Анализ текущего состояния безопасности криптоактивов
В 2022 году хакеры украли более 2 миллиардов долларов из криптоактивов. Недавние значительные события включают кражу средств из услуг обмена некоторого кошелька, с убытками более 21 миллиона долларов, а также атаку на кросс-чейн мост некоторой публичной цепи с убытками около 5,66 миллиарда долларов.
С развитием экосистемы шифрования, безопасность становится все более актуальной. В этой статье будут рассмотрены следующие аспекты:
Классификация событий безопасности шифрования
В настоящее время это наиболее распространенные методы атак, используемые хакерами
Анализ преимуществ и недостатков существующих инструментов защиты
Будущее развитие трендов шифрования безопасности
Один. Типы хакерских атак
Экосистема крипто-приложений состоит из множества взаимосвязанных протоколов, поддерживаемых смарт-контрактами и основанных на инфраструктуре блокчейна и интернета. На каждом уровне этого технологического стека существуют уникальные уязвимости безопасности. Мы можем классифицировать крипто-хакеров в зависимости от целевого уровня атаки и используемых методов.
1. Атака на инфраструктуру
Для уязвимостей базовой системы, таких как механизмы консенсуса, фронтенд-сервисы и инструменты управления приватными ключами.
2. Атака на языки смарт-контрактов
Используя слабости и уязвимости языков смарт-контрактов, таких как Solidity(, такие как повторный вход и небезопасные делегированные вызовы и т.д.
3. Логическая атака на протокол
Использовать ошибки в бизнес-логике одного приложения для вызова поведения, которого разработчики не ожидали.
4. Атака на экосистему
Использование уязвимостей взаимодействия между несколькими приложениями. Обычно это связано с использованием средств, заимствованных из одного протокола, для атаки на другой протокол.
![Идти по тёмному лесу криптоактивов, вам нужно это руководство по защите Crypto])https://img-cdn.gateio.im/webp-social/moments-a5f7ab983722d03f92617f03e3799ce0.webp(
Два, анализ данных
Анализируя 100 крупнейших атак хакеров на криптоактивы с 2020 года, с общими потерями в 5 миллиардов долларов ), можно сделать следующие выводы:
Частота атак на экосистему самая высокая, составляет 41%
Максимальные финансовые потери из-за логических уязвимостей в протоколе
Три крупнейшие атаки составляют атака на определенный кросс-чейн мост ( на 6.24 миллиарда долларов ), атака на определенную сеть ( на 6.11 миллиарда долларов ) и атака на определенный публичный кросс-чейн мост ( на 5.7 миллиарда долларов ).
Если исключить три основных атаки, ущерб от атак на инфраструктуру будет максимальным.
Три. Распространенные методы атак
Уровень инфраструктуры:
61% уязвимостей инфраструктуры связаны с утечкой приватных ключей, которые могут быть получены через фишинг, ложные вакансии и другие атаки социальной инженерии.
Языковой уровень смарт-контрактов:
Атака на повторный вход — это наиболее распространённый тип. Злоумышленник вызывает уязвимую функцию несколько раз, выполняя рекурсивный цикл до того, как контракт обновит баланс.
Логический уровень протокола:
Ошибка контроля доступа является наиболее распространенной проблемой. Например, в результате сетевой атаки ключевые функции контракта управления кросс-чейн-транзакциями могут быть вызваны любым пользователем.
Уровень экосистемы:
98% атак использовали флеш-кредиты. Распространенная схема состоит в том, чтобы использовать заимствование для манипуляции ценами, а затем получать слишком большие кредиты с помощью раздувшихся токенов.
Четыре, распределение хакерских атак
Анализ по цепочке, на которой находится атакуемый контракт или кошелек:
Эфириум подвергся атаке чаще всего, занимая 45%
Некоторая публичная цепочка занимает второе место с 20%
Кросс-цепочные мосты и многосетевые приложения составляют всего 10%, но наносят ущерб в 2,52 миллиарда долларов, что имеет огромное значение.
Пять, меры защиты
Инфраструктурный уровень:
Укрепление безопасности операций ( OPSEC )
Периодическое проведение моделирования угроз
Уровень логики смарт-контрактов и протоколов:
Используйте инструменты для нечеткого тестирования, чтобы выявить крайние случаи.
Статические инструменты анализа автоматически обнаруживают распространенные уязвимости
Инструменты формальной верификации сопоставляют код и спецификации
Профессиональный аудит и рецензирование коллег
Уровень экосистемы:
Используйте инструменты мониторинга, такие как Forta, для предоставления предупреждений
Разработка модели обнаружения угроз для идентификации злонамеренных сделок
Шесть, будущие тренды
Безопасность будет переходить от событийного подхода к непрерывному процессу:
Проводить статический анализ и тестирование на неясность для каждого обновления кода
Существенное обновление проходит формальную верификацию
Создание механизма мониторинга, предупреждения и реагирования
Специальная команда отвечает за автоматизацию безопасности и реагирование на инциденты
Шифрование безопасное сообщество станет более организованным:
Быстрое обнаружение атак с использованием мониторинга на блокчейне и социальных медиа.
Использование инструментов управления безопасной информацией и событиями для координации работы
Создание независимых рабочих процессов для различных задач
Безопасность шифрования требует постоянного внимания и улучшения. Только формируя систематические и автоматизированные практики безопасности, можно лучше справляться с растущей сложностью атак.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Шифрование и оборона: убытки в 2022 году превысили 2 миллиарда долларов. Анализ тенденций безопасности в будущем.
Анализ текущего состояния безопасности криптоактивов
В 2022 году хакеры украли более 2 миллиардов долларов из криптоактивов. Недавние значительные события включают кражу средств из услуг обмена некоторого кошелька, с убытками более 21 миллиона долларов, а также атаку на кросс-чейн мост некоторой публичной цепи с убытками около 5,66 миллиарда долларов.
С развитием экосистемы шифрования, безопасность становится все более актуальной. В этой статье будут рассмотрены следующие аспекты:
Один. Типы хакерских атак
Экосистема крипто-приложений состоит из множества взаимосвязанных протоколов, поддерживаемых смарт-контрактами и основанных на инфраструктуре блокчейна и интернета. На каждом уровне этого технологического стека существуют уникальные уязвимости безопасности. Мы можем классифицировать крипто-хакеров в зависимости от целевого уровня атаки и используемых методов.
1. Атака на инфраструктуру
Для уязвимостей базовой системы, таких как механизмы консенсуса, фронтенд-сервисы и инструменты управления приватными ключами.
2. Атака на языки смарт-контрактов
Используя слабости и уязвимости языков смарт-контрактов, таких как Solidity(, такие как повторный вход и небезопасные делегированные вызовы и т.д.
3. Логическая атака на протокол
Использовать ошибки в бизнес-логике одного приложения для вызова поведения, которого разработчики не ожидали.
4. Атака на экосистему
Использование уязвимостей взаимодействия между несколькими приложениями. Обычно это связано с использованием средств, заимствованных из одного протокола, для атаки на другой протокол.
![Идти по тёмному лесу криптоактивов, вам нужно это руководство по защите Crypto])https://img-cdn.gateio.im/webp-social/moments-a5f7ab983722d03f92617f03e3799ce0.webp(
Два, анализ данных
Анализируя 100 крупнейших атак хакеров на криптоактивы с 2020 года, с общими потерями в 5 миллиардов долларов ), можно сделать следующие выводы:
Три. Распространенные методы атак
Уровень инфраструктуры: 61% уязвимостей инфраструктуры связаны с утечкой приватных ключей, которые могут быть получены через фишинг, ложные вакансии и другие атаки социальной инженерии.
Языковой уровень смарт-контрактов: Атака на повторный вход — это наиболее распространённый тип. Злоумышленник вызывает уязвимую функцию несколько раз, выполняя рекурсивный цикл до того, как контракт обновит баланс.
Логический уровень протокола: Ошибка контроля доступа является наиболее распространенной проблемой. Например, в результате сетевой атаки ключевые функции контракта управления кросс-чейн-транзакциями могут быть вызваны любым пользователем.
Уровень экосистемы: 98% атак использовали флеш-кредиты. Распространенная схема состоит в том, чтобы использовать заимствование для манипуляции ценами, а затем получать слишком большие кредиты с помощью раздувшихся токенов.
Четыре, распределение хакерских атак
Анализ по цепочке, на которой находится атакуемый контракт или кошелек:
Пять, меры защиты
Инфраструктурный уровень:
Уровень логики смарт-контрактов и протоколов:
Уровень экосистемы:
Шесть, будущие тренды
Безопасность шифрования требует постоянного внимания и улучшения. Только формируя систематические и автоматизированные практики безопасности, можно лучше справляться с растущей сложностью атак.