tokens ausreicht, um die Plattformintegration zu gewährleisten, bevor Sie über bestimmte Preis-Oracle-Pläne nachdenken.

3. Integrieren Sie den zeitgewichteten Durchschnittspreis (TWAP), um die Manipulationskosten für den Angreifer zu erhöhen.

Zusätzliche Schwachstellen 

16.47 % der Angriffe erfolgten über andere Schwachstellen, und 76 dieser Vorfälle führten zu einem Verlust von 280 Millionen US-Dollar. Zahlreiche Web2-Schwachstellen und der Datenbankverstoß von Mixin zeigten das breite Spektrum an Sicherheitsproblemen, die in der Web3-Domäne auftreten.

Top 10 Hacks 2023: Zusammenfassung 

Die zehn größten Hackerangriffe des Jahres 2023, die etwa 70 % des Jahresschadens ausmachten (rund 1.2 Milliarden US-Dollar), identifizierten eine gemeinsame Schwachstelle: Probleme bei der Zugangskontrolle, insbesondere solche, die mit dem Diebstahl privater Schlüssel einhergingen. Die meisten dieser Verstöße ereigneten sich in der zweiten Jahreshälfte; Im November ereigneten sich drei schwere Übergriffe. 

Insbesondere war die Lazarus-Gruppe in viele Verstöße verwickelt, die durch Hot-Wallet-Kompromisse zum Verlust von Geldern führten. Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo und CoinEx gehörten zu den Protokollen, die ausgenutzt wurden.

Fazit: 

Bis zum Jahresende sind die Gesamtschäden im Jahr 2023 geringer als im Jahr 2022. Die Schadenskonzentration in den Top-10-Angriffen zeigt jedoch, wie wichtig ein besserer Schutz ist. Aufgrund einer Vielzahl von Schwachstellen erfordert der Schutz des Web3-Bereichs eine vielschichtige Strategie.

Die Bedeutung gründlicher Audits und erweiterter Kenntnisse über Web3-Penetrationstests kann nicht hoch genug eingeschätzt werden, insbesondere im Hinblick auf neue Infiltrationstechniken, wie sie bei Angriffen der Lazarus Group eingesetzt werden. Es wird dringend empfohlen, dass Benutzer und Stakeholder Plattformen und Dienste priorisieren, die sowohl funktionale Anforderungen als auch höchste Sicherheitsstandards erfüllen, um den Weg für eine sichere Web3-Zukunft zu ebnen. 

Hier geht es weiter. um den Live-Bericht des Expertenteams von Salus zu sehen.

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
• PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
• PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
• PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
• Quelle: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/