รายงานความปลอดภัยของ Salus Web3 ปี 2023: การเปิดเผยการค้นพบที่สำคัญ

พื้นที่การรักษาความปลอดภัยของ Web3 มีการเปลี่ยนแปลงครั้งใหญ่ในปี 2023 โดยแสดงให้เห็นทั้งความก้าวหน้าในด้านความยืดหยุ่นและความทนทานต่อความยากลำบาก การโจมตีทางไซเบอร์ต่อภาค Web3 ส่งผลให้ มากกว่า $ 1.7 พันล้าน ในความเสียหายในปี 2023; บันทึกเหตุการณ์ได้ 453 เหตุการณ์. อันตรายที่หลากหลายที่แสดงโดยการโจมตีเหล่านี้เน้นย้ำถึงความจำเป็นที่สำคัญสำหรับชุมชน Web3 ในการรักษาความตระหนักรู้อย่างต่อเนื่อง โดยทีมงานผู้เชี่ยวชาญจาก Salusซึ่งเป็นธุรกิจความปลอดภัย web3 ที่มุ่งเน้นการวิจัย ได้พัฒนารายงานการวิเคราะห์ที่ครอบคลุมนี้

Hacks: ปีแห่งรูปแบบที่แตกต่างกัน

แม้ว่าการสูญเสียทั้งหมดจะลดลงอย่างมากในปี 2023 แต่การหาประโยชน์ที่มีชื่อเสียงระดับสูงยังคงส่งผลกระทบอย่างมีนัยสำคัญ การขาดทุน 200 ล้านดอลลาร์ที่ Mixin Network ประสบในเดือนกันยายน ร่วมกับความสูญเสีย 197 ล้านดอลลาร์ที่ Euler Finance ประสบในเดือนมีนาคม และความสูญเสีย 126.36 ล้านดอลลาร์ที่ Multichain ประสบในเดือนกรกฎาคม เน้นถึงอันตรายที่เกิดขึ้นอย่างต่อเนื่องต่อสะพานและ Defi โปรโตคอล

การตรวจสอบการขาดทุนรายเดือนโดยละเอียดยิ่งขึ้นแสดงให้เห็นถึงรูปแบบที่น่าสนใจ แม้ว่าจะมีการสูญเสียจำนวนมากในเดือนกันยายน พฤศจิกายน และกรกฎาคม แต่ก็มีการลดลงอย่างเห็นได้ชัดในเดือนตุลาคมและธันวาคม แสดงให้เห็นว่าความตระหนักรู้ด้านความปลอดภัยและการดำเนินการป้องกันอย่างเข้มงวดกำลังมีความสำคัญมากขึ้นเรื่อยๆ 

ภาพรวมปี 2023 ของช่องโหว่ด้านความปลอดภัย Web3

ออกจากการหลอกลวง: 

จากการโจมตีทั้งหมด การหลอกลวงทางออกคิดเป็น 12.24% โดยมี 276 ครั้ง ส่งผลให้สูญเสียเงิน 208 ล้านดอลลาร์ ตัวอย่างกิจการที่โดดเด่นซึ่งสัญญาว่าจะให้ผลกำไรมหาศาลแต่กลับหายไปพร้อมกับเงินของนักลงทุน

ข้อควรระวังความปลอดภัย:

1. การตรวจสอบโครงการและทีมงานในเชิงลึก เพื่อให้แน่ใจว่าพวกเขามีประวัติที่พิสูจน์แล้ว และจัดอันดับโครงการตามการประเมินความปลอดภัยที่โปร่งใสโดยบริษัทที่เชื่อถือได้ 

2. เปลี่ยนพอร์ตการลงทุนของคุณและใช้ความระมัดระวังในการพิจารณากิจการที่ให้ผลตอบแทนสูงเกินสมควร 

ปัญหาเกี่ยวกับการควบคุมการเข้าถึง: 

การโจมตี 39.18% มีปัญหาในการควบคุมการเข้าถึง และ 29 เหตุการณ์ในนั้นส่งผลให้สูญเสียเงินจำนวน 666 ล้านดอลลาร์ ตัวอย่างที่โดดเด่น ได้แก่ ความอ่อนไหวที่ได้รับการใช้ประโยชน์ใน Multichain, Poloniex และ Atomic Wallet

ข้อควรระวังความปลอดภัย:

ปฏิบัติตามหลักการสิทธิพิเศษน้อยที่สุด วางขั้นตอนการรับรองความถูกต้องและการอนุญาตที่เข้มงวด และอัปเดตสิทธิ์การเข้าถึงบ่อยครั้ง นอกจากนี้ ให้บุคลากรได้รับการฝึกอบรมด้านความปลอดภัยเป็นประจำ โดยเฉพาะผู้ที่มีสิทธิ์ระดับสูง และตั้งค่าระบบการตรวจสอบอย่างละเอียดเพื่อระบุและจัดการกับกิจกรรมที่น่าสงสัยในแอปและโครงสร้างพื้นฐานได้อย่างรวดเร็ว

ฟิชชิ่ง: 

อินสแตนซ์ฟิชชิ่งคิดเป็น 3.98% ของการโจมตี และ 13 เหตุการณ์จากเหตุการณ์เหล่านั้นสร้างความเสียหายมูลค่า 67.6 ล้านดอลลาร์ ผู้โจมตีใช้กลยุทธ์ฟิชชิ่งที่เปลี่ยนแปลงอยู่ตลอดเวลา ดังที่แสดงโดยการโจมตี AlphaPo โดย Lazarus Group

ข้อควรระวังความปลอดภัย:

การโจมตีส่วนหน้าได้เพิ่มขึ้นในเวที web3 อันเป็นผลมาจากความคิดริเริ่มที่ให้ความสำคัญกับความปลอดภัยของส่วนหน้าต่ำเกินไป มันเป็นสิ่งจำเป็นที่จะทำ Web3 การทดสอบการเจาะระบบเพื่อค้นหาข้อบกพร่องของระบบและช่องโหว่ที่แฮกเกอร์สามารถใช้ประโยชน์ได้ ให้ความรู้แก่ผู้ใช้เป็นสิ่งสำคัญที่สุด ส่งเสริมการใช้การรับรองความถูกต้องแบบหลายปัจจัย (MFA) และกระเป๋าเงินฮาร์ดแวร์ และใช้การตรวจสอบโดเมนและการยืนยันอีเมล

การโจมตีโดยใช้ Flash Loans: 

16.12% ของการโจมตีเป็นการโจมตีแบบ flash Loan โดยมี 37 ครั้งส่งผลให้สูญเสียเงิน 274 ล้านดอลลาร์ การโจมตีด้วยสินเชื่อแฟลชแบบแม่นยำเปิดตัวกับ Yearn Finance, KyberSwap และ Euler Finance

ข้อควรระวังความปลอดภัย: 

ลดอันตรายที่เกี่ยวข้องกับสินเชื่อแฟลชโดยกำหนดข้อจำกัด เช่น กำหนดเวลาและปริมาณการกู้ยืมขั้นต่ำ การเพิ่มค่าใช้จ่ายสำหรับผู้โจมตี การเรียกเก็บเงินสำหรับการใช้แฟลชโลนอาจเป็นอุปสรรคต่อการโจมตีที่ไม่เป็นมิตร

การกลับเข้ามาใหม่:

การโจมตี 4.35% เกิดจากช่องโหว่ในการกลับเข้าใหม่ และ 15 เหตุการณ์เหล่านี้ส่งผลให้สูญเสียเงินจำนวน 74 ล้านดอลลาร์ ผลกระทบของข้อบกพร่องเล็กๆ น้อยๆ ที่ทำให้เกิดการสูญเสียครั้งใหญ่นั้นถูกเปิดเผยโดยปัญหาของ Vyper และการโจมตี Exactly Protocol

ข้อควรระวังความปลอดภัย:

1. ปฏิบัติตามโมเดลการตรวจสอบผลกระทบและการโต้ตอบอย่างเคร่งครัด: ตรวจสอบให้แน่ใจว่าได้ทำการตรวจสอบและการตรวจสอบความถูกต้องที่เกี่ยวข้องทั้งหมดแล้วก่อนดำเนินการต่อ คุณควรทำการเปลี่ยนแปลงสถานะและมีส่วนร่วมกับเอนทิตีภายนอกเมื่อคุณทำการทดสอบเหล่านี้สำเร็จแล้วเท่านั้น

2. นำการคุ้มครองการกลับเข้ามาใหม่อย่างครอบคลุมมาปฏิบัติ: ใช้สิ่งนี้กับทุกฟังก์ชันในสัญญาที่เกี่ยวข้องกับขั้นตอนที่ละเอียดอ่อน

ปัญหากับออราเคิล: 

การโจมตี 7.88% เกิดจากปัญหาของ Oracle และ 7 กรณีจากทั้งหมดเหล่านี้ส่งผลให้สูญเสียเงินจำนวน 134 ล้านดอลลาร์ การแฮ็ก BonqDAO สาธิตวิธีการเปลี่ยนราคาโทเค็นโดยใช้จุดอ่อนของ Oracle

ข้อควรระวังความปลอดภัย:

1. ไม่ควรคาดการณ์ราคาในตลาดที่มีสภาพคล่องน้อย

2. พิจารณาว่าสภาพคล่องของโทเค็นเพียงพอที่จะรับประกันการรวมแพลตฟอร์มหรือไม่ ก่อนที่จะพิจารณาแผนราคาออราเคิลโดยเฉพาะ

3. รวมราคาเฉลี่ยถ่วงน้ำหนักตามเวลา (TWAP) เพื่อเพิ่มค่าใช้จ่ายในการจัดการสำหรับผู้โจมตี

ช่องโหว่เพิ่มเติม 

16.47% ของการโจมตีเกิดขึ้นโดยใช้ช่องโหว่อื่นๆ และ 76 ครั้งจากเหตุการณ์เหล่านี้ส่งผลให้สูญเสียเงินจำนวน 280 ล้านดอลลาร์ ช่องโหว่ของ web2 จำนวนมากและการละเมิดฐานข้อมูลของ Mixin แสดงให้เห็นถึงปัญหาด้านความปลอดภัยที่หลากหลายที่พบในโดเมน Web3

10 สุดยอดแฮ็กปี 2023: เรื่องย่อ 

การแฮ็กสิบอันดับแรกของปี 2023 ซึ่งคิดเป็นประมาณ 70% ของความเสียหายทั้งปี (ประมาณ 1.2 พันล้านดอลลาร์) ระบุจุดอ่อนที่พบบ่อย: ปัญหาการควบคุมการเข้าถึง โดยเฉพาะอย่างยิ่งปัญหาที่เกี่ยวข้องกับการขโมยคีย์ส่วนตัว การละเมิดเหล่านี้ส่วนใหญ่เกิดขึ้นในช่วงที่สองของปี การทำร้ายร่างกายที่สำคัญสามครั้งเกิดขึ้นในเดือนพฤศจิกายน 

โดยเฉพาะอย่างยิ่ง Lazarus Group มีส่วนเกี่ยวข้องกับการละเมิดหลายครั้งซึ่งส่งผลให้สูญเสียเงินทุนจากการประนีประนอมกระเป๋าเงินร้อน Mixin Network, Euler Finance, Multichain, Poloniex, BonqDAO, Atomic Wallet, HECO Bridge, Curve, Vyper, AlphaPo และ CoinEx เป็นหนึ่งในโปรโตคอลที่ถูกนำไปใช้ประโยชน์

สรุป: 

ภายในสิ้นปี ความสูญเสียโดยรวมของปี 2023 จะน้อยกว่าปี 2022 แต่การกระจุกตัวของความเสียหายในการโจมตี 10 อันดับแรกเน้นย้ำถึงความสำคัญของการป้องกันที่ดีขึ้น เนื่องจากมีช่องโหว่มากมาย การปกป้องพื้นที่ Web3 จึงต้องใช้กลยุทธ์ที่หลากหลาย

เป็นไปไม่ได้ที่จะประเมินค่าสูงไปถึงความสำคัญของการตรวจสอบอย่างละเอียดและความรู้ที่เพิ่มขึ้นเกี่ยวกับการทดสอบการเจาะระบบ Web3 โดยเฉพาะอย่างยิ่งเมื่อพิจารณาถึงเทคนิคการแทรกซึมใหม่ๆ เช่น เทคนิคที่ใช้ในการโจมตี Lazarus Group ขอแนะนำอย่างยิ่งให้ผู้ใช้และผู้มีส่วนได้ส่วนเสียจัดลำดับความสำคัญของแพลตฟอร์มและบริการที่ตอบสนองทั้งความต้องการด้านการใช้งานและมาตรฐานความปลอดภัยสูงสุด เพื่อปูทางไปสู่อนาคตของ Web3 ที่ปลอดภัย 

คลิกที่นี่ เพื่อดูรายงานสดโดยทีมผู้เชี่ยวชาญของ Salus

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://thenewscrypto.com/web3-security-report-2023-key-findings-revealed/