Bit Jungle: relatório de análise de segurança blockchain para o primeiro semestre de 2023

Prefácio

Com o aprofundamento contínuo do processo de digitalização, a tecnologia blockchain tornou-se uma importante força motriz em muitos campos. Ela não apenas traz mudanças disruptivas para setores tradicionais, como finanças, assistência médica e logística, mas também traz mais abertura para os participantes. experiência. No entanto, com a ampla aplicação da tecnologia blockchain, os problemas de segurança associados a ela tornaram-se cada vez mais graves. Nos últimos anos, incidentes de segurança de blockchain ocorreram com frequência, o que não apenas causou grandes perdas para indivíduos e empresas, mas também trouxe desafios para o desenvolvimento da tecnologia blockchain.

Este relatório classifica e analisa os incidentes de segurança blockchain no primeiro semestre de 2023, com o objetivo de explorar os perigos ocultos da segurança blockchain, analisar as causas dos incidentes de segurança blockchain e propor soluções e sugestões correspondentes. Por meio deste relatório, esperamos chamar a atenção de todas as partes para os problemas de segurança do blockchain, promover em conjunto o desenvolvimento seguro da tecnologia blockchain e estabelecer uma base sólida para o futuro do mundo digital.

Visão geral das perdas econômicas de incidentes de segurança

No primeiro semestre de 2023, ocorreram um total de 192 grandes ataques, com um prejuízo total de aproximadamente US$ 920 milhões.

• Um total de 4 incidentes de segurança com uma perda de mais de 100 milhões de dólares americanos:

Ataque de empréstimo rápido da Euler Finance perdeu US$ 197 milhões

Blockchain para projeto fraudulento de rugas no nariz de cachorro causa perdas de US$ 127 milhões

BonqDAO & AllianceBlock manipularam preços e causaram perdas de 120 milhões de dólares

Carteira Atomic é roubada e perde US$ 100 milhões

• 12 incidentes em que o valor da perda ficou na faixa de US$ 10 milhões a US$ 100 milhões
• Foram 40 incidentes com perdas variando de US$ 1 milhão a US$ 10 milhões.

Visão geral da análise dos métodos de ataque

De acordo com a análise dos métodos de ataque utilizados em incidentes de segurança, os métodos de ataque mais frequentes são Rug Pull e Contract Vulnerabilities, ambos com 32 ataques. Isso foi seguido por ataques de empréstimo rápido, que ocorreram 20 vezes, respondendo por 14,93% de todos os incidentes.

Entre os métodos de ataque com maior número de ocorrências, o empréstimo flash foi o que mais perdeu, causando um prejuízo total de 250 milhões de dólares americanos. Foi seguido pelo golpe da blockchain, que ocorreu apenas sete vezes e causou perdas de US$ 230 milhões.

Embora o número total de vulnerabilidades de contrato e Rug Pull seja relativamente grande, respondendo por 47,76% de todos os métodos de ataque, as perdas causadas por eles são bem menores do que as duas anteriores, com apenas uma perda de 66,49 milhões de dólares americanos. A alta incidência desses ataques e a enorme quantidade de perdas mais uma vez destacam os riscos no mercado de criptomoedas. Embora a tecnologia blockchain tenha grande potencial e perspectivas de aplicação, ela ainda enfrenta riscos de segurança e desafios técnicos.

Os incidentes de puxão de tapete ocorrem com frequência, dos quais 75% do valor do descontrole do projeto é inferior a 10 milhões de dólares americanos e 28% do valor do descontrole do projeto é inferior a 1 milhão de dólares americanos. Esses projetos geralmente não têm site oficial, Twitter, Telegram, Github e outras informações, não há roteiro ou white paper e as informações dos membros da equipe são suspeitas. O período desde o lançamento do projeto até a execução final não excede três meses.

As perdas causadas por tais incidentes de segurança não podem ser ignoradas, é necessário fortalecer a investigação do histórico do projeto, aumentar a conscientização de prevenção de informações desconhecidas e melhorar a capacidade de prevenção por meio da prevenção precoce para evitar perdas.

Uma visão geral dos tipos de eventos de segurança atacados

1 Aplicação em cadeia

O aplicativo on-chain, também conhecido como aplicativo descentralizado (DApp), é um aplicativo construído em blockchain ou tecnologia de contabilidade distribuída. Use os recursos e funções do blockchain para armazenamento de dados, processamento de transações e execução de contratos inteligentes.

• No primeiro semestre de 2023, um total de 157 incidentes de segurança ocorreram em aplicativos on-chain, representando 81% do número total de incidentes. O valor total da perda de aplicativos on-chain atingiu 740 milhões de dólares americanos, representando 79% do valor total da perda. Os aplicativos on-chain foram o tipo com maior frequência de ataque e maior quantidade de perdas nos últimos seis meses.
• A frequência de incidentes de segurança de aplicativos on-chain nos seis meses do primeiro semestre do ano foi quase a mesma. As três principais causas de incidentes de segurança foram Rug Pull, brechas contratuais e Twitter sendo hackeado.

sugestão:

• A parte do projeto considera totalmente a segurança do projeto ao projetar e construir o projeto. Ao implementar a função, também considera se a função de verificação será contornada e se há defeitos, e realiza uma auditoria de segurança completa antes que o projeto fique online .
• Antes de os usuários investirem no aplicativo da cadeia, eles devem investigar o máximo possível, tomar decisões cuidadosas e investir com cautela.

2 Troca

Exchange (Exchange) refere-se a uma plataforma ou instituição que fornece serviços de negociação e negociação de ativos digitais. Ele permite que os usuários troquem um ativo digital (como Bitcoin, Ethereum, etc.) por outro, ou comprem ou vendam ativos digitais com moedas fiduciárias (como USD, EUR, etc.).

• No primeiro semestre de 2023, as exchanges ocuparam o segundo lugar em número de incidentes de segurança. No primeiro semestre do ano, ocorreram 11 incidentes de segurança no campo das exchanges, causando uma perda total de 73,18 milhões de dólares americanos. O principal motivo do ataque é a brecha contratual.
• Incidentes de segurança relacionados a trocas ocorrem todos os meses. E a quantidade de dinheiro perdida devido a incidentes de segurança não é pequena.

sugestão:

*Usuários devem ficar atentos a phishing e links maliciosos: Evite clicar em links não confiáveis, principalmente aqueles recebidos por e-mail ou redes sociais.

• Verifique regularmente a atividade da conta; não armazene todos os fundos centralmente; atualize e proteja equipamentos; escolha uma empresa de segurança confiável para auditoria antecipada.

3 Cadeia Pública/Cadeia Lateral

Public Blockchain, referido como a cadeia pública, refere-se a um blockchain de consenso que qualquer pessoa no mundo pode acessar e ler a qualquer momento, e qualquer pessoa pode enviar transações e obter confirmação efetiva. Uma sidechain é uma blockchain paralela à cadeia principal, que pode ser entendida como um protocolo de extensão da blockchain. Para atender a necessidades comerciais específicas, como troca de ativos entre cadeias, expansão de cadeias privadas e soluções de blockchain específicas do setor.

• No primeiro semestre de 2023, a cadeia pública/cadeia lateral é o terceiro maior tipo de incidente de segurança. O principal motivo do ataque é a vulnerabilidade do contrato inteligente.

sugestão:

• Escolha um mecanismo de consenso confiável.
• Use algoritmos de criptografia seguros para gerar e armazenar chaves e use tecnologia de assinatura múltipla para aumentar a segurança da transação.
• Realize auditorias de segurança regulares, incluindo revisões de código, testes de segurança e verificação de vulnerabilidades para identificar possíveis brechas e pontos fracos de segurança.

4 Ponte de cadeia cruzada

Cross-Chain Bridge é uma solução técnica que permite a transferência de ativos digitais entre diferentes redes blockchain. Uma ponte de cadeia cruzada normalmente bloqueia ou queima tokens em um contrato inteligente na cadeia de origem e desbloqueia ou cunha tokens por meio de outro contrato inteligente na cadeia de destino. A comunicação entre cadeias requer essencialmente uma compensação em três dimensões: segurança, confiança e flexibilidade. Devido à existência desses fatores complexos, as pontes entre cadeias se tornaram o principal alvo de ataque no campo Web3.

• No primeiro semestre de 2023, ocorreram 8 incidentes de segurança em pontes cruzadas, com prejuízo de US$ 11,37 milhões.
• Em 2022, os 12 incidentes de segurança de pontes cruzadas causaram um total de cerca de US$ 1,89 bilhão em perdas, ocupando o primeiro lugar entre todos os tipos de projetos em perdas. Em comparação com o ano passado, houve 7 incidentes de segurança na ponte cross-chain no primeiro semestre deste ano. Além dos recentes incidentes de segurança Poly Network e Multichain, houve 10 incidentes de segurança. A segurança da ponte cross-chain incidentes são maiores do que no ano passado, desenvolvimentos mais sérios. As principais razões para serem atacados são vulnerabilidades de contratos inteligentes, empréstimos instantâneos, etc.

sugestão:

• A parte do projeto coloca a segurança em primeiro lugar ao projetar o protocolo de transmissão de mensagens entre cadeias.

5 Carteiras

Uma carteira blockchain é uma parte importante do blockchain, uma ferramenta de armazenamento e gerenciamento de moeda digital que permite aos usuários armazenar, receber e enviar várias criptomoedas com segurança, como Bitcoin, Ethereum e outros tokens. A segurança da carteira sempre foi um tema importante na indústria de blockchain. Uma vez que a carteira é atacada, o invasor pode facilmente roubar informações confidenciais, como a chave privada e o mnemônico do usuário, e então dominar os ativos digitais do usuário. O valor desses ativos digitais pode ser muito alto e, se roubado, o prejuízo será muito grande. Portanto, para maximizar a segurança dos ativos digitais dos usuários, recomendamos que os usuários tomem algumas medidas de segurança.

• No primeiro semestre de 2023, o número de incidentes de segurança em que carteiras foram atacadas foi relativamente pequeno em comparação com outros tipos, mas quando carteiras foram atacadas, as perdas foram relativamente grandes. Como os incidentes das carteiras Atomic e MyAlgo, os dois ataques causaram uma perda de até 109 milhões de dólares americanos.
• O tipo com o terceiro maior número de incidentes é a carteira, e a maioria dos incidentes de segurança nesta categoria se deve ao vazamento de chaves privadas e mnemônicos.

sugestão:

• Escolha um provedor de carteira confiável: escolha um provedor de carteira com boa reputação e um histórico sólido. Certifique-se de entender suas práticas de segurança, como proteger informações confidenciais, como dados do usuário e chaves privadas.
• Use a autenticação de dois fatores: ative a autenticação de dois fatores para aumentar a segurança da sua conta. Este método exige que você insira outra forma de autenticação além do seu nome de usuário e senha ao fazer login, como um código de verificação ou reconhecimento de impressão digital.
• NÃO COMPARTILHE SUA CHAVE PRIVADA: Uma chave privada é prova de propriedade de sua criptomoeda. Não compartilhe suas chaves privadas com ninguém, incluindo provedores de carteira. Se alguém pedir sua chave privada, provavelmente é uma farsa.
• Faça backup de sua carteira regularmente: fazer backup de sua carteira regularmente garante que você possa recuperar suas criptomoedas se sua carteira for perdida ou atacada. Você pode manter seus backups em um local seguro, como um dispositivo offline ou uma carteira de hardware.
• Tenha cuidado com e-mails ou mensagens desconhecidas: Não abra ou baixe e-mails ou mensagens de fontes desconhecidas. Eles podem conter malware ou links que podem comprometer sua carteira.
• Certifique-se de que seu computador e dispositivos móveis estejam seguros: certifique-se de que seu computador e dispositivos móveis tenham as atualizações de segurança e antivírus mais recentes para proteger seus dispositivos contra ataques.
• Não use redes Wi-Fi desconhecidas em locais públicos, pois essas redes podem ser inseguras e podem ser usadas por hackers para atacar sua carteira.
• Certifique-se de que seu software de carteira esteja atualizado: Certifique-se de que seu software de carteira esteja atualizado. Novos lançamentos geralmente contêm atualizações e correções de segurança que podem ajudá-lo a proteger sua carteira contra ataques.
• Mantenha-se atualizado com as informações mais recentes sobre segurança da carteira: mantenha-se informado sobre as informações e eventos mais recentes sobre segurança da carteira para ajudá-lo a se manter informado sobre a segurança da carteira e tomar as precauções apropriadas.

Análise e resumo dos incidentes de segurança blockchain no primeiro semestre de 2023

Por meio da triagem dos incidentes de segurança da blockchain no primeiro semestre de 2023, constatou-se que o aplicativo na cadeia foi o tipo de projeto com maior frequência de ataque e maior perda em meio ano. No campo de aplicações on-chain ocorreram um total de 157 incidentes de segurança, 32 dos quais foram ataques baseados em vulnerabilidades contratuais.

Diante de incidentes de segurança frequentes, os desenvolvedores devem seguir a codificação de segurança, auditar códigos de contrato e usar bibliotecas de segurança maduras para proteger os direitos do usuário; e os usuários que usam contratos inteligentes também devem escolher contratos com cuidado e verificar cuidadosamente seus contratos antes de usar. código e segurança, escolha uma empresa de segurança profissional para auditoria. Quando ocorre um incidente de segurança, os usuários podem fazer muito pouco. Somente melhorando continuamente sua própria consciência de segurança, descobrindo vulnerabilidades com antecedência, solucionando vulnerabilidades e tomando precauções, eles podem evitar ataques o máximo possível.

As informações fornecidas neste relatório são apenas para referência e pesquisa. As informações vêm de fontes públicas. O autor fez o possível para verificar a precisão e integridade, mas não pode garantir sua precisão e integridade e não assume qualquer responsabilidade pelo uso ou com base nas informações, responsabilidade por perdas ou danos. Este relatório não deve ser considerado uma recomendação ou recomendação para qualquer projeto específico de blockchain ou investimento em criptomoeda, e os leitores devem conduzir suas próprias pesquisas e tomadas de decisão. O conteúdo deste relatório não substitui o julgamento e tomada de decisão do leitor, nem pode garantir a persistência ou concretização da situação descrita.