Отчет об анализе безопасности блокчейна за первую половину 2023 года

Добавить Автора

Предисловие

Благодаря постоянному углублению процесса цифровизации технология блокчейна стала важной движущей силой во многих областях.Он не только вносит разрушительные изменения в традиционные отрасли, такие как финансы, медицинское обслуживание и логистика, но также обеспечивает большую открытость для участников и прозрачность. опыт. Однако с широким применением технологии блокчейн проблемы безопасности, связанные с ней, становятся все более серьезными. В последние годы часто происходили инциденты, связанные с безопасностью блокчейна, которые не только причиняли огромные убытки отдельным лицам и предприятиям, но и создавали проблемы для развития технологии блокчейна.

В этом отчете разбираются и анализируются инциденты безопасности блокчейна в первой половине 2023 года с целью изучения скрытых опасностей безопасности блокчейна, анализа причин инцидентов безопасности блокчейна и предложения соответствующих решений и предложений. С помощью этого отчета мы надеемся привлечь внимание всех сторон к вопросам безопасности блокчейна, совместно способствовать безопасному развитию технологии блокчейна и заложить прочную основу для будущего цифрового мира.

Обзор экономических потерь от инцидентов безопасности

В первой половине 2023 года произошло в общей сложности 192 крупных атаки с общим ущербом примерно в 920 миллионов долларов США.

• Всего 4 инцидента безопасности с убытком более 100 миллионов долларов США:

Взрывная атака на кредит Euler Finance потеряла 197 миллионов долларов

Блокчейн-проект мошенничества с морщинами на собачьем носу приносит убытки в размере 127 миллионов долларов

BonqDAO и AllianceBlock манипулировали ценами и нанесли убытки в размере 120 миллионов долларов США.

Кошелек Atomic украли и потеряли 100 миллионов долларов

• 12 инцидентов, в которых сумма убытков находилась в диапазоне от 10 до 100 миллионов долларов США.
• Произошло 40 инцидентов с убытками от 1 до 10 миллионов долларов США.

Обзор анализа методов атаки

Согласно анализу методов атак, используемых в инцидентах безопасности, наиболее частыми методами атак являются Rug Pull и Contract Vulnerabilities, по 32 атаки. Затем последовали атаки с использованием мгновенных кредитов, которые произошли 20 раз, что составляет 14,93% всех инцидентов.

Среди методов атаки с наибольшим количеством случаев, быстрый кредит потерял наибольшую сумму, в результате чего общая сумма убытков составила 250 миллионов долларов США. За ним последовала афера с блокчейном, которая произошла всего семь раз и привела к убыткам в размере 230 миллионов долларов.

Хотя общее количество уязвимостей контрактов и Rug Pull относительно велико и составляет 47,76% всех методов атак, потери, вызванные ими, намного меньше, чем первые два, и составляют всего 66,49 млн долларов США. Высокая частота этих атак и огромное количество убытков еще раз подчеркивают риски на рынке криптовалют. Хотя технология блокчейна имеет большой потенциал и перспективы применения, она по-прежнему сталкивается с рисками безопасности и техническими проблемами.

Инциденты Rug Pull происходят часто, из которых 75% суммы неуправляемого проекта составляет менее 10 миллионов долларов США, а 28% суммы убытков проекта составляет менее 1 миллиона долларов США. У таких проектов обычно отсутствует официальный сайт, Twitter, Telegram, Github и прочая информация, нет Roadmap или white paper, а информация членов команды вызывает подозрение, период от запуска проекта до финального запуска не превышает трех месяцев.

Потери, вызванные такими инцидентами безопасности, нельзя игнорировать.Необходимо усилить расследование предыстории проекта, повысить осведомленность о предотвращении незнакомой информации и улучшить способность предотвращения за счет раннего предотвращения, чтобы избежать потерь.

Обзор типов атакованных событий безопасности

1 Сетевое приложение

Ончейн-приложение, также известное как децентрализованное приложение (DApp), представляет собой приложение, построенное на блокчейне или технологии распределенного реестра. Используйте возможности и функции блокчейна для хранения данных, обработки транзакций и выполнения смарт-контрактов.

• В первой половине 2023 года в ончейн-приложениях произошло в общей сложности 157 инцидентов безопасности, что составляет 81% от общего числа инцидентов. Общая сумма убытков ончейн-приложений достигла 740 миллионов долларов США, что составляет 79% от общей суммы убытков. Ончейн-приложения были типом с самой высокой частотой атак и наибольшим количеством потерь за последние шесть месяцев.
• Частота инцидентов с безопасностью ончейн-приложений за шесть месяцев первого полугодия была почти одинаковой: тройку основных причин инцидентов безопасности составили Rug Pull, лазейки в контрактах и взлом Twitter.

предположение:

• Проектная сторона полностью учитывает безопасность проекта при проектировании и сборке проекта, при реализации функции также рассматривает возможность обхода функции проверки и наличие дефектов, а также полностью проводит аудит безопасности перед запуском проекта в онлайн .
• Прежде чем пользователи инвестируют в приложение в цепочке, они должны как можно больше исследовать, принимать взвешенные решения и инвестировать осторожно.

2 Обмен

Биржа (Exchange) относится к платформе или учреждению, которое предоставляет услуги по торговле и торговле цифровыми активами. Он позволяет пользователям обменивать один цифровой актив (например, биткойн, эфириум и т. д.) на другой или покупать или продавать цифровые активы за фиатные валюты (например, доллары США, евро и т. д.).

• В первой половине 2023 года биржи заняли второе место по количеству инцидентов безопасности.В первой половине года произошло 11 инцидентов безопасности в сфере бирж, в результате чего общий ущерб составил 73,18 млн долларов США. Основной причиной атаки является лазейка в контракте.
• Инциденты безопасности, связанные с биржами, происходят каждый месяц. И количество денег, потерянных из-за инцидентов с безопасностью, не так уж и мало.

предположение:

*Пользователи остерегайтесь фишинговых и вредоносных ссылок: избегайте переходов по ненадежным ссылкам, особенно полученным по электронной почте или в социальных сетях.

• Регулярно проверяйте активность счета, не храните все средства централизованно, обновляйте и защищайте оборудование, выбирайте надежную охранную компанию для раннего аудита.

3 Общедоступная/боковая цепь

Общедоступная цепочка блоков, называемая общедоступной цепочкой, относится к согласованной цепочке блоков, к которой любой человек в мире может получить доступ и прочитать в любое время, и любой может отправлять транзакции и получать эффективное подтверждение. Сайдчейн — это блокчейн, параллельный основной цепочке, который можно понимать как протокол расширения блокчейна. Для удовлетворения конкретных потребностей бизнеса, таких как обмен активами между сетями, расширение частной сети и отраслевые блокчейн-решения.

• В первой половине 2023 года публичная/сайдчейн стала третьим по величине типом инцидентов, связанных с безопасностью. Основной причиной атаки является уязвимость смарт-контракта.

предположение:

• Выберите надежный механизм консенсуса.
• Используйте безопасные алгоритмы шифрования для генерации и хранения ключей, а также используйте технологию мультиподписи для повышения безопасности транзакций.
• Проводите регулярные аудиты безопасности, включая проверку кода, тестирование безопасности и сканирование уязвимостей, чтобы выявить потенциальные бреши и слабые места в системе безопасности.

4 Перекидной мост

Cross-Chain Bridge — это техническое решение, позволяющее передавать цифровые активы между различными сетями блокчейнов. Межсетевой мост обычно блокирует или сжигает токены в смарт-контракте в исходной цепочке и разблокирует или выпускает токены через другой смарт-контракт в целевой цепочке. Коммуникация между сетями по существу требует компромисса в трех измерениях: безопасность, доверие и гибкость. Из-за наличия этих сложных факторов мосты между цепями стали основной целью атак в сфере Web3.

• В первой половине 2023 года произошло 8 инцидентов безопасности мостов с перекрестными цепями, в результате которых был нанесен ущерб в размере 11,37 млн долларов США.
• В 2022 году 12 инцидентов, связанных с безопасностью мостов, связанных с кроссчейн, привели к убыткам в размере около 1,89 миллиарда долларов США, что является первым среди всех типов проектов по убыткам. По сравнению с прошлым годом, в первом полугодии этого года в межсетевом мосту произошло 7 инцидентов безопасности.В дополнение к недавним инцидентам безопасности Poly Network и Multichain произошло 10 инцидентов безопасности. инцидентов больше, чем в прошлом году более серьезные события. Основными причинами атак являются уязвимости смарт-контрактов, быстрые кредиты и т. д.

предположение:

• Проектная сторона ставит безопасность на первое место при разработке протокола передачи сообщений между цепочками.

5 кошельков

Блокчейн-кошелек является важной частью блокчейна, инструмента хранения и управления цифровой валютой, который позволяет пользователям безопасно хранить, получать и отправлять различные криптовалюты, такие как биткойн, эфириум и другие токены. Безопасность кошелька всегда была горячей темой в индустрии блокчейнов.После атаки кошелька злоумышленник может легко украсть конфиденциальную информацию, такую как закрытый ключ и мнемонику пользователя, а затем завладеть цифровыми активами пользователя. Стоимость этих цифровых активов может быть очень высокой, и в случае кражи потери будут очень тяжелыми. Поэтому, чтобы максимально защитить цифровые активы пользователей, мы рекомендуем пользователям принять некоторые меры безопасности.

• В первой половине 2023 года количество инцидентов безопасности, связанных с атаками на кошельки, было относительно небольшим по сравнению с другими типами, но потери при атаках на кошельки были относительно большими. Как и инциденты с кошельками Atomic и MyAlgo, две атаки привели к потере до 109 миллионов долларов США.
• Тип с третьим по количеству инцидентов — кошелек, и большинство инцидентов безопасности в этой категории связано с утечкой закрытых ключей и мнемоники.

предположение:

• Выберите надежного поставщика кошелька: выберите поставщика кошелька с хорошей репутацией и солидной историей. Убедитесь, что вы понимаете их методы обеспечения безопасности, как защитить конфиденциальную информацию, такую как пользовательские данные и закрытые ключи.
• Использовать двухфакторную аутентификацию: включите двухфакторную аутентификацию, чтобы повысить безопасность своей учетной записи. Этот метод требует, чтобы вы ввели другую форму аутентификации, помимо имени пользователя и пароля при входе в систему, например код подтверждения или распознавание отпечатков пальцев.
• НЕ ДЕЛИТЕСЬ СВОИМ ЧАСТНЫМ КЛЮЧОМ: закрытый ключ является доказательством владения вашей криптовалютой. Не сообщайте свои закрытые ключи никому, включая поставщиков кошельков. Если кто-то попросит у вас ваш закрытый ключ, скорее всего, это мошенничество.
• Регулярно делайте резервную копию своего кошелька: регулярное резервное копирование вашего кошелька гарантирует, что вы сможете восстановить свои криптовалюты, если ваш кошелек будет потерян или атакован. Вы можете хранить свои резервные копии в безопасном месте, например на автономном устройстве или в аппаратном кошельке.
• Будьте осторожны с неизвестными электронными письмами или сообщениями: не открывайте и не загружайте электронные письма или сообщения из неизвестных источников. Они могут содержать вредоносное ПО или ссылки, которые могут привести к компрометации вашего кошелька.
• Убедитесь, что ваш компьютер и мобильные устройства в безопасности: убедитесь, что на вашем компьютере и мобильных устройствах установлены последние обновления антивируса и безопасности для защиты ваших устройств от атак.
• Не используйте неизвестные сети Wi-Fi в общественных местах, так как эти сети могут быть небезопасными и могут быть использованы хакерами для атаки на ваш кошелек.
• Убедитесь, что программное обеспечение вашего кошелька обновлено. Убедитесь, что программное обеспечение вашего кошелька обновлено. Новые выпуски часто содержат обновления безопасности и исправления, которые могут помочь вам защитить свой кошелек от атак.
• Будьте в курсе последней информации о безопасности кошелька: Будьте в курсе последней информации и событий в области безопасности кошелька, чтобы быть в курсе о безопасности кошелька и принимать соответствующие меры предосторожности.

Анализ и сводка инцидентов безопасности блокчейна в первой половине 2023 г.

В результате разбора инцидентов безопасности блокчейна в первой половине 2023 года было установлено, что приложение в цепочке относится к типу проектов с наибольшей частотой атак и наибольшим объемом убытков за полгода. Всего в области приложений ончейн произошло 157 инцидентов безопасности, 32 из которых были атаками, основанными на уязвимостях контрактов.

Перед лицом частых инцидентов, связанных с безопасностью, разработчики должны и дальше следовать кодированию безопасности, проверять коды контрактов и использовать проверенные библиотеки безопасности для защиты прав пользователей, а пользователи, использующие смарт-контракты, также должны тщательно выбирать контракты и тщательно проверять свои контракты перед использованием. код и безопасность, выберите профессиональную охранную компанию для аудита. Когда происходит инцидент безопасности, пользователи могут сделать очень немного: только постоянно повышая собственную осведомленность о безопасности, заранее обнаруживая уязвимости, устраняя уязвимости и принимая меры предосторожности, они могут максимально избежать атак.

Информация, представленная в этом отчете, предназначена только для справки и исследования. Информация получена из общедоступных источников. Автор приложил все усилия, чтобы проверить точность и полноту, но не может гарантировать ее точность и полноту, и не берет на себя никакой ответственности за использование или полагаясь на информацию.. ответственность за потерю или повреждение. Этот отчет не следует рассматривать как рекомендацию или рекомендацию для какого-либо конкретного блокчейн-проекта или инвестиций в криптовалюту, и читатели должны проводить собственные исследования и принимать решения. Содержание этого отчета не заменяет суждения и принятия решений читателем, а также не может гарантировать постоянство или реализацию описанной ситуации.