Безопасность Web3: вызовы и тенденции

В первом квартале 2024 года произошел значительный скачок в области безопасности Web3, отмеченный как значимые достижения в предотвращении угроз, так и глубокие вызовы.

Этот отчет синтезирует основные результаты анализа инцидентов безопасности в первом квартале 2024 года AI Web3 компанией по безопасности Cyvers, выделяя возникающие угрозы и подчеркивая важность устойчивости в экосистеме. Исполнительная сводка

В контексте настоящего развития DeFi, DePIN (Децентрализованные физические инфраструктурные сети), RWAs (Активы реального мира) и других приложений на основе блокчейна, мы наблюдаем соответствующее увеличение угроз безопасности. Векторы атак стали разнообразнее: уязвимости кода привели к существенным финансовым потерям, а нарушения контроля доступа оказались исключительно дорогостоящими.

Эти тенденции свидетельствуют о неотложной необходимости улучшения мер безопасности и повышенной бдительности в сообществе Web3.

Cyvers, в партнерстве с BeInCrypto, продемонстрировала свое обязательство к этому делу, занимаясь пионерством в области обнаружения угроз в реальном времени и разработкой решений безопасности на основе искусственного интеллекта. Цель - обеспечить быструю и точную идентификацию угроз, предложить предупредительное смягчение последствий и обеспечить защиту активов на всей блокчейне.

Эти угрозы включают в себя различные векторы атак - от уязвимостей смарт-контрактов до мошеннических схем phishing, нацеленных на эксплуатацию открытого и взаимосвязанного характера технологий Web3. В ответ на эти вызовы сообщество Web3 собралось, подчеркивая важность безопасности как фундаментального элемента инфраструктуры экосистемы. Основные тенденции и статистика по безопасности

Общая ценность похищенных активов (TSV) в первом квартале 2024 года составляет приблизительно $739,7 миллиона. В январе было зафиксировано наибольшее количество атак (27), за ними последовали март (21) и февраль (18). Несмотря на наименьшее количество атак, в феврале были высокие финансовые потери, их сумма составила около $405,3 миллиона.

Средние потери на одну атаку оцениваются примерно в $6,7 миллиона, что указывает на высокие ставки в области безопасности Web3. Общая потеря ценности. Источник: Cyvers

Самым распространенным вектором атаки были уязвимости кода, совершенные 37 раз, что привело к потере около $165,9 миллиона. Хотя атаки на контроль доступа были менее распространены, их стоимость оказалась гораздо больше и составила около $573,8 миллиона. Общее число инцидентов. Источник: Cyvers

Было зафиксировано 10 случаев, когда атаки были выявлены исключительно Cyvers, что подчеркивает важность предупредительных мер безопасности, сложных алгоритмов и непрерывной оптимизации.

Три этих случая вошли в Топ-10 Хаков первого квартала 2024 года. Параметры потерь по проекту. Источник: Cyvers

Анализ нарушений безопасности PlayDapp

В феврале 2024 года известная игровая и NFT платформа PlayDapp столкнулась с серьезным вызовом безопасности, когда ей грозили две последовательные эксплуатации, приведшие к небывалому созданию токенов PLA. Вначале, 9 февраля, несанкционированный субъект создал 200 миллионов токенов PLA, стоимостью примерно $36,5 миллиона.

Через несколько дней, 12 февраля, тот же субъект, как сообщается, создал дополнительно 1,79 миллиарда токенов PLA, что составило ошеломляющие $253,9 миллиона. Эти эксплуатации в общей сложности привели к потере около $290 миллионов.

Основной причиной нарушения была определена уязвимость смарт-контракта, которая позволила атакующему создавать токены без необходимого разрешения. Последствия были мгновенными и серьезными, поскольку рыночная цена токенов PLA упала из-за внезапного наплыва несанкционированных токенов. Команда PlayDapp попыталась договориться с атакующим, предложив вознаграждение в $1 миллион за возврат украденных средств, но безуспешно.

Принятые меры безопасности после инцидента включали приостановку смарт-контракта PLA и начало миграции контракта на основе предварительных снимков балансов держателей до эксплуатации. Быстрый ответ PlayDapp на приостановку контракта и взаимодействие с правоохранительными органами и фирмами по блокчейн-форензике продемонстрировали приверженность безопасности и прозрачности. Продолжались усилия по взаимодействию с биржами и отслеживанию украденных средств, обсуждались стратегии смягчения последствий и предупреждения подобных инцидентов в будущем.

Инцидент с PlayDapp служит предостережением о уязвимостях, присущих смарт-контрактам, особенно в отношении создания и управления токенами. Действительно, уроки, извлеченные из инцидента с PlayDapp, многочисленны: абсолютная необходимость непрерывной бдительности в области безопасности, важность предупредительных и реагирующих мер безопасности и постоянная необходимость обучения сообщества лучшим практикам безопасности. Регулятивные изменения в области безопасности Web3

В первом квартале 2024 года глобальный цифровой рынок активов наблюдал значительное развитие в области регулирования, которое оказало существенное воздействие на безопасность Web3.

Доклад Global Crypto Regulatory PwC подчеркивает непрерывное развитие в области регулирования цифровых активов, указывая на то, что несмотря на значительный прогресс в 2023 году, отрасль продолжает сталкиваться с значительной нагрузкой в области регулирования. Эти развития крайне важны, так как они обеспечивают структурированный фреймворк для деятельности, улучшают глобальные регуляторные политики и способствуют установлению международных пруденциальных стандартов, что потенциально повлияет на регулирование рынков криптовалют ЕС и других международных политик.

Более того, после публичного краха FTX, регуляторные органы были вынуждены принять более строгий подход к правилам в области цифровых активов для лучшей защиты инвестиционной общественности. Например, Комиссия по ценным бумагам и биржам США (SEC) планировала выпустить новые правила, регулирующие цифровые активы и предложения. Ожидалось, что эти правила предоставят всеохватывающие нормы в области выдачи цифровых активов, а также рекомендации для цифровых активных бирж.

Такой отклик на прошлые события демонстрирует четкое намерение регуляторных органов усилить надзор и предотвратить подобные инциденты в будущем.

Эти нормативные акты направлены не только на защиту инвесторов, но и на обеспечение порядочного функционирования рынков цифровых активов. Для Cyvers эти развития могут стать возможностью внести свой вклад в регулятивные дискуссии, используя свои знания, чтобы направить формирование политики, сбалансировав необходимость безопасности с потенциалом для инноваций в пространстве Web3.

По мере изменения регуляций способность Cyvers и BeInCrypto предоставлять услуги безопасности, соответствующие требованиям регуляторов, становится все более важной. Первый квартал 2024 года стал переломным временем для безопасности Web3, отмеченный тем, что регуляторы со всего мира извлекают уроки из прошлого, чтобы укрепить защиту отрасли и установить надежную основу для расцветающей цифровой экономики. Рекомендации по улучшению безопасности Web3

В стремлении к укреплению экосистемы Web3 Cyvers пояснил BeInCrypto стратегические способы улучшения позиций безопасности для различных заинтересованных лиц в экосистеме:

Для Проектов: Аудит смарт-контрактов: Обеспечьте тщательную проверку безопасности смарт-контрактов авторитетными фирмами. Регулярно проверяйте после крупных обновлений или изменений в логике контракта. Посмотрите наших рекомендованных аудиторов здесь. Планирование реагирования на инциденты: Разработайте план реагирования на инциденты, настроенный на потенциальные нарушения, характерные для Web3, описывающий немедленные действия, протоколы коммуникации и резервные меры. Интеграция модулей безопасности: Реализуйте системы обнаружения угроз в реальном времени и модули безопасности, как те, что предоставляет Cyvers, для непрерывного мониторинга и защиты от вредоносной деятельности.

Для Разработчиков: Проектирование, учитывающее безопасность: Примите подход, ориентированный на безопасность, при проектировании систем, придавая приоритет безопасности на каждом этапе разработки. Постоянное обучение: Следите за последними исследованиями в области безопасности, уязвимостями и стратегиями защиты. Общайтесь с сообществом, чтобы делиться знаниями и лучшими практиками. Децентрализация управления: Избегайте одиночных точек отказа в ваших системах. Используйте мультиподписные кошельки и распределенное принятие решений для критических операций.

Для Инвесторов: Диллидженс: Выполняйте добросовестную проверку практик безопасности проектов перед инвестированием. Проверьте отчеты об аудите, связанные с безопасностью, историю инцидентов. Диверсификация портфеля: Защитите свой портфель от целевых взломов, диверсифицируя активы по различным платформам и кошелькам. Использование доверенных платформ: Общайтесь с платформами, у которых есть проверенный опыт в области безопасности и которые применяют последние меры безопасности.

Для Пользователей: Безопасные практики хранения: Используйте аппаратные кошельки для значительных активов, обеспечивайте безопасное хранение частных ключей и используйте многоразовую авторизацию.