У третьому кварталі 2023 року крипторинок загалом залишався без подій. Однак частота аварій з техніки безпеки в екології перевищила показник попередніх двох кварталів. Протягом кварталу приблизно $572 млн криптоактивів зазнали збитків від різних інцидентів безпеки.
Fairyproof вивчив 198 типових випадків, про які публічно повідомлялося в третьому кварталі, і проаналізував ці випадки, а також вивчив характеристики екосистеми безпеки, відображені в цих інцидентах, і відповідні превентивні заходи, які можуть вжити користувачі.
ПередумовиВступПерш ніж детально представити результати звіту про дослідження Fairyproof, необхідно пояснити та пояснити відповідні терміни в цьому звіті.
CCBS
Абревіатура CCBS розшифровується як «Centralized Crypto Asset or Blockchain Service Authority». Зазвичай це відноситься до неончейн сервісної платформи, керованої людською діяльністю, і її основна технологія в основному покладається на традиційну централізовану технологію, а її повсякденна діяльність з експлуатації та технічного обслуговування в основному є діяльністю поза мережею. Традиційні біржі криптоактивів (такі як Binance) та платформи прийому випуску криптоактивів (наприклад, Tether) є типовими для цього.
FLASHLOAN
Кредити Lightning є поширеним і популярним способом атаки хакерами на смарт-контракти на платформі віртуальної машини Ethereum. Flash Loan – це відомий DeFi-додаток AAVE[1] [2]Метод виклику контракту, винайдений командою. Цей виклик контракту дозволяє користувачам позичати криптоактиви безпосередньо з додатків DeFi, які підтримують цю функцію, без будь-якої застави, за умови, що користувач повертає актив у блочній транзакції, щоб зробити транзакцію дійсною [3]。 Спочатку ця функція була винайдена, щоб надати користувачам DeFi більш гнучкі та зручні засоби для здійснення різної фінансової діяльності в мережі. Але пізніше найбільш використовуваним сценарієм для флеш-позик завдяки своїй гнучкості стало кредитування хакерами ERC-20 Потім токен використовується для атаки. Перш ніж ініціювати швидку позику, користувач повинен чітко описати логіку кредитування (активи) та повернення (активи, відсотки та пов'язані з ними комісії за обробку) у контракті, а потім викликати контракт, щоб ініціювати флеш-позику.
КРОСЧЕЙН-МІСТ**
Кросчейн-міст – це інфраструктура, яка з'єднує кілька незалежних блокчейнів, дозволяючи токенам, розгорнутим у різних блокчейнах, циркулювати між кожним блокчейном.
Оскільки все більше блокчейнів мають власні екосистеми, програми та криптоактиви, попит на міжблокчейн-зв'язок та транзакції значно зріс. Це також робить кросчейн-мости гарячою мішенню в очах хакерів.
Основні моменти звіту
Fairyproof детально вивчив 198 типових інцидентів безпеки, які сталися в третьому кварталі 2023 року, і в цьому звіті статистично проаналізував різні фактори, такі як розмір збитків, завданих цими інцидентами, причини, і дав відповідні рекомендації та заходи запобігання.
Статистика та аналіз інцидентів безпеки у 3 кварталі 2023 року
Дослідницька група Fairyproof детально вивчила 198 інцидентів безпеки, які виділилися в третьому кварталі 2023 року, перерахувала статистичні результати та проаналізувала їх з точки зору мети атаки та першопричини атаки.
Загальна втрата криптоактивів від цих 198 інцидентів безпеки склала 572 мільйони доларів, а Tradingview показав загальну вартість основних криптоактивів у 1,056 мільярда доларів. Відношення збиткових активів до загальної ринкової капіталізації становить 0,05%.
Інциденти безпеки, засновані на жертві
Інциденти безпеки, вивчені Fairyproof, можна розділити на наступні чотири категорії відповідно до їх жертв:
Централізований криптоактив або блокчейн-сервіс (CCBS, CCBS далі – ця концепція)
Блокчейни
Децентралізовані додатки (dApps)
Кросчейн-мости
Для цілей цього звіту інцидент, пов'язаний з безпекою CCBS, – це атака або компрометація системи CCBS. Під час цих інцидентів були викрадені активи, що перебували на зберіганні CCBS, або були порушені експлуатаційні послуги. Інцидент безпеки блокчейну – це коли основна мережа блокчейну, сайдчейн або система розширень другого рівня, підключена до основної мережі блокчейну, піддається атаці або компрометації. Зазвичай у цих випадках хакери атакують зсередини системи, ззовні системи або і те, і інше, що призводить до збоїв у роботі програмного чи апаратного забезпечення та втрати активів.
Інцидент безпеки dApp – це коли dApp атакується та не працює належним чином, що дає хакерам можливість викрасти криптографічні активи, керовані в dApp.
Подія безпеки кросчейн-мосту відноситься до атаки на кросчейн-міст, що призводить до його неправильної роботи або навіть до крадіжки криптоактивів, з якими він здійснював транзакції.
Fairyproof розділив загалом 198 інцидентів на чотири категорії, описані вище, з пропорційною діаграмою розподілу наступним чином:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/a89e4cf4c8b19410eff238448ca5e395.png)
Як видно з малюнка, кількість інцидентів безпеки dApp склала 86,87% від загальної кількості, більше, ніж у будь-якій іншій категорії. Серед них 198 – події безпеки dApp, 4 – події безпеки CCBS, 14 – події безпеки блокчейну, 4 – події безпеки кросчейн-мосту та 172 події безпеки dApp.
Події безпеки блокчейну
Інциденти безпеки, пов'язані з блокчейном, можна додатково розділити на наступні три категорії:
Основні мережі блокчейну ii Бічні ланцюги
Рішення рівня 2
Також відома як рівень 1, основна мережа блокчейну є незалежним блокчейном із власною мережею, протоколом, консенсусом і валідаторами. Основна мережа блокчейну може перевіряти транзакції, дані та блоки, які виконуються її власними валідаторами і, зрештою, є послідовними. Bitcoin та Ethereum є типовими основними мережами блокчейну.
Сайдчейн – це окремий блокчейн, який працює паралельно з основною мережею блокчейну. Він також має власний консенсус і валідатори, але він буде певним чином закріплений (наприклад, двостороннє якорування[4] [5]Система масштабування другого рівня – це система, яка покладається на основну мережу блокчейну, яка вимагає, щоб основна мережа блокчейну забезпечувала безпеку та кінцеву узгодженість 。 В основному це стосується масштабованості основної мережі блокчейну, яка може обробляти транзакції з нижчими комісіями та нижчими цінами. З 2021 року система масштабування рівня 2, підключена до Ethereum, зросла як на дріжджах.
Як сайдчейни, так і системи масштабування рівня 2 призначені для вирішення проблеми масштабованості основної мережі блокчейну. Основна відмінність між ними полягає в тому, що сайдчейни не покладаються на основну мережу блокчейну для забезпечення безпеки та послідовності, але система масштабування рівня 2 це робить.
Загалом у третьому кварталі 2023 року сталося 14 інцидентів безпеки, пов'язаних із блокчейном. На малюнку нижче показана частка основної мережі блокчейну, сайдчейну та системи масштабування рівня 2.
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/38ffdfc32f8c433a3f7a49164e6caf2c.png)
Як видно з наведеного малюнка, кількість інцидентів безпеки, пов'язаних з основною мережею блокчейну, і подій безпеки, пов'язаних з системою розширення другого рівня, склала 92,86% (13 випадків) і 7,14% від загальної кількості відповідно
。 Типових подій безпеки сайдчейнів немає. Другий рівень розширених подій безпеки системи включає системи, які є метисами[6] [7], основною мережею, яка бере участь в інциденті з безпекою основної мережі блокчейну, є Mixin 、
Мережа Quai[8] [9]、Swisstronik [10]、Блокчейн SwapDex [11]Підходящий Чекати.
Події безпеки DAPP
Зі 172 інцидентів безпеки, пов'язаних з dApps, 16 були втікачами, 1 був причетний, а 155 були безпосередньо атаковані. Прямі атаки на dApps зазвичай охоплюють три сфери:
Фронтенд, бекенд і смарт-контракт Dapp. Таким чином, ми поділяємо 155 інцидентів, які безпосередньо зазнали атаки, на наступні три категорії: i. dApp frontend ii. Серверна частина dApp iii. Контракти dApp
У разі зовнішньої атаки на dApp хакери в основному атакують через зовнішні вразливості, щоб вкрасти активи або паралізувати їхні послуги.
Під час інциденту фонової атаки dApp хакери в основному здійснюють атаки через фонові вразливості, такі як викрадення зв'язку між серверною частиною та контрактом, викрадення активів або паралізація послуг.
У разі атак на контракти dApp хакери в основному здійснювали атаки через вразливості контрактів, викрадаючи активи або паралізуючи їхні послуги. Наступний графік показує частку атак у цих трьох категоріях:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/1c0f7d516b29c5260d7790d0756b8eee.png)
Як видно з наведеного вище малюнка, частка контрактних, бекенд і фронтенд атак склала 19,35%, 0% і 80,65% відповідно. Із загальної кількості 155 інцидентів 125 були атаками на фронт-енд.
30 випадків були замовними.
Далі ми вивчили суму втрат криптоактивів, спричинених різними подіями. Серед них збитки, спричинені контрактними атаками та фронт-енд атаками, склали US$210 млн та US$39,8 млн відповідно, що становить 84,03% та 15,97% від загального збитку відповідно, як показано на наступному малюнку:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/89f98870349f99a878152658943d12bb.png)
Серед безлічі вразливостей контрактів типовими вразливостями є логічні недоліки, витік приватного ключа, атаки флеш-позик і атаки повторного входу.
Ми вивчили 30 інцидентів безпеки, пов'язаних з прямими контрактними атаками, і отримали наступний графік масштабу:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/d8ec1949322e5f3cbc4f32cfed966618.png)
Як показано на малюнку вище, логічні недоліки спричиняють найбільшу частку подій безпеки контрактів. До логічних дефектів часто відносять відсутність валідації параметрів, відсутність перевірки дозволів тощо. Кількість інцидентів безпеки, спричинених недоліком логіки, становила 13.
На наступному малюнку показано співвідношення суми збитків, спричинених кожною вразливістю:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/43c448b335833805a038d0fd4ea3b505.png)
Сума збитків, спричинена витоком приватного ключа, становить найбільшу частку. 4 витоки приватних ключів призвели до загальних збитків у розмірі 173 мільйони доларів, або 82,56% від загального збитку.
Інциденти, пов'язані з безпекою за причинами
Виходячи з причин інцидентів безпеки блокчейну, ми поділяємо нещасні випадки на три категорії: i. Спричинені хакерськими атаками
ii. Втеча і. інший
Наші висновки показані на малюнку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/886803f8085fc8788dcf7488156087af.png)
Як показано на малюнку вище, частка нещасних випадків, спричинених хакерськими атаками та втечею, склала 91,92% (182 випадки) та 8,08% (16 випадків) відповідно.
Ми розглянули збитки, спричинені цими причинами, як показано на графіку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/61306c8bd9c89411dac0654b6b2c88df.png)
Як показано на малюнку вище, збитки, спричинені зламом і втечею, склали 94,69% і 5,31% відповідно, причому перший призвів до збитків у розмірі $541 млн, а другий – до збитків у розмірі $30,35 млн. Це свідчить про те, що хакерство залишається серйозною загрозою безпеці галузі в 3 кварталі 2023 року.
Хакерський інцидентМи вивчили хакерський інцидент, як показано на наступному малюнку:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/57ec3c724a540940de823d4f6436995e.png)
Як показано на малюнку вище, частка хакерських атак на dApps, блокчейн, CCBS і кросчейн-мости склала 87,64% (156), 7,87% (14), 2,25% (4) і відповідно
2.25%(4)。
Ми розглянули суму збитків, спричинених різними типами подій, як показано на графіку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/c83731b7e4e2871759f68636e0383a79.png)
Втрати активів, спричинені хакерськими атаками на блокчейн, dApps, кросчейн-мости та CCBS, склали 36,97%, 46,25%, 0,79% та 15,99% відповідно, а конкретні збитки склали $200 млн, $250 млн, $86,5 млн та $4,3 млн відповідно. Інші інциденти, пов'язані з безпекою, не призвели до значних збитків.
Події Run away
Типовими подіями, що відбулися в третьому кварталі 2023 року, були проєкти dApp. Загалом 30,35 мільйона доларів було спричинено 16 інцидентами з другим туром. Ця сума збитків набагато менша, ніж сума шкоди, завданої зломом.
Результати дослідження
Згідно з нашою статистикою, у третьому кварталі 2023 року найкращою ціллю хакерів, як і раніше, залишаються проєкти dApp, а атаки на dApps значно перевищують будь-який інший об'єкт, становлячи 87,64% від загальної кількості атак та 46,25% від загальних збитків. З усіх атак найсерйозніша була на Multichain[12] Напад.
Для всієї екосистеми блокчейну хакери, як і раніше, є найбільшою загрозою безпеці, як з точки зору кількості викликаних ними інцидентів безпеки, так і з точки зору втрати активів, які вони спричиняють, а кількість інцидентів безпеки, спричинених хакерськими атаками, становить понад 91,92% від загальної кількості інцидентів безпеки, що значно перевищує загрозу, спричинену запущеними подіями для навколишнього середовища.
Типовий dApp складається з трьох частин: front-end, back-end і смарт-контракт. Коли хакер атакує dApp, він атакує одну частину або кілька частин одночасно. Згідно з нашою статистикою, атак на фронтенд dApp значно перевищує кількість атак на контракти, але сума шкоди, завданої атаками на смарт-контракти, значно перевищує суму шкоди фронтенду.
Це свідчить про те, що приховані небезпеки смарт-контрактів, як і раніше, є найбільшими прихованими небезпеками безпеки dApp.
Типові події в третьому кварталі 2023 року відбулися на проєктах dApp.
Серед інцидентів, коли смарт-контракти були зламані, трійка лідерів за кількістю атак, викликаних наступними трьома категоріями: перша: недоліки логіки, а друга: флеш-позики
Однак, з точки зору суми збитків, сума втрати активів, спричинена атакою, спричиненою витоком приватного ключа, знаходиться на вершині списку, значно перевершуючи інші категорії.
Практичні плани та заходи щодо запобігання інцидентам з безпекою
У цьому розділі ми узагальнимо деякі сценарії та заходи, які допоможуть розробникам та користувачам блокчейну керувати та запобігати ризикам блокчейну на основі характеристик інцидентів безпеки, які сталися в третьому кварталі 2023 року. Ми рекомендуємо як розробникам блокчейну, так і користувачам активно впроваджувати та практикувати ці плани та заходи, наскільки це можливо, у своїх повсякденних операціях та працювати над захистом безпеки проєктів та криптоактивів у найбільшій мірі.
Примітка: «Розробник блокчейну» відноситься як до розробника самого блокчейн-проекту, так і до розробника, пов'язаного з системою блокчейн або системою її розширення (наприклад, криптографічні активи тощо). «Користувачі блокчейну» означають усіх користувачів, які беруть участь у діяльності системи блокчейн (наприклад, управління, експлуатація, технічне обслуговування тощо) або транзакціях криптоактивів.
** Для розробників блокчейну**
Незважаючи на те, що в третьому кварталі не було типових інцидентів безпеки, пов'язаних із масштабованими системами рівня 2, безпека масштабованих систем рівня 2 все одно заслуговує на увагу. Оскільки розробка та посадка схеми розширення другого рівня залишатиметься гарячою точкою та фокусом усієї екосистеми, дослідження безпеки схеми стане серйозним викликом для галузі.
У блокчейн-додатках, коли проєкт розгорнутий і стабільно працює протягом певного періоду часу, необхідним кроком є передача повноважень щодо контролю ключових операцій у проєкті гаманцю з мультипідписом або організації DAO для управління.
Коли хакери виявляють вразливості в смарт-контрактах, вони часто використовують флеш-позики для атаки на контракти. Ці вразливості, які можна експлуатувати, часто включають уразливості повторного входу, логічні недоліки (наприклад, відсутність перевірки дозволів, неправильні алгоритми ціноутворення) тощо. Суворе запобігання та боротьба з цими вразливостями вимагає від розробників смарт-контрактів високої уваги, і навіть має бути поставлена на перше місце за важливістю.
Наша статистика також показує, що все більше хакерів запускають фішингові атаки через програмне забезпечення соціальних мереж, таке як Discord, Twitter тощо. Це явище тривало протягом усього 2022 року та до третього кварталу 2023 року. Чимало користувачів зазнали збитків у ньому. Команді проєкту необхідно впровадити суворе та всебічне управління своїми соціальними мережами, розгорнути відповідні рішення безпеки, щоб забезпечити безпеку та стабільність роботи соціальних мереж, а також запобігти їх використанню хакерами.
Користувач блокчейну
Все більше і більше користувачів починають брати участь у різних екологічних заходах блокчейну та володіти різними екологічними активами блокчейну. У цьому процесі активність крос-чейн транзакцій також швидко зросла. Коли користувачі беруть участь у кросчейн-транзакціях, користувачам потрібно взаємодіяти з кросчейн-мостами, які часто стають мішенню хакерів. Тому, перш ніж користувачі ініціюють крос-чейн транзакції, вони повинні детально дослідити та зрозуміти стан безпеки та статус роботи кросчейн-мосту, який вони використовують, щоб забезпечити безпеку, стабільність та надійність кросчейн-мосту.
Коли користувачі взаємодіють із dApp, вони повинні звертати пильну увагу на якість і безпеку своїх смарт-контрактів, а також на безпеку інтерфейсу dApp. Будьте обережні з деякою невідомою та дуже підозрілою інформацією, підказками, діалогами тощо, що відображаються на інтерфейсі, і не натискайте та не дотримуйтесь їхніх інструкцій за власним бажанням.
Ми настійно рекомендуємо користувачам ретельно перевіряти та читати звіт про аудит будь-якого блокчейн-проекту, перш ніж взаємодіяти з блокчейн-проектом або інвестувати в нього. Обговоріть участь у проектах, які не мають аудиторського звіту або повідомляють про щось підозріле.
Ми рекомендуємо користувачам спробувати використовувати холодні гаманці або гаманці з мультипідписом для управління великими активами або активами, які не використовуються для частих транзакцій. Завжди будьте обережні з операційною безпекою гарячого гаманця та переконайтеся, що апаратна платформа, на якій встановлено гарячий гаманець, за своєю суттю безпечна, надійна та стабільна.
Користувачі повинні провести певний рівень дослідження та зрозуміти бекграунд команди блокчейн-проекту. Будьте обережні з командами з розмитим фоном і відсутністю титрів. Остерігайтеся ризику втекти з такими проектами. Для централізованих бірж, які часто використовуються, користувачі повинні приділяти більше уваги своєму бекграунду та кредиту, а також перевіряти бекграунд, інформацію та дані цих бірж із кількох сторонніх джерел даних, наскільки це можливо, щоб забезпечити довгострокову та стійку безпечну роботу біржі.
Ресурси
[1] Привид.
[2] Флеш-позики.. Флеш-кредити/
[3] СТАНДАРТ ТОКЕНІВ ERC-20.
[4] Бічні ланцюги.
[5] Шар-2.
[6] Метис.
[7] Міксин.
[8] Набережна Мережа.
[9] Swisstronik.
[10] Блокчейн SwapDex.
[11] Підходящий.
[12] Мультичейн.
Переглянути оригінал
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Звіт про екологічну безпеку блокчейну за третій квартал 2023 року
Написано Fairyproof
Огляд
У третьому кварталі 2023 року крипторинок загалом залишався без подій. Однак частота аварій з техніки безпеки в екології перевищила показник попередніх двох кварталів. Протягом кварталу приблизно $572 млн криптоактивів зазнали збитків від різних інцидентів безпеки.
Fairyproof вивчив 198 типових випадків, про які публічно повідомлялося в третьому кварталі, і проаналізував ці випадки, а також вивчив характеристики екосистеми безпеки, відображені в цих інцидентах, і відповідні превентивні заходи, які можуть вжити користувачі.
ПередумовиВступПерш ніж детально представити результати звіту про дослідження Fairyproof, необхідно пояснити та пояснити відповідні терміни в цьому звіті.
CCBS
Абревіатура CCBS розшифровується як «Centralized Crypto Asset or Blockchain Service Authority». Зазвичай це відноситься до неончейн сервісної платформи, керованої людською діяльністю, і її основна технологія в основному покладається на традиційну централізовану технологію, а її повсякденна діяльність з експлуатації та технічного обслуговування в основному є діяльністю поза мережею. Традиційні біржі криптоактивів (такі як Binance) та платформи прийому випуску криптоактивів (наприклад, Tether) є типовими для цього.
FLASHLOAN
Кредити Lightning є поширеним і популярним способом атаки хакерами на смарт-контракти на платформі віртуальної машини Ethereum. Flash Loan – це відомий DeFi-додаток AAVE[1] [2]Метод виклику контракту, винайдений командою. Цей виклик контракту дозволяє користувачам позичати криптоактиви безпосередньо з додатків DeFi, які підтримують цю функцію, без будь-якої застави, за умови, що користувач повертає актив у блочній транзакції, щоб зробити транзакцію дійсною [3]。 Спочатку ця функція була винайдена, щоб надати користувачам DeFi більш гнучкі та зручні засоби для здійснення різної фінансової діяльності в мережі. Але пізніше найбільш використовуваним сценарієм для флеш-позик завдяки своїй гнучкості стало кредитування хакерами ERC-20 Потім токен використовується для атаки. Перш ніж ініціювати швидку позику, користувач повинен чітко описати логіку кредитування (активи) та повернення (активи, відсотки та пов'язані з ними комісії за обробку) у контракті, а потім викликати контракт, щоб ініціювати флеш-позику.
КРОСЧЕЙН-МІСТ**
Кросчейн-міст – це інфраструктура, яка з'єднує кілька незалежних блокчейнів, дозволяючи токенам, розгорнутим у різних блокчейнах, циркулювати між кожним блокчейном.
Оскільки все більше блокчейнів мають власні екосистеми, програми та криптоактиви, попит на міжблокчейн-зв'язок та транзакції значно зріс. Це також робить кросчейн-мости гарячою мішенню в очах хакерів.
Основні моменти звіту
Fairyproof детально вивчив 198 типових інцидентів безпеки, які сталися в третьому кварталі 2023 року, і в цьому звіті статистично проаналізував різні фактори, такі як розмір збитків, завданих цими інцидентами, причини, і дав відповідні рекомендації та заходи запобігання.
Статистика та аналіз інцидентів безпеки у 3 кварталі 2023 року
Дослідницька група Fairyproof детально вивчила 198 інцидентів безпеки, які виділилися в третьому кварталі 2023 року, перерахувала статистичні результати та проаналізувала їх з точки зору мети атаки та першопричини атаки.
Загальна втрата криптоактивів від цих 198 інцидентів безпеки склала 572 мільйони доларів, а Tradingview показав загальну вартість основних криптоактивів у 1,056 мільярда доларів. Відношення збиткових активів до загальної ринкової капіталізації становить 0,05%.
Інциденти безпеки, засновані на жертві
Інциденти безпеки, вивчені Fairyproof, можна розділити на наступні чотири категорії відповідно до їх жертв:
Централізований криптоактив або блокчейн-сервіс (CCBS, CCBS далі – ця концепція)
Блокчейни
Децентралізовані додатки (dApps)
Кросчейн-мости
Для цілей цього звіту інцидент, пов'язаний з безпекою CCBS, – це атака або компрометація системи CCBS. Під час цих інцидентів були викрадені активи, що перебували на зберіганні CCBS, або були порушені експлуатаційні послуги. Інцидент безпеки блокчейну – це коли основна мережа блокчейну, сайдчейн або система розширень другого рівня, підключена до основної мережі блокчейну, піддається атаці або компрометації. Зазвичай у цих випадках хакери атакують зсередини системи, ззовні системи або і те, і інше, що призводить до збоїв у роботі програмного чи апаратного забезпечення та втрати активів.
Інцидент безпеки dApp – це коли dApp атакується та не працює належним чином, що дає хакерам можливість викрасти криптографічні активи, керовані в dApp.
Подія безпеки кросчейн-мосту відноситься до атаки на кросчейн-міст, що призводить до його неправильної роботи або навіть до крадіжки криптоактивів, з якими він здійснював транзакції.
Fairyproof розділив загалом 198 інцидентів на чотири категорії, описані вище, з пропорційною діаграмою розподілу наступним чином:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/a89e4cf4c8b19410eff238448ca5e395.png)
Як видно з малюнка, кількість інцидентів безпеки dApp склала 86,87% від загальної кількості, більше, ніж у будь-якій іншій категорії. Серед них 198 – події безпеки dApp, 4 – події безпеки CCBS, 14 – події безпеки блокчейну, 4 – події безпеки кросчейн-мосту та 172 події безпеки dApp.
Події безпеки блокчейну
Інциденти безпеки, пов'язані з блокчейном, можна додатково розділити на наступні три категорії:
Основні мережі блокчейну ii Бічні ланцюги
Рішення рівня 2
Також відома як рівень 1, основна мережа блокчейну є незалежним блокчейном із власною мережею, протоколом, консенсусом і валідаторами. Основна мережа блокчейну може перевіряти транзакції, дані та блоки, які виконуються її власними валідаторами і, зрештою, є послідовними. Bitcoin та Ethereum є типовими основними мережами блокчейну.
Сайдчейн – це окремий блокчейн, який працює паралельно з основною мережею блокчейну. Він також має власний консенсус і валідатори, але він буде певним чином закріплений (наприклад, двостороннє якорування[4] [5]Система масштабування другого рівня – це система, яка покладається на основну мережу блокчейну, яка вимагає, щоб основна мережа блокчейну забезпечувала безпеку та кінцеву узгодженість 。 В основному це стосується масштабованості основної мережі блокчейну, яка може обробляти транзакції з нижчими комісіями та нижчими цінами. З 2021 року система масштабування рівня 2, підключена до Ethereum, зросла як на дріжджах.
Як сайдчейни, так і системи масштабування рівня 2 призначені для вирішення проблеми масштабованості основної мережі блокчейну. Основна відмінність між ними полягає в тому, що сайдчейни не покладаються на основну мережу блокчейну для забезпечення безпеки та послідовності, але система масштабування рівня 2 це робить.
Загалом у третьому кварталі 2023 року сталося 14 інцидентів безпеки, пов'язаних із блокчейном. На малюнку нижче показана частка основної мережі блокчейну, сайдчейну та системи масштабування рівня 2.
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/38ffdfc32f8c433a3f7a49164e6caf2c.png)
Як видно з наведеного малюнка, кількість інцидентів безпеки, пов'язаних з основною мережею блокчейну, і подій безпеки, пов'язаних з системою розширення другого рівня, склала 92,86% (13 випадків) і 7,14% від загальної кількості відповідно
。 Типових подій безпеки сайдчейнів немає. Другий рівень розширених подій безпеки системи включає системи, які є метисами[6] [7], основною мережею, яка бере участь в інциденті з безпекою основної мережі блокчейну, є Mixin 、
Мережа Quai[8] [9]、Swisstronik [10]、Блокчейн SwapDex [11]Підходящий Чекати.
Події безпеки DAPP
Зі 172 інцидентів безпеки, пов'язаних з dApps, 16 були втікачами, 1 був причетний, а 155 були безпосередньо атаковані. Прямі атаки на dApps зазвичай охоплюють три сфери:
Фронтенд, бекенд і смарт-контракт Dapp. Таким чином, ми поділяємо 155 інцидентів, які безпосередньо зазнали атаки, на наступні три категорії: i. dApp frontend ii. Серверна частина dApp iii. Контракти dApp
У разі зовнішньої атаки на dApp хакери в основному атакують через зовнішні вразливості, щоб вкрасти активи або паралізувати їхні послуги.
Під час інциденту фонової атаки dApp хакери в основному здійснюють атаки через фонові вразливості, такі як викрадення зв'язку між серверною частиною та контрактом, викрадення активів або паралізація послуг.
У разі атак на контракти dApp хакери в основному здійснювали атаки через вразливості контрактів, викрадаючи активи або паралізуючи їхні послуги. Наступний графік показує частку атак у цих трьох категоріях:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/1c0f7d516b29c5260d7790d0756b8eee.png)
Як видно з наведеного вище малюнка, частка контрактних, бекенд і фронтенд атак склала 19,35%, 0% і 80,65% відповідно. Із загальної кількості 155 інцидентів 125 були атаками на фронт-енд.
30 випадків були замовними.
Далі ми вивчили суму втрат криптоактивів, спричинених різними подіями. Серед них збитки, спричинені контрактними атаками та фронт-енд атаками, склали US$210 млн та US$39,8 млн відповідно, що становить 84,03% та 15,97% від загального збитку відповідно, як показано на наступному малюнку:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/89f98870349f99a878152658943d12bb.png)
Серед безлічі вразливостей контрактів типовими вразливостями є логічні недоліки, витік приватного ключа, атаки флеш-позик і атаки повторного входу.
Ми вивчили 30 інцидентів безпеки, пов'язаних з прямими контрактними атаками, і отримали наступний графік масштабу:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/d8ec1949322e5f3cbc4f32cfed966618.png)
Як показано на малюнку вище, логічні недоліки спричиняють найбільшу частку подій безпеки контрактів. До логічних дефектів часто відносять відсутність валідації параметрів, відсутність перевірки дозволів тощо. Кількість інцидентів безпеки, спричинених недоліком логіки, становила 13.
На наступному малюнку показано співвідношення суми збитків, спричинених кожною вразливістю:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/43c448b335833805a038d0fd4ea3b505.png)
Сума збитків, спричинена витоком приватного ключа, становить найбільшу частку. 4 витоки приватних ключів призвели до загальних збитків у розмірі 173 мільйони доларів, або 82,56% від загального збитку.
Інциденти, пов'язані з безпекою за причинами
Виходячи з причин інцидентів безпеки блокчейну, ми поділяємо нещасні випадки на три категорії: i. Спричинені хакерськими атаками
ii. Втеча і. інший
Наші висновки показані на малюнку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/886803f8085fc8788dcf7488156087af.png)
Як показано на малюнку вище, частка нещасних випадків, спричинених хакерськими атаками та втечею, склала 91,92% (182 випадки) та 8,08% (16 випадків) відповідно.
Ми розглянули збитки, спричинені цими причинами, як показано на графіку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/61306c8bd9c89411dac0654b6b2c88df.png)
Як показано на малюнку вище, збитки, спричинені зламом і втечею, склали 94,69% і 5,31% відповідно, причому перший призвів до збитків у розмірі $541 млн, а другий – до збитків у розмірі $30,35 млн. Це свідчить про те, що хакерство залишається серйозною загрозою безпеці галузі в 3 кварталі 2023 року.
Хакерський інцидентМи вивчили хакерський інцидент, як показано на наступному малюнку:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/57ec3c724a540940de823d4f6436995e.png)
Як показано на малюнку вище, частка хакерських атак на dApps, блокчейн, CCBS і кросчейн-мости склала 87,64% (156), 7,87% (14), 2,25% (4) і відповідно
2.25%(4)。
Ми розглянули суму збитків, спричинених різними типами подій, як показано на графіку нижче:
! [Звіт про екологічну безпеку блокчейну за 3 квартал 2023 року] (https://cdn-img.panewslab.com//panews/2022/10/13/images/c83731b7e4e2871759f68636e0383a79.png)
Втрати активів, спричинені хакерськими атаками на блокчейн, dApps, кросчейн-мости та CCBS, склали 36,97%, 46,25%, 0,79% та 15,99% відповідно, а конкретні збитки склали $200 млн, $250 млн, $86,5 млн та $4,3 млн відповідно. Інші інциденти, пов'язані з безпекою, не призвели до значних збитків.
Події Run away
Типовими подіями, що відбулися в третьому кварталі 2023 року, були проєкти dApp. Загалом 30,35 мільйона доларів було спричинено 16 інцидентами з другим туром. Ця сума збитків набагато менша, ніж сума шкоди, завданої зломом.
Результати дослідження
Згідно з нашою статистикою, у третьому кварталі 2023 року найкращою ціллю хакерів, як і раніше, залишаються проєкти dApp, а атаки на dApps значно перевищують будь-який інший об'єкт, становлячи 87,64% від загальної кількості атак та 46,25% від загальних збитків. З усіх атак найсерйозніша була на Multichain[12] Напад.
Для всієї екосистеми блокчейну хакери, як і раніше, є найбільшою загрозою безпеці, як з точки зору кількості викликаних ними інцидентів безпеки, так і з точки зору втрати активів, які вони спричиняють, а кількість інцидентів безпеки, спричинених хакерськими атаками, становить понад 91,92% від загальної кількості інцидентів безпеки, що значно перевищує загрозу, спричинену запущеними подіями для навколишнього середовища.
Типовий dApp складається з трьох частин: front-end, back-end і смарт-контракт. Коли хакер атакує dApp, він атакує одну частину або кілька частин одночасно. Згідно з нашою статистикою, атак на фронтенд dApp значно перевищує кількість атак на контракти, але сума шкоди, завданої атаками на смарт-контракти, значно перевищує суму шкоди фронтенду.
Це свідчить про те, що приховані небезпеки смарт-контрактів, як і раніше, є найбільшими прихованими небезпеками безпеки dApp.
Типові події в третьому кварталі 2023 року відбулися на проєктах dApp.
Серед інцидентів, коли смарт-контракти були зламані, трійка лідерів за кількістю атак, викликаних наступними трьома категоріями: перша: недоліки логіки, а друга: флеш-позики
Однак, з точки зору суми збитків, сума втрати активів, спричинена атакою, спричиненою витоком приватного ключа, знаходиться на вершині списку, значно перевершуючи інші категорії.
Практичні плани та заходи щодо запобігання інцидентам з безпекою
У цьому розділі ми узагальнимо деякі сценарії та заходи, які допоможуть розробникам та користувачам блокчейну керувати та запобігати ризикам блокчейну на основі характеристик інцидентів безпеки, які сталися в третьому кварталі 2023 року. Ми рекомендуємо як розробникам блокчейну, так і користувачам активно впроваджувати та практикувати ці плани та заходи, наскільки це можливо, у своїх повсякденних операціях та працювати над захистом безпеки проєктів та криптоактивів у найбільшій мірі.
Примітка: «Розробник блокчейну» відноситься як до розробника самого блокчейн-проекту, так і до розробника, пов'язаного з системою блокчейн або системою її розширення (наприклад, криптографічні активи тощо). «Користувачі блокчейну» означають усіх користувачів, які беруть участь у діяльності системи блокчейн (наприклад, управління, експлуатація, технічне обслуговування тощо) або транзакціях криптоактивів.
** Для розробників блокчейну**
Незважаючи на те, що в третьому кварталі не було типових інцидентів безпеки, пов'язаних із масштабованими системами рівня 2, безпека масштабованих систем рівня 2 все одно заслуговує на увагу. Оскільки розробка та посадка схеми розширення другого рівня залишатиметься гарячою точкою та фокусом усієї екосистеми, дослідження безпеки схеми стане серйозним викликом для галузі.
У блокчейн-додатках, коли проєкт розгорнутий і стабільно працює протягом певного періоду часу, необхідним кроком є передача повноважень щодо контролю ключових операцій у проєкті гаманцю з мультипідписом або організації DAO для управління.
Коли хакери виявляють вразливості в смарт-контрактах, вони часто використовують флеш-позики для атаки на контракти. Ці вразливості, які можна експлуатувати, часто включають уразливості повторного входу, логічні недоліки (наприклад, відсутність перевірки дозволів, неправильні алгоритми ціноутворення) тощо. Суворе запобігання та боротьба з цими вразливостями вимагає від розробників смарт-контрактів високої уваги, і навіть має бути поставлена на перше місце за важливістю.
Наша статистика також показує, що все більше хакерів запускають фішингові атаки через програмне забезпечення соціальних мереж, таке як Discord, Twitter тощо. Це явище тривало протягом усього 2022 року та до третього кварталу 2023 року. Чимало користувачів зазнали збитків у ньому. Команді проєкту необхідно впровадити суворе та всебічне управління своїми соціальними мережами, розгорнути відповідні рішення безпеки, щоб забезпечити безпеку та стабільність роботи соціальних мереж, а також запобігти їх використанню хакерами.
Користувач блокчейну
Все більше і більше користувачів починають брати участь у різних екологічних заходах блокчейну та володіти різними екологічними активами блокчейну. У цьому процесі активність крос-чейн транзакцій також швидко зросла. Коли користувачі беруть участь у кросчейн-транзакціях, користувачам потрібно взаємодіяти з кросчейн-мостами, які часто стають мішенню хакерів. Тому, перш ніж користувачі ініціюють крос-чейн транзакції, вони повинні детально дослідити та зрозуміти стан безпеки та статус роботи кросчейн-мосту, який вони використовують, щоб забезпечити безпеку, стабільність та надійність кросчейн-мосту.
Коли користувачі взаємодіють із dApp, вони повинні звертати пильну увагу на якість і безпеку своїх смарт-контрактів, а також на безпеку інтерфейсу dApp. Будьте обережні з деякою невідомою та дуже підозрілою інформацією, підказками, діалогами тощо, що відображаються на інтерфейсі, і не натискайте та не дотримуйтесь їхніх інструкцій за власним бажанням.
Ми настійно рекомендуємо користувачам ретельно перевіряти та читати звіт про аудит будь-якого блокчейн-проекту, перш ніж взаємодіяти з блокчейн-проектом або інвестувати в нього. Обговоріть участь у проектах, які не мають аудиторського звіту або повідомляють про щось підозріле.
Ми рекомендуємо користувачам спробувати використовувати холодні гаманці або гаманці з мультипідписом для управління великими активами або активами, які не використовуються для частих транзакцій. Завжди будьте обережні з операційною безпекою гарячого гаманця та переконайтеся, що апаратна платформа, на якій встановлено гарячий гаманець, за своєю суттю безпечна, надійна та стабільна.
Користувачі повинні провести певний рівень дослідження та зрозуміти бекграунд команди блокчейн-проекту. Будьте обережні з командами з розмитим фоном і відсутністю титрів. Остерігайтеся ризику втекти з такими проектами. Для централізованих бірж, які часто використовуються, користувачі повинні приділяти більше уваги своєму бекграунду та кредиту, а також перевіряти бекграунд, інформацію та дані цих бірж із кількох сторонніх джерел даних, наскільки це можливо, щоб забезпечити довгострокову та стійку безпечну роботу біржі.
Ресурси
[1] Привид.
[2] Флеш-позики.. Флеш-кредити/
[3] СТАНДАРТ ТОКЕНІВ ERC-20.
[4] Бічні ланцюги.
[5] Шар-2.
[6] Метис.
[7] Міксин.
[8] Набережна Мережа.
[9] Swisstronik.
[10] Блокчейн SwapDex.
[11] Підходящий.
[12] Мультичейн.