Отчет Salus Web3 Security 2023: раскрыты основные выводы

Отчет Salus Web3 Security 2023: раскрыты основные выводы

Отметка времени: 30 декабря 2023 г., 6:21

В 3 году в сфере безопасности Web2023 произошли драматические изменения, продемонстрировавшие как повышение устойчивости, так и постоянные трудности. Кибератаки на сектор Web3 привели к более $ 1.7 млрд. по возмещению ущерба в 2023 году; Задокументировано 453 происшествия.. Разнообразие опасностей, возникающих в результате этих нападений, подчеркивает острую необходимость для сообщества Web3 поддерживать постоянную осведомленность. Команда экспертов в Salus, компания по обеспечению веб-безопасности, специализирующаяся на исследованиях, разработала этот обширный аналитический отчет.

Отчет Salus Web3 Security 2023: обнаружены ключевые результаты анализа данных PlatoBlockchain. Вертикальный поиск. Ай.

Хаки: год разных моделей

Несмотря на то, что общие потери значительно снизились в 2023 году, громкие эксплойты продолжали оказывать значительное влияние. Убыток в 200 миллионов долларов, понесенный Mixin Network в сентябре, вместе с убытками в 197 миллионов долларов, понесенными Euler Finance в марте, и потерями в 126.36 миллионов долларов, понесенными Multichain в июле, подчеркивают продолжающиеся опасности для мостов и Defi протоколы.

Отчет Salus Web3 Security 2023: обнаружены ключевые результаты анализа данных PlatoBlockchain. Вертикальный поиск. Ай.

Более детальное изучение ежемесячных потерь показывает интересную закономерность. Хотя в сентябре, ноябре и июле были большие потери, в октябре и декабре наблюдался заметный спад, что позволяет предположить, что осведомленность о безопасности и внедрение надежных мер защиты становятся все более важными. 

Снимок 2023 года уязвимостей безопасности Web3

Отчет Salus Web3 Security 2023: обнаружены ключевые результаты анализа данных PlatoBlockchain. Вертикальный поиск. Ай.

Выход из мошенничества: 

Из всех нападений мошенничество с выходом составило 12.24%, при этом 276 случаев привели к убытку в 208 миллионов долларов. Яркие примеры предприятий, которые обещали значительную прибыль, но внезапно исчезли вместе с деньгами инвесторов.

Меры безопасности:

1. Тщательное изучение проектов и команд, проверка их репутации и ранжирование проектов в соответствии с прозрачными оценками безопасности, предоставленными надежными компаниями. 

2. Меняйте свой инвестиционный портфель и будьте осторожны при рассмотрении проектов, предлагающих неоправданно высокие доходы. 

Проблемы с контролем доступа: 

В 39.18% нападений были проблемы с контролем доступа, и 29 из этих нападений привели к значительным потерям в размере 666 миллионов долларов США. Яркие примеры включают уязвимости, которые использовались в Multichain, Poloniex и Atomic Wallet.

Меры безопасности:

Придерживайтесь принципа минимальных привилегий, используйте строгие процедуры аутентификации и авторизации и часто обновляйте права доступа. Кроме того, регулярно проводите обучение сотрудников по вопросам безопасности, особенно тех, у кого есть высокие привилегии, и создайте системы тщательного мониторинга для быстрого выявления и устранения любой подозрительной активности в приложениях и инфраструктуре.

Фишинг: 

Случаи фишинга составили 3.98% всех атак, а 13 из них принесли убытки в размере 67.6 млн долларов. Злоумышленники использовали различные постоянно меняющиеся фишинговые стратегии, о чем свидетельствует атака AlphaPo со стороны Lazarus Group.

Меры безопасности:

В результате инициатив, которые недооценивают безопасность внешнего интерфейса, на арене Web3 увеличилось число атак на внешний интерфейс. Очень важно сделать Web3 тестирование на проникновение для обнаружения системных недостатков и уязвимостей, которыми могут воспользоваться хакеры. Сделайте обучение пользователей главным приоритетом, поощряйте использование многофакторной аутентификации (MFA) и аппаратных кошельков, а также используйте мониторинг домена и проверку электронной почты.

Атаки с использованием срочных кредитов: 

16.12% нападений были атаками с использованием срочного кредита, при этом 37 случаев привели к убыткам в размере 274 миллионов долларов. Нападения на точные быстрые кредиты были начаты против Yearn Finance, KyberSwap и Euler Finance.

Меры безопасности: 

Уменьшите опасности, связанные с срочными кредитами, установив такие ограничения, как сроки и минимальные суммы займов. Увеличивая расходы злоумышленников, взимание платы за использование срочных кредитов может послужить сдерживающим фактором для враждебных атак.

Реентерабельность:

4.35% атак были вызваны уязвимостями повторного входа, и 15 из этих атак привели к убыткам в размере 74 миллионов долларов США. Последствия крошечной ошибки, приводящей к большим потерям, были выявлены в результате проблемы Vyper и атаки Exactly Protocol.

Меры безопасности:

1. Строго следуйте модели «Проверка-Эффект-Взаимодействие». Прежде чем продолжить, убедитесь, что все соответствующие проверки и проверки выполнены. Вам следует вносить изменения в состояние и взаимодействовать с внешними объектами только после успешного завершения этих тестов.

2. Внедрите на практике комплексную защиту от повторного входа. Используйте ее для каждой функции в контракте, которая включает конфиденциальные процедуры.

Проблемы с Oracle: 

7.88% атак были вызваны проблемами Oracle, и 7 из этих случаев привели к убыткам в размере 134 миллионов долларов. Взлом BonqDAO продемонстрировал, как изменять цены токенов, используя слабости оракула.

Меры безопасности:

1. Прогнозы цен не следует делать на рынках с низкой ликвидностью.

2. Определите, достаточна ли ликвидность токена, чтобы гарантировать интеграцию платформы, прежде чем думать о каких-либо конкретных ценовых планах оракула.

3. Включите средневзвешенную по времени цену (TWAP), чтобы повысить стоимость манипуляций для злоумышленника.

Дополнительные уязвимости 

16.47% атак были совершены с использованием других уязвимостей, и 76 из этих атак привели к убыткам в размере 280 миллионов долларов. Множество уязвимостей Web2 и взлом базы данных Mixin продемонстрировали широкий спектр проблем безопасности, возникающих в домене Web3.

Топ-10 хаков 2023 года: краткий обзор 

Отчет Salus Web3 Security 2023: обнаружены ключевые результаты анализа данных PlatoBlockchain. Вертикальный поиск. Ай.

Десять крупнейших взломов 2023 года, на которые пришлось около 70% годового ущерба (около 1.2 миллиарда долларов), выявили общую слабость: проблемы контроля доступа, особенно те, которые связаны с кражей закрытых ключей. Большинство этих нарушений произошло во второй половине года; В ноябре произошло три серьезных нападения. 

Примечательно, что Lazarus Group была замешана во многих нарушениях, которые привели к потере средств из-за взлома горячих кошельков. Среди протоколов, которые были использованы, были Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo и CoinEx.

Вывод: 

К концу года общие потери 2023 года будут меньше, чем в 2022 году. Но концентрация ущерба в 10 крупнейших атаках подчеркивает, насколько важно иметь лучшую защиту. Из-за широкого спектра уязвимостей защита пространства Web3 требует многогранной стратегии.

Невозможно переоценить значение тщательного аудита и расширения знаний о тестировании на проникновение Web3, особенно с учетом новых методов проникновения, подобных тем, которые использовались при атаках Lazarus Group. Настоятельно рекомендуется, чтобы пользователи и заинтересованные стороны отдавали приоритет платформам и сервисам, которые отвечают как функциональным требованиям, так и самым высоким стандартам безопасности, чтобы проложить путь к безопасному будущему Web3. 

Открыть чтобы увидеть прямой отчет команды экспертов Salus.

Отметка времени:

Больше от SteenScrypto