Pada kuartal ketiga tahun 2023, pasar kripto secara keseluruhan tetap lancar. Namun, frekuensi kecelakaan keselamatan di ekologi melebihi dua kuartal sebelumnya. Selama kuartal tersebut, sekitar $ 572 juta aset crypto menderita kerugian dari berbagai insiden keamanan.
Fairyproof mempelajari 198 kasus tipikal yang dilaporkan secara publik pada kuartal ketiga, dan menganalisis kasus-kasus tersebut, dan mengeksplorasi karakteristik ekosistem keamanan yang tercermin dalam insiden ini dan langkah-langkah pencegahan yang relevan yang dapat diambil pengguna.
Latar BelakangPendahuluanSebelum menyajikan hasil laporan penelitian Fairyproof secara rinci, perlu dijelaskan dan dijelaskan istilah-istilah yang relevan dalam laporan ini.
CCBS
CCBS adalah singkatan dari "Aset Kripto Terpusat atau Otoritas Layanan Blockchain." Biasanya mengacu pada platform layanan non-on-chain yang dikelola oleh operasi manusia, dan teknologi intinya terutama bergantung pada teknologi terpusat tradisional, dan aktivitas operasi dan pemeliharaan hariannya sebagian besar adalah aktivitas off-chain. Pertukaran aset kripto tradisional (seperti Binance) dan platform penerimaan penerbitan aset kripto (seperti Tether) adalah tipikal dari ini.
FLASHLOAN
Pinjaman kilat adalah cara umum dan populer bagi peretas untuk menyerang kontrak pintar di platform Mesin Virtual Ethereum. Flash Loan adalah aplikasi DeFi AAVE yang terkenal[1] [2]Metode pemanggilan kontrak ditemukan oleh tim. Panggilan kontrak ini memungkinkan pengguna untuk meminjamkan aset kripto langsung dari aplikasi DeFi yang mendukung fitur ini tanpa jaminan apa pun, selama pengguna mengembalikan aset dalam transaksi blok untuk membuat transaksi valid [3]。 Awalnya, fungsi ini diciptakan untuk memberi pengguna DeFi cara yang lebih fleksibel dan nyaman untuk melakukan berbagai aktivitas keuangan on-chain. Namun kemudian, skenario yang paling banyak digunakan untuk pinjaman flash karena fleksibilitasnya menjadi peretas yang meminjamkan ERC-20 Token tersebut kemudian digunakan untuk menyerang. Sebelum memulai pinjaman kilat, pengguna perlu menjelaskan dengan jelas logika pinjaman (aset) dan pengembalian (aset, bunga, dan biaya penanganan terkait) dalam kontrak, dan kemudian memanggil kontrak untuk memulai pinjaman kilat.
JEMBATAN LINTAS RANTAI**
Jembatan lintas rantai adalah infrastruktur yang menghubungkan beberapa blockchain independen, memungkinkan token yang digunakan pada blockchain yang berbeda untuk beredar di antara setiap blockchain.
Karena semakin banyak blockchain memiliki ekosistem, aplikasi, dan aset kripto mereka sendiri, permintaan untuk komunikasi dan transaksi lintas blockchain telah tumbuh secara signifikan. Hal ini juga membuat jembatan lintas rantai menjadi target panas di mata peretas.
Sorotan laporan
Fairyproof mempelajari secara rinci 198 insiden keamanan khas yang terjadi pada kuartal ketiga tahun 2023, dan dalam laporan ini, secara statistik menganalisis berbagai faktor seperti jumlah kerusakan yang disebabkan oleh insiden ini, penyebabnya, dan memberikan rekomendasi dan tindakan pencegahan yang sesuai.
Statistik dan Analisis Insiden Keamanan di Q3 2023
Tim peneliti Fairyproof mempelajari secara rinci 198 insiden keamanan yang menonjol pada kuartal ketiga tahun 2023, membuat daftar hasil statistik dan menganalisisnya dalam hal target serangan dan akar penyebab serangan.
Total kerugian aset kripto dari 198 insiden keamanan ini berjumlah $572 juta, dan Tradingview menunjukkan nilai total aset kripto arus utama sebesar $1.056 miliar. Rasio aset kerugian terhadap total kapitalisasi pasar adalah 0,05%.
Insiden keamanan berdasarkan korban
Insiden keamanan yang dipelajari oleh Fairyproof dapat dibagi menjadi empat kategori berikut menurut korbannya:
Layanan Aset Kripto Terpusat atau Blockchain (CCBS, CCBS selanjutnya disebut sebagai konsep ini)
Blockchain
Aplikasi Terdesentralisasi (dApps)
Jembatan lintas rantai
Untuk tujuan laporan ini, insiden keamanan CCBS adalah ketika sistem CCBS diserang atau disusupi. Selama insiden ini, aset dalam tahanan CCBS dicuri atau layanan operasional terganggu. Insiden keamanan blockchain adalah ketika mainnet blockchain, sidechain, atau sistem ekstensi lapisan kedua yang melekat pada mainnet blockchain diserang atau dikompromikan. Biasanya dalam peristiwa ini, peretas menyerang dari dalam sistem, di luar sistem, atau keduanya, yang mengakibatkan malfungsi perangkat lunak atau perangkat keras dan hilangnya aset.
Insiden keamanan dApp adalah ketika dApp diserang dan tidak berfungsi dengan baik, memberi peretas kesempatan untuk mencuri aset kriptografi yang dikelola di dApp.
Peristiwa keamanan jembatan lintas rantai mengacu pada serangan terhadap jembatan lintas rantai, menyebabkannya gagal berfungsi dengan baik atau bahkan menyebabkan pencurian aset kripto yang ditransaksikannya.
Fairyproof membagi total 198 insiden ke dalam empat kategori yang dijelaskan di atas, dengan grafik distribusi proporsional sebagai berikut:
Seperti dapat dilihat dari gambar, jumlah insiden keamanan dApp menyumbang 86,87% dari total, lebih banyak daripada kategori lainnya. Di antara mereka, 198 adalah acara keamanan dApp, 4 adalah acara keamanan CCBS, 14 adalah acara keamanan blockchain, 4 adalah acara keamanan jembatan lintas rantai, dan 172 adalah acara keamanan dApp.
Acara keamanan Blockchain
Insiden keamanan yang melibatkan blockchain dapat dibagi lagi menjadi tiga kategori berikut:
Jaringan utama Blockchain ii Rantai samping
Solusi lapisan 2
Juga dikenal sebagai Layer 1, mainnet blockchain adalah blockchain independen dengan jaringan, protokol, konsensus, dan validatornya sendiri. Jaringan utama blockchain dapat memverifikasi transaksi, data, dan blok, semua dilakukan oleh validatornya sendiri dan pada akhirnya konsisten. Bitcoin dan Ethereum adalah mainnet blockchain yang khas.
Sidechain adalah blockchain terpisah yang beroperasi secara paralel dengan mainnet blockchain. Ini juga memiliki konsensus dan validator sendiri, tetapi akan berlabuh dalam beberapa cara (seperti penahan dua arah[4] [5]Sistem penskalaan lapisan kedua adalah sistem yang bergantung pada mainnet blockchain, yang membutuhkan mainnet blockchain untuk memberikan keamanan dan konsistensi akhirnya 。 Ini terutama untuk memecahkan skalabilitas mainnet blockchain, yang dapat memproses transaksi dengan biaya lebih rendah dan harga lebih rendah. Sejak tahun 2021, sistem penskalaan Layer 2 yang melekat pada Ethereum telah berkembang pesat.
Baik sidechains dan sistem penskalaan lapisan 2 dirancang untuk mengatasi skalabilitas mainnet blockchain. Perbedaan utama antara keduanya adalah bahwa sidechains tidak bergantung pada mainnet blockchain untuk memberikan keamanan dan konsistensi, tetapi sistem penskalaan lapisan 2 melakukannya.
Secara total, ada 14 insiden keamanan terkait blockchain pada kuartal ketiga tahun 2023. Gambar di bawah ini menunjukkan proporsi mainnet blockchain, sidechain, dan sistem penskalaan lapisan 2.
Seperti dapat dilihat dari gambar di atas, jumlah insiden keamanan yang terkait dengan mainnet blockchain dan peristiwa keamanan yang terkait dengan sistem ekstensi lapisan kedua masing-masing menyumbang 92,86% (13 kasus) dan 7,14% dari total
。 Tidak ada peristiwa keamanan sidechain yang khas. Lapisan kedua dari peristiwa keamanan sistem yang diperluas melibatkan sistem yang Metis[6] [7], mainnet yang terlibat dalam insiden keamanan mainnet blockchain adalah Mixin 、
Jaringan Quai[8] [9]、Swisstronik [10]、Blockchain SwapDex [11]Cocok Tunggu.
Acara keamanan DAPP
Dari 172 insiden keamanan yang melibatkan dApps, 16 adalah pelarian, 1 terlibat, dan 155 diserang langsung. Serangan langsung terhadap dApps biasanya melibatkan tiga area:
Kontrak front-end, back-end, dan smart dari Dapp. Oleh karena itu, kami membagi 155 insiden yang diserang langsung ke dalam tiga kategori berikut: i. dApp frontend ii. dApp Backend iii. Kontrak dApp
Jika terjadi serangan front-end pada dApp, peretas terutama menyerang melalui kerentanan front-end untuk mencuri aset atau melumpuhkan layanan mereka.
Dalam insiden serangan latar belakang dApp, peretas terutama meluncurkan serangan melalui kerentanan latar belakang, seperti membajak komunikasi antara backend dan kontrak, membajak aset, atau melumpuhkan layanan.
Dalam kasus serangan kontrak dApp, peretas terutama meluncurkan serangan melalui kerentanan kontrak, mencuri aset, atau melumpuhkan layanan mereka. Grafik berikut menunjukkan proporsi insiden yang diserang dalam tiga kategori ini:
Seperti yang ditunjukkan pada gambar di atas, proporsi serangan kontrak, backend, dan front-end masing-masing adalah 19,35%, 0%, dan 80,65%. Dari total 155 insiden, 125 adalah serangan front-end.
30 kasus adalah serangan kontrak.
Kami mempelajari lebih lanjut jumlah kerugian aset kripto yang disebabkan oleh berbagai peristiwa. Di antara mereka, kerugian yang disebabkan oleh serangan kontrak dan serangan front-end masing-masing adalah US $ 210 juta dan US $ 39,8 juta, masing-masing menyumbang 84,03% dan 15,97% dari total kerugian, seperti yang ditunjukkan pada gambar berikut:
Di antara banyak kerentanan kontrak, kelemahan logika, kebocoran kunci pribadi, serangan pinjaman kilat, dan serangan reentrancy adalah kerentanan yang khas.
Kami mempelajari 30 insiden keamanan yang melibatkan serangan kontrak langsung dan mendapatkan grafik skala berikut:
Seperti yang ditunjukkan pada gambar di atas, kelemahan logika menyebabkan proporsi tertinggi dari peristiwa keamanan kontrak. Cacat logis sering kali mencakup validasi parameter yang hilang, validasi izin yang hilang, dan sebagainya. Jumlah insiden keamanan yang disebabkan oleh cacat logika adalah 13.
Gambar berikut menunjukkan rasio jumlah kerugian yang disebabkan oleh setiap kerentanan:
Jumlah kerugian yang disebabkan oleh kebocoran kunci privat menyumbang proporsi tertinggi. 4 pelanggaran kunci pribadi mengakibatkan total kerugian $ 173 juta, atau 82,56% dari total kerugian.
Insiden keselamatan berdasarkan penyebab
Berdasarkan penyebab insiden keamanan blockchain, kami membagi kecelakaan menjadi tiga kategori: i. Disebabkan oleh serangan peretas
Seperti yang ditunjukkan pada gambar di atas, proporsi kecelakaan keamanan yang disebabkan oleh serangan hacker dan melarikan diri masing-masing adalah 91,92% (182 kasus) dan 8,08% (16 kasus).
Kami melihat kerugian yang disebabkan oleh penyebab ini, seperti yang ditunjukkan pada grafik di bawah ini:
Seperti yang ditunjukkan pada gambar di atas, kerugian yang disebabkan oleh peretasan dan pelarian masing-masing menyumbang 94,69% dan 5,31%, dengan yang pertama menyebabkan kerugian $ 541 juta dan yang terakhir menyebabkan kerugian $ 30,35 juta. Ini menunjukkan bahwa peretasan tetap menjadi ancaman utama bagi keamanan industri pada Q3 2023.
Kami mempelajari insiden peretasan, seperti yang ditunjukkan pada gambar berikut:
Seperti yang ditunjukkan pada gambar di atas, proporsi serangan hacker pada dApps, blockchain, CCBS dan jembatan lintas rantai adalah 87,64% (156), 7,87% (14), 2,25% (4), dan masing-masing
2.25%(4)。
Kami melihat jumlah kerugian yang disebabkan oleh berbagai jenis peristiwa, seperti yang ditunjukkan pada grafik di bawah ini:
Kerugian aset yang disebabkan oleh serangan peretas pada blockchain, dApps, jembatan lintas rantai dan CCBS masing-masing menyumbang 36,97%, 46,25%, 0,79% dan 15,99%, dan kerugian spesifik masing-masing adalah $ 200 juta, $ 250 juta, $ 86,5 juta dan $ 4,3 juta. Insiden keamanan lainnya tidak mengakibatkan jumlah kerugian yang signifikan.
Acara pelarian
Peristiwa pelarian khas yang terjadi pada kuartal ketiga tahun 2023 adalah proyek dApp. Sebanyak $ 30,35 juta disebabkan oleh 16 insiden run-off. Jumlah kerusakan ini jauh lebih kecil daripada jumlah kerusakan yang disebabkan oleh peretasan.
Temuan Penelitian
Menurut statistik kami, pada kuartal ketiga tahun 2023, target peretas yang paling disukai masih proyek dApp, dan serangan terhadap dApps jauh melebihi objek lainnya, terhitung 87.64% dari total jumlah serangan dan 46.25% dari total kerugian. Dari semua serangan, yang paling serius adalah di Multichain[12] serang.
Untuk seluruh ekosistem blockchain, peretas masih merupakan ancaman keamanan terbesar, baik dalam hal jumlah insiden keamanan yang disebabkan oleh mereka dan hilangnya aset yang ditimbulkannya, dan jumlah insiden keamanan yang disebabkan oleh serangan peretas menyumbang lebih dari 91,92% dari total jumlah insiden keamanan, jauh melebihi ancaman yang disebabkan oleh menjalankan acara ke ekologi.
DApp tipikal terdiri dari tiga bagian: front-end, back-end, dan smart contract. Ketika seorang hacker menyerang dApp, mereka menyerang satu bagian atau beberapa bagian secara bersamaan. Menurut statistik kami, serangan terhadap frontend dApp jauh melebihi jumlah serangan kontrak, tetapi jumlah kerusakan yang disebabkan oleh serangan pada kontrak pintar jauh melebihi jumlah kerusakan pada frontend.
Ini menunjukkan bahwa bahaya tersembunyi kontrak pintar masih merupakan bahaya tersembunyi terbesar dari keamanan dApp.
Peristiwa pelarian khas pada kuartal ketiga tahun 2023 semuanya terjadi pada proyek dApp.
Di antara insiden di mana kontrak pintar telah diretas, jumlah serangan yang disebabkan oleh tiga kategori berikut adalah tiga teratas: pertama: kelemahan logika, dan kedua: pinjaman kilat
Namun, dalam hal jumlah kerugian, jumlah kerugian aset yang disebabkan oleh serangan yang disebabkan oleh kebocoran kunci privat berada di urutan teratas, jauh melebihi kategori lainnya.
Rencana dan langkah-langkah praktis untuk mencegah insiden keselamatan
Pada bagian ini, kami akan merangkum beberapa skenario dan langkah-langkah untuk membantu pengembang dan pengguna blockchain mengelola dan mencegah risiko blockchain berdasarkan karakteristik insiden keamanan yang terjadi pada kuartal ketiga tahun 2023. Kami merekomendasikan agar pengembang dan pengguna blockchain secara aktif menerapkan dan mempraktikkan rencana dan tindakan ini sebanyak mungkin dalam operasi sehari-hari mereka dan bekerja untuk melindungi keamanan proyek dan aset kripto semaksimal mungkin.
Catatan: "Pengembang Blockchain" mengacu pada pengembang proyek blockchain itu sendiri dan pengembang yang terkait dengan sistem blockchain atau sistem ekstensinya (seperti aset kriptografi, dll.). "Pengguna Blockchain" mengacu pada semua pengguna yang berpartisipasi dalam aktivitas sistem blockchain (seperti manajemen, operasi, pemeliharaan, dll.) atau transaksi aset kripto.
** Untuk pengembang blockchain**
Meskipun tidak ada insiden keamanan khas yang melibatkan sistem scale-out Layer 2 pada kuartal ketiga, keamanan sistem scale-out Layer 2 masih patut diperhatikan. Karena pengembangan dan pendaratan skema ekstensi lapis kedua akan terus menjadi hot spot dan fokus dari seluruh ekosistem, penelitian tentang keamanan skema akan menjadi tantangan besar bagi industri.
Dalam aplikasi blockchain, ketika proyek dikerahkan dan berjalan secara stabil untuk jangka waktu tertentu, itu adalah langkah yang diperlukan untuk mentransfer wewenang untuk mengontrol operasi utama dalam proyek ke dompet multisig atau organisasi DAO untuk manajemen.
Ketika peretas menemukan kerentanan dalam kontrak pintar, mereka sering menggunakan pinjaman kilat untuk menyerang kontrak. Kerentanan yang dapat dieksploitasi ini sering kali mencakup kerentanan reentrancy, kelemahan logika (misalnya kurangnya validasi izin, algoritma penetapan harga yang salah), dll. Mencegah dan menangani kerentanan ini secara ketat membutuhkan perhatian tinggi bagi pengembang kontrak pintar, dan bahkan perlu diberi peringkat di bagian atas kepentingan.
Statistik kami juga menunjukkan bahwa semakin banyak peretas meluncurkan serangan phishing melalui perangkat lunak media sosial seperti Discord, Twitter, dll. Fenomena ini terus berlanjut sepanjang tahun 2022 dan memasuki kuartal III-2023. Cukup banyak pengguna yang mengalami kerugian di dalamnya. Tim proyek perlu menerapkan manajemen media sosialnya yang ketat dan komprehensif, menerapkan solusi keamanan yang sesuai untuk memastikan keamanan dan stabilitas operasi media sosialnya, dan mencegahnya dieksploitasi oleh peretas.
Pengguna Blockchain
Semakin banyak pengguna mulai berpartisipasi dalam berbagai kegiatan ekologi blockchain dan memegang berbagai aset ekologi blockchain. Dalam prosesnya, aktivitas transaksi lintas rantai juga berkembang pesat. Ketika pengguna berpartisipasi dalam transaksi lintas rantai, pengguna perlu berinteraksi dengan jembatan lintas rantai, yang sering menjadi sasaran peretas. Oleh karena itu, sebelum pengguna memulai transaksi lintas rantai, mereka perlu menyelidiki dan memahami status keamanan dan status operasi jembatan lintas rantai yang mereka gunakan secara rinci untuk memastikan keamanan, stabilitas, dan keandalan jembatan lintas rantai.
Ketika pengguna berinteraksi dengan dApp, mereka harus memperhatikan kualitas dan keamanan kontrak pintar mereka, serta keamanan frontend dApp. Hati-hati dengan beberapa informasi yang tidak diketahui dan sangat mencurigakan, petunjuk, dialog, dll yang ditampilkan di ujung depan, dan jangan klik atau ikuti instruksi mereka sesuka hati.
Kami sangat menyarankan agar pengguna dengan hati-hati memeriksa dan membaca laporan audit dari setiap proyek blockchain sebelum berinteraksi dengan atau berinvestasi dalam proyek blockchain. Membahas keterlibatan dalam proyek yang tidak memiliki laporan audit atau melaporkan sesuatu yang mencurigakan.
Kami menyarankan agar pengguna mencoba menggunakan dompet dingin atau dompet multisig untuk mengelola aset besar atau aset yang tidak digunakan untuk transaksi yang sering. Selalu berhati-hati tentang keamanan operasional hot wallet dan pastikan bahwa platform perangkat keras tempat hot wallet dipasang secara inheren aman, andal, dan stabil.
Pengguna perlu melakukan beberapa tingkat penyelidikan dan pemahaman tentang latar belakang tim proyek blockchain. Hati-hati dengan tim dengan latar belakang kabur dan kredit hilang. Hati-hati dengan risiko melarikan diri dengan proyek-proyek semacam itu. Untuk pertukaran terpusat yang sering digunakan, pengguna harus lebih memperhatikan latar belakang dan kredit mereka, dan memverifikasi latar belakang, informasi, dan data pertukaran ini dari beberapa sumber data pihak ketiga sebanyak mungkin untuk memastikan operasi pertukaran yang aman dan berkelanjutan jangka panjang.
Sumber daya
[1] Hantu.
[2] Pinjaman kilat.. Pinjaman kilat/
[3] STANDAR TOKEN ERC-20.
[4] Rantai samping.
[5] Lapisan-2.
[6] Metis.
[7] Racun.
[8] Jaringan Quai.
[9] Swisstronik.
[10] Blockchain SwapDex.
[11] Cocok.
[12] Multirantai.
Lihat Asli
Halaman ini mungkin berisi konten pihak ketiga, yang disediakan untuk tujuan informasi saja (bukan pernyataan/jaminan) dan tidak boleh dianggap sebagai dukungan terhadap pandangannya oleh Gate, atau sebagai nasihat keuangan atau profesional. Lihat Penafian untuk detailnya.
Laporan keamanan ekologi Blockchain untuk kuartal ketiga tahun 2023
Ditulis oleh Fairyproof
Pembulatan
Pada kuartal ketiga tahun 2023, pasar kripto secara keseluruhan tetap lancar. Namun, frekuensi kecelakaan keselamatan di ekologi melebihi dua kuartal sebelumnya. Selama kuartal tersebut, sekitar $ 572 juta aset crypto menderita kerugian dari berbagai insiden keamanan.
Fairyproof mempelajari 198 kasus tipikal yang dilaporkan secara publik pada kuartal ketiga, dan menganalisis kasus-kasus tersebut, dan mengeksplorasi karakteristik ekosistem keamanan yang tercermin dalam insiden ini dan langkah-langkah pencegahan yang relevan yang dapat diambil pengguna.
Latar BelakangPendahuluanSebelum menyajikan hasil laporan penelitian Fairyproof secara rinci, perlu dijelaskan dan dijelaskan istilah-istilah yang relevan dalam laporan ini.
CCBS
CCBS adalah singkatan dari "Aset Kripto Terpusat atau Otoritas Layanan Blockchain." Biasanya mengacu pada platform layanan non-on-chain yang dikelola oleh operasi manusia, dan teknologi intinya terutama bergantung pada teknologi terpusat tradisional, dan aktivitas operasi dan pemeliharaan hariannya sebagian besar adalah aktivitas off-chain. Pertukaran aset kripto tradisional (seperti Binance) dan platform penerimaan penerbitan aset kripto (seperti Tether) adalah tipikal dari ini.
FLASHLOAN
Pinjaman kilat adalah cara umum dan populer bagi peretas untuk menyerang kontrak pintar di platform Mesin Virtual Ethereum. Flash Loan adalah aplikasi DeFi AAVE yang terkenal[1] [2]Metode pemanggilan kontrak ditemukan oleh tim. Panggilan kontrak ini memungkinkan pengguna untuk meminjamkan aset kripto langsung dari aplikasi DeFi yang mendukung fitur ini tanpa jaminan apa pun, selama pengguna mengembalikan aset dalam transaksi blok untuk membuat transaksi valid [3]。 Awalnya, fungsi ini diciptakan untuk memberi pengguna DeFi cara yang lebih fleksibel dan nyaman untuk melakukan berbagai aktivitas keuangan on-chain. Namun kemudian, skenario yang paling banyak digunakan untuk pinjaman flash karena fleksibilitasnya menjadi peretas yang meminjamkan ERC-20 Token tersebut kemudian digunakan untuk menyerang. Sebelum memulai pinjaman kilat, pengguna perlu menjelaskan dengan jelas logika pinjaman (aset) dan pengembalian (aset, bunga, dan biaya penanganan terkait) dalam kontrak, dan kemudian memanggil kontrak untuk memulai pinjaman kilat.
JEMBATAN LINTAS RANTAI**
Jembatan lintas rantai adalah infrastruktur yang menghubungkan beberapa blockchain independen, memungkinkan token yang digunakan pada blockchain yang berbeda untuk beredar di antara setiap blockchain.
Karena semakin banyak blockchain memiliki ekosistem, aplikasi, dan aset kripto mereka sendiri, permintaan untuk komunikasi dan transaksi lintas blockchain telah tumbuh secara signifikan. Hal ini juga membuat jembatan lintas rantai menjadi target panas di mata peretas.
Sorotan laporan
Fairyproof mempelajari secara rinci 198 insiden keamanan khas yang terjadi pada kuartal ketiga tahun 2023, dan dalam laporan ini, secara statistik menganalisis berbagai faktor seperti jumlah kerusakan yang disebabkan oleh insiden ini, penyebabnya, dan memberikan rekomendasi dan tindakan pencegahan yang sesuai.
Statistik dan Analisis Insiden Keamanan di Q3 2023
Tim peneliti Fairyproof mempelajari secara rinci 198 insiden keamanan yang menonjol pada kuartal ketiga tahun 2023, membuat daftar hasil statistik dan menganalisisnya dalam hal target serangan dan akar penyebab serangan.
Total kerugian aset kripto dari 198 insiden keamanan ini berjumlah $572 juta, dan Tradingview menunjukkan nilai total aset kripto arus utama sebesar $1.056 miliar. Rasio aset kerugian terhadap total kapitalisasi pasar adalah 0,05%.
Insiden keamanan berdasarkan korban
Insiden keamanan yang dipelajari oleh Fairyproof dapat dibagi menjadi empat kategori berikut menurut korbannya:
Layanan Aset Kripto Terpusat atau Blockchain (CCBS, CCBS selanjutnya disebut sebagai konsep ini)
Blockchain
Aplikasi Terdesentralisasi (dApps)
Jembatan lintas rantai
Untuk tujuan laporan ini, insiden keamanan CCBS adalah ketika sistem CCBS diserang atau disusupi. Selama insiden ini, aset dalam tahanan CCBS dicuri atau layanan operasional terganggu. Insiden keamanan blockchain adalah ketika mainnet blockchain, sidechain, atau sistem ekstensi lapisan kedua yang melekat pada mainnet blockchain diserang atau dikompromikan. Biasanya dalam peristiwa ini, peretas menyerang dari dalam sistem, di luar sistem, atau keduanya, yang mengakibatkan malfungsi perangkat lunak atau perangkat keras dan hilangnya aset.
Insiden keamanan dApp adalah ketika dApp diserang dan tidak berfungsi dengan baik, memberi peretas kesempatan untuk mencuri aset kriptografi yang dikelola di dApp.
Peristiwa keamanan jembatan lintas rantai mengacu pada serangan terhadap jembatan lintas rantai, menyebabkannya gagal berfungsi dengan baik atau bahkan menyebabkan pencurian aset kripto yang ditransaksikannya.
Fairyproof membagi total 198 insiden ke dalam empat kategori yang dijelaskan di atas, dengan grafik distribusi proporsional sebagai berikut:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)
Seperti dapat dilihat dari gambar, jumlah insiden keamanan dApp menyumbang 86,87% dari total, lebih banyak daripada kategori lainnya. Di antara mereka, 198 adalah acara keamanan dApp, 4 adalah acara keamanan CCBS, 14 adalah acara keamanan blockchain, 4 adalah acara keamanan jembatan lintas rantai, dan 172 adalah acara keamanan dApp.
Acara keamanan Blockchain
Insiden keamanan yang melibatkan blockchain dapat dibagi lagi menjadi tiga kategori berikut:
Jaringan utama Blockchain ii Rantai samping
Solusi lapisan 2
Juga dikenal sebagai Layer 1, mainnet blockchain adalah blockchain independen dengan jaringan, protokol, konsensus, dan validatornya sendiri. Jaringan utama blockchain dapat memverifikasi transaksi, data, dan blok, semua dilakukan oleh validatornya sendiri dan pada akhirnya konsisten. Bitcoin dan Ethereum adalah mainnet blockchain yang khas.
Sidechain adalah blockchain terpisah yang beroperasi secara paralel dengan mainnet blockchain. Ini juga memiliki konsensus dan validator sendiri, tetapi akan berlabuh dalam beberapa cara (seperti penahan dua arah[4] [5]Sistem penskalaan lapisan kedua adalah sistem yang bergantung pada mainnet blockchain, yang membutuhkan mainnet blockchain untuk memberikan keamanan dan konsistensi akhirnya 。 Ini terutama untuk memecahkan skalabilitas mainnet blockchain, yang dapat memproses transaksi dengan biaya lebih rendah dan harga lebih rendah. Sejak tahun 2021, sistem penskalaan Layer 2 yang melekat pada Ethereum telah berkembang pesat.
Baik sidechains dan sistem penskalaan lapisan 2 dirancang untuk mengatasi skalabilitas mainnet blockchain. Perbedaan utama antara keduanya adalah bahwa sidechains tidak bergantung pada mainnet blockchain untuk memberikan keamanan dan konsistensi, tetapi sistem penskalaan lapisan 2 melakukannya.
Secara total, ada 14 insiden keamanan terkait blockchain pada kuartal ketiga tahun 2023. Gambar di bawah ini menunjukkan proporsi mainnet blockchain, sidechain, dan sistem penskalaan lapisan 2.
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)
Seperti dapat dilihat dari gambar di atas, jumlah insiden keamanan yang terkait dengan mainnet blockchain dan peristiwa keamanan yang terkait dengan sistem ekstensi lapisan kedua masing-masing menyumbang 92,86% (13 kasus) dan 7,14% dari total
。 Tidak ada peristiwa keamanan sidechain yang khas. Lapisan kedua dari peristiwa keamanan sistem yang diperluas melibatkan sistem yang Metis[6] [7], mainnet yang terlibat dalam insiden keamanan mainnet blockchain adalah Mixin 、
Jaringan Quai[8] [9]、Swisstronik [10]、Blockchain SwapDex [11]Cocok Tunggu.
Acara keamanan DAPP
Dari 172 insiden keamanan yang melibatkan dApps, 16 adalah pelarian, 1 terlibat, dan 155 diserang langsung. Serangan langsung terhadap dApps biasanya melibatkan tiga area:
Kontrak front-end, back-end, dan smart dari Dapp. Oleh karena itu, kami membagi 155 insiden yang diserang langsung ke dalam tiga kategori berikut: i. dApp frontend ii. dApp Backend iii. Kontrak dApp
Jika terjadi serangan front-end pada dApp, peretas terutama menyerang melalui kerentanan front-end untuk mencuri aset atau melumpuhkan layanan mereka.
Dalam insiden serangan latar belakang dApp, peretas terutama meluncurkan serangan melalui kerentanan latar belakang, seperti membajak komunikasi antara backend dan kontrak, membajak aset, atau melumpuhkan layanan.
Dalam kasus serangan kontrak dApp, peretas terutama meluncurkan serangan melalui kerentanan kontrak, mencuri aset, atau melumpuhkan layanan mereka. Grafik berikut menunjukkan proporsi insiden yang diserang dalam tiga kategori ini:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)
Seperti yang ditunjukkan pada gambar di atas, proporsi serangan kontrak, backend, dan front-end masing-masing adalah 19,35%, 0%, dan 80,65%. Dari total 155 insiden, 125 adalah serangan front-end.
30 kasus adalah serangan kontrak.
Kami mempelajari lebih lanjut jumlah kerugian aset kripto yang disebabkan oleh berbagai peristiwa. Di antara mereka, kerugian yang disebabkan oleh serangan kontrak dan serangan front-end masing-masing adalah US $ 210 juta dan US $ 39,8 juta, masing-masing menyumbang 84,03% dan 15,97% dari total kerugian, seperti yang ditunjukkan pada gambar berikut:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)
Di antara banyak kerentanan kontrak, kelemahan logika, kebocoran kunci pribadi, serangan pinjaman kilat, dan serangan reentrancy adalah kerentanan yang khas.
Kami mempelajari 30 insiden keamanan yang melibatkan serangan kontrak langsung dan mendapatkan grafik skala berikut:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)
Seperti yang ditunjukkan pada gambar di atas, kelemahan logika menyebabkan proporsi tertinggi dari peristiwa keamanan kontrak. Cacat logis sering kali mencakup validasi parameter yang hilang, validasi izin yang hilang, dan sebagainya. Jumlah insiden keamanan yang disebabkan oleh cacat logika adalah 13.
Gambar berikut menunjukkan rasio jumlah kerugian yang disebabkan oleh setiap kerentanan:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)
Jumlah kerugian yang disebabkan oleh kebocoran kunci privat menyumbang proporsi tertinggi. 4 pelanggaran kunci pribadi mengakibatkan total kerugian $ 173 juta, atau 82,56% dari total kerugian.
Insiden keselamatan berdasarkan penyebab
Berdasarkan penyebab insiden keamanan blockchain, kami membagi kecelakaan menjadi tiga kategori: i. Disebabkan oleh serangan peretas
ii. Melarikan diri iii. lain
Temuan kami ditunjukkan pada gambar di bawah ini:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)
Seperti yang ditunjukkan pada gambar di atas, proporsi kecelakaan keamanan yang disebabkan oleh serangan hacker dan melarikan diri masing-masing adalah 91,92% (182 kasus) dan 8,08% (16 kasus).
Kami melihat kerugian yang disebabkan oleh penyebab ini, seperti yang ditunjukkan pada grafik di bawah ini:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)
Seperti yang ditunjukkan pada gambar di atas, kerugian yang disebabkan oleh peretasan dan pelarian masing-masing menyumbang 94,69% dan 5,31%, dengan yang pertama menyebabkan kerugian $ 541 juta dan yang terakhir menyebabkan kerugian $ 30,35 juta. Ini menunjukkan bahwa peretasan tetap menjadi ancaman utama bagi keamanan industri pada Q3 2023.
Kami mempelajari insiden peretasan, seperti yang ditunjukkan pada gambar berikut:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)
Seperti yang ditunjukkan pada gambar di atas, proporsi serangan hacker pada dApps, blockchain, CCBS dan jembatan lintas rantai adalah 87,64% (156), 7,87% (14), 2,25% (4), dan masing-masing
2.25%(4)。
Kami melihat jumlah kerugian yang disebabkan oleh berbagai jenis peristiwa, seperti yang ditunjukkan pada grafik di bawah ini:
! [Laporan Keamanan Ekologi Blockchain Q3 2023] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)
Kerugian aset yang disebabkan oleh serangan peretas pada blockchain, dApps, jembatan lintas rantai dan CCBS masing-masing menyumbang 36,97%, 46,25%, 0,79% dan 15,99%, dan kerugian spesifik masing-masing adalah $ 200 juta, $ 250 juta, $ 86,5 juta dan $ 4,3 juta. Insiden keamanan lainnya tidak mengakibatkan jumlah kerugian yang signifikan.
Acara pelarian
Peristiwa pelarian khas yang terjadi pada kuartal ketiga tahun 2023 adalah proyek dApp. Sebanyak $ 30,35 juta disebabkan oleh 16 insiden run-off. Jumlah kerusakan ini jauh lebih kecil daripada jumlah kerusakan yang disebabkan oleh peretasan.
Temuan Penelitian
Menurut statistik kami, pada kuartal ketiga tahun 2023, target peretas yang paling disukai masih proyek dApp, dan serangan terhadap dApps jauh melebihi objek lainnya, terhitung 87.64% dari total jumlah serangan dan 46.25% dari total kerugian. Dari semua serangan, yang paling serius adalah di Multichain[12] serang.
Untuk seluruh ekosistem blockchain, peretas masih merupakan ancaman keamanan terbesar, baik dalam hal jumlah insiden keamanan yang disebabkan oleh mereka dan hilangnya aset yang ditimbulkannya, dan jumlah insiden keamanan yang disebabkan oleh serangan peretas menyumbang lebih dari 91,92% dari total jumlah insiden keamanan, jauh melebihi ancaman yang disebabkan oleh menjalankan acara ke ekologi.
DApp tipikal terdiri dari tiga bagian: front-end, back-end, dan smart contract. Ketika seorang hacker menyerang dApp, mereka menyerang satu bagian atau beberapa bagian secara bersamaan. Menurut statistik kami, serangan terhadap frontend dApp jauh melebihi jumlah serangan kontrak, tetapi jumlah kerusakan yang disebabkan oleh serangan pada kontrak pintar jauh melebihi jumlah kerusakan pada frontend.
Ini menunjukkan bahwa bahaya tersembunyi kontrak pintar masih merupakan bahaya tersembunyi terbesar dari keamanan dApp.
Peristiwa pelarian khas pada kuartal ketiga tahun 2023 semuanya terjadi pada proyek dApp.
Di antara insiden di mana kontrak pintar telah diretas, jumlah serangan yang disebabkan oleh tiga kategori berikut adalah tiga teratas: pertama: kelemahan logika, dan kedua: pinjaman kilat
Namun, dalam hal jumlah kerugian, jumlah kerugian aset yang disebabkan oleh serangan yang disebabkan oleh kebocoran kunci privat berada di urutan teratas, jauh melebihi kategori lainnya.
Rencana dan langkah-langkah praktis untuk mencegah insiden keselamatan
Pada bagian ini, kami akan merangkum beberapa skenario dan langkah-langkah untuk membantu pengembang dan pengguna blockchain mengelola dan mencegah risiko blockchain berdasarkan karakteristik insiden keamanan yang terjadi pada kuartal ketiga tahun 2023. Kami merekomendasikan agar pengembang dan pengguna blockchain secara aktif menerapkan dan mempraktikkan rencana dan tindakan ini sebanyak mungkin dalam operasi sehari-hari mereka dan bekerja untuk melindungi keamanan proyek dan aset kripto semaksimal mungkin.
Catatan: "Pengembang Blockchain" mengacu pada pengembang proyek blockchain itu sendiri dan pengembang yang terkait dengan sistem blockchain atau sistem ekstensinya (seperti aset kriptografi, dll.). "Pengguna Blockchain" mengacu pada semua pengguna yang berpartisipasi dalam aktivitas sistem blockchain (seperti manajemen, operasi, pemeliharaan, dll.) atau transaksi aset kripto.
** Untuk pengembang blockchain**
Meskipun tidak ada insiden keamanan khas yang melibatkan sistem scale-out Layer 2 pada kuartal ketiga, keamanan sistem scale-out Layer 2 masih patut diperhatikan. Karena pengembangan dan pendaratan skema ekstensi lapis kedua akan terus menjadi hot spot dan fokus dari seluruh ekosistem, penelitian tentang keamanan skema akan menjadi tantangan besar bagi industri.
Dalam aplikasi blockchain, ketika proyek dikerahkan dan berjalan secara stabil untuk jangka waktu tertentu, itu adalah langkah yang diperlukan untuk mentransfer wewenang untuk mengontrol operasi utama dalam proyek ke dompet multisig atau organisasi DAO untuk manajemen.
Ketika peretas menemukan kerentanan dalam kontrak pintar, mereka sering menggunakan pinjaman kilat untuk menyerang kontrak. Kerentanan yang dapat dieksploitasi ini sering kali mencakup kerentanan reentrancy, kelemahan logika (misalnya kurangnya validasi izin, algoritma penetapan harga yang salah), dll. Mencegah dan menangani kerentanan ini secara ketat membutuhkan perhatian tinggi bagi pengembang kontrak pintar, dan bahkan perlu diberi peringkat di bagian atas kepentingan.
Statistik kami juga menunjukkan bahwa semakin banyak peretas meluncurkan serangan phishing melalui perangkat lunak media sosial seperti Discord, Twitter, dll. Fenomena ini terus berlanjut sepanjang tahun 2022 dan memasuki kuartal III-2023. Cukup banyak pengguna yang mengalami kerugian di dalamnya. Tim proyek perlu menerapkan manajemen media sosialnya yang ketat dan komprehensif, menerapkan solusi keamanan yang sesuai untuk memastikan keamanan dan stabilitas operasi media sosialnya, dan mencegahnya dieksploitasi oleh peretas.
Pengguna Blockchain
Semakin banyak pengguna mulai berpartisipasi dalam berbagai kegiatan ekologi blockchain dan memegang berbagai aset ekologi blockchain. Dalam prosesnya, aktivitas transaksi lintas rantai juga berkembang pesat. Ketika pengguna berpartisipasi dalam transaksi lintas rantai, pengguna perlu berinteraksi dengan jembatan lintas rantai, yang sering menjadi sasaran peretas. Oleh karena itu, sebelum pengguna memulai transaksi lintas rantai, mereka perlu menyelidiki dan memahami status keamanan dan status operasi jembatan lintas rantai yang mereka gunakan secara rinci untuk memastikan keamanan, stabilitas, dan keandalan jembatan lintas rantai.
Ketika pengguna berinteraksi dengan dApp, mereka harus memperhatikan kualitas dan keamanan kontrak pintar mereka, serta keamanan frontend dApp. Hati-hati dengan beberapa informasi yang tidak diketahui dan sangat mencurigakan, petunjuk, dialog, dll yang ditampilkan di ujung depan, dan jangan klik atau ikuti instruksi mereka sesuka hati.
Kami sangat menyarankan agar pengguna dengan hati-hati memeriksa dan membaca laporan audit dari setiap proyek blockchain sebelum berinteraksi dengan atau berinvestasi dalam proyek blockchain. Membahas keterlibatan dalam proyek yang tidak memiliki laporan audit atau melaporkan sesuatu yang mencurigakan.
Kami menyarankan agar pengguna mencoba menggunakan dompet dingin atau dompet multisig untuk mengelola aset besar atau aset yang tidak digunakan untuk transaksi yang sering. Selalu berhati-hati tentang keamanan operasional hot wallet dan pastikan bahwa platform perangkat keras tempat hot wallet dipasang secara inheren aman, andal, dan stabil.
Pengguna perlu melakukan beberapa tingkat penyelidikan dan pemahaman tentang latar belakang tim proyek blockchain. Hati-hati dengan tim dengan latar belakang kabur dan kredit hilang. Hati-hati dengan risiko melarikan diri dengan proyek-proyek semacam itu. Untuk pertukaran terpusat yang sering digunakan, pengguna harus lebih memperhatikan latar belakang dan kredit mereka, dan memverifikasi latar belakang, informasi, dan data pertukaran ini dari beberapa sumber data pihak ketiga sebanyak mungkin untuk memastikan operasi pertukaran yang aman dan berkelanjutan jangka panjang.
Sumber daya
[1] Hantu.
[2] Pinjaman kilat.. Pinjaman kilat/
[3] STANDAR TOKEN ERC-20.
[4] Rantai samping.
[5] Lapisan-2.
[6] Metis.
[7] Racun.
[8] Jaringan Quai.
[9] Swisstronik.
[10] Blockchain SwapDex.
[11] Cocok.
[12] Multirantai.