✏ Криптовалюта на сумму $739,7 млн ​​была взломана в первом квартале 2024 года: Cyvers

Криптовалюта на сумму $739,7 млн ​​была взломана в первом квартале 2024 года: Cyvers

Первый квартал 2024 года стал поворотной главой в истории безопасности Web3, отмеченной как заметными достижениями в уменьшении угроз, так и серьезными проблемами.

В этом отчете обобщены основные выводы комплексного анализа инцидентов безопасности, проведенного компанией Cyvers, занимающейся безопасностью AI Web3, в первом квартале 2024 года, подчеркиваются возникающие угрозы и подчеркивается важность устойчивости экосистемы.

Управляющее резюме

На фоне постоянного развития DeFi, DePIN (децентрализованных сетей физической инфраструктуры), RWA (реальных активов) и других приложений на основе блокчейна мы наблюдаем соответствующую эскалацию сложных угроз безопасности. Векторы атак стали более разнообразными: уязвимости в коде приводят к существенным финансовым последствиям, а нарушения контроля доступа оказываются исключительно дорогостоящими.

Эти тенденции сигнализируют о срочной необходимости усиления мер безопасности и большей бдительности в сообществе Web3.

Cyvers в партнерстве с BeInCrypto продемонстрировала свою приверженность этому делу, представив новаторские решения для обнаружения угроз в реальном времени и решения безопасности на основе искусственного интеллекта. Цель состоит в том, чтобы обеспечить быструю и точную идентификацию угроз, предлагая превентивное смягчение и защиту активов в блокчейне.

Эти угрозы используют целый ряд векторов атак — от уязвимостей смарт-контрактов до фишинга — с целью использовать открытую и взаимосвязанную природу технологий Web3. В ответ на эти проблемы сообщество Web3 сплотилось, подчеркнув важность безопасности как основополагающего элемента инфраструктуры экосистемы.

Ключевые тенденции и статистика в области безопасности

Общая украденная стоимость (TSV) в первом квартале 2024 года составила примерно 739,7 миллиона долларов. Наибольшее количество нападений произошло в январе (27), за ним следовали март (21) и февраль (18). Несмотря на наименьшее количество атак, февраль имел большие финансовые последствия: в результате атак было потеряно около 405,3 миллиона долларов.

Средний ущерб от одной атаки оценивается примерно в 6,7 миллиона долларов, что указывает на высокие ставки, связанные с безопасностью Web3.

Наиболее распространенным вектором атаки были уязвимости кода (37 случаев), в результате чего был нанесен ущерб около 165,9 миллиона долларов. Хотя атаки на контроль доступа были менее распространены, они были гораздо более дорогостоящими и привели к потерям около 573,8 миллиона долларов.

Было зарегистрировано 10 случаев, когда взломы были обнаружены исключительно Cyvers, что подчеркивает важность превентивных мер безопасности, сложных алгоритмов и постоянной оптимизации.

Три из этих случаев вошли в десятку лучших хаков первого квартала 2024 года.

Анализ нарушений безопасности PlayDapp

В феврале 2024 года известная игровая и NFT-платформа PlayDapp столкнулась с серьезной проблемой безопасности, когда она подверглась двум последовательным эксплойтам, которые привели к беспрецедентному выпуску токенов PLA. Первоначально, 9 февраля, несанкционированная организация выпустила 200 миллионов токенов PLA на сумму примерно 36,5 миллионов долларов.

Несколько дней спустя, 12 февраля, та же организация, как сообщается, выпустила дополнительные 1,79 миллиарда токенов PLA, что соответствует ошеломляющим 253,9 миллионам долларов. В совокупности эти эксплойты привели к общим потерям около 290 миллионов долларов.

Основной причиной взлома была названа уязвимость смарт-контракта, которая позволяла злоумышленнику чеканить токены без необходимых полномочий. Последствия были немедленными и серьезными, поскольку рыночная цена токенов PLA резко упала из-за внезапного притока неавторизованных токенов. Команда PlayDapp попыталась договориться с злоумышленником, предложив награду в $1 млн за возврат украденных средств, но безуспешно.

Меры безопасности, принятые после инцидента, включали приостановку смарт-контракта PLA и начало миграции контракта на основе снимков балансов держателей до эксплойта. Оперативная реакция PlayDapp на приостановку действия контракта и взаимодействие с правоохранительными органами и криминалистическими фирмами, занимающимися блокчейном, продемонстрировала приверженность безопасности и прозрачности. Усилия по поддержанию связи с биржами и отслеживанию украденных средств продолжаются, при этом активно обсуждаются стратегии по смягчению последствий и предотвращению подобных инцидентов в будущем.

Инцидент с PlayDapp служит предостережением об уязвимостях, присущих смарт-контрактам, особенно в отношении чеканки и управления токенами. Действительно, уроки инцидента с PlayDapp многообразны: абсолютная необходимость постоянной бдительности в области безопасности, важность превентивных и реактивных мер безопасности, а также постоянная потребность в обучении сообщества передовым методам обеспечения безопасности.

Нормативные изменения в сфере безопасности Web3

В первом квартале 2024 года в мире цифровых активов произошли заметные изменения в регулировании, которые оказали значительное влияние на безопасность Web3.

В отчете PwC о глобальном регулировании криптовалюты подчеркивается продолжающаяся эволюция регулирования цифровых активов, предполагая, что, несмотря на значительный прогресс, достигнутый в 2023 году, отрасль продолжает сталкиваться со значительной нормативной нагрузкой. Такие разработки имеют решающее значение, поскольку они обеспечивают структурированную основу для операций, улучшают глобальную политику регулирования и помогают установить глобальные пруденциальные стандарты, потенциально влияя на регулирование рынков криптоактивов ЕС и другую международную политику.

Более того, после громкого краха FTX регулирующие органы были вынуждены принять более строгий подход к правилам цифровых активов, чтобы лучше защитить инвесторов. Например, Комиссия по ценным бумагам и биржам США (SEC) планировала опубликовать новые правила, регулирующие обмен и предложение цифровых активов. Ожидалось, что эти правила обеспечат всеобъемлющие правила для предложений цифровых активов, а также рекомендации по обмену цифровыми активами.

Такая реакция на прошлые события демонстрирует явное намерение регулирующих органов улучшить надзор и предотвратить подобные происшествия в будущем.

Эти правила направлены не только на защиту инвесторов, но и на обеспечение упорядоченного функционирования рынков цифровых активов. Для Cyvers эти разработки могут послужить возможностью внести свой вклад в нормативные дискуссии, используя свой опыт для разработки политики, которая уравновешивает потребность в безопасности с потенциалом инноваций в пространстве Web3.

По мере развития правил способность Cyvers и BeInCrypto предоставлять услуги безопасности, соответствующие требованиям, становится все более важной. Таким образом, первый квартал 2024 года стал поворотным временем для безопасности Web3, когда регулирующие органы по всему миру извлекли уроки из прошлых событий, чтобы укрепить обороноспособность отрасли и создать надежную основу для растущей цифровой экономики.

Рекомендации по повышению безопасности Web3

Стремясь к укреплению ландшафта Web3, Сайверс объяснил BeInCrypto стратегические способы повышения уровня безопасности для различных заинтересованных сторон в экосистеме:

Для проектов:

Для разработчиков:

Для инвесторов:

Для пользователей:

Придерживаясь этих рекомендаций, заинтересованные стороны экосистемы Web3 могут значительно снизить свой профиль рисков и внести свой вклад в создание безопасной и устойчивой цифровой среды. Именно благодаря коллективной бдительности и активным мерам мы можем безопасно и уверенно ориентироваться в экосистеме Web3.