📰 Индустрия Web3 столкнулась с потерями в 1,7 миллиарда долларов, Salus раскрывает тенденции и уязвимости

Индустрия Web3 столкнулась с потерями в 1,7 миллиарда долларов, Salus раскрывает тенденции и уязвимости

2023 год стал свидетелем динамичной и развивающейся ситуации в сфере безопасности Web3, как показано в отчете о ландшафте безопасности Web3, тщательно составленном группой экспертов Salus, известной исследовательской компании по обеспечению безопасности Web3. В этом всеобъемлющем отчете представлен углубленный анализ текущего состояния безопасности Web3, проливающий свет на десять значительных взломов, произошедших в течение года.

Ландшафт безопасности Web3 на перепутье

Одним из наиболее примечательных открытий отчета является то, что 2023 год стал критическим моментом в сфере безопасности Web3, продемонстрировав как достижения в области устойчивости, так и постоянные проблемы. Потрясающая статистика показывает, что кибератаки на индустрию Web3 привели к убыткам, превышающим ошеломляющие 1,7 миллиарда долларов, при этом в общей сложности было зарегистрировано 453 инцидента. Эти атаки подчеркнули разнообразие угроз, присутствующих в экосистеме Web3, подчеркнув необходимость постоянной бдительности внутри сообщества Web3.

Несмотря на общее снижение потерь, в 2023 году произошли громкие эксплойты, которые громко отозвались в пространстве Web3. Среди них следует отметить убыток в размере 200 миллионов долларов, понесенный Mixin Network в сентябре, за ним следуют убыток Euler Finance в размере 197 миллионов долларов в марте и убыток Multichain в размере 126,36 миллиона долларов в июле. Эти инциденты выдвинули на передний план постоянные угрозы, нацеленные на мосты и протоколы децентрализованного финансирования (DeFi) в экосистеме Web3.

Интригующая тенденция выявилась при более внимательном рассмотрении ежемесячных потерь. Хотя сентябрь, ноябрь и июль ознаменовались значительными потерями, заметный спад наблюдался в октябре и декабре. Эта тенденция намекает на потенциальное смещение акцента в сторону повышения осведомленности о безопасности и внедрения надежных мер безопасности в сообществе Web3.

Уязвимости Web3 в 2023 году

В отчете Salus тщательно классифицированы ключевые уязвимости в сфере безопасности Web3, предоставив подробную информацию о мошенничестве с выходом, проблемах контроля доступа, фишинге, атаках с использованием флэш-займов, повторном входе, проблемах с оракулами и других уязвимостях. Мошенничества с выходом составили 12,24% атак, в результате чего ущерб составил 208 миллионов долларов. Рекомендуемые меры безопасности включали тщательное исследование проектов, определение приоритета проектов с прозрачной оценкой безопасности и диверсификацию инвестиций.

Кроме того, проблемы контроля доступа составили 39,18% атак, что привело к существенному убытку в размере 666 миллионов долларов США. В отчете рекомендуется внедрить надежные механизмы аутентификации и авторизации, провести обучение по вопросам безопасности и создать комплексные системы мониторинга. Между тем, фишинговые инциденты, составляющие 3,98% атак, привели к убыткам в размере 67,6 млн долларов США.

В отчете подчеркивается важность тестирования на проникновение Web3, обучения пользователей, аппаратных кошельков, многофакторной аутентификации и проверки электронной почты. Атаки с использованием срочных кредитов составили 16,12% атак, в результате чего был нанесен ущерб в размере 274 миллионов долларов США. Снижение рисков включало введение ограничений и введение платы за использование срочного кредита. С другой стороны, на долю реентерабельных уязвимостей пришлось 4,35% атак, что привело к потерям в 74 миллиона долларов.

Меры безопасности включали соблюдение модели «Проверка-Эффект-Взаимодействие» и реализацию комплексной защиты от повторного входа. Проблемы Oracle составили 7,88% атак, что привело к потере 134 миллионов долларов США, при этом меры безопасности включали оценку ликвидности токенов и увеличение стоимости манипуляций злоумышленника. Другие уязвимости составили 16,47% атак, что привело к убыткам в 280 миллионов долларов. Разнообразные проблемы включали взлом базы данных Mixin и различные уязвимости web2.

10 лучших хаков 2023 года

В отчете также рассмотрены 10 крупнейших взломов 2023 года, на которые пришлось почти 70% общих потерь за год, что выявило общую уязвимость — проблемы контроля доступа, особенно кражу закрытых ключей. Mixin Network понесла убытки в размере 200 миллионов долларов, поскольку злоумышленники атаковали базу данных поставщика облачных услуг. Euler Finance понесла убытки в размере 197 миллионов долларов из-за уязвимости смарт-контракта, что подчеркивает необходимость тщательного аудита протоколов DeFi.

Между тем, Multichain столкнулась с неопределенностью, поскольку активы были перемещены на неизвестный адрес, что поставило под сомнение методы внутренней безопасности. Poloniex стала жертвой Lazarus Group, потеряв 126 миллионов долларов из-за скомпрометированных закрытых ключей, что привело к усилению мер безопасности. Убыток BonqDAO в размере 120 миллионов долларов подчеркнул риски манипулирования оракулами на платформах DeFi.

Atomic Wallet, атакованный Lazarus Group, столкнулся с юридическими последствиями после потери 100 миллионов долларов, что подчеркнуло важность превентивных мер безопасности. HECO Bridge и HTX потеряли 86,6 млн долларов и 12,5 млн долларов соответственно, что обнажило уязвимость децентрализованных мостов и повлекло за собой усовершенствование протоколов безопасности. С другой стороны, Curve понесла убытки в размере 69,3 миллиона долларов из-за ошибки, связанной с языком, что подчеркивает необходимость комплексного аудита смарт-контрактов.

Убыток AlphaPo в размере 60 миллионов долларов стал результатом сложных методов фишинга, что подчеркивает развитие тактики хакерских групп. Наконец, CoinEx потеряла 54,3 миллиона долларов из-за взломанного ключа горячего кошелька, что еще раз подчеркивает важность защиты личных ключей и прозрачного общения с пользователями.

В целом, хотя в 2023 году общий объем потерь снизился по сравнению с предыдущим годом, концентрация потерь в 10 крупнейших хакерских атаках подчеркнула необходимость улучшения мер безопасности. Строгий аудит, повышенная осведомленность и многогранный подход считаются необходимыми для защиты экосистемы Web3. Пользователям и заинтересованным сторонам настоятельно рекомендуется отдавать приоритет платформам и сервисам, которые не только удовлетворяют функциональные потребности, но и соответствуют самым высоким стандартам безопасности, прокладывая путь к безопасному будущему Web3.