В третьем квартале 2023 года крипторынок в целом остался без происшествий. Однако частота несчастных случаев в сфере экологии превысила показатели предыдущих двух кварталов. В течение квартала криптоактивы на сумму около $572 млн понесли убытки из-за различных инцидентов безопасности.
Компания Fairyproof изучила 198 типичных случаев, о которых было публично сообщено в третьем квартале, и проанализировала эти случаи, а также изучила характеристики экосистемы безопасности, отраженные в этих инцидентах, и соответствующие превентивные меры, которые могут предпринять пользователи.
ПредысторияВведениеПрежде чем подробно представить результаты исследовательского отчета Fairyproof, необходимо пояснить и объяснить соответствующие термины в этом отчете.
ККБС
Аббревиатура CCBS расшифровывается как «Централизованный орган управления криптоактивами или блокчейн-сервисами». Обычно это относится к платформе несетевых услуг, управляемой человеком, и ее основная технология в основном опирается на традиционную централизованную технологию, а ее повседневная деятельность по эксплуатации и обслуживанию в основном осуществляется вне сети. Типичными для этого являются традиционные биржи криптоактивов (например, Binance) и платформы для приема выпуска криптоактивов (например, Tether).
ФЛЭШ-КРЕДИТ
Кредиты Lightning — распространенный и популярный способ хакеров атаковать смарт-контракты на платформе виртуальной машины Ethereum. Flash Loan — это известное DeFi-приложение AAVE[1] [2]Метод вызова контракта, придуманный командой. Этот вызов контракта позволяет пользователям одалживать криптоактивы непосредственно из приложений DeFi, которые поддерживают эту функцию, без какого-либо залога, при условии, что пользователь возвращает актив в рамках транзакции блока, чтобы сделать транзакцию действительной [3]。 Изначально эта функция была придумана для того, чтобы дать пользователям DeFi более гибкие и удобные средства для осуществления различных финансовых действий в сети. Но позже наиболее часто используемым сценарием для флэш-кредитов из-за его гибкости стали хакеры, выдающие кредиты ERC-20 Затем токен используется для атаки. Прежде чем инициировать флэш-кредит, пользователь должен четко описать логику кредитования (активы) и доходности (активы, проценты и связанные с ними сборы за обработку) в договоре, а затем вызвать контракт для инициирования флэш-займа.
КРОССЧЕЙН-МОСТ**
Кроссчейн-мост — это инфраструктура, которая соединяет несколько независимых блокчейнов, позволяя токенам, развернутым на разных блокчейнах, циркулировать между каждым блокчейном.
По мере того, как все больше и больше блокчейнов имеют собственные экосистемы, приложения и криптоактивы, спрос на межблокчейн-коммуникации и транзакции значительно вырос. Это также делает кроссчейн-мосты горячей мишенью в глазах хакеров.
Основные моменты отчета
Компания Fairyproof детально изучила 198 типичных инцидентов безопасности, произошедших в третьем квартале 2023 года, и в этом отчете статистически проанализировала различные факторы, такие как размер ущерба, причиненного этими инцидентами, причины и дала соответствующие рекомендации и меры по предотвращению.
Статистика и анализ инцидентов безопасности в 3 квартале 2023 года
Исследовательская группа Fairyproof детально изучила 198 инцидентов безопасности, которые выделялись в третьем квартале 2023 года, перечислила статистические результаты и проанализировала их с точки зрения цели атаки и первопричины атаки.
Общая потеря криптоактивов в результате этих 198 инцидентов безопасности составила $572 млн, а Tradingview показал общую стоимость основных криптоактивов в $1,056 млрд. Отношение убыточных активов к общей рыночной капитализации составляет 0,05%.
Инциденты безопасности в зависимости от жертвы
Инциденты безопасности, изученные Fairyproof, можно разделить на следующие четыре категории в зависимости от их жертв:
Централизованный криптоактив или блокчейн-сервис (CCBS, CCBS далее – данное понятие)
Блокчейны
Децентрализованные приложения (dApps)
Кроссчейн-мосты
Для целей настоящего отчета инцидент безопасности CCBS — это атака или компрометация системы CCBS. Во время этих инцидентов были украдены активы, находящиеся на хранении CCBS, или нарушены операционные услуги. Инцидент безопасности блокчейна — это когда основная сеть блокчейна, сайдчейн или система расширения второго уровня, подключенная к основной сети блокчейна, атакована или скомпрометирована. Обычно в таких случаях хакеры атакуют изнутри системы, снаружи системы или и там, и там, что приводит к сбоям в программном или аппаратном обеспечении и потере активов.
Инцидент безопасности dApp — это когда dApp подвергается атаке и не работает должным образом, что дает хакерам возможность украсть криптографические активы, управляемые в dApp.
Событие безопасности кроссчейн-моста относится к атаке на кроссчейн-мост, в результате которой он не работает должным образом или даже приводит к краже криптоактивов, с которыми он совершал транзакции.
Fairyproof разделил в общей сложности 198 инцидентов на четыре категории, описанные выше, с диаграммой пропорционального распределения следующим образом:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)
Как видно из рисунка, количество инцидентов безопасности dApp составило 86,87% от общего числа, больше, чем в любой другой категории. Среди них 198 событий безопасности dApp, 4 — событий безопасности CCBS, 14 — событий безопасности блокчейна, 4 — событий безопасности кроссчейн-моста и 172 — событий безопасности dApp.
События безопасности блокчейна
Инциденты безопасности, связанные с блокчейном, можно разделить на следующие три категории:
Основные сети блокчейна ii Боковые цепи
Решения уровня 2
Основная сеть блокчейна, также известная как уровень 1, представляет собой независимый блокчейн с собственной сетью, протоколом, консенсусом и валидаторами. Основная сеть блокчейна может проверять транзакции, данные и блоки, и все это делается ее собственными валидаторами и в конечном итоге согласовано. Биткоин и Эфириум являются типичными основными сетями блокчейна.
Сайдчейн — это отдельный блокчейн, который функционирует параллельно с основной сетью блокчейна. У него также есть свой консенсус и валидаторы, но он будет каким-то образом заякорен (например, двусторонняя привязка)[4] [5]Система масштабирования второго уровня — это система, которая полагается на основную сеть блокчейна, которая требует, чтобы основная сеть блокчейна обеспечивала безопасность и конечную согласованность 。 В основном это связано с масштабируемостью основной сети блокчейна, которая может обрабатывать транзакции с более низкими комиссиями и более низкими ценами. С 2021 года система масштабирования Layer 2, прикрепленная к Ethereum, росла не по дням, а по часам.
Как сайдчейны, так и системы масштабирования уровня 2 предназначены для обеспечения масштабируемости основной сети блокчейна. Основное различие между ними заключается в том, что сайдчейны не полагаются на основную сеть блокчейна для обеспечения безопасности и согласованности, в отличие от системы масштабирования уровня 2.
Всего в третьем квартале 2023 года произошло 14 инцидентов безопасности, связанных с блокчейном. На рисунке ниже показана доля основной сети блокчейна, сайдчейна и системы масштабирования уровня 2.
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)
Как видно из приведенного выше рисунка, количество инцидентов безопасности, связанных с основной сетью блокчейна, и событий безопасности, связанных с системой расширения второго уровня, составило 92,86% (13 случаев) и 7,14% от общего числа соответственно
。 Типичных событий безопасности сайдчейна не существует. Второй уровень расширенных событий безопасности системы включает в себя системы, которые являются Metis[6] [7], основной сетью, вовлеченной в инцидент безопасности основной сети блокчейна, является Mixin 、
Сеть Quai[8] [9]、Swisstronik [10]、Блокчейн SwapDex [11]Подходящий Ждать.
События безопасности DAPP
Из 172 инцидентов безопасности, связанных с децентрализованными приложениями, 16 были связаны с бегством, 1 был замешан, а 155 подверглись прямым атакам. Прямые атаки на dApps обычно охватывают три области:
Фронтенд, бэкенд и смарт-контракт Dapp. Таким образом, мы делим 155 инцидентов, атакованных напрямую, на следующие три категории: i. dApp frontend ii. dApp Backend iii. dApp-контракты
В случае фронтенд-атаки на dApp хакеры в первую очередь атакуют через уязвимости фронтенда, чтобы украсть активы или парализовать их сервисы.
В инциденте с фоновой атакой dApp хакеры в основном запускают атаки через фоновые уязвимости, такие как перехват связи между серверной частью и контрактом, захват активов или паралич сервисов.
В случае атак на контракты dApp хакеры в основном запускали атаки через уязвимости контрактов, похищая активы или парализуя их сервисы. На следующем графике показана доля атакованных инцидентов в этих трех категориях:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля контрактных, бэкенд- и фронтенд-атак составила 19,35%, 0% и 80,65% соответственно. Из 155 инцидентов 125 были фронтенд-атаками.
30 случаев были заказными атаками.
Далее мы изучили сумму потерь криптоактивов, вызванных различными событиями. Среди них убытки, вызванные заказными атаками и фронтенд-атаками, составили 210 млн долларов США и 39,8 млн долларов США соответственно, что составляет 84,03% и 15,97% от общего ущерба, соответственно, как показано на следующем рисунке:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)
Среди множества уязвимостей контрактов типичными уязвимостями являются логические недостатки, утечка закрытого ключа, атаки на флэш-кредиты и атаки с повторным входом.
Мы изучили 30 инцидентов безопасности, связанных с прямыми контрактными атаками, и получили следующий график масштабирования:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, логические недостатки вызывают наибольшую долю событий безопасности контрактов. Логические дефекты часто включают в себя отсутствующую проверку параметров, отсутствующую проверку разрешений и т. д. Количество инцидентов безопасности, вызванных логическим недостатком, составило 13.
На следующем рисунке показано соотношение суммы убытков, вызванных каждой уязвимостью:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)
Наибольшая доля приходится на сумму убытков, вызванных утечкой закрытого ключа. В результате 4 утечек закрытого ключа общий ущерб составил 173 миллиона долларов США, или 82,56% от общего убытка.
Происшествия, связанные с безопасностью, основанные на причинах
Исходя из причин инцидентов безопасности блокчейна, мы делим несчастные случаи на три категории: i. Вызванные хакерскими атаками
ii. Бегство iii. другой
Наши выводы показаны на рисунке ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля инцидентов безопасности, вызванных хакерскими атаками и побегами, составила 91,92% (182 случая) и 8,08% (16 случаев) соответственно.
Мы рассмотрели потери, вызванные этими причинами, как показано на графике ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, убытки, вызванные взломом и бегством, составили 94,69% и 5,31% соответственно, причем первый привел к убыткам в размере $541 млн, а второй — к убыткам в размере $30,35 млн. Это показывает, что хакерство остается серьезной угрозой для безопасности отрасли в 3 квартале 2023 года.
Инцидент со взломомМы изучили инцидент со взломом, как показано на следующем рисунке:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля хакерских атак на dApps, блокчейн, CCBS и кроссчейн-мосты составила 87,64% (156), 7,87% (14), 2,25% (4) и соответственно
2.25%(4)。
Мы рассмотрели количество потерь, вызванных различными типами событий, как показано на графике ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)
Потери активов, вызванные хакерскими атаками на блокчейн, dApps, кроссчейн-мосты и CCBS, составили 36,97%, 46,25%, 0,79% и 15,99% соответственно, а удельные потери — $200 млн, $250 млн, $86,5 млн и $4,3 млн соответственно. Другие инциденты, связанные с безопасностью, не привели к значительным убыткам.
Беглые события
Типичными событиями, произошедшими в третьем квартале 2023 года, стали dApp-проекты. В общей сложности 30,35 миллиона долларов было вызвано 16 инцидентами во втором туре. Эта сумма ущерба намного меньше, чем сумма ущерба, нанесенного взломом.
Результаты исследования
Согласно нашей статистике, в третьем квартале 2023 года наиболее предпочтительной целью хакеров по-прежнему остаются dApp-проекты, а атаки на dApps намного превышают любой другой объект, составляя 87,64% от общего числа атак и 46,25% от общего ущерба. Из всех атак самая серьезная была на Multichain[12] атака.
Для всей экосистемы блокчейна хакеры по-прежнему являются самой большой угрозой безопасности, как с точки зрения количества вызванных ими инцидентов безопасности, так и с точки зрения потери активов, которые они вызывают, а количество инцидентов безопасности, вызванных хакерскими атаками, составляет более 91,92% от общего числа инцидентов безопасности, намного превышая угрозу, вызванную запущенными событиями для экологии.
Типичное dApp состоит из трех частей: front-end, back-end и смарт-контракта. Когда хакер атакует dApp, он атакует одну или несколько частей одновременно. Согласно нашей статистике, количество атак на фронтенд dApp намного превышает количество атак на контракты, но количество ущерба, наносимого атаками на смарт-контракты, намного превышает количество повреждений фронтенда.
Это показывает, что скрытые опасности смарт-контрактов по-прежнему являются самыми большими скрытыми опасностями безопасности dApp.
Все типичные события в третьем квартале 2023 года произошли на проектах dApp.
Среди инцидентов, связанных со взломом смарт-контрактов, в тройку лидеров входит количество атак, вызванных следующими тремя категориями: во-первых, это логические недостатки, а во-вторых, флэш-кредиты
Однако с точки зрения размера убытка сумма потери активов, вызванная атакой, вызванной утечкой приватного ключа, находится в верхней части списка, намного превосходя другие категории.
Практические планы и меры по предотвращению происшествий, связанных с безопасностью
В этом разделе мы обобщим некоторые сценарии и меры, которые помогут разработчикам и пользователям блокчейна управлять рисками блокчейна и предотвращать их, основываясь на характеристиках инцидентов безопасности, произошедших в третьем квартале 2023 года. Мы рекомендуем как разработчикам, так и пользователям блокчейна активно внедрять и практиковать эти планы и меры как можно больше в своей повседневной деятельности и работе по защите безопасности проектов и криптоактивов в максимальной степени.
Примечание: «Разработчик блокчейна» относится как к разработчику самого блокчейн-проекта, так и к разработчику, связанному с системой блокчейн или системой ее расширения (например, криптографическими активами и т. д.). «Пользователи блокчейна» относятся ко всем пользователям, которые участвуют в деятельности системы блокчейн (например, в управлении, эксплуатации, обслуживании и т. д.) или транзакциях с криптоактивами.
** Для блокчейн-разработчиков**
Несмотря на то, что в третьем квартале не было зафиксировано типичных инцидентов безопасности, связанных с горизонтально масштабируемыми системами уровня 2, безопасность горизонтально масштабируемых систем уровня 2 по-прежнему заслуживает внимания. В связи с тем, что разработка и внедрение схемы расширения второго уровня по-прежнему будут оставаться горячей точкой и центром внимания всей экосистемы, исследования безопасности схемы станут серьезной проблемой для отрасли.
В блокчейн-приложениях, когда проект развернут и стабильно работает в течение определенного периода времени, необходимым шагом является передача полномочий по управлению ключевыми операциями в проекте кошельку с мультиподписью или организации DAO для управления.
Когда хакеры обнаруживают уязвимости в смарт-контрактах, они часто используют флэш-кредиты для атаки на контракты. Эти уязвимости часто включают в себя уязвимости повторного входа, логические недостатки (например, отсутствие проверки разрешений, неправильные алгоритмы ценообразования) и т. д. Строгое предотвращение и устранение этих уязвимостей требует повышенного внимания со стороны разработчиков смарт-контрактов и даже должно быть поставлено на первое место.
Наша статистика также показывает, что все больше и больше хакеров запускают фишинговые атаки через программное обеспечение социальных сетей, таких как Discord, Twitter и т. д. Это явление продолжалось в течение всего 2022 года и в третьем квартале 2023 года. Немало пользователей понесли в нем убытки. Команде проекта необходимо внедрить строгое и всестороннее управление своими социальными сетями, развернуть соответствующие защитные решения для обеспечения безопасности и стабильности работы социальных сетей, а также предотвратить их использование хакерами.
Пользователь блокчейна
Все больше и больше пользователей начинают участвовать в различных экологических мероприятиях блокчейна и владеть различными экологическими активами блокчейна. При этом активность кроссчейн-транзакций также быстро выросла. Когда пользователи участвуют в кроссчейн-транзакциях, им необходимо взаимодействовать с кроссчейн-мостами, которые часто становятся мишенью хакеров. Поэтому, прежде чем пользователи инициируют кроссчейн-транзакции, им необходимо изучить и понять состояние безопасности и состояние работы кроссчейн-моста, который они используют, чтобы обеспечить безопасность, стабильность и надежность кроссчейн-моста.
Когда пользователи взаимодействуют с dApp, они должны уделять пристальное внимание качеству и безопасности своих смарт-контрактов, а также безопасности фронтенда dApp. Будьте осторожны с неизвестной и очень подозрительной информацией, подсказками, диалогами и т.д., отображаемыми на внешнем интерфейсе, и не нажимайте и не следуйте их инструкциям по своему желанию.
Мы настоятельно рекомендуем пользователям внимательно проверять и читать отчет об аудите любого блокчейн-проекта, прежде чем взаимодействовать с блокчейн-проектом или инвестировать в него. Обсудите участие в проектах, которые не имеют аудиторского заключения или сообщают о чем-то подозрительном.
Мы рекомендуем пользователям попробовать использовать холодные кошельки или кошельки с мультиподписью для управления крупными активами или активами, которые не используются для частых транзакций. Всегда будьте внимательны к операционной безопасности горячего кошелька и убедитесь, что аппаратная платформа, на которой установлен горячий кошелек, по своей сути безопасна, надежна и стабильна.
Пользователи должны провести определенный уровень исследования и понимания предыстории команды блокчейн-проекта. Будьте осторожны с командами с размытым фоном и отсутствующими кредитами. Будьте осторожны с риском сбежать с такими проектами. Для централизованных бирж, которые часто используются, пользователи должны уделять больше внимания своему происхождению и кредитоспособности, а также проверять предысторию, информацию и данные этих бирж из нескольких сторонних источников данных, насколько это возможно, чтобы обеспечить долгосрочную и устойчивую безопасную работу биржи.
Ресурсы
[1] Призрак.
[2] Flash-кредиты.. флэш-кредиты/
[3] СТАНДАРТ ТОКЕНОВ ERC-20.
[4] Сайдчейны.
[5] Слой-2.
[6] Метис.
[7] Миксин.
[8] Сеть набережных.
[9] Swisstronik.
[10] Блокчейн SwapDex.
[11] Подходящий.
[12] Мультичейн.
Посмотреть Оригинал
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Отчет об экологической безопасности блокчейна за третий квартал 2023 года
Автор: Fairyproof
Сводка новостей
В третьем квартале 2023 года крипторынок в целом остался без происшествий. Однако частота несчастных случаев в сфере экологии превысила показатели предыдущих двух кварталов. В течение квартала криптоактивы на сумму около $572 млн понесли убытки из-за различных инцидентов безопасности.
Компания Fairyproof изучила 198 типичных случаев, о которых было публично сообщено в третьем квартале, и проанализировала эти случаи, а также изучила характеристики экосистемы безопасности, отраженные в этих инцидентах, и соответствующие превентивные меры, которые могут предпринять пользователи.
ПредысторияВведениеПрежде чем подробно представить результаты исследовательского отчета Fairyproof, необходимо пояснить и объяснить соответствующие термины в этом отчете.
ККБС
Аббревиатура CCBS расшифровывается как «Централизованный орган управления криптоактивами или блокчейн-сервисами». Обычно это относится к платформе несетевых услуг, управляемой человеком, и ее основная технология в основном опирается на традиционную централизованную технологию, а ее повседневная деятельность по эксплуатации и обслуживанию в основном осуществляется вне сети. Типичными для этого являются традиционные биржи криптоактивов (например, Binance) и платформы для приема выпуска криптоактивов (например, Tether).
ФЛЭШ-КРЕДИТ
Кредиты Lightning — распространенный и популярный способ хакеров атаковать смарт-контракты на платформе виртуальной машины Ethereum. Flash Loan — это известное DeFi-приложение AAVE[1] [2]Метод вызова контракта, придуманный командой. Этот вызов контракта позволяет пользователям одалживать криптоактивы непосредственно из приложений DeFi, которые поддерживают эту функцию, без какого-либо залога, при условии, что пользователь возвращает актив в рамках транзакции блока, чтобы сделать транзакцию действительной [3]。 Изначально эта функция была придумана для того, чтобы дать пользователям DeFi более гибкие и удобные средства для осуществления различных финансовых действий в сети. Но позже наиболее часто используемым сценарием для флэш-кредитов из-за его гибкости стали хакеры, выдающие кредиты ERC-20 Затем токен используется для атаки. Прежде чем инициировать флэш-кредит, пользователь должен четко описать логику кредитования (активы) и доходности (активы, проценты и связанные с ними сборы за обработку) в договоре, а затем вызвать контракт для инициирования флэш-займа.
КРОССЧЕЙН-МОСТ**
Кроссчейн-мост — это инфраструктура, которая соединяет несколько независимых блокчейнов, позволяя токенам, развернутым на разных блокчейнах, циркулировать между каждым блокчейном.
По мере того, как все больше и больше блокчейнов имеют собственные экосистемы, приложения и криптоактивы, спрос на межблокчейн-коммуникации и транзакции значительно вырос. Это также делает кроссчейн-мосты горячей мишенью в глазах хакеров.
Основные моменты отчета
Компания Fairyproof детально изучила 198 типичных инцидентов безопасности, произошедших в третьем квартале 2023 года, и в этом отчете статистически проанализировала различные факторы, такие как размер ущерба, причиненного этими инцидентами, причины и дала соответствующие рекомендации и меры по предотвращению.
Статистика и анализ инцидентов безопасности в 3 квартале 2023 года
Исследовательская группа Fairyproof детально изучила 198 инцидентов безопасности, которые выделялись в третьем квартале 2023 года, перечислила статистические результаты и проанализировала их с точки зрения цели атаки и первопричины атаки.
Общая потеря криптоактивов в результате этих 198 инцидентов безопасности составила $572 млн, а Tradingview показал общую стоимость основных криптоактивов в $1,056 млрд. Отношение убыточных активов к общей рыночной капитализации составляет 0,05%.
Инциденты безопасности в зависимости от жертвы
Инциденты безопасности, изученные Fairyproof, можно разделить на следующие четыре категории в зависимости от их жертв:
Централизованный криптоактив или блокчейн-сервис (CCBS, CCBS далее – данное понятие)
Блокчейны
Децентрализованные приложения (dApps)
Кроссчейн-мосты
Для целей настоящего отчета инцидент безопасности CCBS — это атака или компрометация системы CCBS. Во время этих инцидентов были украдены активы, находящиеся на хранении CCBS, или нарушены операционные услуги. Инцидент безопасности блокчейна — это когда основная сеть блокчейна, сайдчейн или система расширения второго уровня, подключенная к основной сети блокчейна, атакована или скомпрометирована. Обычно в таких случаях хакеры атакуют изнутри системы, снаружи системы или и там, и там, что приводит к сбоям в программном или аппаратном обеспечении и потере активов.
Инцидент безопасности dApp — это когда dApp подвергается атаке и не работает должным образом, что дает хакерам возможность украсть криптографические активы, управляемые в dApp.
Событие безопасности кроссчейн-моста относится к атаке на кроссчейн-мост, в результате которой он не работает должным образом или даже приводит к краже криптоактивов, с которыми он совершал транзакции.
Fairyproof разделил в общей сложности 198 инцидентов на четыре категории, описанные выше, с диаграммой пропорционального распределения следующим образом:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)
Как видно из рисунка, количество инцидентов безопасности dApp составило 86,87% от общего числа, больше, чем в любой другой категории. Среди них 198 событий безопасности dApp, 4 — событий безопасности CCBS, 14 — событий безопасности блокчейна, 4 — событий безопасности кроссчейн-моста и 172 — событий безопасности dApp.
События безопасности блокчейна
Инциденты безопасности, связанные с блокчейном, можно разделить на следующие три категории:
Основные сети блокчейна ii Боковые цепи
Решения уровня 2
Основная сеть блокчейна, также известная как уровень 1, представляет собой независимый блокчейн с собственной сетью, протоколом, консенсусом и валидаторами. Основная сеть блокчейна может проверять транзакции, данные и блоки, и все это делается ее собственными валидаторами и в конечном итоге согласовано. Биткоин и Эфириум являются типичными основными сетями блокчейна.
Сайдчейн — это отдельный блокчейн, который функционирует параллельно с основной сетью блокчейна. У него также есть свой консенсус и валидаторы, но он будет каким-то образом заякорен (например, двусторонняя привязка)[4] [5]Система масштабирования второго уровня — это система, которая полагается на основную сеть блокчейна, которая требует, чтобы основная сеть блокчейна обеспечивала безопасность и конечную согласованность 。 В основном это связано с масштабируемостью основной сети блокчейна, которая может обрабатывать транзакции с более низкими комиссиями и более низкими ценами. С 2021 года система масштабирования Layer 2, прикрепленная к Ethereum, росла не по дням, а по часам.
Как сайдчейны, так и системы масштабирования уровня 2 предназначены для обеспечения масштабируемости основной сети блокчейна. Основное различие между ними заключается в том, что сайдчейны не полагаются на основную сеть блокчейна для обеспечения безопасности и согласованности, в отличие от системы масштабирования уровня 2.
Всего в третьем квартале 2023 года произошло 14 инцидентов безопасности, связанных с блокчейном. На рисунке ниже показана доля основной сети блокчейна, сайдчейна и системы масштабирования уровня 2.
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)
Как видно из приведенного выше рисунка, количество инцидентов безопасности, связанных с основной сетью блокчейна, и событий безопасности, связанных с системой расширения второго уровня, составило 92,86% (13 случаев) и 7,14% от общего числа соответственно
。 Типичных событий безопасности сайдчейна не существует. Второй уровень расширенных событий безопасности системы включает в себя системы, которые являются Metis[6] [7], основной сетью, вовлеченной в инцидент безопасности основной сети блокчейна, является Mixin 、
Сеть Quai[8] [9]、Swisstronik [10]、Блокчейн SwapDex [11]Подходящий Ждать.
События безопасности DAPP
Из 172 инцидентов безопасности, связанных с децентрализованными приложениями, 16 были связаны с бегством, 1 был замешан, а 155 подверглись прямым атакам. Прямые атаки на dApps обычно охватывают три области:
Фронтенд, бэкенд и смарт-контракт Dapp. Таким образом, мы делим 155 инцидентов, атакованных напрямую, на следующие три категории: i. dApp frontend ii. dApp Backend iii. dApp-контракты
В случае фронтенд-атаки на dApp хакеры в первую очередь атакуют через уязвимости фронтенда, чтобы украсть активы или парализовать их сервисы.
В инциденте с фоновой атакой dApp хакеры в основном запускают атаки через фоновые уязвимости, такие как перехват связи между серверной частью и контрактом, захват активов или паралич сервисов.
В случае атак на контракты dApp хакеры в основном запускали атаки через уязвимости контрактов, похищая активы или парализуя их сервисы. На следующем графике показана доля атакованных инцидентов в этих трех категориях:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля контрактных, бэкенд- и фронтенд-атак составила 19,35%, 0% и 80,65% соответственно. Из 155 инцидентов 125 были фронтенд-атаками.
30 случаев были заказными атаками.
Далее мы изучили сумму потерь криптоактивов, вызванных различными событиями. Среди них убытки, вызванные заказными атаками и фронтенд-атаками, составили 210 млн долларов США и 39,8 млн долларов США соответственно, что составляет 84,03% и 15,97% от общего ущерба, соответственно, как показано на следующем рисунке:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)
Среди множества уязвимостей контрактов типичными уязвимостями являются логические недостатки, утечка закрытого ключа, атаки на флэш-кредиты и атаки с повторным входом.
Мы изучили 30 инцидентов безопасности, связанных с прямыми контрактными атаками, и получили следующий график масштабирования:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, логические недостатки вызывают наибольшую долю событий безопасности контрактов. Логические дефекты часто включают в себя отсутствующую проверку параметров, отсутствующую проверку разрешений и т. д. Количество инцидентов безопасности, вызванных логическим недостатком, составило 13.
На следующем рисунке показано соотношение суммы убытков, вызванных каждой уязвимостью:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)
Наибольшая доля приходится на сумму убытков, вызванных утечкой закрытого ключа. В результате 4 утечек закрытого ключа общий ущерб составил 173 миллиона долларов США, или 82,56% от общего убытка.
Происшествия, связанные с безопасностью, основанные на причинах
Исходя из причин инцидентов безопасности блокчейна, мы делим несчастные случаи на три категории: i. Вызванные хакерскими атаками
ii. Бегство iii. другой
Наши выводы показаны на рисунке ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля инцидентов безопасности, вызванных хакерскими атаками и побегами, составила 91,92% (182 случая) и 8,08% (16 случаев) соответственно.
Мы рассмотрели потери, вызванные этими причинами, как показано на графике ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, убытки, вызванные взломом и бегством, составили 94,69% и 5,31% соответственно, причем первый привел к убыткам в размере $541 млн, а второй — к убыткам в размере $30,35 млн. Это показывает, что хакерство остается серьезной угрозой для безопасности отрасли в 3 квартале 2023 года.
Инцидент со взломомМы изучили инцидент со взломом, как показано на следующем рисунке:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)
Как показано на рисунке выше, доля хакерских атак на dApps, блокчейн, CCBS и кроссчейн-мосты составила 87,64% (156), 7,87% (14), 2,25% (4) и соответственно
2.25%(4)。
Мы рассмотрели количество потерь, вызванных различными типами событий, как показано на графике ниже:
! [Отчет об экологической безопасности блокчейна за 3 квартал 2023 года] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)
Потери активов, вызванные хакерскими атаками на блокчейн, dApps, кроссчейн-мосты и CCBS, составили 36,97%, 46,25%, 0,79% и 15,99% соответственно, а удельные потери — $200 млн, $250 млн, $86,5 млн и $4,3 млн соответственно. Другие инциденты, связанные с безопасностью, не привели к значительным убыткам.
Беглые события
Типичными событиями, произошедшими в третьем квартале 2023 года, стали dApp-проекты. В общей сложности 30,35 миллиона долларов было вызвано 16 инцидентами во втором туре. Эта сумма ущерба намного меньше, чем сумма ущерба, нанесенного взломом.
Результаты исследования
Согласно нашей статистике, в третьем квартале 2023 года наиболее предпочтительной целью хакеров по-прежнему остаются dApp-проекты, а атаки на dApps намного превышают любой другой объект, составляя 87,64% от общего числа атак и 46,25% от общего ущерба. Из всех атак самая серьезная была на Multichain[12] атака.
Для всей экосистемы блокчейна хакеры по-прежнему являются самой большой угрозой безопасности, как с точки зрения количества вызванных ими инцидентов безопасности, так и с точки зрения потери активов, которые они вызывают, а количество инцидентов безопасности, вызванных хакерскими атаками, составляет более 91,92% от общего числа инцидентов безопасности, намного превышая угрозу, вызванную запущенными событиями для экологии.
Типичное dApp состоит из трех частей: front-end, back-end и смарт-контракта. Когда хакер атакует dApp, он атакует одну или несколько частей одновременно. Согласно нашей статистике, количество атак на фронтенд dApp намного превышает количество атак на контракты, но количество ущерба, наносимого атаками на смарт-контракты, намного превышает количество повреждений фронтенда.
Это показывает, что скрытые опасности смарт-контрактов по-прежнему являются самыми большими скрытыми опасностями безопасности dApp.
Все типичные события в третьем квартале 2023 года произошли на проектах dApp.
Среди инцидентов, связанных со взломом смарт-контрактов, в тройку лидеров входит количество атак, вызванных следующими тремя категориями: во-первых, это логические недостатки, а во-вторых, флэш-кредиты
Однако с точки зрения размера убытка сумма потери активов, вызванная атакой, вызванной утечкой приватного ключа, находится в верхней части списка, намного превосходя другие категории.
Практические планы и меры по предотвращению происшествий, связанных с безопасностью
В этом разделе мы обобщим некоторые сценарии и меры, которые помогут разработчикам и пользователям блокчейна управлять рисками блокчейна и предотвращать их, основываясь на характеристиках инцидентов безопасности, произошедших в третьем квартале 2023 года. Мы рекомендуем как разработчикам, так и пользователям блокчейна активно внедрять и практиковать эти планы и меры как можно больше в своей повседневной деятельности и работе по защите безопасности проектов и криптоактивов в максимальной степени.
Примечание: «Разработчик блокчейна» относится как к разработчику самого блокчейн-проекта, так и к разработчику, связанному с системой блокчейн или системой ее расширения (например, криптографическими активами и т. д.). «Пользователи блокчейна» относятся ко всем пользователям, которые участвуют в деятельности системы блокчейн (например, в управлении, эксплуатации, обслуживании и т. д.) или транзакциях с криптоактивами.
** Для блокчейн-разработчиков**
Несмотря на то, что в третьем квартале не было зафиксировано типичных инцидентов безопасности, связанных с горизонтально масштабируемыми системами уровня 2, безопасность горизонтально масштабируемых систем уровня 2 по-прежнему заслуживает внимания. В связи с тем, что разработка и внедрение схемы расширения второго уровня по-прежнему будут оставаться горячей точкой и центром внимания всей экосистемы, исследования безопасности схемы станут серьезной проблемой для отрасли.
В блокчейн-приложениях, когда проект развернут и стабильно работает в течение определенного периода времени, необходимым шагом является передача полномочий по управлению ключевыми операциями в проекте кошельку с мультиподписью или организации DAO для управления.
Когда хакеры обнаруживают уязвимости в смарт-контрактах, они часто используют флэш-кредиты для атаки на контракты. Эти уязвимости часто включают в себя уязвимости повторного входа, логические недостатки (например, отсутствие проверки разрешений, неправильные алгоритмы ценообразования) и т. д. Строгое предотвращение и устранение этих уязвимостей требует повышенного внимания со стороны разработчиков смарт-контрактов и даже должно быть поставлено на первое место.
Наша статистика также показывает, что все больше и больше хакеров запускают фишинговые атаки через программное обеспечение социальных сетей, таких как Discord, Twitter и т. д. Это явление продолжалось в течение всего 2022 года и в третьем квартале 2023 года. Немало пользователей понесли в нем убытки. Команде проекта необходимо внедрить строгое и всестороннее управление своими социальными сетями, развернуть соответствующие защитные решения для обеспечения безопасности и стабильности работы социальных сетей, а также предотвратить их использование хакерами.
Пользователь блокчейна
Все больше и больше пользователей начинают участвовать в различных экологических мероприятиях блокчейна и владеть различными экологическими активами блокчейна. При этом активность кроссчейн-транзакций также быстро выросла. Когда пользователи участвуют в кроссчейн-транзакциях, им необходимо взаимодействовать с кроссчейн-мостами, которые часто становятся мишенью хакеров. Поэтому, прежде чем пользователи инициируют кроссчейн-транзакции, им необходимо изучить и понять состояние безопасности и состояние работы кроссчейн-моста, который они используют, чтобы обеспечить безопасность, стабильность и надежность кроссчейн-моста.
Когда пользователи взаимодействуют с dApp, они должны уделять пристальное внимание качеству и безопасности своих смарт-контрактов, а также безопасности фронтенда dApp. Будьте осторожны с неизвестной и очень подозрительной информацией, подсказками, диалогами и т.д., отображаемыми на внешнем интерфейсе, и не нажимайте и не следуйте их инструкциям по своему желанию.
Мы настоятельно рекомендуем пользователям внимательно проверять и читать отчет об аудите любого блокчейн-проекта, прежде чем взаимодействовать с блокчейн-проектом или инвестировать в него. Обсудите участие в проектах, которые не имеют аудиторского заключения или сообщают о чем-то подозрительном.
Мы рекомендуем пользователям попробовать использовать холодные кошельки или кошельки с мультиподписью для управления крупными активами или активами, которые не используются для частых транзакций. Всегда будьте внимательны к операционной безопасности горячего кошелька и убедитесь, что аппаратная платформа, на которой установлен горячий кошелек, по своей сути безопасна, надежна и стабильна.
Пользователи должны провести определенный уровень исследования и понимания предыстории команды блокчейн-проекта. Будьте осторожны с командами с размытым фоном и отсутствующими кредитами. Будьте осторожны с риском сбежать с такими проектами. Для централизованных бирж, которые часто используются, пользователи должны уделять больше внимания своему происхождению и кредитоспособности, а также проверять предысторию, информацию и данные этих бирж из нескольких сторонних источников данных, насколько это возможно, чтобы обеспечить долгосрочную и устойчивую безопасную работу биржи.
Ресурсы
[1] Призрак.
[2] Flash-кредиты.. флэш-кредиты/
[3] СТАНДАРТ ТОКЕНОВ ERC-20.
[4] Сайдчейны.
[5] Слой-2.
[6] Метис.
[7] Миксин.
[8] Сеть набережных.
[9] Swisstronik.
[10] Блокчейн SwapDex.
[11] Подходящий.
[12] Мультичейн.