Ο χώρος ασφαλείας Web3 γνώρισε μια δραματική αλλαγή το 2023, παρουσιάζοντας τόσο πρόοδο στην ανθεκτικότητα όσο και ανθεκτικές δυσκολίες. Οι κυβερνοεπιθέσεις κατά του τομέα Web3 είχαν ως αποτέλεσμα πάνω από $ 1.7 δισεκατομμύρια σε αποζημιώσεις το 2023· Καταγράφηκαν 453 περιστατικά. Η ποικιλία των κινδύνων που παρουσιάζονται από αυτές τις επιθέσεις υπογραμμίζει την κρίσιμη ανάγκη για την κοινότητα Web3 να διατηρεί συνεχή επίγνωση. Μια ομάδα ειδικών στο Σάλους, μια επιχείρηση ασφάλειας web3 επικεντρωμένη στην έρευνα, ανέπτυξε αυτήν την εκτενή αναφορά ανάλυσης.
Hacks: A Year of Differing Patterns
Παρόλο που οι συνολικές απώλειες μειώθηκαν σημαντικά το 2023, τα υψηλού προφίλ exploit συνέχισαν να έχουν σημαντικό αντίκτυπο. Η ζημιά 200 εκατομμυρίων δολαρίων που υπέστη το Mixin Network τον Σεπτέμβριο, μαζί με τις ζημίες 197 εκατομμυρίων δολαρίων που υπέστη η Euler Finance τον Μάρτιο και οι ζημίες 126.36 εκατομμυρίων δολαρίων που υπέστη η Multichain τον Ιούλιο, υπογραμμίζουν τους συνεχιζόμενους κινδύνους για τις γέφυρες και Defi πρωτόκολλα.
Η λεπτομερέστερη εξέταση των μηνιαίων απωλειών δείχνει ένα ενδιαφέρον μοτίβο. Αν και υπήρξαν μεγάλες απώλειες τον Σεπτέμβριο, τον Νοέμβριο και τον Ιούλιο, σημειώθηκε αξιοσημείωτη πτώση τον Οκτώβριο και τον Δεκέμβριο, υποδηλώνοντας ότι η ευαισθητοποίηση σχετικά με την ασφάλεια και η εφαρμογή ισχυρών μέτρων προστασίας γίνονται όλο και πιο σημαντικές.
Στιγμιότυπο 2023 ευπάθειας ασφαλείας Web3
Έξοδος από απάτες:
Από όλες τις επιθέσεις, οι απάτες εξόδου αποτελούσαν το 12.24%, με 276 περιστατικά που είχαν ως αποτέλεσμα ζημιά 208 εκατομμυρίων δολαρίων. Εξέχουσες περιπτώσεις εγχειρημάτων που υποσχέθηκαν σημαντικά κέρδη αλλά εξαφανίστηκαν απότομα με τα χρήματα των επενδυτών.
Μέτρα ασφαλείας:
1. Διερεύνηση έργων και ομάδων σε βάθος, διασφάλιση ότι έχουν αποδεδειγμένο ιστορικό και κατάταξη έργων σύμφωνα με διαφανείς αξιολογήσεις ασφαλείας που παρέχονται από αξιόπιστες εταιρείες.
2. Αλλάξτε το επενδυτικό σας χαρτοφυλάκιο και να είστε προσεκτικοί όταν εξετάζετε εγχειρήματα που προσφέρουν αδικαιολόγητα υψηλές αποδόσεις.
Προβλήματα με τον έλεγχο πρόσβασης:
Το 39.18% των επιθέσεων είχαν προβλήματα ελέγχου πρόσβασης και 29 από αυτά τα περιστατικά είχαν ως αποτέλεσμα σημαντική απώλεια 666 εκατομμυρίων δολαρίων. Οι εξέχουσες περιπτώσεις περιλαμβάνουν ευαισθησίες που χρησιμοποιήθηκαν στο Multichain, το Poloniex και το Atomic Wallet.
Μέτρα ασφαλείας:
Τηρείτε την αρχή των ελάχιστων προνομίων, εφαρμόζετε ισχυρές διαδικασίες ελέγχου ταυτότητας και εξουσιοδότησης και ενημερώνετε συχνά τα δικαιώματα πρόσβασης. Επιπλέον, παρέχετε στο προσωπικό τακτική εκπαίδευση σε θέματα ασφάλειας, ιδιαίτερα σε εκείνους με υψηλά προνόμια, και δημιουργήστε ενδελεχή συστήματα παρακολούθησης για τον γρήγορο εντοπισμό και αντιμετώπιση τυχόν ύποπτης δραστηριότητας σε εφαρμογές και υποδομές.
phishing:
Οι περιπτώσεις phishing αποτελούσαν το 3.98% των επιθέσεων και 13 από αυτά τα περιστατικά κόστισαν ζημιές 67.6 εκατομμυρίων δολαρίων. Οι επιτιθέμενοι χρησιμοποίησαν μια ποικιλία από συνεχώς μεταβαλλόμενες στρατηγικές phishing, όπως φαίνεται από την επίθεση AlphaPo από την ομάδα Lazarus.
Μέτρα ασφαλείας:
Οι επιθέσεις στο front-end έχουν αυξηθεί στην αρένα του web3 ως αποτέλεσμα πρωτοβουλιών που υποτιμούν την ασφάλεια του front-end. Είναι απαραίτητο να γίνει Web3 δοκιμές διείσδυσης για την εύρεση ελαττωμάτων και τρωτών σημείων του συστήματος που θα μπορούσαν να εκμεταλλευτούν οι χάκερ. Κάντε την εκπαίδευση των χρηστών κορυφαία προτεραιότητα, ενθαρρύνετε τη χρήση ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) και πορτοφολιών υλικού και χρησιμοποιήστε την παρακολούθηση τομέα και την επαλήθευση email.
Επιθέσεις με χρήση Flash Loans:
Το 16.12% των επιθέσεων ήταν επεισόδια έκτακτων δανείων, με 37 περιστατικά που οδήγησαν σε απώλεια 274 εκατομμυρίων δολαρίων. Ξεκίνησαν επιθέσεις φλας δανείων ακριβείας κατά των Yearn Finance, KyberSwap και Euler Finance.
Μέτρα ασφαλείας:
Μειώστε τους κινδύνους που συνδέονται με τα έκτακτα δάνεια θέτοντας περιορισμούς όπως χρονικά όρια και ελάχιστες ποσότητες δανεισμού. Αυξάνοντας το κόστος για τους εισβολείς, η χρέωση για τη χρήση φλας δανείων μπορεί να χρησιμεύσει ως αντικίνητρο για τη χρήση εχθρικών επιθέσεων.
Επανεισαγωγή:
Το 4.35% των επιθέσεων προκλήθηκαν από ευπάθειες επανεισόδου και 15 από αυτά τα περιστατικά είχαν ως αποτέλεσμα απώλεια 74 εκατομμυρίων δολαρίων. Οι συνέπειες ενός μικροσκοπικού ελαττώματος που προκαλεί μεγάλες απώλειες ήρθαν στο φως από το ζήτημα του Vyper και την επίθεση του Exactly Protocol.
Μέτρα ασφαλείας:
1. Ακολουθήστε αυστηρά το μοντέλο ελέγχου-αποτελέσματος-αλληλεπίδρασης: Βεβαιωθείτε ότι έχουν γίνει όλοι οι σχετικοί έλεγχοι και επικυρώσεις πριν προχωρήσετε. Θα πρέπει να κάνετε αλλαγές κατάστασης και να συνεργαστείτε με εξωτερικές οντότητες μόνο αφού ολοκληρώσετε επιτυχώς αυτές τις δοκιμές.
2. Εφαρμόστε την ολοκληρωμένη προστασία επανεισόδου στην πράξη: Χρησιμοποιήστε την για κάθε λειτουργία της σύμβασης που περιλαμβάνει ευαίσθητες διαδικασίες.
Προβλήματα με την Oracle:
Το 7.88% των επιθέσεων προκλήθηκαν από προβλήματα της Oracle και 7 από αυτές τις περιπτώσεις οδήγησαν σε απώλεια 134 εκατομμυρίων δολαρίων. Το hack του BonqDAO έδειξε πώς να αλλάζετε τις τιμές token χρησιμοποιώντας τις αδυναμίες του μαντείου.
Μέτρα ασφαλείας:
1. Οι προβλέψεις τιμών δεν πρέπει να γίνονται σε αγορές με μικρή ρευστότητα.
2. Προσδιορίστε εάν η ρευστότητα του διακριτικού είναι αρκετή για να εγγυηθεί την ενοποίηση της πλατφόρμας προτού σκεφτείτε οποιοδήποτε συγκεκριμένο σχέδιο μαντείου τιμών.
3. Ενσωματώστε τη χρονικά σταθμισμένη μέση τιμή (TWAP) για να αυξήσετε το κόστος χειραγώγησης για τον εισβολέα.
Πρόσθετα τρωτά σημεία
Το 16.47% των επιθέσεων έγιναν χρησιμοποιώντας άλλα τρωτά σημεία και 76 από αυτά τα περιστατικά οδήγησαν σε απώλεια 280 εκατομμυρίων δολαρίων. Πολλά τρωτά σημεία του web2 και η παραβίαση της βάσης δεδομένων του Mixin κατέδειξαν το ευρύ φάσμα των θεμάτων ασφαλείας που αντιμετωπίζονται στον τομέα Web3.
Top 10 hacks 2023: Σύνοψη
Οι δέκα κορυφαίες εισβολές του 2023, οι οποίες αντιπροσώπευαν περίπου το 70% των ζημιών του έτους (περίπου 1.2 δισεκατομμύρια δολάρια), εντόπισαν μια κοινή αδυναμία: προβλήματα ελέγχου πρόσβασης, ειδικά αυτά που περιλαμβάνουν κλοπή ιδιωτικών κλειδιών. Οι περισσότερες από αυτές τις παραβιάσεις συνέβησαν στο δεύτερο εξάμηνο του έτους. τρεις σημαντικές επιθέσεις έγιναν τον Νοέμβριο.
Σημειωτέον, ο Όμιλος Lazarus ενεπλάκη σε πολλές παραβιάσεις που είχαν ως αποτέλεσμα την απώλεια κεφαλαίων μέσω συμβιβασμών για το πορτοφόλι. Τα Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo και CoinEx ήταν μεταξύ των πρωτοκόλλων που αξιοποιήθηκαν.
Συμπέρασμα:
Μέχρι το τέλος του έτους, οι συνολικές απώλειες του 2023 είναι λιγότερες από αυτές του 2022. Αλλά η συγκέντρωση των ζημιών στις 10 κορυφαίες επιθέσεις υπογραμμίζει πόσο σημαντικό είναι να έχουμε καλύτερη προστασία. Λόγω ενός ευρέος φάσματος τρωτών σημείων, η προστασία του χώρου Web3 απαιτεί μια πολύπλευρη στρατηγική.
Είναι αδύνατο να υπερεκτιμηθεί η σημασία των ενδελεχών ελέγχων και της αυξημένης γνώσης των δοκιμών διείσδυσης στο Web3, ιδιαίτερα εν όψει νέων τεχνικών διείσδυσης όπως αυτές που χρησιμοποιούνται στις επιθέσεις του Ομίλου Lazarus. Συνιστάται ιδιαίτερα οι χρήστες και οι ενδιαφερόμενοι να δώσουν προτεραιότητα σε πλατφόρμες και υπηρεσίες που πληρούν τόσο τις λειτουργικές απαιτήσεις όσο και τα υψηλότερα πρότυπα ασφάλειας, προκειμένου να ανοίξει ο δρόμος για ένα ασφαλές μέλλον στο Web3.
Περισσότερα για να δείτε τη ζωντανή αναφορά από την ομάδα ειδικών στο Salus.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/
- :είναι
- $UP
- 10
- 12
- 13
- 15%
- 2022
- 2023
- 26%
- 29
- 35%
- 36
- 7
- a
- Σχετικα
- απότομα
- πρόσβαση
- Σύμφωνα με
- λογιστικοποιήθηκε
- απέναντι
- δραστηριότητα
- Επιπλέον
- διεύθυνση
- προκαταβολές
- κατά
- Όλα
- Αν και
- μεταξύ των
- an
- ανάλυση
- και
- και την υποδομή
- κάθε
- εφαρμογές
- ΕΙΝΑΙ
- Αρένα
- γύρω
- AS
- προσβολή
- αξιολογήσεις
- συσχετισμένη
- At
- ατομικός
- επίθεση
- Επιθέσεις
- έλεγχοι
- Πιστοποίηση
- εξουσιοδότηση
- μέσος
- επίγνωση
- BE
- επειδή
- να γίνει
- πριν
- Καλύτερα
- Δισεκατομμύριο
- Δανεισμός
- και οι δύο
- παραβίαση
- παραβιάσεις
- ΓΕΦΥΡΑ
- γέφυρες
- ευρύς
- Έφερε
- επιχείρηση
- αλλά
- by
- προκαλούνται
- προσοχή
- Αλλαγές
- αλλαγή
- φόρτισης
- έλεγχοι
- coinex
- Κοινός
- κοινότητα
- Εταιρείες
- Ολοκληρώθηκε το
- περιεκτικός
- συγκέντρωση
- θεωρώντας
- σταθερός
- συνεχώς
- συνέχισε
- σύμβαση
- έλεγχος
- Κόστος
- θα μπορούσε να
- κρίσιμης
- καμπύλη
- cyberattacks
- βλάβη
- κινδύνους
- βάση δεδομένων
- Δεκέμβριος
- Απόρριψη
- μειώθηκε
- απαιτήσεις
- κατέδειξε
- λεπτομέρεια
- Προσδιορίστε
- αναπτύχθηκε
- διαφέρουν
- δυσκολίες
- do
- τομέα
- γίνεται
- δραματικά
- Εκπαίδευση
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- ενθαρρύνει
- τέλος
- διαρκής
- ασκούν
- αρκετά
- οντότητες
- ειδικά
- ουσιώδης
- Euler Finance
- Κάθε
- ακριβώς
- Εκθέτοντας
- έξοδος
- εμπειρογνώμονας
- εμπειρογνώμονες
- Εκμεταλλεύομαι
- Κακοποιημένα
- εκμεταλλεύεται
- εκτενής
- εξωτερικός
- χρηματοδότηση
- Εύρεση
- ευρήματα
- φλας
- δάνεια flash
- ελάττωμα
- ελαττώματα
- επικεντρώθηκε
- ακολουθήστε
- Για
- λειτουργία
- λειτουργικός
- χρήματα
- μελλοντικός
- Group
- εγγύηση
- σιδηροπρίονο
- χάκερ
- αμυχές
- είχε
- συνέβη
- υλικού
- Πορτοφόλια υλικού
- Έχω
- Ψηλά
- υψηλό προφίλ
- υψηλότερο
- Επισημάνετε
- ανταύγειες
- υψηλά
- ΚΑΥΤΌ
- Καυτό πορτοφόλι
- Πως
- Πώς να
- HTTPS
- προσδιορίζονται
- προσδιορίσει
- if
- Επίπτωση
- εκτέλεση
- επιπτώσεις
- σημαντικό
- αδύνατος
- in
- σε βάθος
- περιλαμβάνουν
- ενσωματώνω
- αυξημένη
- αύξηση
- Υποδομή
- πρωτοβουλίες
- ολοκλήρωση
- ενδιαφέρον
- σε
- διερευνώντας
- επένδυση
- επενδυτικό χαρτοφυλάκιο
- συμμετέχουν
- συμμετοχή
- ζήτημα
- θέματα
- IT
- Ιούλιος
- Κλειδί
- πλήκτρα
- γνώση
- kyberswap
- large
- ξεκίνησε
- Λάζαρος
- Ομάδα Λαζάρου
- ελάχιστα
- μείον
- μόχλευση
- φως
- Μου αρέσει
- περιορισμούς
- όρια
- Ρευστότητα
- λίγο
- ζω
- δάνειο
- Δάνεια
- off
- απώλειες
- Παρτίδα
- που
- διατηρήσουν
- Η πλειοψηφία
- κάνω
- Κατασκευή
- Χειρισμός
- πολοί
- Μάρτιος
- αγορές
- Ενδέχεται..
- Γνωρίστε
- ΣΠΙ
- εκατομμύριο
- ελάχιστο
- Mixin
- Mixin Network
- μοντέλο
- χρήματα
- παρακολούθηση
- μηνιαίος
- περισσότερο
- πολυκάναλο
- πολύπλευρη
- ανάγκη
- δίκτυο
- Νέα
- Νοέμβριος
- Οκτώβριος
- of
- προσφορά
- συχνά
- on
- μια φορά
- συνεχή
- αποκλειστικά
- μαντείο
- τάξη
- ΑΛΛΑ
- φόρμες
- μέρος
- Ειδικότερα
- ιδιαίτερα
- πρότυπο
- ετοιμάζω τον δρόμον
- διείσδυση
- δικαιώματα
- Προσωπικό
- Phishing
- PHP
- Μέρος
- φώναξε
- πλατφόρμες
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- πολτόν
- χαρτοφυλάκιο
- πρακτική
- Ακρίβεια
- τιμή
- Τιμές
- αρχή
- Δώστε προτεραιότητα
- προτεραιότητα
- ιδιωτικός
- Ιδιωτικά κλειδιά
- προνόμιο
- προνόμια
- προβλήματα
- διαδικασίες
- που παράγουν
- κέρδη
- προβλέψεις
- έργα
- διακεκριμένος
- υποσχόμενος
- προστασία
- προστασία
- πρωτόκολλο
- πρωτόκολλα
- αποδεδειγμένη
- παρέχουν
- παρέχεται
- βάζω
- Βάζοντας
- γρήγορα
- αύξηση
- σειρά
- Κατάταξη
- συνιστάται
- ρεκόρ
- τακτικός
- αξιόπιστος
- αναφέρουν
- Έκθεση 2023
- Απαιτεί
- έρευνα
- ανθεκτικότητα
- αποτέλεσμα
- με αποτέλεσμα
- Επιστροφές
- Αποκαλυφθε'ντα
- ένα ασφαλές
- πριόνι
- απάτες
- Δεύτερος
- τομέας
- ασφάλεια
- Ενημέρωση ασφαλείας
- δείτε
- ευαίσθητος
- Σεπτέμβριος
- εξυπηρετούν
- Υπηρεσίες
- σειρά
- Κοινοποίηση
- αλλαγή
- θα πρέπει να
- παρουσιάζεται
- Δείχνει
- σημασία
- σημαντικός
- Χώρος
- Φάσμα
- ενδιαφερόμενα μέρη
- πρότυπα
- Κατάσταση
- στρατηγικές
- Στρατηγική
- ισχυρός
- ουσιώδης
- Επιτυχώς
- τέτοιος
- υπέφερε
- βέβαιος
- ύποπτος
- SVG
- σύστημα
- συστήματα
- λήψη
- ομάδες
- τεχνικές
- δέκα
- Δοκιμές
- δοκιμές
- από
- ότι
- Η
- κλοπή
- Εκεί.
- Αυτοί
- αυτοί
- Σκέψη
- αυτό
- εκείνοι
- τρία
- ώρα
- προς την
- μαζι
- ένδειξη
- κορυφή
- Top 10
- Τα πρώτα δέκα
- Σύνολο
- τροχιά
- ιστορικό
- Εκπαίδευση
- διαφανής
- Τουίτερ
- Ενημέρωση
- Χρήση
- χρήση
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- χρησιμοποιώντας
- χρησιμοποιώ
- ποικιλία
- Ventures
- Επαλήθευση
- μέσω
- Δες
- Θέματα ευπάθειας
- Vyper
- Πορτοφόλι
- Πορτοφόλια
- ήταν
- Τρόπος..
- αδυναμία
- Web2
- Web3
- Web3 κοινότητα
- Χώρος Web3
- ήταν
- πότε
- Ποιό
- ενώ
- ευρύς
- Ευρύ φάσμα
- με
- έτος
- Λαχταρώ
- Εσείς
- Σας
- zephyrnet