Raportul de securitate Salus Web3 2023: constatări cheie dezvăluite

Spațiul de securitate Web3 a cunoscut o schimbare dramatică în 2023, prezentând atât progrese în reziliență, cât și dificultăți persistente. Au rezultat atacuri cibernetice împotriva sectorului Web3 peste miliarde de dolari 1.7 în daune în 2023; Au fost documentate 453 de incidente. Varietatea pericolelor prezentate de aceste atacuri evidențiază necesitatea critică pentru comunitatea Web3 de a menține conștientizarea constantă. O echipă de experți la Salus, o afacere de securitate web3 axată pe cercetare, a dezvoltat acest raport amplu de analiză.

Hacks: Un an de modele diferite

Chiar dacă pierderile totale au scăzut considerabil în 2023, exploatările importante au continuat să aibă un impact semnificativ. Pierderile de 200 de milioane de dolari suferite de Mixin Network în septembrie, împreună cu pierderile de 197 de milioane de dolari suferite de Euler Finance în martie și pierderile de 126.36 de milioane de dolari suferite de Multichain în iulie, evidențiază pericolele continue pentru poduri și DEFI protocoale.

Examinarea mai detaliată a pierderilor lunare arată un model interesant. Deși au existat pierderi mari în septembrie, noiembrie și iulie, a existat o scădere vizibilă în octombrie și decembrie, ceea ce sugerează că conștientizarea securității și implementarea unor protecții puternice devin din ce în ce mai importante. 

Instantaneu 2023 al vulnerabilităților de securitate Web3

Ieșiți în escrocherii: 

Dintre toate atacurile, înșelătoriile de ieșire au constituit 12.24%, cu 276 de apariții având ca rezultat o pierdere de 208 milioane USD. Exemple proeminente de întreprinderi care promiteau profituri substanțiale, dar care au dispărut brusc cu banii investitorilor.

Măsuri de siguranță:

1. Investigarea proiectelor și a echipelor în profunzime, asigurându-vă că acestea au un istoric dovedit și ierarhizarea proiectelor conform evaluărilor transparente de securitate furnizate de companii de încredere. 

2. Variați portofoliul de investiții și fiți precaut atunci când luați în considerare proiecte care oferă randamente nerezonabil de mari. 

Probleme cu controlul accesului: 

39.18% dintre atacuri au avut probleme de control al accesului, iar 29 dintre aceste incidente au dus la o pierdere semnificativă de 666 milioane USD. Exemplele proeminente includ susceptibilitățile care au fost valorificate în Multichain, Poloniex și Atomic Wallet.

Măsuri de siguranță:

Respectați principiul celui mai mic privilegiu, puneți în aplicare proceduri puternice de autentificare și autorizare și actualizați permisiunile de acces des. În plus, oferiți personalului instruire regulată în materie de securitate, în special celor cu privilegii înalte, și configurați sisteme de monitorizare amănunțite pentru a identifica și aborda rapid orice activitate suspectă în aplicații și infrastructură.

phishing: 

Instanțele de phishing au reprezentat 3.98% din atacuri, iar 13 dintre aceste incidente au costat 67.6 milioane de dolari în pierderi. Atacatorii au folosit o varietate de strategii de phishing în continuă schimbare, așa cum a arătat atacul AlphaPo al Grupului Lazarus.

Măsuri de siguranță:

Asaltele front-end au crescut în arena web3 ca urmare a inițiativelor care subevaluează securitatea front-end. Este esențial să faci Web3 testarea de penetrare pentru a găsi defecte de sistem și vulnerabilități pe care hackerii le-ar putea exploata. Faceți educația utilizatorilor o prioritate de vârf, încurajați utilizarea autentificării cu mai mulți factori (MFA) și a portofelelor hardware și utilizați monitorizarea domeniului și verificarea e-mailului.

Atacuri folosind împrumuturi flash: 

16.12% dintre atacuri au fost atacuri de împrumut rapid, cu 37 de evenimente care au dus la o pierdere de 274 de milioane de dolari. Au fost lansate atacuri de credit de precizie împotriva Yearn Finance, KyberSwap și Euler Finance.

Măsuri de siguranță: 

Reduceți pericolele asociate cu împrumuturile flash prin introducerea unor limitări, cum ar fi limite de timp și cantități minime de împrumut. Prin creșterea cheltuielilor pentru atacatori, taxa pentru utilizarea împrumuturilor flash poate servi ca descurajare pentru a utiliza atacuri ostile.

Reintrare:

4.35% dintre atacuri au fost cauzate de vulnerabilități de reintrare, iar 15 dintre aceste apariții au dus la o pierdere de 74 de milioane de dolari. Implicațiile unui mic defect care produce pierderi mari au fost scoase la iveală de problema Vyper și atacul Exact Protocol.

Măsuri de siguranță:

1. Urmați cu strictețe modelul Verificare-Efect-Interacțiune: Asigurați-vă că toate verificările și validările relevante sunt efectuate înainte de a continua. Ar trebui să faceți modificări de stare și să interacționați cu entități externe numai după ce ați finalizat cu succes aceste teste.

2. Puneți în practică protecția cuprinzătoare la reintrare: utilizați aceasta pentru fiecare funcție din contract care implică proceduri sensibile.

Probleme cu Oracle: 

7.88% dintre atacuri au fost cauzate de probleme Oracle, iar 7 dintre aceste cazuri au dus la o pierdere de 134 milioane USD. Hack-ul BonqDAO a demonstrat cum să modifici prețurile token-ului utilizând punctele slabe ale oracolului.

Măsuri de siguranță:

1. Proiecțiile de preț nu ar trebui făcute pe piețe cu lichiditate redusă.

2. Stabiliți dacă lichiditatea jetonului este suficientă pentru a garanta integrarea platformei înainte de a vă gândi la orice plan de oracol de preț anume.

3. Încorporați prețul mediu ponderat în timp (TWAP) pentru a crește costul manipulării pentru atacator.

Vulnerabilitati suplimentare 

16.47% dintre atacuri au fost făcute folosind alte vulnerabilități, iar 76 dintre aceste evenimente au dus la o pierdere de 280 de milioane de dolari. O mulțime de vulnerabilități web2 și încălcarea bazei de date a lui Mixin au demonstrat spectrul larg de probleme de securitate întâlnite în domeniul Web3.

Top 10 hack-uri din 2023: rezumat 

Primele zece hack-uri din 2023, care au reprezentat aproximativ 70% din daunele anului (aproximativ 1.2 miliarde de dolari), au identificat o slăbiciune comună: problemele de control al accesului, în special cele care implică furtul de chei private. Majoritatea acestor încălcări au avut loc în a doua parte a anului; trei atacuri semnificative au avut loc în noiembrie. 

În special, Grupul Lazarus a fost implicat în multe încălcări care au dus la pierderea de fonduri prin compromisuri fierbinți ale portofelului. Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo și CoinEx au fost printre protocoalele care au fost exploatate.

Concluzie: 

Până la sfârșitul anului, pierderile totale din 2023 sunt mai mici decât cele din 2022. Dar concentrarea daunelor în primele 10 atacuri evidențiază cât de important este să avem o protecție mai bună. Din cauza unei game largi de vulnerabilități, protejarea spațiului Web3 necesită o strategie cu mai multe fațete.

Este imposibil de supraestimat importanța auditurilor amănunțite și a cunoștințelor sporite despre testarea de penetrare Web3, în special având în vedere noile tehnici de infiltrare precum cele utilizate în atacurile Grupului Lazarus. Este foarte recomandat ca utilizatorii și părțile interesate să acorde prioritate platformelor și serviciilor care îndeplinesc atât cerințele funcționale, cât și cele mai înalte standarde de securitate, pentru a deschide calea pentru un viitor sigur Web3. 

Click aici pentru a vedea raportul live al echipei de experți de la Salus.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/