У 2022 році хакери вкрали понад 2 мільярди доларів із криптоаплікацій. Нещодавні значні події включають крадіжку в сервісі обміну певного гаманця, що призвела до втрат понад 21 мільйон доларів, а також напад на кросчейн-мост певної публічної блокчейн-мережі, що призвело до втрат приблизно 5,66 мільярда доларів.
З розвитком екосистеми шифрування, боротьба за безпеку стає все більш напруженою. У цій статті буде розглянуто кілька аспектів:
Метод класифікації подій шифрування безпеки
Наразі найпоширеніші методи атак хакерів
Аналіз переваг та недоліків існуючих інструментів захисту
Тенденції майбутнього розвитку шифрування безпеки
Один. Типи атак хакерів
Екосистема шифрувальних застосунків складається з кількох взаємодіючих протоколів, підтримуваних смарт-контрактами, які залежать від основної інфраструктури блокчейну та Інтернету. Кожен рівень цього технологічного стеку має унікальні вразливості безпеки. Ми можемо класифікувати шифрувальних хакерів за цільовим рівнем атаки та методами, що використовуються.
1. Атака на інфраструктуру
Щодо слабкостей базової системи, таких як механізм консенсусу, фронтальні сервіси та інструменти управління приватними ключами.
2. Атака на мову смарт-контрактів
Використовуючи вразливості та недоліки мов смарт-контрактів (, таких як Solidity ), такі як повторне введення та небезпечні делеговані виклики тощо.
3. Логічна атака на протокол
Використання помилок у бізнес-логіці одного додатку для виклику небажаної поведінки, яку не передбачали розробники.
4. Атака на екосистему
Використання вразливостей взаємодії між кількома додатками. Зазвичай це передбачає використання коштів, запозичених з одного протоколу, для атаки на інший протокол.
Два, аналіз даних
Аналізуючи 100 найбільших атак на Криптоактиви з 2020 року, які призвели до загальних втрат у 5 мільярдів доларів США (, можна зробити такі висновки:
Атаки на екосистему відбуваються найчастіше, складаючи 41%
Найбільші фінансові втрати, викликані логічними вразливостями протоколу
Три найбільші атаки: атака на певний міжланцюговий міст ) на 6.24 мільярда доларів США (, атака на певну мережу ) на 6.11 мільярда доларів США ( та атака на певний публічний ланцюг міжланцюговий міст ) на 5.7 мільярда доларів США (.
Якщо виключити три найбільші атаки, найбільші збитки завдано атаками на інфраструктуру.
![Ідучи в шифрувальному чорному лісі, тобі потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-4a1866a8eac159b1c53a94ca1f6b6448.webp(
Три, поширені методи атак
Інфраструктурний рівень:
61% вразливостей інфраструктури пов'язані з витоком приватних ключів, що може бути отримано через фішинг, підроблені вакансії та інші атаки соціальної інженерії.
Мовний рівень смарт-контрактів:
Атака повторного входу є найпоширенішим типом. Зловмисник викликає вразливу функцію кілька разів, виконуючи рекурсивний цикл перед оновленням балансу контракту.
Логічний рівень протоколу:
Помилка контролю доступу є найпоширенішою проблемою. Наприклад, під час певної мережевої атаки ключові функції контракту управління міжмережевими транзакціями можуть бути викликані будь-ким.
Екосистемний рівень:
98% атак використовують миттєві позики. Звичайна схема полягає в тому, щоб маніпулювати ціною за допомогою позик, а потім отримувати занадто великі позики, використовуючи роздутий токен.
![Йдучи в шифрувальному темному лісі, вам потрібен цей посібник з крадіжки Crypto])https://img-cdn.gateio.im/webp-social/moments-87ee8d6ef890555b16eb5b63429687dd.webp(
Чотири, розподіл хакерських атак
Аналіз за ланцюгом, на якому розташовані атаковані контракти або гаманці:
Ефір був атакований найбільше, займаючи 45%
Якась публічна блокчейн-мережа займає 20% друге місце
Мосты між ланцюгами та багатоланцюгові застосування, хоч і складають лише 10%, але завдали збитків у 2,52 мільярда доларів, що має величезний вплив.
![Йдучи в темний ліс шифрування, вам потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-80df42b500283d7e8f6ee4f62c1322b4.webp(
V. Захисні заходи
Інфраструктурний рівень:
Посилення безпеки операцій)OPSEC(
Регулярно проводити моделювання загроз
Інтелектуальні контракти та логічний рівень протоколів:
Використання інструментів для модульного тестування для виявлення крайових випадків
Статичні інструменти для аналізу автоматично виявляють поширені вразливості
Інструменти формальної перевірки порівнюють код із специфікаціями
Професійний аудит і рецензія колег
Екосистемний рівень:
Використовуйте інструменти моніторингу, такі як Forta, для надання попереджень
Розробка моделі виявлення загроз для ідентифікації шкідливих транзакцій
![Йдучи в криптотемному лісі, вам потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-35239d6a87a715dcc30574591027cd0d.webp(
Шість, майбутні тенденції
Безпека перейде від подієвого управління до безперервного процесу:
Виконувати статичний аналіз і тестування на вразливість для кожного оновлення коду
Значне оновлення проходить формальну перевірку
Встановлення механізму моніторингу, раннього попередження та реагування
Спеціалізована команда відповідає за автоматизацію безпеки та реагування на надзвичайні ситуації
Спільнота шифрування безпеки стане більш організованою:
Швидке виявлення атак за допомогою моніторингу на блокчейні та в соціальних мережах
Використання інструментів управління безпекою інформації та подіями для координації роботи
Створити незалежні робочі процеси для різних завдань
Безпека криптоактивів потребує постійної уваги та вдосконалення. Лише створивши систематизовану, автоматизовану практику безпеки, можна краще протистояти все більш складним атакам.
![Йдучи в криптотемному лісі, вам потрібен цей посібник з захисту Crypto])https://img-cdn.gateio.im/webp-social/moments-7e05b7966d6fe9dc2b6e4c1d3be60f2c.webp(
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Шифрування атак і захисту: втрати у 2022 році перевищили 2 мільярди доларів США, аналіз майбутніх тенденцій безпеки
Аналіз поточної безпеки криптоактивів
У 2022 році хакери вкрали понад 2 мільярди доларів із криптоаплікацій. Нещодавні значні події включають крадіжку в сервісі обміну певного гаманця, що призвела до втрат понад 21 мільйон доларів, а також напад на кросчейн-мост певної публічної блокчейн-мережі, що призвело до втрат приблизно 5,66 мільярда доларів.
З розвитком екосистеми шифрування, боротьба за безпеку стає все більш напруженою. У цій статті буде розглянуто кілька аспектів:
Один. Типи атак хакерів
Екосистема шифрувальних застосунків складається з кількох взаємодіючих протоколів, підтримуваних смарт-контрактами, які залежать від основної інфраструктури блокчейну та Інтернету. Кожен рівень цього технологічного стеку має унікальні вразливості безпеки. Ми можемо класифікувати шифрувальних хакерів за цільовим рівнем атаки та методами, що використовуються.
1. Атака на інфраструктуру
Щодо слабкостей базової системи, таких як механізм консенсусу, фронтальні сервіси та інструменти управління приватними ключами.
2. Атака на мову смарт-контрактів
Використовуючи вразливості та недоліки мов смарт-контрактів (, таких як Solidity ), такі як повторне введення та небезпечні делеговані виклики тощо.
3. Логічна атака на протокол
Використання помилок у бізнес-логіці одного додатку для виклику небажаної поведінки, яку не передбачали розробники.
4. Атака на екосистему
Використання вразливостей взаємодії між кількома додатками. Зазвичай це передбачає використання коштів, запозичених з одного протоколу, для атаки на інший протокол.
Два, аналіз даних
Аналізуючи 100 найбільших атак на Криптоактиви з 2020 року, які призвели до загальних втрат у 5 мільярдів доларів США (, можна зробити такі висновки:
![Ідучи в шифрувальному чорному лісі, тобі потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-4a1866a8eac159b1c53a94ca1f6b6448.webp(
Три, поширені методи атак
Інфраструктурний рівень: 61% вразливостей інфраструктури пов'язані з витоком приватних ключів, що може бути отримано через фішинг, підроблені вакансії та інші атаки соціальної інженерії.
Мовний рівень смарт-контрактів: Атака повторного входу є найпоширенішим типом. Зловмисник викликає вразливу функцію кілька разів, виконуючи рекурсивний цикл перед оновленням балансу контракту.
Логічний рівень протоколу: Помилка контролю доступу є найпоширенішою проблемою. Наприклад, під час певної мережевої атаки ключові функції контракту управління міжмережевими транзакціями можуть бути викликані будь-ким.
Екосистемний рівень: 98% атак використовують миттєві позики. Звичайна схема полягає в тому, щоб маніпулювати ціною за допомогою позик, а потім отримувати занадто великі позики, використовуючи роздутий токен.
![Йдучи в шифрувальному темному лісі, вам потрібен цей посібник з крадіжки Crypto])https://img-cdn.gateio.im/webp-social/moments-87ee8d6ef890555b16eb5b63429687dd.webp(
Чотири, розподіл хакерських атак
Аналіз за ланцюгом, на якому розташовані атаковані контракти або гаманці:
![Йдучи в темний ліс шифрування, вам потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-80df42b500283d7e8f6ee4f62c1322b4.webp(
V. Захисні заходи
Інфраструктурний рівень:
Інтелектуальні контракти та логічний рівень протоколів:
Екосистемний рівень:
![Йдучи в криптотемному лісі, вам потрібен цей посібник з безпеки Crypto])https://img-cdn.gateio.im/webp-social/moments-35239d6a87a715dcc30574591027cd0d.webp(
Шість, майбутні тенденції
Безпека криптоактивів потребує постійної уваги та вдосконалення. Лише створивши систематизовану, автоматизовану практику безпеки, можна краще протистояти все більш складним атакам.
![Йдучи в криптотемному лісі, вам потрібен цей посібник з захисту Crypto])https://img-cdn.gateio.im/webp-social/moments-7e05b7966d6fe9dc2b6e4c1d3be60f2c.webp(