Web3 安全领域在 2023 年发生了巨大的转变,展现了弹性方面的进步和持久的困难。针对 Web3 领域的网络攻击导致 超过$ 1.7十亿 2023 年发生损害; 记录了 453 起事件。这些攻击所表现出的各种危险凸显了 Web3 社区保持持续意识的迫切必要性。专家团队位于 萨卢斯是一家专注于研究的 web3 安全企业,开发了这份内容广泛的分析报告。
黑客:模式不同的一年
尽管 2023 年总损失大幅下降,但备受瞩目的漏洞攻击仍然产生重大影响。 Mixin Network 200 月份损失 197 亿美元,Euler Finance 126.36 月份损失 XNUMX 亿美元,Multichain XNUMX 月份损失 XNUMX 亿美元,凸显了桥梁和网络持续面临的危险。 DEFI 协议。
更详细地检查每月损失显示出一个有趣的模式。虽然9月、11月、7月损失较大,但10月、12月出现明显下降,表明安全意识和实施强有力的防护变得越来越重要。
2023 年 Web3 安全漏洞快照
退出诈骗:
在所有攻击中,出口诈骗占 12.24%,发生 276 起,造成 208 亿美元损失。承诺可观利润但突然随着投资者的资金消失的企业的著名例子。
安全须知:
1. 深入调查项目和团队,确保他们拥有可靠的跟踪记录,并根据可靠公司提供的透明安全评估对项目进行排名。
2. 改变你的投资组合,在考虑提供不合理高回报的企业时要谨慎。
访问控制问题:
39.18% 的攻击存在访问控制问题,其中 29 起事件造成了 666 亿美元的重大损失。突出的例子包括在 Multichain、Poloniex 和 Atomic Wallet 中利用的敏感性。
安全须知:
坚持最小权限原则,实施强有力的身份验证和授权程序,并经常更新访问权限。此外,为人员(特别是具有高权限的人员)提供定期安全培训,并建立全面的监控系统,以快速识别和解决应用程序和基础设施中的任何可疑活动。
网络钓鱼:
网络钓鱼实例占攻击的 3.98%,其中 13 起事件造成了 67.6 万美元的损失。攻击者使用各种不断变化的网络钓鱼策略,Lazarus Group 对 AlphaPo 的攻击就表明了这一点。
安全须知:
由于低估前端安全性的举措,web3 领域的前端攻击有所增加。这是必须要做的 Web3 渗透测试以发现黑客可能利用的系统缺陷和漏洞。将用户教育作为重中之重,鼓励使用多重身份验证(MFA)和硬件钱包,并利用域监控和电子邮件验证。
使用闪电贷进行攻击:
16.12% 的攻击是闪贷攻击,其中发生 37 起,造成 274 亿美元损失。针对 Yearn Finance、KyberSwap 和 Euler Finance 发起精准闪电贷攻击。
安全须知:
通过设置时间限制和最低借款数量等限制来减少与闪电贷款相关的危险。通过增加攻击者的费用,对快速贷款的使用进行收费可能会抑制使用恶意攻击。
可重入性:
4.35% 的攻击是由重入漏洞引起的,其中 15 起事件造成了 74 万美元的损失。 Vyper 问题和 Exactly Protocol 攻击揭示了微小缺陷造成巨大损失的影响。
安全须知:
1. 严格遵循检查-效果-交互模型:确保在继续之前完成所有相关检查和验证。只有在成功完成这些测试后,您才应该进行状态更改并与外部实体互动。
2. 将全面的重入保护付诸实践:将此用于合同中涉及敏感程序的每个功能。
甲骨文的问题:
7.88% 的攻击是由 Oracle 问题引起的,其中 7 起事件造成了 134 亿美元的损失。 BonqDAO 黑客攻击演示了如何利用预言机的弱点来改变代币价格。
安全须知:
1. 不应在流动性很少的市场进行价格预测。
2. 在考虑任何特定的价格预言机计划之前,确定代币的流动性是否足以保证平台集成。
3. 结合时间加权平均价格(TWAP)来提高攻击者的操纵成本。
其他漏洞
16.47% 的攻击是利用其他漏洞进行的,其中 76 起事件造成了 280 亿美元的损失。许多 web2 漏洞和 Mixin 数据库泄露表明了 Web3 领域遇到的广泛安全问题。
10 年十大黑客:概要
2023 年十大黑客攻击约占当年损失的 70%(约 1.2 亿美元),它们发现了一个共同的弱点:访问控制问题,尤其是涉及盗窃私钥的问题。这些违规行为大部分发生在今年下半年; XNUMX 月发生了三起重大袭击事件。
值得注意的是,Lazarus Group 涉及许多违规行为,导致热钱包泄露导致资金损失。 Mixin Network、Euler Finance、Multichain、Poloniex、BonqDAO、Atomic Wallet、HECO Bridge、Curve、Vyper、AlphaPo 和 CoinEx 等协议均被利用。
总结
到年底,2023 年的总体损失将低于 2022 年。但损害集中在前 10 名攻击中,凸显了拥有更好保护的重要性。由于存在广泛的漏洞,保护 Web3 空间需要采取多方面的策略。
彻底审计和增加 Web3 渗透测试知识的重要性怎么估计都不为过,尤其是考虑到 Lazarus 组织攻击中使用的新渗透技术。强烈建议用户和利益相关者优先考虑满足功能需求和最高安全标准的平台和服务,以便为安全的 Web3 未来铺平道路。
点击这里 观看Salus专家团队的现场报道。
- :是
- $UP
- 10
- 12
- 13
- 15%
- 2022
- 2023
- 26%
- 29
- 35%
- 36
- 7
- a
- 关于
- 突然
- ACCESS
- 根据
- 占
- 横过
- 活动
- 增加
- 地址
- 进步
- 驳
- 所有类型
- 尽管
- 其中
- an
- 分析
- 和
- 和基础设施
- 任何
- 应用
- 保健
- 竞技场
- 围绕
- AS
- 突击
- 评估
- 相关
- At
- 原子
- 攻击
- 攻击
- 审计
- 认证
- 授权
- 意识
- BE
- 因为
- 成为
- before
- 更好
- 亿
- 借贷
- 都
- 违反
- 违规
- 桥
- 桥梁
- 广阔
- 带
- 商业
- 但是
- by
- 造成
- 警告
- 更改
- 改变
- 充电
- 支票
- Coinex
- 相当常见
- 社体的一部分
- 公司
- 完成
- 全面
- 浓度
- 考虑
- 常数
- 经常
- 持续
- 合同
- 控制
- 价格
- 可以
- 危急
- 曲线
- 网络攻击
- 损伤
- 危险
- 数据库
- 十二月
- 拒绝
- 下降
- 需求
- 证明
- 细节
- 确定
- 发达
- 不同的
- 困难
- do
- 域
- 完成
- 显着
- 教育
- 邮箱地址
- 鼓励
- 结束
- 持久
- 从事
- 更多
- 实体
- 特别
- 必要
- 欧拉金融
- 所有的
- 究竟
- 展览中
- Exit 退出
- 技术专家
- 专家
- 利用
- 剥削
- 功勋
- 广泛
- 外部
- 金融
- 找到最适合您的地方
- 发现
- Flash
- 快速贷款
- 缺陷
- 缺陷
- 重点
- 遵循
- 针对
- 功能
- 实用
- 资金
- 未来
- 团队
- 保证
- 破解
- 黑客
- 黑客
- 民政事务总署
- 发生
- 硬件
- 五金钱包
- 有
- 高
- 高调
- 最高
- 近期亮点
- 亮点
- 高度
- 热卖
- 热钱包
- 创新中心
- How To
- HTTPS
- 确定
- 鉴定
- if
- 影响力故事
- 履行
- 启示
- 重要
- 不可能
- in
- 深入
- 包括
- 合并
- 增加
- 增加
- 基础设施
- 项目
- 积分
- 有趣
- 成
- 调查
- 投资
- 投资组合
- 参与
- 涉及
- 问题
- 问题
- IT
- 七月
- 键
- 键
- 知识
- 金伯斯交换
- 大
- 推出
- 拉撒路
- 拉撒路集团
- 最少
- 减
- 杠杆
- 光
- 喜欢
- 限制
- 范围
- 流动性
- 小
- 生活
- 贷款
- 贷款
- 离
- 损失
- 占地
- 制成
- 保持
- 多数
- 使
- 制作
- 操作
- 许多
- 三月
- 市场
- 可能..
- 满足
- 外交部
- 百万
- 最低限度
- 混入
- 混合网络
- 模型
- 钱
- 监控
- 每月一次
- 更多
- 多链
- 多面的
- 必要性
- 网络
- 全新
- 十一月
- 十月
- of
- 提供
- 经常
- on
- 一旦
- 正在进行
- 仅由
- 神谕
- 秩序
- 其他名称
- 最划算
- 部分
- 特别
- 尤其
- 模式
- 铺
- 渗透
- 权限
- 人员
- 钓鱼
- PHP
- 地方
- 计划
- 平台
- 平台
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- poloniex
- 个人档案
- 在练习上
- 平台精度
- 车资
- 价格
- 原理
- 优先
- 优先
- 私立
- 私钥
- 特权
- 权限
- 问题
- 程序
- 生产
- 利润
- 预测
- 项目
- 突出
- 许诺
- 保护
- 保护
- 协议
- 协议
- 成熟
- 提供
- 提供
- 放
- 把
- 很快
- 提高
- 范围
- 排行
- 建议
- 记录
- 定期
- 相应
- 可靠
- 报告
- 报告2023
- 需要
- 研究
- 弹性
- 导致
- 导致
- 回报
- 揭密
- 安全
- 锯
- 诈骗
- 其次
- 扇形
- 保安
- 安全意识
- 看到
- 敏感
- 九月
- 服务
- 特色服务
- 集
- Share
- 转移
- 应该
- 如图
- 作品
- 意义
- 显著
- 太空
- 光谱
- 利益相关者
- 标准
- 州/领地
- 策略
- 策略
- 强烈
- 大量
- 顺利
- 这样
- 遭遇
- 肯定
- 可疑
- SVG的
- 系统
- 产品
- 服用
- 团队
- 队
- 技术
- 十
- 测试
- 测试
- 比
- 这
- 盗窃
- 那里。
- 博曼
- 他们
- 思维
- Free Introduction
- 那些
- 三
- 次
- 至
- 一起
- 象征
- 最佳
- 返回顶部
- 前十
- 合计
- 跟踪时
- 跟踪记录
- 产品培训
- 透明
- 更新
- 用法
- 使用
- 用过的
- 用户
- 用户
- 运用
- 利用
- 各种
- 风险投资
- 企业验证
- 通过
- 查看
- 漏洞
- Vyper的
- 钱包
- 钱包
- 是
- 方法..
- 虚弱
- Web2
- Web3
- Web3 社区
- Web3 空间
- 为
- ,尤其是
- 这
- 而
- 宽
- 大范围
- 年
- 向往
- 完全
- 您一站式解决方案
- 和风网