Salus Web3 Security Report 2023: Tärkeimmät löydöt paljastettu

Web3:n tietoturva-avaruudessa tapahtui dramaattinen muutos vuonna 2023, ja se osoitti sekä sietokyvyn edistymistä että kestäviä vaikeuksia. Web3-sektoria vastaan ​​tehdyt kyberhyökkäykset johtivat yli $ 1.7 miljardia vahingonkorvauksissa vuonna 2023; 453 tapausta dokumentoitiin. Näiden hyökkäysten aiheuttamat vaarat korostavat Web3-yhteisön kriittistä tarvetta ylläpitää jatkuvaa tietoisuutta. Asiantuntijaryhmä osoitteessa Hei, web3-tietoturvayritys, joka keskittyy tutkimukseen, kehitti tämän laajan analyysiraportin.

Hacks: Erilaisten kuvioiden vuosi

Vaikka kokonaistappiot pienenivät huomattavasti vuonna 2023, korkean profiilin hyödyntämisellä oli edelleen merkittävä vaikutus. Mixin Networkin syyskuussa kärsimät 200 miljoonan dollarin tappiot sekä Euler Financen maaliskuussa kärsimät 197 miljoonan dollarin tappiot ja Multichainin heinäkuussa kärsimät 126.36 miljoonan dollarin tappiot korostavat siltojen ja siltojen jatkuvaa vaaraa. defi protokollia.

Kuukausittaisten tappioiden tarkempi tarkastelu osoittaa mielenkiintoisen kuvion. Vaikka tappiot olivat suuria syys-, marras- ja heinäkuussa, lasku oli havaittavissa loka- ja joulukuussa, mikä viittaa siihen, että tietoturvatietoisuudesta ja vahvojen suojausten toteuttamisesta on tulossa yhä tärkeämpiä. 

Snapshot 2023 Web3-tietoturvahaavoittuvuuksista

Poistu huijauksista: 

Kaikista pahoinpitelyistä poistumishuijaukset olivat 12.24 %, ja 276 tapausta johti 208 miljoonan dollarin tappioon. Huomattavia tapauksia hankkeista, jotka lupasivat huomattavia voittoja, mutta hävisivät äkillisesti sijoittajien rahoilla.

Turvallisuusvarotoimet:

1. Hankkeiden ja ryhmien syvällinen tutkiminen, niiden todistetun kokemuksen varmistaminen ja projektien luokittelu luotettavien yritysten toimittamien läpinäkyvien turvallisuusarvioiden mukaan. 

2. Vaihtele sijoitussalkkuasi ja ole varovainen harkitessasi hankkeita, jotka tarjoavat kohtuuttoman korkean tuoton. 

Ongelmia kulunhallinnan kanssa: 

39.18 prosentissa hyökkäyksistä oli kulunvalvontaongelmia, ja 29 tapauksesta johti merkittävään 666 miljoonan dollarin tappioon. Näkyviä tapauksia ovat alttiudet, joita hyödynnettiin Multichainissa, Poloniexissä ja Atomic Walletissa.

Turvallisuusvarotoimet:

Noudata vähiten etuoikeusperiaatetta, ota käyttöön vahvat todennus- ja valtuutusmenettelyt ja päivitä käyttöoikeudet usein. Lisäksi tarjoa henkilöstölle säännöllistä turvallisuuskoulutusta, erityisesti niille, joilla on korkeat oikeudet, ja luo perusteelliset valvontajärjestelmät tunnistaaksesi nopeasti kaikki epäilyttävät toiminnot sovelluksissa ja infrastruktuurissa ja korjataksesi ne.

phishing: 

Tietojenkalastelutapaukset muodostivat 3.98 % hyökkäyksistä, ja 13 tapauksesta maksoi 67.6 miljoonan dollarin tappiot. Hyökkääjät käyttivät erilaisia ​​jatkuvasti muuttuvia tietojenkalastelustrategioita, kuten Lazarus Groupin AlphaPo-hyökkäys osoittaa.

Turvallisuusvarotoimet:

Etupään hyökkäykset ovat lisääntyneet web3-areenalla aloitteiden seurauksena, jotka aliarvostavat etupään tietoturvaa. Se on välttämätöntä tehdä Web3 läpäisytestaus löytääkseen järjestelmävirheitä ja haavoittuvuuksia, joita hakkerit voivat hyödyntää. Aseta käyttäjien koulutus etusijalle, kannusta monitekijätodennusta (MFA) ja laitteistolompakoita sekä hyödynnä verkkotunnuksen valvontaa ja sähköpostin vahvistusta.

Hyökkäykset flash-lainoilla: 

16.12 % hyökkäyksistä oli pikalainahyökkäyksiä, ja 37 tapausta johti 274 miljoonan dollarin tappioon. Tarkat pikalainahyökkäykset käynnistettiin Yearn Financea, KyberSwapia ja Euler Financea vastaan.

Turvallisuusvarotoimet: 

Vähennä pikalainoihin liittyviä vaaroja asettamalla rajoituksia, kuten aikarajoituksia ja vähimmäislainamääriä. Lisäämällä hyökkääjien kustannuksia, flash-lainojen käytöstä veloittaminen voi estää vihamielisten hyökkäysten käytön.

Paluu:

4.35 % hyökkäyksistä johtui sisäänpääsyn haavoittuvuuksista, ja 15 tapauksesta johti 74 miljoonan dollarin tappioon. Pienen, suuria tappioita tuottavan virheen vaikutukset paljastettiin Vyper-ongelman ja Exactly Protocol -hyökkäyksen avulla.

Turvallisuusvarotoimet:

1. Noudata tarkasti Check-Effect-Interaction -mallia: Varmista, että kaikki asiaankuuluvat tarkastukset ja validoinnit on tehty ennen kuin jatkat. Sinun tulee tehdä tilamuutoksia ja olla yhteydessä ulkoisiin kokonaisuuksiin vasta, kun olet suorittanut nämä testit onnistuneesti.

2. Ota käyttöön kattava paluusuojaus: Käytä tätä kaikissa sopimuksen toiminnoissa, joihin liittyy arkaluonteisia menettelyjä.

Ongelmia Oraclen kanssa: 

7.88 % hyökkäyksistä johtui Oraclen ongelmista, ja 7 tapauksesta johti 134 miljoonan dollarin tappioon. BonqDAO-hakkerointi osoitti, kuinka merkkien hintoja voidaan muuttaa hyödyntämällä oraakkelin heikkouksia.

Turvallisuusvarotoimet:

1. Hintaennusteita ei pidä tehdä markkinoilla, joilla on vähän likviditeettiä.

2. Selvitä, riittääkö tunnuksen likviditeetti takaamaan alustan integraation, ennen kuin ajattelet mitään tiettyä hinta-oraakkelisuunnitelmaa.

3. Sisällytä aikapainotettu keskihinta (TWAP) nostaaksesi manipuloinnin kustannuksia hyökkääjälle.

Muita haavoittuvuuksia 

16.47 % hyökkäyksistä tehtiin käyttämällä muita haavoittuvuuksia, ja 76 tapauksesta johti 280 miljoonan dollarin tappioon. Monet web2-haavoittuvuudet ja Mixinin tietokantamurto osoittivat Web3-verkkotunnuksessa havaittujen tietoturvaongelmien laajan kirjon.

Top 10 2023 hacks: Synopsis 

Vuoden 2023 kymmenen suurinta hakkerointia, jotka aiheuttivat noin 70 prosenttia vuoden vahingoista (noin 1.2 miljardia dollaria), tunnistivat yhteisen heikkouden: kulunvalvontaongelmat, erityisesti yksityisten avainten varkauksiin liittyvät ongelmat. Suurin osa näistä rikkomuksista tapahtui vuoden toisella puoliskolla; marraskuussa tapahtui kolme merkittävää hyökkäystä. 

Varsinkin Lazarus Group oli osallisena monissa rikkomuksissa, jotka johtivat varojen menettämiseen hot lompakon kompromissien kautta. Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo ja CoinEx olivat hyödynnettyjä protokollia.

Johtopäätös: 

Vuoden 2023 tappiot ovat vuoden 2022 loppuun mennessä pienemmät kuin vuonna 10. Vahinkojen keskittyminen 3 suurimman hyökkäyksen joukkoon korostaa kuitenkin, kuinka tärkeää on saada parempi suoja. Useiden haavoittuvuuksien vuoksi WebXNUMX-tilan suojaaminen vaatii monitahoista strategiaa.

On mahdotonta yliarvioida perusteellisten auditointien ja Web3-penetraatiotestauksen lisääntyneen tietämyksen merkitystä, varsinkin kun otetaan huomioon uudet tunkeutumistekniikat, kuten ne, joita käytetään Lazarus Groupin hyökkäyksissä. On erittäin suositeltavaa, että käyttäjät ja sidosryhmät asettavat etusijalle alustat ja palvelut, jotka täyttävät sekä toiminnalliset vaatimukset että korkeimmat turvallisuusstandardit, jotta se tasoittaa tietä turvalliselle Web3-tulevaisuudelle. 

Klikkaa tästä nähdäksesi Saluksen asiantuntijatiimin suoran raportin.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/