Bilgisayar korsanları gibi kötü niyetli aktörler, 2023'ün 2. çeyreğinde Web 3.0 endüstrisinden 310 milyon$ elde etti.
Bu rakam, 2022'nin ikinci çeyreğindeki 745 milyon $'lık kayba göre %58** düşüşle** ilk çeyrekteki 320 milyon $'lık kayba yakındır.
CertiK toplam 212* güvenlik olayı buldu, bu da ikinci çeyrekte olay başına ortalama 1,48 milyon dolarlık bir kayba karşılık geliyor. Bu rakam, ilk çeyrekte olay başına ortalama 1,56 milyon dolarlık kayıptan biraz daha düşüktü.
98 çıkış dolandırıcılığı, yatırımcılardan 70,35 milyon$ çaldı ve bu, ilk çeyrekte çıkış dolandırıcılığında kaybedilen 31 milyon doların iki katından fazla.
54 anlık ödünç verme saldırıları ve kahin manipülasyonu olayları, saldırganları 23,75 milyon dolar netleştirdi. Bu, ilk çeyrekte 52 kehanet manipülasyonundan kaynaklanan toplam 222 milyon dolarlık kayıptan keskin bir düşüş. Elbette Euler Finance'in son çeyrekte yaşadığı büyük kayıp nedeniyle, bu boşluk tek başına bir önceki çeyrekteki toplam miktarın %85'ini oluşturuyordu.
Buna ek olarak, sektörde bazı büyük "zincir dışı" olaylar yaşanıyor: ABD Menkul Kıymetler ve Borsa Komisyonu en büyük iki sanal para birimi borsasına karşı dava açtı ve dünyanın en büyük varlık yönetimi şirketi bir Bitcoin ETF'si için başvuruda bulundu. .
Bu arada, CertiK güvenlik araştırmacıları, Sui doğrulayıcı düğümlerindeki ve ZenGo'nun MPC cüzdanındaki güvenlik riskleri dahil olmak üzere, büyük blockchain protokollerinde ve uygulamalarında bazı önemli güvenlik açıkları da keşfettiler.
Kısmi veri ekranı
Giriiş
2023 yılının ikinci çeyreğinde Web 3.0 alanında kaydedilen toplam kayıp, bir önceki çeyreğe göre neredeyse aynı ve geçen yılın aynı dönemine göre %58 düşüşle 313.566.528 $ olarak gerçekleşti. Kaza başına ortalama kayıp da biraz düştü.
İkinci çeyreğe bakıldığında, oracle manipülasyon olaylarının sayısı önemli ölçüde azalırken, çıkış dolandırıcılıklarının toplam kayıplarının artması, kötü niyetli aktörlerin kullandığı taktiklerin değiştiğini gösteriyor.
Endüstri geliştikçe, MEV robotuna saldırı ve Sui blok zincirinde bir "hamster çarkı" güvenlik tehdidinin keşfedilmesi gibi durumlar, güvenliğe, önleyici saldırılara ve sürekli ihtiyata yönelik sürekli derin dalışların önemini göstermektedir. Üstesinden gelinen her zorlukla, daha güvenli bir Web 3.0 alanına bir adım daha yaklaşıyoruz.
Daha fazla ayrıntı ve veri için Rapora göz atın.
MEV robotu kötü niyetli olarak kullanılmaktadır
Nisan ayı başlarında MEV robotu, Ethereum'un 16964664 numaralı bloğunda bilgisayar korsanları tarafından istismar edildi. Kötü amaçlı bir doğrulayıcı, birkaç MEV işleminin yerini aldı ve yaklaşık 25,38 milyon dolarlık bir kayıpla sonuçlandı. Olay, bugüne kadar MEV robotlarına yapılan en büyük saldırıydı.
Olay, kötü niyetli doğrulayıcılar tarafından istismar edilen 8 MEV işlemiyle Ethereum bloğu 16964664'te meydana geldi. Bu doğrulayıcı, 15 Mart 2023'te harici adres (EOA) 0x687A9'da kuruldu ve o zamandan beri önden çalışmayı engelleyen bir Flashbot'a sızmayı başardı.
Bununla birlikte, MEV-boost-relay'deki bir güvenlik açığı, kötü niyetli doğrulayıcıların, MEV botlarının kısmi ara kat stratejilerini, özellikle de ters işlemleri engelleyerek, paket işlemleri yeniden yürütmesine olanak tanır. Yukarıdaki güvenlik açığı nedeniyle doğrulayıcı, ayrıntılı işlem bilgilerini gördü. Bu işlem ayrıntılarıyla, kötü niyetli doğrulayıcılar kendi bloklarını oluşturabilir ve ilk MEV bot işleminden önce ön işlemlerini ekleyebilir.
Toplamda, bu kötü niyetli doğrulayıcı, 5 MEV botundan yaklaşık 25 milyon dolar çalmayı başardı ve bu da onu CertiK tarafından MEV botlarına bugüne kadar görülen en büyük kayıplardan biri haline getirdi. Son 12 ayda yalnızca altı MEV botunun istismar edildiği tespit edildi ve bu olay tek başına toplam 27,5 milyon dolarlık kaybın %92'sini oluşturdu.
Kötü niyetli bir doğrulayıcı, MEV-boost-relay güvenlik açığından yararlanır ve geçersiz ancak doğru şekilde imzalanmış bir blok göndererek saldırıyı başlatır. Bir blok içindeki işlemleri gördükten sonra doğrulayıcılar, MEV botlarından varlık talep etmek için bunları yeniden bağlayabilir. Bu güvenlik açığı daha sonra yamalanmıştır.
MEV robotları ve sandviç saldırıları hakkında daha fazla bilgi için lütfen Rapor bölümüne bakın.
Atomik Cüzdan Hacklendi
Bu yılın Haziran ayının başında 5.000'den fazla Atomic Wallet kullanıcısı, 100 milyon dolardan fazla kayıpla sonuçlanan çeyreğin en büyük güvenlik olayıyla karşılaştı. Başlangıçta Atomic Wallet, aylık aktif kullanıcıların %1'inden daha azının olayın kurbanı olduğunu belirtmiş, ancak daha sonra bunu %0,1'in altına değiştirmiştir. Bu büyüklükteki bir saldırı ve büyük kayıplar, cüzdan uygulamalarındaki güvenlik açıklarının ciddiyetinin altını çiziyor.
Saldırganlar, kullanıcıların özel anahtarlarını hedef alarak varlıkları üzerinde tam kontrol elde eder. Anahtarları aldıktan sonra, varlıkları kendi cüzdan adreslerine aktararak kurbanın hesabını boşaltabildiler.
Bireysel yatırımcılar, 7,95 milyon $'a varan yüksek kayıplar da dahil olmak üzere çeşitli boyutlarda zarar bildirdiler. En büyük beş perakende kurbanın kümülatif kayıpları 17 milyon doları buldu.
Kayıpları telafi etmek için Atomic Wallet, çalınan jetonların %90'ı karşılığında çalınan fonların %10'undan vazgeçme sözü vererek saldırganlara alenen bir teklifte bulundu. Ancak Lazarus Group'un geçmişine ve çalınan fonların aklanmaya başlamasına bakılırsa, fonların geri alınma şansı çok zayıf.
Atomic Wallet ve "sahne arkası" hakkında daha fazla analiz için lütfen daha fazla bilgi için Rapor bölümüne bakın.
Sui "Hamster Wheel" yeni istismarı
Daha önce, CertiK ekibi Sui blok zincirinde bir dizi hizmet reddi güvenlik açığı keşfetti. Bu güvenlik açıkları arasında yeni ve etkisi yüksek bir güvenlik açığı öne çıkıyor. Bu güvenlik açığı, Sui ağ düğümlerinin yeni işlemleri işleyememesine neden olabilir ve bu etki, tüm ağın tamamen kapanmasına eşdeğerdir. CertiK, bu büyük güvenlik açığını keşfettiği için Sui'den 500.000 dolarlık bir hata ödülü aldı. ABD endüstrisindeki yetkili bir medya olan CoinDesk olayı bildirdi ve ardından büyük medya da bu haberin ardından ilgili haberleri yayınladı.
Bu güvenlik açığı, canlı bir şekilde "Hamster Wheel" olarak adlandırılır: benzersiz saldırı yöntemi, şu anda bilinen saldırılardan farklıdır. Saldırganın, Sui doğrulama düğümünde sonsuz bir döngüyü tetiklemek için yalnızca yaklaşık 100 baytlık bir yük göndermesi yeterlidir. yeni işlemlere
Ek olarak, saldırının neden olduğu hasar, ağ yeniden başlatıldıktan sonra da devam edebilir ve Sui ağında otomatik olarak yayılabilir, bu da tüm düğümlerin tekerlek üzerinde sonsuz çalışan hamsterler gibi yeni işlemleri işleyemez hale gelmesine neden olur. Bu nedenle, bu benzersiz saldırı türüne "hamster çarkı" saldırısı diyoruz.
CertiK, hatayı keşfettikten sonra, Sui'nin hata ödül programı aracılığıyla bunu Sui'ye bildirdi. Sui ayrıca ilk seferde etkili bir şekilde yanıt verdi, güvenlik açığının ciddiyetini onayladı ve ana ağ başlatılmadan önce sorunu onarmak için aktif olarak ilgili önlemleri aldı. Sui, bu güvenlik açığını düzeltmenin yanı sıra, bu güvenlik açığının neden olabileceği olası hasarı azaltmak için önleyici hafifletmeler de uygulamıştır.
CertiK ekibine sorumlu açıklamalarından dolayı teşekkür etmek için Sui, CertiK ekibine 500.000 $ ödül verdi.
Ayrıntılar için lütfen "Sui'nin en son güvenlik açığı "Hamster Wheel", teknik ayrıntılar ve derinlemesine analiz"i tıklayın.
MPC cüzdanına dayalı sunucu düzeyinde güvenlik açığı
Çok taraflı hesaplama (MPC), birden çok katılımcının girdilerinin bir işlevi üzerinde hesaplamalar yapmasına izin verirken bu girdilerin gizliliğini koruyan bir kriptografik yöntemdir. Amacı, bu girdilerin herhangi bir üçüncü tarafla paylaşılmamasını sağlamaktır. Teknoloji, gizliliği koruyan veri madenciliği, güvenli açık artırmalar, finansal hizmetler, güvenli çok taraflı makine öğrenimi ve güvenli şifre ve gizli paylaşım dahil olmak üzere çeşitli uygulamalara sahiptir.
CertiK'in Skyfall ekibi, şu anda popüler olan çok partili bilgi işlem (MPC) cüzdanı ZenGo'nun "cihaz çatallama saldırısı" olarak adlandırılan önleyici güvenlik analizi sırasında cüzdanın güvenlik mimarisinde ciddi bir güvenlik açığı buldu. Saldırganlar, ZenGo'nun mevcut güvenlik önlemlerini atlamak için kullanabilir ve bu da onlara kullanıcıların fonlarını kontrol etme fırsatı verir. Saldırının özü, ZenGo sunucularını kandırarak gerçek bir kullanıcının cihazı gibi davranan yeni bir cihaz anahtarı oluşturmak için API'deki bir güvenlik açığından yararlanmaktır.
Skyfall ekibi, sorumlu açıklama ilkelerine uygun olarak bu güvenlik açığını derhal ZenGo'ya bildirdi. Sorunun ciddiyetini anlayan ZenGo'nun güvenlik ekibi sorunu çözmek için hemen harekete geçti. Bir saldırı olasılığını önlemek için, güvenlik açığı sunucunun API düzeyinde giderilmiştir, bu nedenle istemci kodunda herhangi bir güncelleme yapılmasına gerek yoktur.
ZenGo, hata düzeltmesi tamamlandıktan sonra bulguları açıkça kabul etti ve MPC tabanlı cüzdanının güvenliğini ve güvenilirliğini güçlendirmedeki önemli rolü için CertiK'e teşekkür etti.
"Çok taraflı bilgi işlemin büyük umutları var ve Web3.0 alanında birçok önemli uygulamaya sahip. MPC teknolojisi tek hata noktası riskini azaltsa da, MPC çözümlerinin uygulanması kripto para cüzdanlarının tasarımına yeni karmaşıklıklar getirecek. Bu karmaşıklık, kapsamlı bir denetim ve izleme yaklaşımının gerekli olduğunu gösteren yeni güvenlik risklerine yol açabilir." - Profesör Kang Li, Güvenlikten Sorumlu Başkan, CertiK
Raporun tamamı için tıklayın
View Original
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
2023'ün İkinci Çeyreğine İlişkin Web3.0 Sektör Güvenliği Raporu Yayınlandı
Özetle
Kısmi veri ekranı
Giriiş
2023 yılının ikinci çeyreğinde Web 3.0 alanında kaydedilen toplam kayıp, bir önceki çeyreğe göre neredeyse aynı ve geçen yılın aynı dönemine göre %58 düşüşle 313.566.528 $ olarak gerçekleşti. Kaza başına ortalama kayıp da biraz düştü.
İkinci çeyreğe bakıldığında, oracle manipülasyon olaylarının sayısı önemli ölçüde azalırken, çıkış dolandırıcılıklarının toplam kayıplarının artması, kötü niyetli aktörlerin kullandığı taktiklerin değiştiğini gösteriyor.
Endüstri geliştikçe, MEV robotuna saldırı ve Sui blok zincirinde bir "hamster çarkı" güvenlik tehdidinin keşfedilmesi gibi durumlar, güvenliğe, önleyici saldırılara ve sürekli ihtiyata yönelik sürekli derin dalışların önemini göstermektedir. Üstesinden gelinen her zorlukla, daha güvenli bir Web 3.0 alanına bir adım daha yaklaşıyoruz.
Daha fazla ayrıntı ve veri için Rapora göz atın.
MEV robotu kötü niyetli olarak kullanılmaktadır
Nisan ayı başlarında MEV robotu, Ethereum'un 16964664 numaralı bloğunda bilgisayar korsanları tarafından istismar edildi. Kötü amaçlı bir doğrulayıcı, birkaç MEV işleminin yerini aldı ve yaklaşık 25,38 milyon dolarlık bir kayıpla sonuçlandı. Olay, bugüne kadar MEV robotlarına yapılan en büyük saldırıydı.
Olay, kötü niyetli doğrulayıcılar tarafından istismar edilen 8 MEV işlemiyle Ethereum bloğu 16964664'te meydana geldi. Bu doğrulayıcı, 15 Mart 2023'te harici adres (EOA) 0x687A9'da kuruldu ve o zamandan beri önden çalışmayı engelleyen bir Flashbot'a sızmayı başardı.
Bununla birlikte, MEV-boost-relay'deki bir güvenlik açığı, kötü niyetli doğrulayıcıların, MEV botlarının kısmi ara kat stratejilerini, özellikle de ters işlemleri engelleyerek, paket işlemleri yeniden yürütmesine olanak tanır. Yukarıdaki güvenlik açığı nedeniyle doğrulayıcı, ayrıntılı işlem bilgilerini gördü. Bu işlem ayrıntılarıyla, kötü niyetli doğrulayıcılar kendi bloklarını oluşturabilir ve ilk MEV bot işleminden önce ön işlemlerini ekleyebilir.
Toplamda, bu kötü niyetli doğrulayıcı, 5 MEV botundan yaklaşık 25 milyon dolar çalmayı başardı ve bu da onu CertiK tarafından MEV botlarına bugüne kadar görülen en büyük kayıplardan biri haline getirdi. Son 12 ayda yalnızca altı MEV botunun istismar edildiği tespit edildi ve bu olay tek başına toplam 27,5 milyon dolarlık kaybın %92'sini oluşturdu.
Kötü niyetli bir doğrulayıcı, MEV-boost-relay güvenlik açığından yararlanır ve geçersiz ancak doğru şekilde imzalanmış bir blok göndererek saldırıyı başlatır. Bir blok içindeki işlemleri gördükten sonra doğrulayıcılar, MEV botlarından varlık talep etmek için bunları yeniden bağlayabilir. Bu güvenlik açığı daha sonra yamalanmıştır.
MEV robotları ve sandviç saldırıları hakkında daha fazla bilgi için lütfen Rapor bölümüne bakın.
Atomik Cüzdan Hacklendi
Bu yılın Haziran ayının başında 5.000'den fazla Atomic Wallet kullanıcısı, 100 milyon dolardan fazla kayıpla sonuçlanan çeyreğin en büyük güvenlik olayıyla karşılaştı. Başlangıçta Atomic Wallet, aylık aktif kullanıcıların %1'inden daha azının olayın kurbanı olduğunu belirtmiş, ancak daha sonra bunu %0,1'in altına değiştirmiştir. Bu büyüklükteki bir saldırı ve büyük kayıplar, cüzdan uygulamalarındaki güvenlik açıklarının ciddiyetinin altını çiziyor.
Saldırganlar, kullanıcıların özel anahtarlarını hedef alarak varlıkları üzerinde tam kontrol elde eder. Anahtarları aldıktan sonra, varlıkları kendi cüzdan adreslerine aktararak kurbanın hesabını boşaltabildiler.
Bireysel yatırımcılar, 7,95 milyon $'a varan yüksek kayıplar da dahil olmak üzere çeşitli boyutlarda zarar bildirdiler. En büyük beş perakende kurbanın kümülatif kayıpları 17 milyon doları buldu.
Kayıpları telafi etmek için Atomic Wallet, çalınan jetonların %90'ı karşılığında çalınan fonların %10'undan vazgeçme sözü vererek saldırganlara alenen bir teklifte bulundu. Ancak Lazarus Group'un geçmişine ve çalınan fonların aklanmaya başlamasına bakılırsa, fonların geri alınma şansı çok zayıf.
Atomic Wallet ve "sahne arkası" hakkında daha fazla analiz için lütfen daha fazla bilgi için Rapor bölümüne bakın.
Sui "Hamster Wheel" yeni istismarı
Daha önce, CertiK ekibi Sui blok zincirinde bir dizi hizmet reddi güvenlik açığı keşfetti. Bu güvenlik açıkları arasında yeni ve etkisi yüksek bir güvenlik açığı öne çıkıyor. Bu güvenlik açığı, Sui ağ düğümlerinin yeni işlemleri işleyememesine neden olabilir ve bu etki, tüm ağın tamamen kapanmasına eşdeğerdir. CertiK, bu büyük güvenlik açığını keşfettiği için Sui'den 500.000 dolarlık bir hata ödülü aldı. ABD endüstrisindeki yetkili bir medya olan CoinDesk olayı bildirdi ve ardından büyük medya da bu haberin ardından ilgili haberleri yayınladı.
Bu güvenlik açığı, canlı bir şekilde "Hamster Wheel" olarak adlandırılır: benzersiz saldırı yöntemi, şu anda bilinen saldırılardan farklıdır. Saldırganın, Sui doğrulama düğümünde sonsuz bir döngüyü tetiklemek için yalnızca yaklaşık 100 baytlık bir yük göndermesi yeterlidir. yeni işlemlere
Ek olarak, saldırının neden olduğu hasar, ağ yeniden başlatıldıktan sonra da devam edebilir ve Sui ağında otomatik olarak yayılabilir, bu da tüm düğümlerin tekerlek üzerinde sonsuz çalışan hamsterler gibi yeni işlemleri işleyemez hale gelmesine neden olur. Bu nedenle, bu benzersiz saldırı türüne "hamster çarkı" saldırısı diyoruz.
CertiK, hatayı keşfettikten sonra, Sui'nin hata ödül programı aracılığıyla bunu Sui'ye bildirdi. Sui ayrıca ilk seferde etkili bir şekilde yanıt verdi, güvenlik açığının ciddiyetini onayladı ve ana ağ başlatılmadan önce sorunu onarmak için aktif olarak ilgili önlemleri aldı. Sui, bu güvenlik açığını düzeltmenin yanı sıra, bu güvenlik açığının neden olabileceği olası hasarı azaltmak için önleyici hafifletmeler de uygulamıştır.
CertiK ekibine sorumlu açıklamalarından dolayı teşekkür etmek için Sui, CertiK ekibine 500.000 $ ödül verdi.
Ayrıntılar için lütfen "Sui'nin en son güvenlik açığı "Hamster Wheel", teknik ayrıntılar ve derinlemesine analiz"i tıklayın.
MPC cüzdanına dayalı sunucu düzeyinde güvenlik açığı
Çok taraflı hesaplama (MPC), birden çok katılımcının girdilerinin bir işlevi üzerinde hesaplamalar yapmasına izin verirken bu girdilerin gizliliğini koruyan bir kriptografik yöntemdir. Amacı, bu girdilerin herhangi bir üçüncü tarafla paylaşılmamasını sağlamaktır. Teknoloji, gizliliği koruyan veri madenciliği, güvenli açık artırmalar, finansal hizmetler, güvenli çok taraflı makine öğrenimi ve güvenli şifre ve gizli paylaşım dahil olmak üzere çeşitli uygulamalara sahiptir.
CertiK'in Skyfall ekibi, şu anda popüler olan çok partili bilgi işlem (MPC) cüzdanı ZenGo'nun "cihaz çatallama saldırısı" olarak adlandırılan önleyici güvenlik analizi sırasında cüzdanın güvenlik mimarisinde ciddi bir güvenlik açığı buldu. Saldırganlar, ZenGo'nun mevcut güvenlik önlemlerini atlamak için kullanabilir ve bu da onlara kullanıcıların fonlarını kontrol etme fırsatı verir. Saldırının özü, ZenGo sunucularını kandırarak gerçek bir kullanıcının cihazı gibi davranan yeni bir cihaz anahtarı oluşturmak için API'deki bir güvenlik açığından yararlanmaktır.
Skyfall ekibi, sorumlu açıklama ilkelerine uygun olarak bu güvenlik açığını derhal ZenGo'ya bildirdi. Sorunun ciddiyetini anlayan ZenGo'nun güvenlik ekibi sorunu çözmek için hemen harekete geçti. Bir saldırı olasılığını önlemek için, güvenlik açığı sunucunun API düzeyinde giderilmiştir, bu nedenle istemci kodunda herhangi bir güncelleme yapılmasına gerek yoktur.
ZenGo, hata düzeltmesi tamamlandıktan sonra bulguları açıkça kabul etti ve MPC tabanlı cüzdanının güvenliğini ve güvenilirliğini güçlendirmedeki önemli rolü için CertiK'e teşekkür etti.
"Çok taraflı bilgi işlemin büyük umutları var ve Web3.0 alanında birçok önemli uygulamaya sahip. MPC teknolojisi tek hata noktası riskini azaltsa da, MPC çözümlerinin uygulanması kripto para cüzdanlarının tasarımına yeni karmaşıklıklar getirecek. Bu karmaşıklık, kapsamlı bir denetim ve izleme yaklaşımının gerekli olduğunu gösteren yeni güvenlik risklerine yol açabilir." - Profesör Kang Li, Güvenlikten Sorumlu Başkan, CertiK
Raporun tamamı için tıklayın