Благодаря постоянному углублению процесса цифровизации технология блокчейна стала важной движущей силой во многих областях.Он не только вносит разрушительные изменения в традиционные отрасли, такие как финансы, медицинское обслуживание и логистика, но также обеспечивает большую открытость для участников и прозрачность. опыт. Однако с широким применением технологии блокчейн проблемы безопасности, связанные с ней, становятся все более серьезными. В последние годы часто происходили инциденты, связанные с безопасностью блокчейна, которые не только причиняли огромные убытки отдельным лицам и предприятиям, но и создавали проблемы для развития технологии блокчейна.
В этом отчете разбираются и анализируются инциденты безопасности блокчейна в первой половине 2023 года с целью изучения скрытых опасностей безопасности блокчейна, анализа причин инцидентов безопасности блокчейна и предложения соответствующих решений и предложений. С помощью этого отчета мы надеемся привлечь внимание всех сторон к вопросам безопасности блокчейна, совместно способствовать безопасному развитию технологии блокчейна и заложить прочную основу для будущего цифрового мира.
Обзор экономических потерь от инцидентов безопасности
В первой половине 2023 года произошло в общей сложности 192 крупных атаки с общим ущербом примерно в 920 миллионов долларов США.
Всего 4 инцидента безопасности с убытком более 100 миллионов долларов США:
Атака на кредит Euler Finance потеряла 197 миллионов долларов
Блокчейн-проект мошенничества с морщинами на собачьем носу приносит убытки в размере 127 миллионов долларов
BonqDAO и AllianceBlock манипулировали ценами и нанесли убытки в размере 120 миллионов долларов США.
Кошелек Atomic украли и потеряли 100 миллионов долларов
12 инцидентов, в которых сумма убытков находилась в диапазоне от 10 до 100 миллионов долларов США.
Произошло 40 инцидентов с убытками от 1 до 10 миллионов долларов США.
Обзор анализа методов атаки
Согласно анализу методов атак, используемых в инцидентах безопасности, наиболее частыми методами атак являются Rug Pull и Contract Vulnerabilities, по 32 атаки. Затем последовали атаки с использованием мгновенных кредитов, которые произошли 20 раз, что составляет 14,93% всех инцидентов.
Среди методов атаки с наибольшим количеством случаев, быстрый кредит потерял наибольшую сумму, в результате чего общая сумма убытков составила 250 миллионов долларов США. За ним последовала афера с блокчейном, которая произошла всего семь раз и привела к убыткам в размере 230 миллионов долларов.
Хотя общее количество уязвимостей контрактов и Rug Pull относительно велико и составляет 47,76% всех методов атак, потери, вызванные ими, намного меньше, чем первые два, и составляют всего 66,49 млн долларов США. Высокая частота этих атак и огромное количество убытков еще раз подчеркивают риски на рынке криптовалют. Хотя технология блокчейна имеет большой потенциал и перспективы применения, она по-прежнему сталкивается с рисками безопасности и техническими проблемами.
Инциденты Rug Pull происходят часто, из которых 75% суммы неуправляемого проекта составляет менее 10 миллионов долларов США, а 28% суммы неуправляемого проекта составляет менее 1 миллиона долларов США. У таких проектов обычно отсутствует официальный сайт, Twitter, Telegram, Github и прочая информация, нет Roadmap или white paper, а информация членов команды вызывает подозрение, период от запуска проекта до финального запуска не превышает трех месяцев.
Потери, вызванные такими инцидентами безопасности, нельзя игнорировать.Необходимо усилить расследование предыстории проекта, повысить осведомленность о предотвращении незнакомой информации и улучшить способность предотвращения за счет раннего предотвращения, чтобы избежать потерь.
Обзор типов атакованных событий безопасности
1 Сетевое приложение
Ончейн-приложение, также известное как децентрализованное приложение (DApp), представляет собой приложение, построенное на блокчейне или технологии распределенного реестра. Используйте возможности и функции блокчейна для хранения данных, обработки транзакций и исполнения смарт-контрактов.
В первой половине 2023 года в ончейн-приложениях произошло в общей сложности 157 инцидентов безопасности, что составляет 81% от общего числа инцидентов. Общая сумма убытков ончейн-приложений достигла 740 миллионов долларов США, что составляет 79% от общей суммы убытков. Ончейн-приложения были типом с самой высокой частотой атак и наибольшим количеством потерь за последние шесть месяцев.
Частота инцидентов с безопасностью ончейн-приложений за шесть месяцев первого полугодия была почти одинаковой: тройку основных причин инцидентов безопасности составили Rug Pull, лазейки в контрактах и взлом Twitter.
предположение:
Проектная сторона полностью учитывает безопасность проекта при проектировании и сборке проекта, при реализации функции также рассматривает возможность обхода функции проверки и наличие дефектов, а также полностью проводит аудит безопасности перед запуском проекта в онлайн .
Прежде чем пользователи инвестируют в приложение в сети, они должны как можно больше изучить, принять взвешенные решения и инвестировать осторожно.
2 Обмен
Биржа (Exchange) относится к платформе или учреждению, которое предоставляет услуги по торговле и трейдингу цифровыми активами. Он позволяет пользователям обменивать один цифровой актив (например, биткойн, эфириум и т. д.) на другой или покупать или продавать цифровые активы за фиатные валюты (например, доллары США, евро и т. д.).
В первой половине 2023 года биржи заняли второе место по количеству инцидентов безопасности.В первой половине года произошло 11 инцидентов безопасности в сфере бирж, в результате чего общий убыток составил 73,18 млн долларов США. Основной причиной атаки является лазейка в контракте.
Инциденты безопасности, связанные с биржами, происходят каждый месяц. И количество денег, потерянных из-за инцидентов с безопасностью, не так уж и мало.
предположение:
*Пользователи остерегайтесь фишинговых и вредоносных ссылок: избегайте переходов по ненадежным ссылкам, особенно полученным по электронной почте или в социальных сетях.
Регулярно проверяйте активность счета, не храните все средства централизованно, обновляйте и защищайте оборудование, выбирайте надежную охранную компанию для раннего аудита.
3 Общедоступная/боковая цепь
Общедоступная цепочка блоков, называемая общедоступной цепочкой, относится к согласованной цепочке блоков, к которой любой человек в мире может получить доступ и прочитать в любое время, и любой может отправлять транзакции и получать эффективное подтверждение. Сайдчейн — это блокчейн, параллельный основной цепочке, который можно понимать как протокол расширения блокчейна. Для удовлетворения конкретных потребностей бизнеса, таких как обмен активами между сетями, расширение частной сети и отраслевые блокчейн-решения.
В первой половине 2023 года публичная/сайдчейн стала третьим по величине типом инцидентов, связанных с безопасностью. Основной причиной атаки является уязвимость смарт-контракта.
предположение:
Выберите надежный механизм консенсуса.
Используйте безопасные алгоритмы шифрования для генерации и хранения ключей, а также используйте технологию мультиподписи для повышения безопасности транзакций.
Проводите регулярные аудиты безопасности, включая проверку кода, тестирование безопасности и сканирование уязвимостей, чтобы выявить потенциальные бреши и слабые места в системе безопасности.
4 Перекидной мост
Cross-Chain Bridge — это техническое решение, позволяющее передавать цифровые активы между различными сетями блокчейнов. Межсетевой мост обычно блокирует или сжигает токены в смарт-контракте в исходной цепочке и разблокирует или выпускает токены через другой смарт-контракт в целевой цепочке. Коммуникация между сетями по существу требует компромисса в трех измерениях: безопасность, доверие и гибкость. Из-за существования этих сложных факторов мосты между цепями стали основной целью атак в области Web3.
В первой половине 2023 года произошло 8 инцидентов безопасности мостов с перекрестными цепями, в результате которых был нанесен ущерб в размере 11,37 млн долларов США.
В 2022 году 12 инцидентов, связанных с безопасностью мостов, связанных с кросс-чейн, привели к убыткам в размере около 1,89 млрд долларов США, заняв первое место среди всех типов проектов по убыткам. По сравнению с прошлым годом, в первой половине этого года в межсетевом мосту произошло 7 инцидентов безопасности.В дополнение к недавним инцидентам безопасности Poly Network и Multichain произошло 10 инцидентов безопасности. инцидентов больше, чем в прошлом году более серьезные события. Основными причинами атак являются уязвимости смарт-контрактов, быстрые кредиты и т. д.
предположение:
Проектная сторона ставит безопасность на первое место при разработке протокола передачи сообщений между цепочками.
5 кошельков
Блокчейн-кошелек является важной частью блокчейна, инструмента хранения и управления цифровой валютой, который позволяет пользователям безопасно хранить, получать и отправлять различные криптовалюты, такие как биткойн, эфириум и другие токены. Безопасность кошелька всегда была горячей темой в индустрии блокчейнов.После атаки кошелька злоумышленник может легко украсть конфиденциальную информацию, такую как закрытый ключ и мнемонику пользователя, а затем овладеть цифровыми активами пользователя. Стоимость этих цифровых активов может быть очень высокой, и в случае кражи потери будут очень тяжелыми. Поэтому, чтобы максимально защитить цифровые активы пользователей, мы рекомендуем пользователям принять некоторые меры безопасности.
В первой половине 2023 года количество инцидентов безопасности, связанных с атаками на кошельки, было относительно небольшим по сравнению с другими типами, но потери при атаках на кошельки были относительно большими. Как и инциденты с кошельками Atomic и MyAlgo, две атаки привели к потере до 109 миллионов долларов США.
Тип с третьим по количеству инцидентов — кошелек, и большинство инцидентов безопасности в этой категории связано с утечкой закрытых ключей и мнемоники.
предположение:
Выберите надежного поставщика кошелька: выберите поставщика кошелька с хорошей репутацией и солидной историей. Убедитесь, что вы понимаете их методы обеспечения безопасности, как защитить конфиденциальную информацию, такую как пользовательские данные и закрытые ключи.
Использовать двухфакторную аутентификацию: включите двухфакторную аутентификацию, чтобы повысить безопасность своей учетной записи. Этот метод требует, чтобы вы ввели другую форму аутентификации, помимо имени пользователя и пароля при входе в систему, например код подтверждения или распознавание отпечатков пальцев.
НЕ ДЕЛИТЕСЬ СВОИМ ЧАСТНЫМ КЛЮЧОМ: закрытый ключ является доказательством владения вашей криптовалютой. Не сообщайте свои закрытые ключи никому, включая поставщиков кошельков. Если кто-то попросит у вас ваш закрытый ключ, скорее всего, это мошенничество.
Регулярно делайте резервную копию своего кошелька: регулярное резервное копирование вашего кошелька гарантирует, что вы сможете восстановить свои криптовалюты, если ваш кошелек будет потерян или атакован. Вы можете хранить свои резервные копии в безопасном месте, например на автономном устройстве или в аппаратном кошельке.
Будьте осторожны с неизвестными электронными письмами или сообщениями: не открывайте и не загружайте электронные письма или сообщения из неизвестных источников. Они могут содержать вредоносное ПО или ссылки, которые могут привести к компрометации вашего кошелька.
Убедитесь, что ваш компьютер и мобильные устройства в безопасности: убедитесь, что на вашем компьютере и мобильных устройствах установлены последние обновления антивируса и безопасности для защиты ваших устройств от атак.
Не используйте неизвестные сети Wi-Fi в общественных местах, так как эти сети могут быть небезопасными и могут быть использованы хакерами для атаки на ваш кошелек.
Убедитесь, что программное обеспечение вашего кошелька обновлено. Убедитесь, что программное обеспечение вашего кошелька обновлено. Новые выпуски часто содержат обновления безопасности и исправления, которые могут помочь вам защитить свой кошелек от атак.
Будьте в курсе последней информации о безопасности кошелька: Будьте в курсе последней информации и событий в области безопасности кошелька, чтобы быть в курсе о безопасности кошелька и принимать соответствующие меры предосторожности.
Анализ и сводка инцидентов безопасности блокчейна в первой половине 2023 г.
В результате разбора инцидентов безопасности блокчейна в первой половине 2023 года было установлено, что приложение в цепочке относится к типу проектов с наибольшей частотой атак и наибольшим объемом убытков за полгода. Всего в области приложений ончейн произошло 157 инцидентов безопасности, 32 из которых были атаками, основанными на уязвимостях контрактов.
Перед лицом частых инцидентов, связанных с безопасностью, разработчики должны и дальше следовать кодированию безопасности, проверять коды контрактов и использовать проверенные библиотеки безопасности для защиты прав пользователей, а пользователи, использующие смарт-контракты, также должны тщательно выбирать контракты и тщательно проверять свои контракты перед использованием. код и безопасность, выберите профессиональную охранную компанию для аудита. Когда происходит инцидент безопасности, пользователи могут сделать очень немного: только постоянно повышая собственную осведомленность о безопасности, заранее обнаруживая уязвимости, устраняя уязвимости и принимая меры предосторожности, они могут максимально избежать атак.
Информация, представленная в этом отчете, предназначена только для справки и исследования. Информация получена из общедоступных источников. Автор приложил все усилия, чтобы проверить точность и полноту, но не может гарантировать ее точность и полноту, и не берет на себя никакой ответственности за использование или полагаясь на информацию.. ответственность за потерю или повреждение. Этот отчет не следует рассматривать как рекомендацию или рекомендацию для какого-либо конкретного блокчейн-проекта или инвестиций в криптовалюту, и читатели должны проводить собственные исследования и принимать решения. Содержание этого отчета не заменяет суждения и принятия решений читателем, а также не может гарантировать постоянство или реализацию описанной ситуации.
Посмотреть Оригинал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Bit Jungle: отчет об анализе безопасности блокчейна за первую половину 2023 года
Предисловие
Благодаря постоянному углублению процесса цифровизации технология блокчейна стала важной движущей силой во многих областях.Он не только вносит разрушительные изменения в традиционные отрасли, такие как финансы, медицинское обслуживание и логистика, но также обеспечивает большую открытость для участников и прозрачность. опыт. Однако с широким применением технологии блокчейн проблемы безопасности, связанные с ней, становятся все более серьезными. В последние годы часто происходили инциденты, связанные с безопасностью блокчейна, которые не только причиняли огромные убытки отдельным лицам и предприятиям, но и создавали проблемы для развития технологии блокчейна.
В этом отчете разбираются и анализируются инциденты безопасности блокчейна в первой половине 2023 года с целью изучения скрытых опасностей безопасности блокчейна, анализа причин инцидентов безопасности блокчейна и предложения соответствующих решений и предложений. С помощью этого отчета мы надеемся привлечь внимание всех сторон к вопросам безопасности блокчейна, совместно способствовать безопасному развитию технологии блокчейна и заложить прочную основу для будущего цифрового мира.
Обзор экономических потерь от инцидентов безопасности
В первой половине 2023 года произошло в общей сложности 192 крупных атаки с общим ущербом примерно в 920 миллионов долларов США.
Атака на кредит Euler Finance потеряла 197 миллионов долларов
Блокчейн-проект мошенничества с морщинами на собачьем носу приносит убытки в размере 127 миллионов долларов
BonqDAO и AllianceBlock манипулировали ценами и нанесли убытки в размере 120 миллионов долларов США.
Кошелек Atomic украли и потеряли 100 миллионов долларов
Обзор анализа методов атаки
Согласно анализу методов атак, используемых в инцидентах безопасности, наиболее частыми методами атак являются Rug Pull и Contract Vulnerabilities, по 32 атаки. Затем последовали атаки с использованием мгновенных кредитов, которые произошли 20 раз, что составляет 14,93% всех инцидентов.
Среди методов атаки с наибольшим количеством случаев, быстрый кредит потерял наибольшую сумму, в результате чего общая сумма убытков составила 250 миллионов долларов США. За ним последовала афера с блокчейном, которая произошла всего семь раз и привела к убыткам в размере 230 миллионов долларов.
Хотя общее количество уязвимостей контрактов и Rug Pull относительно велико и составляет 47,76% всех методов атак, потери, вызванные ими, намного меньше, чем первые два, и составляют всего 66,49 млн долларов США. Высокая частота этих атак и огромное количество убытков еще раз подчеркивают риски на рынке криптовалют. Хотя технология блокчейна имеет большой потенциал и перспективы применения, она по-прежнему сталкивается с рисками безопасности и техническими проблемами.
Инциденты Rug Pull происходят часто, из которых 75% суммы неуправляемого проекта составляет менее 10 миллионов долларов США, а 28% суммы неуправляемого проекта составляет менее 1 миллиона долларов США. У таких проектов обычно отсутствует официальный сайт, Twitter, Telegram, Github и прочая информация, нет Roadmap или white paper, а информация членов команды вызывает подозрение, период от запуска проекта до финального запуска не превышает трех месяцев.
Потери, вызванные такими инцидентами безопасности, нельзя игнорировать.Необходимо усилить расследование предыстории проекта, повысить осведомленность о предотвращении незнакомой информации и улучшить способность предотвращения за счет раннего предотвращения, чтобы избежать потерь.
Обзор типов атакованных событий безопасности
1 Сетевое приложение
Ончейн-приложение, также известное как децентрализованное приложение (DApp), представляет собой приложение, построенное на блокчейне или технологии распределенного реестра. Используйте возможности и функции блокчейна для хранения данных, обработки транзакций и исполнения смарт-контрактов.
предположение:
2 Обмен
Биржа (Exchange) относится к платформе или учреждению, которое предоставляет услуги по торговле и трейдингу цифровыми активами. Он позволяет пользователям обменивать один цифровой актив (например, биткойн, эфириум и т. д.) на другой или покупать или продавать цифровые активы за фиатные валюты (например, доллары США, евро и т. д.).
предположение:
*Пользователи остерегайтесь фишинговых и вредоносных ссылок: избегайте переходов по ненадежным ссылкам, особенно полученным по электронной почте или в социальных сетях.
3 Общедоступная/боковая цепь
Общедоступная цепочка блоков, называемая общедоступной цепочкой, относится к согласованной цепочке блоков, к которой любой человек в мире может получить доступ и прочитать в любое время, и любой может отправлять транзакции и получать эффективное подтверждение. Сайдчейн — это блокчейн, параллельный основной цепочке, который можно понимать как протокол расширения блокчейна. Для удовлетворения конкретных потребностей бизнеса, таких как обмен активами между сетями, расширение частной сети и отраслевые блокчейн-решения.
предположение:
4 Перекидной мост
Cross-Chain Bridge — это техническое решение, позволяющее передавать цифровые активы между различными сетями блокчейнов. Межсетевой мост обычно блокирует или сжигает токены в смарт-контракте в исходной цепочке и разблокирует или выпускает токены через другой смарт-контракт в целевой цепочке. Коммуникация между сетями по существу требует компромисса в трех измерениях: безопасность, доверие и гибкость. Из-за существования этих сложных факторов мосты между цепями стали основной целью атак в области Web3.
предположение:
5 кошельков
Блокчейн-кошелек является важной частью блокчейна, инструмента хранения и управления цифровой валютой, который позволяет пользователям безопасно хранить, получать и отправлять различные криптовалюты, такие как биткойн, эфириум и другие токены. Безопасность кошелька всегда была горячей темой в индустрии блокчейнов.После атаки кошелька злоумышленник может легко украсть конфиденциальную информацию, такую как закрытый ключ и мнемонику пользователя, а затем овладеть цифровыми активами пользователя. Стоимость этих цифровых активов может быть очень высокой, и в случае кражи потери будут очень тяжелыми. Поэтому, чтобы максимально защитить цифровые активы пользователей, мы рекомендуем пользователям принять некоторые меры безопасности.
предположение:
Анализ и сводка инцидентов безопасности блокчейна в первой половине 2023 г.
В результате разбора инцидентов безопасности блокчейна в первой половине 2023 года было установлено, что приложение в цепочке относится к типу проектов с наибольшей частотой атак и наибольшим объемом убытков за полгода. Всего в области приложений ончейн произошло 157 инцидентов безопасности, 32 из которых были атаками, основанными на уязвимостях контрактов.
Перед лицом частых инцидентов, связанных с безопасностью, разработчики должны и дальше следовать кодированию безопасности, проверять коды контрактов и использовать проверенные библиотеки безопасности для защиты прав пользователей, а пользователи, использующие смарт-контракты, также должны тщательно выбирать контракты и тщательно проверять свои контракты перед использованием. код и безопасность, выберите профессиональную охранную компанию для аудита. Когда происходит инцидент безопасности, пользователи могут сделать очень немного: только постоянно повышая собственную осведомленность о безопасности, заранее обнаруживая уязвимости, устраняя уязвимости и принимая меры предосторожности, они могут максимально избежать атак.
Информация, представленная в этом отчете, предназначена только для справки и исследования. Информация получена из общедоступных источников. Автор приложил все усилия, чтобы проверить точность и полноту, но не может гарантировать ее точность и полноту, и не берет на себя никакой ответственности за использование или полагаясь на информацию.. ответственность за потерю или повреждение. Этот отчет не следует рассматривать как рекомендацию или рекомендацию для какого-либо конкретного блокчейн-проекта или инвестиций в криптовалюту, и читатели должны проводить собственные исследования и принимать решения. Содержание этого отчета не заменяет суждения и принятия решений читателем, а также не может гарантировать постоянство или реализацию описанной ситуации.