Цього року хакери вкрали понад 2 мільярди доларів з шифрувальних додатків. Нещодавно відбулося кілька масових крадіжок, сума збитків склала сотні мільйонів доларів. З розвитком шифрувальної екосистеми війна безпеки і атак лише посилиться.
Ця стаття класифікує події, пов'язані зі шифруванням, досліджує найпоширеніші методи атак хакерів, оглядає переваги та недоліки сучасних інструментів захисту, а також прогнозує майбутні тенденції розвитку шифрування.
Типи хакерських атак
Екосистема шифрувальних додатків складається з багатошарових протоколів взаємодії, включаючи базову інфраструктуру, смарт-контракти та логіку додатків. Кожен шар має унікальні вразливості, які можна класифікувати відповідно до цільового рівня атаки та методів.
Атака на інфраструктуру: використання вразливостей базових систем, таких як блокчейн, інтернет-сервіси та інструменти управління приватними ключами.
Атака на мову смарт-контрактів: використання вразливостей самої мови смарт-контрактів, таких як проблема повторного входу.
Атака на логіку протоколу: використання помилок в бізнес-логіці окремого додатку для виклику непередбачуваної поведінки.
Атака на екосистему: використання вразливостей взаємодії між кількома додатками, зазвичай пов'язане з миттєвими позиками.
Аналіз даних
Аналіз 100 великих атак хакерів на шифрування криптовалют з 2020 року показує:
Атаки на екосистему відбуваються найчастіше, займаючи 41%.
Найбільші втрати коштів через логічні вразливості протоколу.
Після виключення найбільших атак, збитки від атак на інфраструктуру є найзначнішими.
Основні способи атаки
Інфраструктура: 61% випадків пов'язані з витоком приватних ключів, які можуть бути отримані через соціальну інженерію.
Мова смарт-контрактів: атаки з повторного входу є найпоширенішими.
Логіка протоколу: помилка контролю доступу є однією з найпоширеніших проблем. Багато атак походять з того, що команда безпосередньо розгалужує уразливу кодову базу.
Екосистема: 98% атак використовували кредитування з блискавки, зазвичай через маніпуляцію цінами оракула для отримання надмірних кредитів.
Аналіз ланцюга атак
Атаки на Ethereum становлять найбільшу частку, 45%; Binance Smart Chain йде слідом, з часткою 20%. Це може бути пов'язано з високим TVL цих ланцюгів та високим рівнем знайомства розробників.
Хоча крос-чейн мости та багаточинові додатки становлять лише 10% від усіх атак, вони завдали збитків у 2,52 мільярда доларів, що має великий вплив.
Стратегія захисту
Інфраструктура: посилення операційної безпеки(OPSEC) та моделювання загроз.
Смарт-контракти та логіка протоколів:
Використання інструментів для фузз-тестування
Провести статичний аналіз
Реалізація формальної верифікації
Проведення аудиту та рецензування колегами
Атака на екосистему: наразі бракує ефективних інструментів, можна використовувати моніторингові системи, такі як Forta, для забезпечення раннього попередження.
Перспективи майбутнього
Провідна команда буде розглядати безпеку як постійний процес, а не як разову подію:
Постійно проводити статичний аналіз та тестування на вразливість новододаного коду
Виконати формалізовану перевірку значних оновлень
Створення системи моніторингу та оповіщення
Спеціалізовані фахівці відповідають за автоматизацію безпеки та оперативне реагування
Шифрувальна безпечна спільнота стане більш організованою:
Швидко виявляйте атаки, використовуючи інструменти моніторингу в мережі та соціальних медіа.
Використання інструментів управління безпекою інформації та подій для координації роботи
Створення незалежного робочого процесу для обробки різних завдань
З розвитком індустрії шифрування безпека стане постійно еволюціонуючою сферою. Лише постійно вдосконалюючи механізми захисту, можна краще протистояти дедалі складнішим загрозам безпеці.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Шифрування безпеки: аналіз поточного стану з втратами в 20 мільярдів доларів та війною атак і захисту
Шифрування безпеки: сучасний стан та майбутнє
Цього року хакери вкрали понад 2 мільярди доларів з шифрувальних додатків. Нещодавно відбулося кілька масових крадіжок, сума збитків склала сотні мільйонів доларів. З розвитком шифрувальної екосистеми війна безпеки і атак лише посилиться.
Ця стаття класифікує події, пов'язані зі шифруванням, досліджує найпоширеніші методи атак хакерів, оглядає переваги та недоліки сучасних інструментів захисту, а також прогнозує майбутні тенденції розвитку шифрування.
Типи хакерських атак
Екосистема шифрувальних додатків складається з багатошарових протоколів взаємодії, включаючи базову інфраструктуру, смарт-контракти та логіку додатків. Кожен шар має унікальні вразливості, які можна класифікувати відповідно до цільового рівня атаки та методів.
Атака на інфраструктуру: використання вразливостей базових систем, таких як блокчейн, інтернет-сервіси та інструменти управління приватними ключами.
Атака на мову смарт-контрактів: використання вразливостей самої мови смарт-контрактів, таких як проблема повторного входу.
Атака на логіку протоколу: використання помилок в бізнес-логіці окремого додатку для виклику непередбачуваної поведінки.
Атака на екосистему: використання вразливостей взаємодії між кількома додатками, зазвичай пов'язане з миттєвими позиками.
Аналіз даних
Аналіз 100 великих атак хакерів на шифрування криптовалют з 2020 року показує:
Основні способи атаки
Інфраструктура: 61% випадків пов'язані з витоком приватних ключів, які можуть бути отримані через соціальну інженерію.
Мова смарт-контрактів: атаки з повторного входу є найпоширенішими.
Логіка протоколу: помилка контролю доступу є однією з найпоширеніших проблем. Багато атак походять з того, що команда безпосередньо розгалужує уразливу кодову базу.
Екосистема: 98% атак використовували кредитування з блискавки, зазвичай через маніпуляцію цінами оракула для отримання надмірних кредитів.
Аналіз ланцюга атак
Атаки на Ethereum становлять найбільшу частку, 45%; Binance Smart Chain йде слідом, з часткою 20%. Це може бути пов'язано з високим TVL цих ланцюгів та високим рівнем знайомства розробників.
Хоча крос-чейн мости та багаточинові додатки становлять лише 10% від усіх атак, вони завдали збитків у 2,52 мільярда доларів, що має великий вплив.
Стратегія захисту
Інфраструктура: посилення операційної безпеки(OPSEC) та моделювання загроз.
Смарт-контракти та логіка протоколів:
Атака на екосистему: наразі бракує ефективних інструментів, можна використовувати моніторингові системи, такі як Forta, для забезпечення раннього попередження.
Перспективи майбутнього
Провідна команда буде розглядати безпеку як постійний процес, а не як разову подію:
Шифрувальна безпечна спільнота стане більш організованою:
З розвитком індустрії шифрування безпека стане постійно еволюціонуючою сферою. Лише постійно вдосконалюючи механізми захисту, можна краще протистояти дедалі складнішим загрозам безпеці.