Salus Web3 biztonsági jelentés 2023: A legfontosabb megállapítások feltárva

A Web3 biztonsági tér 2023-ban drámai változáson ment keresztül, amely egyszerre mutatott előrelépést a rugalmasság és a tartós nehézségek terén. A Web3 szektor elleni kibertámadások eredményeként több mint $ 1.7 milliárd kártérítésben 2023-ban; 453 eseményt dokumentáltak. Az e támadások által mutatott különféle veszélyek rávilágítanak arra, hogy a Web3 közösség számára rendkívül fontos az állandó tudatosság fenntartása. Szakértői csapat a címen Szia, a kutatásra összpontosító web3 biztonsági üzletág kidolgozta ezt a kiterjedt elemző jelentést.

Hacks: A különböző minták éve

Noha 2023-ban az összes veszteség jelentősen csökkent, a nagy horderejű kizsákmányolások továbbra is jelentős hatást gyakoroltak. A Mixin Network szeptemberben elszenvedett 200 millió dolláros vesztesége, az Euler Finance márciusi 197 millió dolláros vesztesége, valamint a Multichain júliusi 126.36 millió dolláros vesztesége rávilágít a hidakra és a hídra nehezedő folyamatos veszélyekre. Defi protokollokat.

A havi veszteségek részletesebb vizsgálata érdekes mintát mutat. Bár szeptemberben, novemberben és júliusban jelentős veszteségek voltak, októberben és decemberben észrevehető csökkenés következett be, ami arra utal, hogy a biztonsági tudatosság és az erős védelem alkalmazása egyre fontosabbá válik. 

Pillanatkép 2023 a Web3 biztonsági résekről

Kilépés a csalásokból: 

Az összes támadás 12.24%-át a kilépési csalások tették ki, és 276 eset 208 millió dolláros veszteséget eredményezett. Kiemelkedő példák olyan vállalkozásoknak, amelyek jelentős haszonnal kecsegtettek, de a befektetők pénzével hirtelen eltűntek.

Biztonsági intézkedések:

1. A projektek és a csapatok alapos vizsgálata, meggyőződve arról, hogy bizonyított múlttal rendelkeznek, és a projekteket rangsorolja a megbízható vállalatok által biztosított átlátható biztonsági értékelések alapján. 

2. Változtassa befektetési portfólióját, és legyen körültekintő, amikor olyan vállalkozásokat mérlegel, amelyek indokolatlanul magas hozamot kínálnak. 

Problémák a hozzáférés-vezérléssel: 

A támadások 39.18%-ánál volt beléptető probléma, és ezek közül 29 esetben jelentős, 666 millió dolláros veszteség keletkezett. A kiemelkedő példák közé tartoznak a Multichain, a Poloniex és az Atomic Wallet esetében alkalmazott érzékenységek.

Biztonsági intézkedések:

Tartsa be a legkisebb jogosultság elvét, alkalmazzon erős hitelesítési és engedélyezési eljárásokat, és gyakran frissítse a hozzáférési engedélyeket. Ezenkívül rendszeres biztonsági képzésben részesítse a személyzetet, különösen a magas jogosultságokkal rendelkezőket, és alapos megfigyelőrendszereket állítson fel az alkalmazások és infrastruktúra közötti gyanús tevékenységek gyors azonosítására és kezelésére.

Adathalászat: 

Az adathalászat a támadások 3.98%-át tette ki, és ebből 13 eset 67.6 millió dolláros veszteséget okozott. A támadók különféle, folyamatosan változó adathalászati ​​stratégiákat alkalmaztak, amint azt a Lazarus Group AlphaPo-támadása is mutatja.

Biztonsági intézkedések:

A front-end támadások megszaporodtak a web3 arénában a front-end biztonságát alábecsülő kezdeményezések eredményeként. Elengedhetetlen megtenni Web3 penetrációs tesztelés, hogy megtalálja azokat a rendszerhibákat és sebezhetőségeket, amelyeket a hackerek kihasználhatnak. Tegye kiemelt prioritássá a felhasználók oktatását, ösztönözze a többtényezős hitelesítés (MFA) és a hardveres pénztárcák használatát, és használja a tartományfelügyeletet és az e-mail-ellenőrzést.

Támadások gyorskölcsönök használatával: 

A támadások 16.12%-a gyorskölcsönzés volt, 37 eset 274 millió dolláros veszteséget eredményezett. Precíziós gyorshitel-támadások indultak az Yearn Finance, a KyberSwap és az Euler Finance ellen.

Biztonsági intézkedések: 

Csökkentse a gyorshitelekkel kapcsolatos veszélyeket olyan korlátozások bevezetésével, mint a határidők és a minimális kölcsönmennyiség. A támadók költségeinek növelésével a gyorskölcsönök használatáért járó díjak visszatarthatják az ellenséges támadásokat.

Visszalépés:

A támadások 4.35%-át a visszatérési sebezhetőség okozta, és ebből 15 eset 74 millió dolláros veszteséget okozott. Egy apró, nagy veszteséget produkáló hiba következményeit a Vyper-kérdés és az Exactly Protocol támadás hozta napvilágra.

Biztonsági intézkedések:

1. Szigorúan kövesse a Check-Effect-Interaction modellt: Győződjön meg arról, hogy minden vonatkozó ellenőrzést és érvényesítést végrehajtott a folytatás előtt. Csak akkor módosítsa az állapotot, és lépjen kapcsolatba külső entitásokkal, ha sikeresen elvégezte ezeket a teszteket.

2. Átfogó visszatérés elleni védelem alkalmazása: Használja ezt a szerződésben szereplő minden olyan funkcióhoz, amely érzékeny eljárásokat tartalmaz.

Problémák az Oracle-lel: 

A támadások 7.88%-át Oracle problémák okozták, és ebből 7 eset 134 millió dolláros veszteséget okozott. A BonqDAO hack bemutatta, hogyan lehet megváltoztatni a token árakat az oracle gyengeségeinek felhasználásával.

Biztonsági intézkedések:

1. Ár-előrejelzéseket nem szabad kevés likviditású piacokon készíteni.

2. Határozza meg, hogy a token likviditása elegendő-e ahhoz, hogy garantálja a platform integrációját, mielőtt bármilyen konkrét áras Oracle-tervre gondolna.

3. Az idősúlyozott átlagár (TWAP) beépítése növeli a manipuláció költségeit a támadó számára.

További sebezhetőségek 

A támadások 16.47%-a más biztonsági rések felhasználásával történt, és ezek közül 76 esetben 280 millió dolláros veszteség keletkezett. A web2 sebezhetősége és a Mixin adatbázis-feltörése a Web3 tartományban előforduló biztonsági problémák széles skáláját mutatta.

A 10 legjobb 2023-as hack: Szinopszis 

A 2023-as tíz legnagyobb feltörés, amelyek az évi károk mintegy 70%-át (körülbelül 1.2 milliárd dollárt) tették ki, egy közös gyengeséget azonosított: a hozzáférés-szabályozási problémákat, különösen a magánkulcsok ellopásával kapcsolatos problémákat. E jogsértések többsége az év második felében történt; novemberben három jelentős merénylet történt. 

Nevezetesen, a Lazarus Group számos jogsértésben vett részt, amelyek pénzeszközök elvesztéséhez vezettek a forró pénztárca kompromittálása miatt. A Mixin Network, az Euler Finance, a Multichain, a Poloniex, a BonqDAO, az Atomic Wallet, a HECO Bridge, a Curve, a Vyper, az AlphaPo és a CoinEx volt a kihasznált protokollok között.

Következtetés: 

Az év végére 2023 összesített veszteségei kisebbek, mint 2022-ben. De a sebzések koncentrációja a 10 legnagyobb támadásban rávilágít arra, hogy mennyire fontos a jobb védelem. A sebezhetőségek széles köre miatt a Web3-terület védelme sokrétű stratégiát igényel.

Lehetetlen túlbecsülni az alapos auditok jelentőségét és a Web3 behatolási teszteléssel kapcsolatos megnövekedett ismereteket, különös tekintettel az olyan új beszivárgási technikákra, mint amilyenek a Lazarus Group támadásaiban használatosak. Erősen ajánlott, hogy a felhasználók és az érdekelt felek előnyben részesítsék azokat a platformokat és szolgáltatásokat, amelyek megfelelnek a funkcionális követelményeknek és a legmagasabb biztonsági előírásoknak is, hogy előkészítsék az utat a biztonságos Web3 jövője felé. 

Kattintson ide látni a Salus szakértői csapatának élő jelentését.

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
• PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
• PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
• PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
• Forrás: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/