Salus Web3 セキュリティ レポート 2023: 明らかになった重要な調査結果

Web3 セキュリティ分野では 2023 年に劇的な変化が見られ、回復力と困難に耐える面での進歩が見られました。 Web3 分野に対するサイバー攻撃の結果、 $ 1.7億以上 2023年に損害賠償。 453件の事件が文書化された。これらの攻撃によって示されたさまざまな危険は、Web3 コミュニティが常に認識を維持することが極めて重要であることを浮き彫りにしています。の専門家チーム サルス研究に重点を置いた Web3 セキュリティ ビジネスである , は、この広範な分析レポートを作成しました。

ハック: さまざまなパターンの 1 年

2023 年に損失総額は大幅に減少しましたが、注目を集めるエクスプロイトは引き続き重大な影響を及ぼしました。 200 月に Mixin Network が被った 197 億ドルの損失は、126.36 月に Euler Finance が被った XNUMX 億 XNUMX 万ドルの損失、XNUMX 月にマルチチェーンが被った XNUMX 億 XNUMX 万ドルの損失と合わせて、橋と橋に対する継続的な危険を浮き彫りにしています。 DeFi プロトコル。

毎月の損失をさらに詳しく調べると、興味深いパターンがわかります。 9月、11月、7月には大きな損失がありましたが、10月と12月には顕著な減少が見られ、セキュリティ意識と強力な保護の実装がますます重要になっていることを示唆しています。 

Web2023 セキュリティ脆弱性のスナップショット 3

出口詐欺: 

すべての暴行のうち、出国詐欺が 12.24% を占め、276 件が発生し、208 億 XNUMX 万ドルの損失が発生しました。多額の利益を約束しながら、投資家の資金とともに突然消滅したベンチャー企業の著名な例。

安全上のご注意：

1. プロジェクトとチームを徹底的に調査し、実績があることを確認し、信頼できる企業が提供する透明性のあるセキュリティ評価に従ってプロジェクトをランク付けします。 

2. 投資ポートフォリオを変更し、不当に高い収益をもたらすベンチャーを検討する場合は注意してください。 

アクセス制御の問題: 

暴行の 39.18% にはアクセス制御の問題があり、そのうち 29 件では 666 億 XNUMX 万ドルの重大な損失が発生しました。顕著な例には、Multichain、Poloniex、Atomic Wallet で悪用された脆弱性が含まれます。

安全上のご注意：

最小特権の原則を遵守し、強力な認証および認可手順を導入し、アクセス許可を頻繁に更新します。さらに、担当者、特に高い権限を持つ担当者に定期的なセキュリティ トレーニングを提供し、徹底した監視システムをセットアップして、アプリやインフラストラクチャにわたる不審なアクティビティを迅速に特定して対処します。

フィッシング： 

フィッシング事例は攻撃の 3.98% を占め、そのうち 13 件で 67.6 万ドルの損失が発生しました。 Lazarus Group による AlphaPo 攻撃に見られるように、攻撃者は常に変化するさまざまなフィッシング戦略を使用しました。

安全上のご注意：

フロントエンドのセキュリティを過小評価する取り組みの結果、Web3 分野ではフロントエンド攻撃が増加しています。することが不可欠です Web3 ハッカーが悪用する可能性のあるシステムの欠陥や脆弱性を見つける侵入テスト。ユーザー教育を最優先にし、多要素認証 (MFA) とハードウェア ウォレットの使用を奨励し、ドメインの監視と電子メール検証を活用します。

フラッシュ ローンを使用した攻撃: 

暴行の 16.12% はフラッシュローン攻撃で、37 件が発生し、274 億 XNUMX 万ドルの損失が発生しました。 Yearn Finance、KyberSwap、および Euler Finance に対してプレシジョン フラッシュ ローン攻撃が開始されました。

安全上のご注意： 

期間制限や最低借入額などの制限を設けることで、フラッシュ ローンに伴う危険性を軽減します。フラッシュ ローンの使用料を請求することで、攻撃者の出費が増加し、敵対的な攻撃を行う意欲をそぐ可能性があります。

再入可能:

攻撃の 4.35% は再入可能脆弱性によって引き起こされ、そのうち 15 件で 74 万ドルの損失が発生しました。小さな欠陥が大きな損失を生み出すことの影響は、Vyper 問題と Exactly Protocol 攻撃によって明らかになりました。

安全上のご注意：

1. チェック-効果-相互作用モデルに厳密に従ってください: 続行する前に、関連するすべてのチェックと検証が完了していることを確認してください。これらのテストが正常に完了した場合にのみ、状態を変更し、外部エンティティと連携する必要があります。

2. 包括的な再入国保護を実践する: 機密性の高い手順を伴う契約内のすべての機能にこれを使用します。

オラクルの問題: 

攻撃の 7.88% は Oracle の問題によって引き起こされ、そのうち 7 件では 134 億 XNUMX 万ドルの損失が発生しました。 BonqDAO のハッキングは、オラクルの弱点を利用してトークンの価格を変更する方法を実証しました。

安全上のご注意：

1. 価格予測は、流動性がほとんどない市場で行うべきではありません。

2. 特定の価格オラクルプランを考える前に、トークンの流動性がプラットフォームの統合を保証するのに十分であるかどうかを判断します。

3. 時間加重平均価格 (TWAP) を組み込んで、攻撃者の操作コストを高めます。

追加の脆弱性 

攻撃の 16.47% は他の脆弱性を利用して行われ、そのうち 76 件で 280 億 2 万ドルの損失が発生しました。 Web3 の多くの脆弱性と Mixin のデータベース侵害は、WebXNUMX ドメインで遭遇する広範なセキュリティ問題を実証しました。

10 年のハック トップ 2023: 概要 

2023 年の被害額（約 70 億ドル）の約 1.2% を占めた XNUMX 年のトップ XNUMX のハッキングでは、アクセス制御の問題、特に秘密鍵の盗難に関わる問題という共通の弱点が明らかになりました。これらの侵害の大部分は、今年の後半に発生しました。 XNUMX月にはXNUMX件の重大な襲撃事件が発生した。 

特に、Lazarus Group は、ホットウォレット侵害による資金の損失をもたらす多くの侵害に関与していました。悪用されたプロトコルには、Mixin Network、Euler Finance、Multichain、Poloniex、BonqDAO、Atomic Wallet、HECO Bridge、Curve、Vyper、AlphaPo、CoinEx などが含まれます。

結論： 

年末までに、2023 年の全体的な損失は 2022 年よりも少なくなります。しかし、トップ 10 の攻撃における被害の集中は、より優れた保護がいかに重要であるかを浮き彫りにしています。広範囲にわたる脆弱性のため、Web3 スペースを保護するには多面的な戦略が必要です。

特に Lazarus グループの攻撃で使用されたような新しい侵入テクニックを考慮すると、徹底した監査と Web3 ペネトレーション テストに関する知識の向上の重要性を過大評価することはできません。ユーザーと関係者は、安全な Web3 の未来への道を切り開くために、機能的要求と最高のセキュリティ標準の両方を満たすプラットフォームとサービスを優先することを強くお勧めします。 

こちらをクリックしてください Salus の専門家チームによるライブレポートをご覧ください。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/