Salus Web3 turbearuanne 2023: peamised leiud on avaldatud

Web3 turvaruumis toimus 2023. aastal dramaatiline nihe, mis näitab nii vastupidavuse kui ka püsivate raskuste edusamme. Selle tulemuseks olid küberrünnakud Web3 sektori vastu üle $ 1.7 miljardi kahju hüvitamisel 2023. aastal; Dokumenteeriti 453 juhtumit. Nende rünnakutega kaasnevate ohtude mitmekesisus rõhutab Web3 kogukonna pideva teadlikkuse säilitamise kriitilist vajadust. Ekspertide meeskond aadressil Tere, veebi3 turbeettevõte, mis keskendub teadusuuringutele, töötas välja selle ulatusliku analüüsiaruande.

Hacks: Erinevate mustrite aasta

Kuigi kogukahjud 2023. aastal märkimisväärselt vähenesid, oli kõrgetasemelistel ärakasutamistel jätkuvalt märkimisväärne mõju. Septembris Mixin Networki kantud 200 miljoni dollari suurune kahju koos 197 miljoni dollari suuruse kahjuga, mida kandis Euler Finance märtsis ja Multichain juulis 126.36 miljonit dollarit, toovad esile jätkuvad ohud sildadele ja Defi protokollid.

Igakuiste kahjude üksikasjalikum uurimine näitab huvitavat mustrit. Kuigi septembris, novembris ja juulis esines suuri kahjusid, oli oktoobris ja detsembris märgatav langus, mis viitab sellele, et turvateadlikkus ja tugevate kaitsemeetmete rakendamine on muutumas üha olulisemaks. 

2023. aasta hetktõmmis Web3 turvaaukude kohta

Välju petuskeemidest: 

Kõigist rünnakutest moodustasid väljumispettused 12.24%, kusjuures 276 juhtumit põhjustasid 208 miljoni dollari suuruse kahju. Silmapaistvad juhtumid ettevõtmistest, mis lubasid märkimisväärset kasumit, kuid kadusid järsult investorite rahaga.

Ohutusmeetmed:

1. Projektide ja meeskondade põhjalik uurimine, nende töökogemuse tagamine ja projektide järjestamine usaldusväärsete ettevõtete läbipaistvate turbehinnangute alusel. 

2. Muutke oma investeerimisportfelli ja olge ettevaatlik, kui kaalute ettevõtmisi, mis pakuvad ebamõistlikult kõrget tootlust. 

Probleemid juurdepääsukontrolliga: 

39.18% rünnakutest oli juurdepääsukontrolliga probleeme ja 29 neist juhtudest tõi kaasa märkimisväärse kahju 666 miljonit dollarit. Silmapaistvad juhtumid hõlmavad vastuvõtlikkust, mida kasutati teenustes Multichain, Poloniex ja Atomic Wallet.

Ohutusmeetmed:

Järgige vähimate privileegide põhimõtet, kehtestage tugevad autentimis- ja autoriseerimisprotseduurid ning värskendage sageli juurdepääsuõigusi. Lisaks pakkuge töötajatele regulaarset turvakoolitust, eriti kõrgete õigustega töötajatele, ja looge põhjalikud jälgimissüsteemid, et kiiresti tuvastada ja lahendada rakendustes ja infrastruktuuris esinev kahtlane tegevus.

Andmepüük: 

Andmepüügijuhtumid moodustasid 3.98% rünnakutest ja 13 juhtumit maksid 67.6 miljonit dollarit kahju. Ründajad kasutasid mitmesuguseid pidevalt muutuvaid andmepüügistrateegiaid, nagu näitas Lazarus Groupi AlphaPo rünnak.

Ohutusmeetmed:

Esiotsa rünnakud on web3 areenil sagenenud tänu algatustele, mis alahinnavad esiotsa turvalisust. See on hädavajalik teha Web3 läbitungimistestid, et leida süsteemi vigu ja turvaauke, mida häkkerid võivad ära kasutada. Muutke kasutajate harimine esmatähtsaks prioriteediks, julgustage kasutama mitmefaktorilist autentimist (MFA) ja riistvaralisi rahakotte ning kasutage domeeni jälgimist ja meilikontrolli.

Rünnakud välklaenude abil: 

16.12% rünnakutest olid kiirlaenurünnakud, kusjuures 37 juhtumit põhjustasid 274 miljoni dollari suuruse kahju. Täpsed kiirlaenurünnakud algatati Yearn Finance'i, KyberSwapi ja Euler Finance'i vastu.

Ohutusmeetmed: 

Vähendage kiirlaenudega seotud ohte, kehtestades piirangud, nagu tähtajad ja minimaalsed laenukogused. Suurendades ründajate kulusid, võib kiirlaenu kasutamise eest tasu võtmine takistada vaenulike rünnakute kasutamist.

Taassisenemine:

4.35% rünnakutest põhjustasid taassisenemise haavatavused ja 15 juhtumist põhjustasid 74 miljoni dollari suuruse kahju. Suurt kahju tekitava väikese vea tagajärjed tõid päevavalgele Vyperi probleem ja Täpselt protokolli rünnak.

Ohutusmeetmed:

1. Järgige rangelt kontrolli-mõju-interaktsiooni mudelit: enne jätkamist veenduge, et kõik asjakohased kontrollid ja kinnitamised on tehtud. Peaksite olekumuudatusi tegema ja väliste üksustega suhtlema alles siis, kui olete need testid edukalt läbinud.

2. Rakendage kõikehõlmavat taassisenemise kaitset: kasutage seda lepingu iga funktsiooni jaoks, mis hõlmab tundlikke protseduure.

Probleemid Oracle'iga: 

7.88% rünnakutest olid põhjustatud Oracle'i probleemidest ja 7 neist juhtudest põhjustasid 134 miljoni dollari suuruse kahju. BonqDAO häkkimine näitas, kuidas muuta märgi hindu, kasutades ära oraakli nõrkusi.

Ohutusmeetmed:

1. Hinnaprognoose ei tohiks teha vähese likviidsusega turgudel.

2. Tehke kindlaks, kas märgi likviidsus on platvormi integreerimise tagamiseks piisav, enne kui hakkate mõtlema konkreetsetele Oracle'i hinnaplaanidele.

3. Lisage ajaliselt kaalutud keskmine hind (TWAP), et tõsta ründaja manipuleerimiskulusid.

Täiendavad haavatavused 

16.47% rünnakutest viidi läbi muude turvaaukude abil ja 76 juhtumit põhjustasid 280 miljoni dollari suuruse kahju. Paljud web2 haavatavused ja Mixini andmebaasi rikkumine näitasid Web3 domeenis esinenud turvaprobleemide laia spektrit.

10. aasta 2023 parimat häkkimist: kokkuvõte 

2023. aasta kümme peamist häkkimist, mis moodustasid umbes 70% aasta kahjudest (umbes 1.2 miljardit dollarit), tuvastasid ühise nõrkuse: juurdepääsukontrolli probleemid, eriti need, mis on seotud privaatvõtmete vargustega. Enamik neist rikkumistest leidis aset aasta teisel poolel; novembris toimus kolm olulist rünnakut. 

Eelkõige osales Lazaruse grupp paljudes rikkumistes, mille tulemuseks oli rahaliste vahendite kadumine rahakotti sattumise tõttu. Kasutatud protokollide hulgas olid Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo ja CoinEx.

Järeldus: 

Aasta lõpuks on 2023. aasta üldised kahjud väiksemad kui 2022. aastal. Kahjude koondumine 10 peamise rünnaku hulka näitab aga, kui oluline on parem kaitse. Paljude haavatavuste tõttu nõuab Web3 ruumi kaitsmine mitmetahulist strateegiat.

On võimatu ülehinnata põhjalike auditite ja Web3 läbitungimise testimise teadmiste suurendamise olulisust, eriti arvestades uusi sissetungimistehnikaid, nagu need, mida kasutatakse Lazarus Groupi rünnakutes. On tungivalt soovitatav, et kasutajad ja sidusrühmad eelistaksid platvorme ja teenuseid, mis vastavad nii funktsionaalsetele nõudmistele kui ka kõrgeimatele turbestandarditele, et sillutada teed turvalisele Web3 tulevikule. 

Kliki siia et näha Saluse ekspertmeeskonna otsearuannet.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/