No terceiro trimestre de 2023, o mercado cripto como um todo permaneceu sem intercorrências. No entanto, a frequência de acidentes de segurança na ecologia excedeu a dos dois trimestres anteriores. Durante o trimestre, aproximadamente US$ 572 milhões em criptoativos sofreram perdas de vários incidentes de segurança.
A Fairyproof estudou 198 casos típicos relatados publicamente no terceiro trimestre, analisou os casos e explorou as características do ecossistema de segurança refletidas nesses incidentes e as medidas preventivas relevantes que os usuários podem tomar.
AntecedentesIntroduçãoAntes de apresentar os resultados do relatório de pesquisa da Fairyproof em detalhes, é necessário explicar e explicar os termos relevantes neste relatório.
CCBS
CCBS significa "Centralized Crypto Asset or Blockchain Service Authority" (Autoridade de Criptoativos Centralizados ou Autoridade de Serviços de Blockchain). Geralmente refere-se à plataforma de serviços não-on-chain gerenciada por operação humana, e sua tecnologia central depende principalmente da tecnologia centralizada tradicional, e suas atividades diárias de operação e manutenção são principalmente atividades off-chain. As exchanges tradicionais de criptoativos (como a Binance) e as plataformas de aceitação de emissão de criptoativos (como a Tether) são típicas disso.
FLASHLOAN
Os empréstimos relâmpagos são uma maneira comum e popular para hackers atacarem contratos inteligentes na plataforma Ethereum Virtual Machine. Flash Loan é um conhecido aplicativo DeFi AAVE[1] [2]Um método de invocação de contrato inventado pela equipa. Esta chamada de contrato permite que os usuários emprestem criptoativos diretamente de aplicativos DeFi que suportam esse recurso sem qualquer garantia, desde que o usuário devolva o ativo dentro de uma transação em bloco para tornar a transação válida [3]。 Originalmente, esta função foi inventada para dar aos usuários DeFi um meio mais flexível e conveniente para realizar várias atividades financeiras on-chain. Mas mais tarde, o cenário mais utilizado para empréstimos flash devido à sua flexibilidade tornou-se hackers emprestando ERC-20 O token é então usado para atacar. Antes de iniciar um empréstimo relâmpago, o usuário precisa descrever claramente a lógica de empréstimo (ativos) e retorno (ativos, juros e taxas de processamento relacionadas) em um contrato e, em seguida, chamar o contrato para iniciar o empréstimo flash.
PONTE DE CADEIA CRUZADA**
Uma ponte de cadeia cruzada é uma infraestrutura que conecta vários blockchains independentes, permitindo que tokens implantados em diferentes blockchains circulem entre cada blockchain.
À medida que mais e mais blockchains têm seus próprios ecossistemas, aplicativos e criptoativos, a demanda por comunicação e transações entre blockchain tem crescido significativamente. Isso também torna as pontes entre cadeias um alvo quente aos olhos dos hackers.
Destaques do relatório
A Fairyproof estudou em detalhe os 198 incidentes de segurança típicos que ocorreram no terceiro trimestre de 2023 e, neste relatório, analisou estatisticamente vários fatores, como a quantidade de danos causados por esses incidentes, as causas, e deu as correspondentes recomendações e medidas de prevenção.
Estatísticas e Análise de Incidentes de Segurança no 3º trimestre de 2023
A equipa de investigação Fairyproof estudou em detalhe os 198 incidentes de segurança que se destacaram no terceiro trimestre de 2023, listou os resultados estatísticos e analisou-os em termos do alvo do ataque e da causa raiz do ataque.
A perda total de criptoativos desses 198 incidentes de segurança totalizou US$ 572 milhões, e a Tradingview mostrou um valor total de criptoativos tradicionais de US$ 1.056 bilhões. A relação entre ativos de perda e capitalização de mercado total é de 0,05%.
Incidentes de segurança baseados na vítima
Os incidentes de segurança estudados pela Fairyproof podem ser divididos nas seguintes quatro categorias de acordo com suas vítimas:
Serviço Centralizado de Criptoativos ou Blockchain (CCBS, CCBS doravante referido como este conceito)
Cadeias de blocos
Aplicações Descentralizadas (dApps)
Pontes de cadeia cruzada
Para efeitos do presente relatório, um incidente de segurança do CCBS ocorre quando o sistema do CCBS é atacado ou comprometido. Durante estes incidentes, os bens sob custódia do CCBS foram roubados ou os serviços operacionais foram interrompidos. Um incidente de segurança de blockchain é quando a rede principal de blockchain, sidechain ou sistema de extensão de segunda camada conectado à rede principal de blockchain é atacado ou comprometido. Normalmente, nesses eventos, os hackers atacam de dentro do sistema, fora do sistema, ou ambos, resultando em mau funcionamento de software ou hardware e perda de ativos.
Um incidente de segurança dApp é quando um dApp é atacado e não funciona corretamente, dando aos hackers a oportunidade de roubar ativos criptográficos gerenciados no dApp.
Um evento de segurança de ponte de cadeia cruzada refere-se a um ataque à ponte de cadeia cruzada, fazendo com que ela não funcione corretamente ou até mesmo leve ao roubo dos criptoativos com os quais transacionou.
Fairyproof dividiu um total de 198 incidentes nas quatro categorias descritas acima, com um gráfico de distribuição proporcional da seguinte forma:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)
Como pode ser visto pela figura, o número de incidentes de segurança dApp representou 86,87% do total, mais do que qualquer outra categoria. Entre eles, 198 foram eventos de segurança dApp, 4 foram eventos de segurança CCBS, 14 foram eventos de segurança blockchain, 4 foram eventos de segurança de ponte de cadeia cruzada e 172 foram eventos de segurança dApp.
Eventos de segurança Blockchain
Os incidentes de segurança envolvendo blockchain podem ser subdivididos nas seguintes três categorias:
Redes principais de blockchain ii Correntes laterais
Soluções de camada 2
Também conhecida como Camada 1, a mainnet blockchain é uma blockchain independente com sua própria rede, protocolo, consenso e validadores. A mainnet blockchain pode verificar transações, dados e blocos, tudo feito por seus próprios validadores e, em última análise, consistente. Bitcoin e Ethereum são mainnets blockchain típicos.
Uma sidechain é um blockchain separado que opera em paralelo com a mainnet blockchain. Ele também tem seu próprio consenso e validadores, mas será ancorado de alguma forma (como ancoragem bidirecional[4] [5]O sistema de escalonamento de segunda camada é um sistema que depende da mainnet blockchain, que requer a mainnet blockchain para fornecer segurança e eventual consistência 。 É principalmente para resolver a escalabilidade da mainnet blockchain, que pode processar transações com taxas mais baixas e preços mais baixos. Desde 2021, o sistema de escalonamento de Camada 2 anexado ao Ethereum cresceu a passos largos.
Tanto as sidechains quanto os sistemas de escalonamento de camada 2 são projetados para lidar com a escalabilidade da rede principal do blockchain. A principal diferença entre os dois é que as sidechains não dependem da rede principal do blockchain para fornecer segurança e consistência, mas um sistema de escalonamento de camada 2 sim.
No total, houve 14 incidentes de segurança relacionados ao blockchain no terceiro trimestre de 2023. A figura abaixo mostra a proporção da rede principal do blockchain, sidechain e sistema de escalonamento de camada 2.
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)
Como pode ser visto na figura acima, o número de incidentes de segurança relacionados à mainnet blockchain e os eventos de segurança relacionados ao sistema de extensão de segunda camada representaram 92,86% (13 casos) e 7,14% do total, respectivamente
。 Não há eventos típicos de segurança sidechain. A segunda camada de eventos de segurança do sistema estendido envolve sistemas que são Metis[6] [7], a mainnet envolvida no incidente de segurança da mainnet blockchain é a Mixin 、
Dos 172 incidentes de segurança envolvendo dApps, 16 foram fugitivos, 1 foi implicado e 155 foram diretamente atacados. Os ataques diretos aos dApps normalmente envolvem três áreas:
O front-end, back-end e contrato inteligente do Dapp. Portanto, dividimos os 155 incidentes diretamente atacados nas seguintes três categorias: i. dApp frontend ii. dApp Backend iii. Contratos dApp
No caso de um ataque front-end a um dApp, os hackers atacam principalmente através de vulnerabilidades front-end para roubar ativos ou paralisar seus serviços.
No incidente de ataque em segundo plano dApp, os hackers lançam ataques principalmente através de vulnerabilidades em segundo plano, como sequestrar a comunicação entre o back-end e o contrato, sequestrar ativos ou paralisar serviços.
No caso dos ataques de contrato dApp, os hackers lançaram ataques principalmente através de vulnerabilidades contratuais, roubando ativos ou paralisando seus serviços. O gráfico seguinte mostra a proporção de incidentes atacados nestas três categorias:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)
Como mostrado na figura acima, a proporção de ataques de contrato, backend e front-end foi de 19,35%, 0% e 80,65%, respectivamente. De um total de 155 incidentes, 125 foram ataques front-end.
30 casos foram ataques contratuais.
Estudamos ainda a quantidade de perdas de criptoativos causadas por vários eventos. Entre eles, as perdas causadas por ataques de contrato e ataques front-end foram de US$ 210 milhões e US$ 39,8 milhões, respectivamente, representando 84,03% e 15,97% do prejuízo total, respectivamente, como mostra a figura a seguir:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)
Entre as muitas vulnerabilidades de contrato, falhas lógicas, vazamento de chave privada, ataques de empréstimo flash e ataques de reentrância são vulnerabilidades típicas.
Estudamos 30 incidentes de segurança envolvendo ataques diretos a contratos e obtivemos o seguinte gráfico de escala:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)
Como mostrado na figura acima, as falhas lógicas causam a maior proporção de eventos de segurança do contrato. Os defeitos lógicos geralmente incluem validação de parâmetros ausente, validação de permissão ausente e assim por diante. O número de incidentes de segurança causados por uma falha lógica foi de 13.
A figura a seguir mostra a proporção do valor da perda causada por cada vulnerabilidade:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)
O valor da perda causada pelo vazamento da chave privada representa a maior proporção. As 4 violações de chave privada resultaram em uma perda total de US$ 173 milhões, ou 82,56% da perda total.
Incidentes de segurança baseados em causas
Com base nas causas dos incidentes de segurança blockchain, dividimos os acidentes em três categorias: i. Causados por ataques de hackers
ii. Fugir iii. Outros
Nossos resultados são mostrados na figura abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)
Como mostra a figura acima, a proporção de acidentes de segurança causados por ataques de hackers e fuga foi de 91,92% (182 casos) e 8,08% (16 casos), respectivamente.
Analisamos as perdas causadas por essas causas, como mostra o gráfico abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)
Como mostra a figura acima, as perdas causadas por hacking e fuga representaram 94,69% e 5,31%, respectivamente, com o primeiro levando a um prejuízo de US $ 541 milhões e o segundo levando a um prejuízo de US $ 30,35 milhões. Isso mostra que o hacking continua sendo uma grande ameaça à segurança do setor no 3º trimestre de 2023.
Incidente de hackingEstudamos o incidente de hacking, como mostra a figura a seguir:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)
Como mostra a figura acima, a proporção de ataques de hackers a dApps, blockchain, CCBS e pontes de cadeia cruzada foi de 87,64% (156), 7,87% (14), 2,25% (4) e respectivamente
2.25%(4)。
Analisamos a quantidade de perdas causadas por vários tipos de eventos, como mostra o gráfico abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)
As perdas de ativos causadas pelos ataques de hackers ao blockchain, dApps, pontes cross-chain e CCBS representaram 36,97%, 46,25%, 0,79% e 15,99%, respectivamente, e as perdas específicas foram de US$ 200 milhões, US$ 250 milhões, US$ 86,5 milhões e US$ 4,3 milhões, respectivamente. Outros incidentes de segurança não resultaram em perdas significativas.
Eventos de fuga
Os eventos típicos de fuga que ocorreram no terceiro trimestre de 2023 foram projetos dApp. Um total de US$ 30,35 milhões foi causado pelos 16 incidentes de escoamento. Esta quantidade de danos é muito menor do que a quantidade de danos causados por hacking.
Resultados da Investigação
De acordo com as nossas estatísticas, no terceiro trimestre de 2023, o alvo preferido dos hackers ainda são os projetos dApp, e os ataques aos dApps excedem em muito qualquer outro objeto, representando 87,64% do número total de ataques e 46,25% do total de perdas. De todos os ataques, o mais grave foi no Multichain[12] ataque.
Para todo o ecossistema blockchain, os hackers ainda são a maior ameaça à segurança, tanto em termos do número de incidentes de segurança causados por eles quanto da perda de ativos que causam, e o número de incidentes de segurança causados por ataques de hackers representa mais de 91,92% do número total de incidentes de segurança, excedendo em muito a ameaça causada por eventos em execução para a ecologia.
Um dApp típico consiste em três partes: front-end, back-end e contrato inteligente. Quando um hacker ataca um dApp, eles atacam uma parte ou várias partes ao mesmo tempo. De acordo com nossas estatísticas, os ataques ao frontend dApp superam em muito os ataques de contrato, mas a quantidade de danos causados por ataques a contratos inteligentes excede em muito a quantidade de danos ao frontend.
Isso mostra que os perigos ocultos dos contratos inteligentes ainda são os maiores perigos ocultos da segurança do dApp.
Os eventos típicos de fuga no terceiro trimestre de 2023 ocorreram todos em projetos dApp.
Entre os incidentes em que contratos inteligentes foram hackeados, o número de ataques causados pelas três categorias a seguir é o três primeiro: primeiro: falhas de lógica e segundo: empréstimos flash
No entanto, em termos de quantidade de perda, a quantidade de perda de ativos causada pelo ataque causado pelo vazamento da chave privada está no topo da lista, superando em muito outras categorias.
Planos e medidas práticas para prevenir incidentes de segurança
Nesta seção, resumiremos alguns cenários e medidas para ajudar os desenvolvedores e usuários de blockchain a gerenciar e prevenir os riscos de blockchain com base nas características dos incidentes de segurança que ocorreram no terceiro trimestre de 2023. Recomendamos que os desenvolvedores e usuários de blockchain implementem e pratiquem ativamente esses planos e medidas, tanto quanto possível, em suas operações diárias e trabalhem para proteger a segurança de projetos e criptoativos na maior extensão.
Nota: "Desenvolvedor de blockchain" refere-se tanto ao desenvolvedor do projeto de blockchain em si quanto ao desenvolvedor relacionado ao sistema blockchain ou seu sistema de extensão (como ativos criptográficos, etc.). "Usuários de Blockchain" refere-se a todos os usuários que participam de atividades do sistema blockchain (como gerenciamento, operação, manutenção, etc.) ou transações de criptoativos.
** Para desenvolvedores de blockchain**
Embora não tenha havido incidentes de segurança típicos envolvendo sistemas de expansão de Camada 2 no terceiro trimestre, a segurança dos sistemas de expansão de Camada 2 ainda merece atenção. Como o desenvolvimento e o desembarque do esquema de extensão de segunda camada continuarão a ser o ponto quente e o foco de todo o ecossistema, a pesquisa sobre a segurança do esquema será um grande desafio para a indústria.
Em aplicações blockchain, quando o projeto é implantado e executado de forma estável por um período de tempo, é uma etapa necessária para transferir a autoridade para controlar as operações-chave no projeto para a carteira multisig ou organização DAO para gerenciamento.
Quando os hackers descobrem vulnerabilidades em contratos inteligentes, geralmente usam empréstimos flash para atacar os contratos. Essas vulnerabilidades exploráveis geralmente incluem vulnerabilidades de reentrância, falhas lógicas (por exemplo, falta de validação de permissão, algoritmos de preços incorretos), etc. Prevenir e lidar rigorosamente com essas vulnerabilidades requer alta atenção para os desenvolvedores de contratos inteligentes, e até mesmo precisa ser classificado no topo da importância.
Nossas estatísticas também mostram que cada vez mais hackers estão lançando ataques de phishing por meio de softwares de mídia social, como Discord, Twitter, etc. Este fenómeno manteve-se ao longo de 2022 e até ao terceiro trimestre de 2023. Muitos usuários sofreram perdas nele. A equipe do projeto precisa implementar uma gestão rigorosa e abrangente de suas mídias sociais, implantar soluções de segurança correspondentes para garantir a segurança e a estabilidade de sua operação de mídia social e evitar que ela seja explorada por hackers.
Usuário Blockchain
Mais e mais usuários estão começando a participar de várias atividades ecológicas de blockchain e detêm vários ativos ecológicos de blockchain. Neste processo, a atividade de transações entre cadeias também cresceu rapidamente. Quando os usuários participam de transações entre cadeias, os usuários precisam interagir com pontes entre cadeias, que muitas vezes são alvo de hackers. Portanto, antes de iniciar transações entre cadeias, os usuários precisam investigar e entender o status de segurança e o status de operação da ponte de cadeia cruzada que usam em detalhes para garantir a segurança, estabilidade e confiabilidade da ponte de cadeia cruzada.
Quando os usuários interagem com um dApp, eles devem prestar muita atenção à qualidade e segurança de seus contratos inteligentes, bem como à segurança do frontend dApp. Tenha cuidado com algumas informações desconhecidas e altamente suspeitas, prompts, diálogos, etc. exibidos no front-end, e não clique ou siga suas instruções à vontade.
É altamente recomendável que os usuários verifiquem e leiam cuidadosamente o relatório de auditoria de qualquer projeto de blockchain antes de interagir ou investir em um projeto de blockchain. Discutir envolvimento em projetos que não tenham um relatório de auditoria ou reportar algo suspeito.
Recomendamos que os usuários tentem usar carteiras frias ou carteiras multisig para gerenciar grandes ativos ou ativos que não são usados para transações frequentes. Tenha sempre cuidado com a segurança operacional da hot wallet e certifique-se de que a plataforma de hardware na qual a hot wallet está instalada é inerentemente segura, confiável e estável.
Os usuários precisam fazer algum nível de investigação e compreensão dos antecedentes da equipe do projeto blockchain. Tenha cuidado com equipas com fundos desfocados e crédito em falta. Tenha cuidado com o risco de fugir com tais projetos. Para trocas centralizadas que são usadas com frequência, os usuários devem prestar mais atenção ao seu histórico e crédito, e verificar o histórico, informações e dados dessas trocas de várias fontes de dados de terceiros, tanto quanto possível, para garantir a operação segura e sustentável a longo prazo da troca.
Esta página pode conter conteúdos de terceiros, que são fornecidos apenas para fins informativos (sem representações/garantias) e não devem ser considerados como uma aprovação dos seus pontos de vista pela Gate, nem como aconselhamento financeiro ou profissional. Consulte a Declaração de exoneração de responsabilidade para obter mais informações.
Relatório de segurança ecológica Blockchain para o terceiro trimestre de 2023
Escrito por Fairyproof
Resumo
No terceiro trimestre de 2023, o mercado cripto como um todo permaneceu sem intercorrências. No entanto, a frequência de acidentes de segurança na ecologia excedeu a dos dois trimestres anteriores. Durante o trimestre, aproximadamente US$ 572 milhões em criptoativos sofreram perdas de vários incidentes de segurança.
A Fairyproof estudou 198 casos típicos relatados publicamente no terceiro trimestre, analisou os casos e explorou as características do ecossistema de segurança refletidas nesses incidentes e as medidas preventivas relevantes que os usuários podem tomar.
AntecedentesIntroduçãoAntes de apresentar os resultados do relatório de pesquisa da Fairyproof em detalhes, é necessário explicar e explicar os termos relevantes neste relatório.
CCBS
CCBS significa "Centralized Crypto Asset or Blockchain Service Authority" (Autoridade de Criptoativos Centralizados ou Autoridade de Serviços de Blockchain). Geralmente refere-se à plataforma de serviços não-on-chain gerenciada por operação humana, e sua tecnologia central depende principalmente da tecnologia centralizada tradicional, e suas atividades diárias de operação e manutenção são principalmente atividades off-chain. As exchanges tradicionais de criptoativos (como a Binance) e as plataformas de aceitação de emissão de criptoativos (como a Tether) são típicas disso.
FLASHLOAN
Os empréstimos relâmpagos são uma maneira comum e popular para hackers atacarem contratos inteligentes na plataforma Ethereum Virtual Machine. Flash Loan é um conhecido aplicativo DeFi AAVE[1] [2]Um método de invocação de contrato inventado pela equipa. Esta chamada de contrato permite que os usuários emprestem criptoativos diretamente de aplicativos DeFi que suportam esse recurso sem qualquer garantia, desde que o usuário devolva o ativo dentro de uma transação em bloco para tornar a transação válida [3]。 Originalmente, esta função foi inventada para dar aos usuários DeFi um meio mais flexível e conveniente para realizar várias atividades financeiras on-chain. Mas mais tarde, o cenário mais utilizado para empréstimos flash devido à sua flexibilidade tornou-se hackers emprestando ERC-20 O token é então usado para atacar. Antes de iniciar um empréstimo relâmpago, o usuário precisa descrever claramente a lógica de empréstimo (ativos) e retorno (ativos, juros e taxas de processamento relacionadas) em um contrato e, em seguida, chamar o contrato para iniciar o empréstimo flash.
PONTE DE CADEIA CRUZADA**
Uma ponte de cadeia cruzada é uma infraestrutura que conecta vários blockchains independentes, permitindo que tokens implantados em diferentes blockchains circulem entre cada blockchain.
À medida que mais e mais blockchains têm seus próprios ecossistemas, aplicativos e criptoativos, a demanda por comunicação e transações entre blockchain tem crescido significativamente. Isso também torna as pontes entre cadeias um alvo quente aos olhos dos hackers.
Destaques do relatório
A Fairyproof estudou em detalhe os 198 incidentes de segurança típicos que ocorreram no terceiro trimestre de 2023 e, neste relatório, analisou estatisticamente vários fatores, como a quantidade de danos causados por esses incidentes, as causas, e deu as correspondentes recomendações e medidas de prevenção.
Estatísticas e Análise de Incidentes de Segurança no 3º trimestre de 2023
A equipa de investigação Fairyproof estudou em detalhe os 198 incidentes de segurança que se destacaram no terceiro trimestre de 2023, listou os resultados estatísticos e analisou-os em termos do alvo do ataque e da causa raiz do ataque.
A perda total de criptoativos desses 198 incidentes de segurança totalizou US$ 572 milhões, e a Tradingview mostrou um valor total de criptoativos tradicionais de US$ 1.056 bilhões. A relação entre ativos de perda e capitalização de mercado total é de 0,05%.
Incidentes de segurança baseados na vítima
Os incidentes de segurança estudados pela Fairyproof podem ser divididos nas seguintes quatro categorias de acordo com suas vítimas:
Serviço Centralizado de Criptoativos ou Blockchain (CCBS, CCBS doravante referido como este conceito)
Cadeias de blocos
Aplicações Descentralizadas (dApps)
Pontes de cadeia cruzada
Para efeitos do presente relatório, um incidente de segurança do CCBS ocorre quando o sistema do CCBS é atacado ou comprometido. Durante estes incidentes, os bens sob custódia do CCBS foram roubados ou os serviços operacionais foram interrompidos. Um incidente de segurança de blockchain é quando a rede principal de blockchain, sidechain ou sistema de extensão de segunda camada conectado à rede principal de blockchain é atacado ou comprometido. Normalmente, nesses eventos, os hackers atacam de dentro do sistema, fora do sistema, ou ambos, resultando em mau funcionamento de software ou hardware e perda de ativos.
Um incidente de segurança dApp é quando um dApp é atacado e não funciona corretamente, dando aos hackers a oportunidade de roubar ativos criptográficos gerenciados no dApp.
Um evento de segurança de ponte de cadeia cruzada refere-se a um ataque à ponte de cadeia cruzada, fazendo com que ela não funcione corretamente ou até mesmo leve ao roubo dos criptoativos com os quais transacionou.
Fairyproof dividiu um total de 198 incidentes nas quatro categorias descritas acima, com um gráfico de distribuição proporcional da seguinte forma:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-5a19b0fd09-dd1a6f-69ad2a.webp)
Como pode ser visto pela figura, o número de incidentes de segurança dApp representou 86,87% do total, mais do que qualquer outra categoria. Entre eles, 198 foram eventos de segurança dApp, 4 foram eventos de segurança CCBS, 14 foram eventos de segurança blockchain, 4 foram eventos de segurança de ponte de cadeia cruzada e 172 foram eventos de segurança dApp.
Eventos de segurança Blockchain
Os incidentes de segurança envolvendo blockchain podem ser subdivididos nas seguintes três categorias:
Redes principais de blockchain ii Correntes laterais
Soluções de camada 2
Também conhecida como Camada 1, a mainnet blockchain é uma blockchain independente com sua própria rede, protocolo, consenso e validadores. A mainnet blockchain pode verificar transações, dados e blocos, tudo feito por seus próprios validadores e, em última análise, consistente. Bitcoin e Ethereum são mainnets blockchain típicos.
Uma sidechain é um blockchain separado que opera em paralelo com a mainnet blockchain. Ele também tem seu próprio consenso e validadores, mas será ancorado de alguma forma (como ancoragem bidirecional[4] [5]O sistema de escalonamento de segunda camada é um sistema que depende da mainnet blockchain, que requer a mainnet blockchain para fornecer segurança e eventual consistência 。 É principalmente para resolver a escalabilidade da mainnet blockchain, que pode processar transações com taxas mais baixas e preços mais baixos. Desde 2021, o sistema de escalonamento de Camada 2 anexado ao Ethereum cresceu a passos largos.
Tanto as sidechains quanto os sistemas de escalonamento de camada 2 são projetados para lidar com a escalabilidade da rede principal do blockchain. A principal diferença entre os dois é que as sidechains não dependem da rede principal do blockchain para fornecer segurança e consistência, mas um sistema de escalonamento de camada 2 sim.
No total, houve 14 incidentes de segurança relacionados ao blockchain no terceiro trimestre de 2023. A figura abaixo mostra a proporção da rede principal do blockchain, sidechain e sistema de escalonamento de camada 2.
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-868bc0f0f8-dd1a6f-69ad2a.webp)
Como pode ser visto na figura acima, o número de incidentes de segurança relacionados à mainnet blockchain e os eventos de segurança relacionados ao sistema de extensão de segunda camada representaram 92,86% (13 casos) e 7,14% do total, respectivamente
。 Não há eventos típicos de segurança sidechain. A segunda camada de eventos de segurança do sistema estendido envolve sistemas que são Metis[6] [7], a mainnet envolvida no incidente de segurança da mainnet blockchain é a Mixin 、
Rede Quai[8] [9]、Swisstronik [10]、Blockchain SwapDex [11]Adequado Aguarde.
Eventos de segurança DAPP
Dos 172 incidentes de segurança envolvendo dApps, 16 foram fugitivos, 1 foi implicado e 155 foram diretamente atacados. Os ataques diretos aos dApps normalmente envolvem três áreas:
O front-end, back-end e contrato inteligente do Dapp. Portanto, dividimos os 155 incidentes diretamente atacados nas seguintes três categorias: i. dApp frontend ii. dApp Backend iii. Contratos dApp
No caso de um ataque front-end a um dApp, os hackers atacam principalmente através de vulnerabilidades front-end para roubar ativos ou paralisar seus serviços.
No incidente de ataque em segundo plano dApp, os hackers lançam ataques principalmente através de vulnerabilidades em segundo plano, como sequestrar a comunicação entre o back-end e o contrato, sequestrar ativos ou paralisar serviços.
No caso dos ataques de contrato dApp, os hackers lançaram ataques principalmente através de vulnerabilidades contratuais, roubando ativos ou paralisando seus serviços. O gráfico seguinte mostra a proporção de incidentes atacados nestas três categorias:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-f4d56e16cd-dd1a6f-69ad2a.webp)
Como mostrado na figura acima, a proporção de ataques de contrato, backend e front-end foi de 19,35%, 0% e 80,65%, respectivamente. De um total de 155 incidentes, 125 foram ataques front-end.
30 casos foram ataques contratuais.
Estudamos ainda a quantidade de perdas de criptoativos causadas por vários eventos. Entre eles, as perdas causadas por ataques de contrato e ataques front-end foram de US$ 210 milhões e US$ 39,8 milhões, respectivamente, representando 84,03% e 15,97% do prejuízo total, respectivamente, como mostra a figura a seguir:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-afbfc4260b-dd1a6f-69ad2a.webp)
Entre as muitas vulnerabilidades de contrato, falhas lógicas, vazamento de chave privada, ataques de empréstimo flash e ataques de reentrância são vulnerabilidades típicas.
Estudamos 30 incidentes de segurança envolvendo ataques diretos a contratos e obtivemos o seguinte gráfico de escala:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-b3751e6100-dd1a6f-69ad2a.webp)
Como mostrado na figura acima, as falhas lógicas causam a maior proporção de eventos de segurança do contrato. Os defeitos lógicos geralmente incluem validação de parâmetros ausente, validação de permissão ausente e assim por diante. O número de incidentes de segurança causados por uma falha lógica foi de 13.
A figura a seguir mostra a proporção do valor da perda causada por cada vulnerabilidade:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d3d647d2ff-dd1a6f-69ad2a.webp)
O valor da perda causada pelo vazamento da chave privada representa a maior proporção. As 4 violações de chave privada resultaram em uma perda total de US$ 173 milhões, ou 82,56% da perda total.
Incidentes de segurança baseados em causas
Com base nas causas dos incidentes de segurança blockchain, dividimos os acidentes em três categorias: i. Causados por ataques de hackers
ii. Fugir iii. Outros
Nossos resultados são mostrados na figura abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-31c0f83cbf-dd1a6f-69ad2a.webp)
Como mostra a figura acima, a proporção de acidentes de segurança causados por ataques de hackers e fuga foi de 91,92% (182 casos) e 8,08% (16 casos), respectivamente.
Analisamos as perdas causadas por essas causas, como mostra o gráfico abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-75f23ae294-dd1a6f-69ad2a.webp)
Como mostra a figura acima, as perdas causadas por hacking e fuga representaram 94,69% e 5,31%, respectivamente, com o primeiro levando a um prejuízo de US $ 541 milhões e o segundo levando a um prejuízo de US $ 30,35 milhões. Isso mostra que o hacking continua sendo uma grande ameaça à segurança do setor no 3º trimestre de 2023.
Incidente de hackingEstudamos o incidente de hacking, como mostra a figura a seguir:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-003c1041e6-dd1a6f-69ad2a.webp)
Como mostra a figura acima, a proporção de ataques de hackers a dApps, blockchain, CCBS e pontes de cadeia cruzada foi de 87,64% (156), 7,87% (14), 2,25% (4) e respectivamente
2.25%(4)。
Analisamos a quantidade de perdas causadas por vários tipos de eventos, como mostra o gráfico abaixo:
! [Q3 2023 Blockchain Relatório de Segurança Ecológica] (https://img-cdn.gateio.im/webp-social/moments-69a80767fe-d76a8c565c-dd1a6f-69ad2a.webp)
As perdas de ativos causadas pelos ataques de hackers ao blockchain, dApps, pontes cross-chain e CCBS representaram 36,97%, 46,25%, 0,79% e 15,99%, respectivamente, e as perdas específicas foram de US$ 200 milhões, US$ 250 milhões, US$ 86,5 milhões e US$ 4,3 milhões, respectivamente. Outros incidentes de segurança não resultaram em perdas significativas.
Eventos de fuga
Os eventos típicos de fuga que ocorreram no terceiro trimestre de 2023 foram projetos dApp. Um total de US$ 30,35 milhões foi causado pelos 16 incidentes de escoamento. Esta quantidade de danos é muito menor do que a quantidade de danos causados por hacking.
Resultados da Investigação
De acordo com as nossas estatísticas, no terceiro trimestre de 2023, o alvo preferido dos hackers ainda são os projetos dApp, e os ataques aos dApps excedem em muito qualquer outro objeto, representando 87,64% do número total de ataques e 46,25% do total de perdas. De todos os ataques, o mais grave foi no Multichain[12] ataque.
Para todo o ecossistema blockchain, os hackers ainda são a maior ameaça à segurança, tanto em termos do número de incidentes de segurança causados por eles quanto da perda de ativos que causam, e o número de incidentes de segurança causados por ataques de hackers representa mais de 91,92% do número total de incidentes de segurança, excedendo em muito a ameaça causada por eventos em execução para a ecologia.
Um dApp típico consiste em três partes: front-end, back-end e contrato inteligente. Quando um hacker ataca um dApp, eles atacam uma parte ou várias partes ao mesmo tempo. De acordo com nossas estatísticas, os ataques ao frontend dApp superam em muito os ataques de contrato, mas a quantidade de danos causados por ataques a contratos inteligentes excede em muito a quantidade de danos ao frontend.
Isso mostra que os perigos ocultos dos contratos inteligentes ainda são os maiores perigos ocultos da segurança do dApp.
Os eventos típicos de fuga no terceiro trimestre de 2023 ocorreram todos em projetos dApp.
Entre os incidentes em que contratos inteligentes foram hackeados, o número de ataques causados pelas três categorias a seguir é o três primeiro: primeiro: falhas de lógica e segundo: empréstimos flash
No entanto, em termos de quantidade de perda, a quantidade de perda de ativos causada pelo ataque causado pelo vazamento da chave privada está no topo da lista, superando em muito outras categorias.
Planos e medidas práticas para prevenir incidentes de segurança
Nesta seção, resumiremos alguns cenários e medidas para ajudar os desenvolvedores e usuários de blockchain a gerenciar e prevenir os riscos de blockchain com base nas características dos incidentes de segurança que ocorreram no terceiro trimestre de 2023. Recomendamos que os desenvolvedores e usuários de blockchain implementem e pratiquem ativamente esses planos e medidas, tanto quanto possível, em suas operações diárias e trabalhem para proteger a segurança de projetos e criptoativos na maior extensão.
Nota: "Desenvolvedor de blockchain" refere-se tanto ao desenvolvedor do projeto de blockchain em si quanto ao desenvolvedor relacionado ao sistema blockchain ou seu sistema de extensão (como ativos criptográficos, etc.). "Usuários de Blockchain" refere-se a todos os usuários que participam de atividades do sistema blockchain (como gerenciamento, operação, manutenção, etc.) ou transações de criptoativos.
** Para desenvolvedores de blockchain**
Embora não tenha havido incidentes de segurança típicos envolvendo sistemas de expansão de Camada 2 no terceiro trimestre, a segurança dos sistemas de expansão de Camada 2 ainda merece atenção. Como o desenvolvimento e o desembarque do esquema de extensão de segunda camada continuarão a ser o ponto quente e o foco de todo o ecossistema, a pesquisa sobre a segurança do esquema será um grande desafio para a indústria.
Em aplicações blockchain, quando o projeto é implantado e executado de forma estável por um período de tempo, é uma etapa necessária para transferir a autoridade para controlar as operações-chave no projeto para a carteira multisig ou organização DAO para gerenciamento.
Quando os hackers descobrem vulnerabilidades em contratos inteligentes, geralmente usam empréstimos flash para atacar os contratos. Essas vulnerabilidades exploráveis geralmente incluem vulnerabilidades de reentrância, falhas lógicas (por exemplo, falta de validação de permissão, algoritmos de preços incorretos), etc. Prevenir e lidar rigorosamente com essas vulnerabilidades requer alta atenção para os desenvolvedores de contratos inteligentes, e até mesmo precisa ser classificado no topo da importância.
Nossas estatísticas também mostram que cada vez mais hackers estão lançando ataques de phishing por meio de softwares de mídia social, como Discord, Twitter, etc. Este fenómeno manteve-se ao longo de 2022 e até ao terceiro trimestre de 2023. Muitos usuários sofreram perdas nele. A equipe do projeto precisa implementar uma gestão rigorosa e abrangente de suas mídias sociais, implantar soluções de segurança correspondentes para garantir a segurança e a estabilidade de sua operação de mídia social e evitar que ela seja explorada por hackers.
Usuário Blockchain
Mais e mais usuários estão começando a participar de várias atividades ecológicas de blockchain e detêm vários ativos ecológicos de blockchain. Neste processo, a atividade de transações entre cadeias também cresceu rapidamente. Quando os usuários participam de transações entre cadeias, os usuários precisam interagir com pontes entre cadeias, que muitas vezes são alvo de hackers. Portanto, antes de iniciar transações entre cadeias, os usuários precisam investigar e entender o status de segurança e o status de operação da ponte de cadeia cruzada que usam em detalhes para garantir a segurança, estabilidade e confiabilidade da ponte de cadeia cruzada.
Quando os usuários interagem com um dApp, eles devem prestar muita atenção à qualidade e segurança de seus contratos inteligentes, bem como à segurança do frontend dApp. Tenha cuidado com algumas informações desconhecidas e altamente suspeitas, prompts, diálogos, etc. exibidos no front-end, e não clique ou siga suas instruções à vontade.
É altamente recomendável que os usuários verifiquem e leiam cuidadosamente o relatório de auditoria de qualquer projeto de blockchain antes de interagir ou investir em um projeto de blockchain. Discutir envolvimento em projetos que não tenham um relatório de auditoria ou reportar algo suspeito.
Recomendamos que os usuários tentem usar carteiras frias ou carteiras multisig para gerenciar grandes ativos ou ativos que não são usados para transações frequentes. Tenha sempre cuidado com a segurança operacional da hot wallet e certifique-se de que a plataforma de hardware na qual a hot wallet está instalada é inerentemente segura, confiável e estável.
Os usuários precisam fazer algum nível de investigação e compreensão dos antecedentes da equipe do projeto blockchain. Tenha cuidado com equipas com fundos desfocados e crédito em falta. Tenha cuidado com o risco de fugir com tais projetos. Para trocas centralizadas que são usadas com frequência, os usuários devem prestar mais atenção ao seu histórico e crédito, e verificar o histórico, informações e dados dessas trocas de várias fontes de dados de terceiros, tanto quanto possível, para garantir a operação segura e sustentável a longo prazo da troca.
Recursos
[1] Fantasma.
[2] Empréstimos relâmpagos.. empréstimos relâmpagos/
[3] PADRÃO DE TOKEN ERC-20.
[4] Cadeias laterais.
[5] Camada-2.
[6] Metis.
[7] Mixin.
[8] Rede Quai.
[9] Swisstronik.
[10] Blockchain SwapDex.
[11] Adequado.
[12] Multicadeia.