З безперервним поглибленням процесу цифровізації технологія блокчейн стала важливою рушійною силою в багатьох сферах. Вона не тільки вносить руйнівні зміни в традиційні галузі, такі як фінанси, медичне обслуговування та логістика, але також забезпечує більшу відкритість для учасників і прозорість. досвід. Однак із широким застосуванням технології блокчейн пов’язані з нею проблеми безпеки стають дедалі серйознішими. Останніми роками інциденти з безпекою блокчейну трапляються часто, що не тільки завдає величезних збитків окремим особам і підприємствам, але й створює проблеми для розвитку технології блокчейн.
У цьому звіті відсортовано та проаналізовано інциденти безпеки блокчейну в першій половині 2023 року, щоб дослідити приховані загрози безпеки блокчейну, проаналізувати причини інцидентів безпеки блокчейну та запропонувати відповідні рішення та пропозиції. За допомогою цього звіту ми сподіваємося привернути увагу всіх сторін до проблем безпеки блокчейну, спільно сприяти безпечному розвитку технології блокчейну та закласти міцну основу для майбутнього цифрового світу.
Огляд економічних втрат інцидентів безпеки
У першій половині 2023 року відбулося загалом 192 великі атаки із загальними збитками приблизно 920 мільйонів доларів США.
Всього 4 інциденти безпеки зі збитками понад 100 мільйонів доларів США:
Атака швидкої позики Euler Finance втратила 197 мільйонів доларів
Блокчейн для аферистського проекту зі зморшками на носі собаки завдав 127 мільйонів доларів збитків
BonqDAO & AllianceBlock маніпулювали цінами та завдали збитків на 120 мільйонів доларів США
Atomic Wallet вкрали та втратили 100 мільйонів доларів
12 інцидентів, у яких сума збитку становила від 10 до 100 мільйонів доларів США
Було 40 інцидентів зі збитками від 1 до 10 мільйонів доларів США.
Огляд методів атаки
Відповідно до аналізу методів атак, які використовуються в інцидентах безпеки, найчастішими методами атак є Rug Pull і Contract Vulnerabilities, обидва з 32 атаками. Далі пішли атаки на флеш-кредити, які відбулися 20 разів, що склало 14,93% усіх інцидентів.
Серед методів атак із найбільшою кількістю випадків найбільше втрат було за допомогою швидкої позики, яка призвела до загальних збитків у 250 мільйонів доларів США. За ним послідувала афера з блокчейном, яка сталася лише сім разів і завдала збитків на 230 мільйонів доларів.
Незважаючи на те, що загальна кількість уразливостей контракту та Rug Pull є відносно великою, становлячи 47,76% усіх методів атак, збитки, спричинені ними, набагато менші, ніж перші два, лише збитки у 66,49 мільйонів доларів США. Велика кількість цих атак і величезні збитки ще раз підкреслюють ризики на ринку криптовалют. Хоча технологія блокчейн має великий потенціал і перспективи застосування, вона все ще стикається з ризиками безпеки та технічними проблемами.
Інциденти Rug Pull трапляються часто, з яких 75% суми невиконаного проекту становить менше 10 мільйонів доларів США, а 28% суми невиконаного проекту становить менше 1 мільйона доларів США. Зазвичай у таких проектах немає офіційного сайту, Twitter, Telegram, Github та іншої інформації, немає Roadmap чи white paper, а інформація членів команди викликає підозру.Період від запуску проекту до фінального запуску не перевищує трьох місяців.
Втрати, спричинені такими інцидентами безпеки, не можна ігнорувати. Необхідно посилити дослідження фону проекту, підвищити обізнаність щодо запобігання незнайомій інформації та покращити здатність запобігання шляхом раннього запобігання, щоб уникнути втрат.
Огляд типів атакованих подій безпеки
1 Ланцюгова аплікація
Програма On-chain, також відома як децентралізована програма (DApp), — це програма, побудована на основі технології блокчейну або розподіленої книги. Використовуйте можливості та функції блокчейну для зберігання даних, обробки транзакцій і виконання смарт-контрактів.
У першій половині 2023 року загалом 157 інцидентів безпеки сталося в мережевих додатках, що становить 81% від загальної кількості інцидентів. Загальна сума збитків онлайн-додатків досягла 740 мільйонів доларів США, що становить 79% від загальної суми збитків. Он-чейн-додатки були типом із найвищою частотою атак і найбільшою кількістю втрат за останні шість місяців.
Частота інцидентів безпеки додатків у ланцюжку за шість місяців першого півріччя була майже однаковою. Трьома головними причинами інцидентів безпеки були Rug Pull, лазівки в контракті та злом Twitter.
пропозиція:
Сторона проекту повністю враховує безпеку проекту під час розробки та створення проекту. Під час впровадження функції вона також розглядає, чи буде функція перевірки обійдена та чи є дефекти, а також повністю проводить аудит безпеки перед виходом проекту в Інтернет .
Перш ніж користувачі інвестують у програму в ланцюжку, вони повинні досліджувати якомога більше, приймати обережні рішення та інвестувати обережно.
2 Обмін
Біржа (Exchange) означає платформу або установу, яка надає послуги з торгівлі цифровими активами. Це дозволяє користувачам обмінювати один цифровий актив (наприклад, біткойн, ефіріум тощо) на інший або купувати чи продавати цифрові активи за фіатні валюти (наприклад, долар США, євро тощо).
У першому півріччі 2023 року біржі посіли друге місце за кількістю інцидентів безпеки У першому півріччі було 11 інцидентів безпеки на біржах, що призвело до загальних збитків у 73,18 мільйона доларів США. Основна причина атаки – лазівка в контракті.
Інциденти безпеки, пов’язані з обмінами, відбуваються щомісяця. І сума втрачених грошей через інциденти безпеки не мала.
пропозиція:
*Користувачі остерігаються фішингу та зловмисних посилань: уникайте натискання ненадійних посилань, особливо тих, які отримані електронною поштою чи в соціальних мережах.
Регулярно перевіряйте діяльність рахунку; не зберігайте всі кошти централізовано; оновлюйте та захищайте обладнання; виберіть надійну охоронну компанію для раннього аудиту.
3 Public Chain/Side Chain
Загальнодоступний блокчейн, який називається публічним ланцюгом, відноситься до консенсусного блокчейну, до якого будь-хто у світі може отримати доступ і прочитати його в будь-який час, і будь-хто може надсилати транзакції та отримувати ефективне підтвердження. Сайдчейн — це блокчейн, паралельний основному ланцюгу, який можна розуміти як протокол розширення блокчейну. Для задоволення конкретних бізнес-потреб, таких як міжланцюговий обмін активами, розширення приватного ланцюга та галузеві блокчейн-рішення.
У першій половині 2023 року публічний ланцюг/сайдчейн був третім за величиною типом інцидентів безпеки. Основною причиною атаки є вразливість смарт-контракту.
пропозиція:
Виберіть надійний механізм консенсусу.
Використовуйте безпечні алгоритми шифрування для створення та зберігання ключів, а також використовуйте технологію мультипідпису для підвищення безпеки транзакцій.
Проводьте регулярні аудити безпеки, включаючи перевірку коду, тестування безпеки та сканування вразливостей, щоб виявити потенційні прогалини та слабкі місця в безпеці.
4 Поперечно-ланцюговий міст
Cross-Chain Bridge — це технічне рішення, яке дозволяє передавати цифрові активи між різними блокчейн-мережами. Міст між ланцюгами зазвичай блокує або записує токени в смарт-контракті в початковому ланцюжку, а також розблоковує або карбує токени через інший смарт-контракт у цільовому ланцюжку. Комунікація між мережами по суті вимагає компромісу в трьох вимірах: безпека, довіра та гнучкість. Через наявність цих складних факторів перехресні ланцюгові мости стали головним об’єктом атак у сфері Web3.
У першій половині 2023 року відбулося 8 інцидентів із безпекою міжланцюгових мостів із збитками 11,37 млн доларів США.
У 2022 році 12 інцидентів безпеки міжланцюгових мостів спричинили збитки на загальну суму близько 1,89 мільярда доларів США, посівши перше місце серед усіх типів проектів за збитками. Порівняно з минулим роком, у першій половині цього року було 7 інцидентів безпеки в крос-ланцюжковому мосту. Окрім останніх інцидентів безпеки Poly Network і Multichain, було 10 інцидентів безпеки. інцидентів більше, ніж минулого року більш серйозні події. Основними причинами атак є вразливість смарт-контрактів, флеш-кредити тощо.
пропозиція:
Сторона проекту ставить безпеку на перше місце при розробці протоколу міжланцюжкової передачі повідомлень.
5 гаманців
Блокчейн-гаманець є важливою частиною блокчейну, інструменту зберігання та керування цифровою валютою, який дозволяє користувачам безпечно зберігати, отримувати та надсилати різні криптовалюти, такі як біткойн, ефіріум та інші токени. Безпека гаманця завжди була гарячою темою в індустрії блокчейнів. Після атаки на гаманець зловмисник може легко викрасти конфіденційну інформацію, таку як особистий ключ користувача та мнемоніку, а потім оволодіти цифровими активами користувача. Вартість цих цифрових активів може бути дуже високою, і якщо їх викрадуть, втрати будуть дуже значними. Тому, щоб максимізувати безпеку цифрових активів користувачів, ми рекомендуємо користувачам вжити певних заходів безпеки.
У першій половині 2023 року кількість інцидентів безпеки, під час яких піддавалися атакам на гаманці, була відносно невеликою порівняно з іншими типами, але під час атак на гаманці втрати були відносно великими. Такі атаки, як інциденти з гаманцями Atomic і MyAlgo, завдали збитків на суму до 109 мільйонів доларів США.
Третім типом за кількістю інцидентів є гаманець, і більшість інцидентів безпеки в цій категорії пов’язані з витоком приватних ключів і мнемосхем.
пропозиція:
Виберіть надійного постачальника гаманця: виберіть постачальника гаманця з хорошою репутацією та солідною історією. Переконайтеся, що ви розумієте їхні методи безпеки, як захистити конфіденційну інформацію, як-от дані користувача та закриті ключі.
Використовуйте двофакторну автентифікацію: увімкніть двофакторну автентифікацію, щоб підвищити безпеку свого облікового запису. Для цього методу під час входу потрібно ввести іншу форму автентифікації, окрім імені користувача та пароля, наприклад код підтвердження або розпізнавання відбитків пальців.
НЕ ДІЛІТЬСЯ СВОЇМ ПРИВАТНИМ КЛЮЧЕМ: закритий ключ є доказом власності на вашу криптовалюту. Нікому не діліться своїми особистими ключами, включаючи постачальників гаманців. Якщо хтось просить у вас ваш закритий ключ, швидше за все, це шахрайство.
Регулярно створюйте резервні копії свого гаманця: регулярне резервне копіювання вашого гаманця гарантує, що ви зможете відновити свої криптовалюти, якщо ваш гаманець буде втрачено або атакувано. Ви можете зберігати свої резервні копії в безпечному місці, наприклад на офлайн-пристрої чи апаратному гаманці.
Будьте обережні з невідомими електронними листами чи повідомленнями: не відкривайте та не завантажуйте електронні листи чи повідомлення з невідомих джерел. Вони можуть містити зловмисне програмне забезпечення або посилання, які можуть призвести до зламу вашого гаманця.
Переконайтеся, що ваш комп’ютер і мобільні пристрої в безпеці. Переконайтеся, що на вашому комп’ютері та мобільних пристроях встановлено найновіші антивірусні програми та оновлення безпеки, щоб захистити ваші пристрої від атак.
Не використовуйте невідомі мережі Wi-Fi у громадських місцях, оскільки ці мережі можуть бути небезпечними та використовуватися хакерами для атаки на ваш гаманець.
Переконайтеся, що програмне забезпечення вашого гаманця оновлено: переконайтеся, що програмне забезпечення вашого гаманця оновлено. Нові випуски часто містять оновлення безпеки та виправлення, які можуть допомогти вам захистити ваш гаманець від атак.
Будьте в курсі найновішої інформації про безпеку гаманця: отримуйте останню інформацію та події щодо безпеки гаманця, щоб допомогти вам бути в курсі безпеки гаманця та вживати відповідних запобіжних заходів.
Аналіз і підсумок інцидентів безпеки блокчейну в першій половині 2023 року
Завдяки сортуванню інцидентів безпеки блокчейну в першій половині 2023 року було виявлено, що програма в ланцюжку була типом проекту з найвищою частотою атак і найбільшою сумою втрат за півроку. Загалом 157 інцидентів безпеки сталося у сфері додатків у мережі, 32 з яких були атаками, заснованими на вразливості контракту.
З огляду на часті інциденти безпеки, розробники повинні і надалі дотримуватися кодування безпеки, перевіряти коди контрактів і використовувати зрілі бібліотеки безпеки для захисту прав користувачів; а користувачі, які використовують смарт-контракти, також повинні ретельно вибирати контракти та ретельно перевіряти свої контракти перед використанням. код і безпека, вибрати професійну охоронну компанію для проведення аудиту. Коли відбувається інцидент із безпекою, користувачі можуть зробити дуже мало. Лише постійно покращуючи власну обізнаність про безпеку, завчасно виявляючи вразливості, вирішуючи вразливості та вживаючи запобіжних заходів, вони можуть максимально уникнути атак.
Інформація, надана в цьому звіті, призначена лише для довідки та дослідження. Інформація походить із загальнодоступних джерел. Автор докладав усіх зусиль, щоб перевірити точність і повноту, але не може гарантувати її точність і повноту, а також не несе жодної відповідальності за використання або покладаючись на інформацію відповідальність за втрату або пошкодження. Цей звіт не слід вважати рекомендацією чи рекомендацією щодо будь-якого конкретного блокчейн-проекту чи інвестицій у криптовалюту, і читачі повинні проводити власні дослідження та приймати рішення. Зміст цього звіту не замінює судження та прийняття рішень читачем, а також не може гарантувати стійкість або реалізацію описаної ситуації.
Переглянути оригінал
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
Bit Jungle: Звіт про аналіз безпеки блокчейну за перше півріччя 2023 року
Передмова
З безперервним поглибленням процесу цифровізації технологія блокчейн стала важливою рушійною силою в багатьох сферах. Вона не тільки вносить руйнівні зміни в традиційні галузі, такі як фінанси, медичне обслуговування та логістика, але також забезпечує більшу відкритість для учасників і прозорість. досвід. Однак із широким застосуванням технології блокчейн пов’язані з нею проблеми безпеки стають дедалі серйознішими. Останніми роками інциденти з безпекою блокчейну трапляються часто, що не тільки завдає величезних збитків окремим особам і підприємствам, але й створює проблеми для розвитку технології блокчейн.
У цьому звіті відсортовано та проаналізовано інциденти безпеки блокчейну в першій половині 2023 року, щоб дослідити приховані загрози безпеки блокчейну, проаналізувати причини інцидентів безпеки блокчейну та запропонувати відповідні рішення та пропозиції. За допомогою цього звіту ми сподіваємося привернути увагу всіх сторін до проблем безпеки блокчейну, спільно сприяти безпечному розвитку технології блокчейну та закласти міцну основу для майбутнього цифрового світу.
Огляд економічних втрат інцидентів безпеки
У першій половині 2023 року відбулося загалом 192 великі атаки із загальними збитками приблизно 920 мільйонів доларів США.
Атака швидкої позики Euler Finance втратила 197 мільйонів доларів
Блокчейн для аферистського проекту зі зморшками на носі собаки завдав 127 мільйонів доларів збитків
BonqDAO & AllianceBlock маніпулювали цінами та завдали збитків на 120 мільйонів доларів США
Atomic Wallet вкрали та втратили 100 мільйонів доларів
Огляд методів атаки
Відповідно до аналізу методів атак, які використовуються в інцидентах безпеки, найчастішими методами атак є Rug Pull і Contract Vulnerabilities, обидва з 32 атаками. Далі пішли атаки на флеш-кредити, які відбулися 20 разів, що склало 14,93% усіх інцидентів.
Серед методів атак із найбільшою кількістю випадків найбільше втрат було за допомогою швидкої позики, яка призвела до загальних збитків у 250 мільйонів доларів США. За ним послідувала афера з блокчейном, яка сталася лише сім разів і завдала збитків на 230 мільйонів доларів.
Незважаючи на те, що загальна кількість уразливостей контракту та Rug Pull є відносно великою, становлячи 47,76% усіх методів атак, збитки, спричинені ними, набагато менші, ніж перші два, лише збитки у 66,49 мільйонів доларів США. Велика кількість цих атак і величезні збитки ще раз підкреслюють ризики на ринку криптовалют. Хоча технологія блокчейн має великий потенціал і перспективи застосування, вона все ще стикається з ризиками безпеки та технічними проблемами.
Інциденти Rug Pull трапляються часто, з яких 75% суми невиконаного проекту становить менше 10 мільйонів доларів США, а 28% суми невиконаного проекту становить менше 1 мільйона доларів США. Зазвичай у таких проектах немає офіційного сайту, Twitter, Telegram, Github та іншої інформації, немає Roadmap чи white paper, а інформація членів команди викликає підозру.Період від запуску проекту до фінального запуску не перевищує трьох місяців.
Втрати, спричинені такими інцидентами безпеки, не можна ігнорувати. Необхідно посилити дослідження фону проекту, підвищити обізнаність щодо запобігання незнайомій інформації та покращити здатність запобігання шляхом раннього запобігання, щоб уникнути втрат.
Огляд типів атакованих подій безпеки
1 Ланцюгова аплікація
Програма On-chain, також відома як децентралізована програма (DApp), — це програма, побудована на основі технології блокчейну або розподіленої книги. Використовуйте можливості та функції блокчейну для зберігання даних, обробки транзакцій і виконання смарт-контрактів.
пропозиція:
2 Обмін
Біржа (Exchange) означає платформу або установу, яка надає послуги з торгівлі цифровими активами. Це дозволяє користувачам обмінювати один цифровий актив (наприклад, біткойн, ефіріум тощо) на інший або купувати чи продавати цифрові активи за фіатні валюти (наприклад, долар США, євро тощо).
пропозиція:
*Користувачі остерігаються фішингу та зловмисних посилань: уникайте натискання ненадійних посилань, особливо тих, які отримані електронною поштою чи в соціальних мережах.
3 Public Chain/Side Chain
Загальнодоступний блокчейн, який називається публічним ланцюгом, відноситься до консенсусного блокчейну, до якого будь-хто у світі може отримати доступ і прочитати його в будь-який час, і будь-хто може надсилати транзакції та отримувати ефективне підтвердження. Сайдчейн — це блокчейн, паралельний основному ланцюгу, який можна розуміти як протокол розширення блокчейну. Для задоволення конкретних бізнес-потреб, таких як міжланцюговий обмін активами, розширення приватного ланцюга та галузеві блокчейн-рішення.
пропозиція:
4 Поперечно-ланцюговий міст
Cross-Chain Bridge — це технічне рішення, яке дозволяє передавати цифрові активи між різними блокчейн-мережами. Міст між ланцюгами зазвичай блокує або записує токени в смарт-контракті в початковому ланцюжку, а також розблоковує або карбує токени через інший смарт-контракт у цільовому ланцюжку. Комунікація між мережами по суті вимагає компромісу в трьох вимірах: безпека, довіра та гнучкість. Через наявність цих складних факторів перехресні ланцюгові мости стали головним об’єктом атак у сфері Web3.
пропозиція:
5 гаманців
Блокчейн-гаманець є важливою частиною блокчейну, інструменту зберігання та керування цифровою валютою, який дозволяє користувачам безпечно зберігати, отримувати та надсилати різні криптовалюти, такі як біткойн, ефіріум та інші токени. Безпека гаманця завжди була гарячою темою в індустрії блокчейнів. Після атаки на гаманець зловмисник може легко викрасти конфіденційну інформацію, таку як особистий ключ користувача та мнемоніку, а потім оволодіти цифровими активами користувача. Вартість цих цифрових активів може бути дуже високою, і якщо їх викрадуть, втрати будуть дуже значними. Тому, щоб максимізувати безпеку цифрових активів користувачів, ми рекомендуємо користувачам вжити певних заходів безпеки.
пропозиція:
Аналіз і підсумок інцидентів безпеки блокчейну в першій половині 2023 року
Завдяки сортуванню інцидентів безпеки блокчейну в першій половині 2023 року було виявлено, що програма в ланцюжку була типом проекту з найвищою частотою атак і найбільшою сумою втрат за півроку. Загалом 157 інцидентів безпеки сталося у сфері додатків у мережі, 32 з яких були атаками, заснованими на вразливості контракту.
З огляду на часті інциденти безпеки, розробники повинні і надалі дотримуватися кодування безпеки, перевіряти коди контрактів і використовувати зрілі бібліотеки безпеки для захисту прав користувачів; а користувачі, які використовують смарт-контракти, також повинні ретельно вибирати контракти та ретельно перевіряти свої контракти перед використанням. код і безпека, вибрати професійну охоронну компанію для проведення аудиту. Коли відбувається інцидент із безпекою, користувачі можуть зробити дуже мало. Лише постійно покращуючи власну обізнаність про безпеку, завчасно виявляючи вразливості, вирішуючи вразливості та вживаючи запобіжних заходів, вони можуть максимально уникнути атак.
Інформація, надана в цьому звіті, призначена лише для довідки та дослідження. Інформація походить із загальнодоступних джерел. Автор докладав усіх зусиль, щоб перевірити точність і повноту, але не може гарантувати її точність і повноту, а також не несе жодної відповідальності за використання або покладаючись на інформацію відповідальність за втрату або пошкодження. Цей звіт не слід вважати рекомендацією чи рекомендацією щодо будь-якого конкретного блокчейн-проекту чи інвестицій у криптовалюту, і читачі повинні проводити власні дослідження та приймати рішення. Зміст цього звіту не замінює судження та прийняття рішень читачем, а також не може гарантувати стійкість або реалізацію описаної ситуації.