Bit Jungle: Báo cáo phân tích bảo mật chuỗi khối cho nửa đầu năm 2023

Lời nói đầu

Với quá trình số hóa không ngừng sâu rộng, công nghệ chuỗi khối đã trở thành một động lực quan trọng trong nhiều lĩnh vực, không chỉ mang lại những thay đổi đột phá cho các ngành truyền thống như tài chính, y tế, hậu cần mà còn mang lại sự cởi mở và minh bạch hơn cho những người tham gia. kinh nghiệm. Tuy nhiên, với việc ứng dụng rộng rãi công nghệ chuỗi khối, các vấn đề bảo mật liên quan đến nó ngày càng trở nên nghiêm trọng. Trong những năm gần đây, các sự cố bảo mật blockchain thường xuyên xảy ra, không chỉ gây thiệt hại lớn cho các cá nhân và doanh nghiệp mà còn mang đến những thách thức cho sự phát triển của công nghệ blockchain.

Báo cáo này sắp xếp và phân tích các sự cố bảo mật chuỗi khối trong nửa đầu năm 2023, nhằm khám phá những nguy cơ tiềm ẩn của bảo mật chuỗi khối, phân tích nguyên nhân của các sự cố bảo mật chuỗi khối, đồng thời đề xuất các giải pháp và đề xuất tương ứng. Thông qua báo cáo này, chúng tôi hy vọng sẽ thu hút sự chú ý của tất cả các bên đối với các vấn đề bảo mật chuỗi khối, cùng nhau thúc đẩy sự phát triển an toàn của công nghệ chuỗi khối và đặt nền tảng vững chắc cho tương lai của thế giới kỹ thuật số.

Tổng quan về thiệt hại kinh tế của các sự cố an ninh

Trong nửa đầu năm 2023, có tổng cộng 192 vụ tấn công lớn xảy ra, với tổng thiệt hại khoảng 920 triệu USD.

• Tổng cộng có 4 sự cố an ninh với thiệt hại hơn 100 triệu đô la Mỹ:

Cuộc tấn công cho vay chớp nhoáng của Euler Finance đã làm mất 197 triệu đô la

Blockchain cho dự án lừa đảo nhăn mũi chó gây thiệt hại 127 triệu đô la

BonqDAO & AllianceBlock thao túng giá gây thiệt hại 120 triệu đô la Mỹ

Ví Atomic bị đánh cắp và mất 100 triệu USD

• 12 sự cố gây thiệt hại từ 10 triệu USD đến 100 triệu USD
• Có 40 sự cố với thiệt hại từ 1 triệu USD đến 10 triệu USD.

Phân tích tổng quan các phương thức tấn công

Theo phân tích các phương thức tấn công được sử dụng trong các sự cố bảo mật, các phương thức tấn công thường xuyên nhất là Rug Pull và Contract Vulnerabilities, cả hai đều có 32 cuộc tấn công. Tiếp theo là các cuộc tấn công cho vay chớp nhoáng, xảy ra 20 lần, chiếm 14,93% tổng số vụ.

Trong số các phương thức tấn công có số lần xuất hiện cao nhất, khoản vay chớp nhoáng làm mất nhiều tiền nhất, gây thiệt hại tổng cộng 250 triệu đô la Mỹ. Tiếp theo là vụ lừa đảo blockchain, chỉ xảy ra bảy lần và gây thiệt hại 230 triệu USD.

Mặc dù tổng số lỗ hổng hợp đồng và Rug Pull tương đối lớn, chiếm 47,76% trong tất cả các phương thức tấn công, nhưng thiệt hại do chúng gây ra ít hơn nhiều so với hai phương pháp trước, chỉ thiệt hại 66,49 triệu đô la Mỹ. Tỷ lệ cao của các cuộc tấn công này và số tiền thua lỗ khổng lồ một lần nữa làm nổi bật những rủi ro trong thị trường tiền điện tử. Mặc dù công nghệ chuỗi khối có tiềm năng và triển vọng ứng dụng rất lớn, nhưng nó vẫn phải đối mặt với rủi ro bảo mật và thách thức kỹ thuật.

Sự cố Rug Pull xảy ra thường xuyên, trong đó 75% số tiền bỏ trốn của dự án là dưới 10 triệu đô la Mỹ và 28% số tiền bỏ trốn của dự án là dưới 1 triệu đô la Mỹ. Các dự án như vậy thường thiếu trang web chính thức, Twitter, Telegram, Github và các thông tin khác, không có Lộ trình hoặc sách trắng và thông tin của các thành viên trong nhóm là đáng ngờ… Khoảng thời gian từ khi khởi chạy dự án đến khi chạy cuối cùng không quá ba tháng.

Không thể bỏ qua những thiệt hại do sự cố bảo mật như vậy gây ra, cần tăng cường điều tra lai lịch dự án, nâng cao ý thức phòng ngừa những thông tin lạ, nâng cao khả năng phòng ngừa thông qua phòng ngừa sớm để tránh tổn thất.

Tổng quan về các loại sự kiện bảo mật bị tấn công

1 ứng dụng Chuỗi

Ứng dụng trên chuỗi, còn được gọi là Ứng dụng phi tập trung (DApp), là một ứng dụng được xây dựng trên công nghệ chuỗi khối hoặc sổ cái phân tán. Sử dụng các tính năng và chức năng của chuỗi khối để lưu trữ dữ liệu, xử lý giao dịch và thực hiện hợp đồng thông minh.

• Trong nửa đầu năm 2023, có tổng cộng 157 sự cố bảo mật xảy ra trong các ứng dụng trên chuỗi, chiếm 81% tổng số sự cố. Tổng số tiền thất thoát của các ứng dụng trên chuỗi lên tới 740 triệu đô la Mỹ, chiếm 79% tổng số tiền thất thoát. Các ứng dụng trên chuỗi là loại có tần suất tấn công cao nhất và số lượng tổn thất lớn nhất trong sáu tháng qua.
• Tần suất xảy ra sự cố bảo mật ứng dụng trên chuỗi trong sáu tháng của nửa đầu năm gần như giống nhau. Ba nguyên nhân hàng đầu gây ra sự cố bảo mật là Rug Pull, lỗ hổng hợp đồng và Twitter bị tấn công.

gợi ý:

• Bên dự án hoàn toàn xem xét tính bảo mật của dự án khi thiết kế và xây dựng dự án, khi triển khai chức năng cũng xem xét chức năng xác minh có bị bỏ qua hay không, có khiếm khuyết hay không, đồng thời tiến hành kiểm tra bảo mật đầy đủ trước khi dự án lên mạng .
• Trước khi người dùng đầu tư vào ứng dụng trên chuỗi, họ nên điều tra càng nhiều càng tốt, đưa ra quyết định cẩn thận và đầu tư thận trọng.

2 Trao đổi

Sàn giao dịch (Exchange) đề cập đến một nền tảng hoặc tổ chức cung cấp dịch vụ giao dịch và giao dịch tài sản kỹ thuật số. Nó cho phép người dùng trao đổi một tài sản kỹ thuật số (chẳng hạn như Bitcoin, Ethereum, v.v.) để lấy một tài sản kỹ thuật số khác hoặc mua hoặc bán tài sản kỹ thuật số bằng tiền tệ fiat (chẳng hạn như USD, EUR, v.v.).

• Trong nửa đầu năm 2023, các sàn giao dịch đứng thứ hai về số vụ sự cố bảo mật, trong nửa đầu năm đã xảy ra 11 sự cố bảo mật trong lĩnh vực sàn giao dịch, gây thiệt hại tổng cộng 73,18 triệu đô la Mỹ. Lý do chính của cuộc tấn công là lỗ hổng hợp đồng.
• Sự cố bảo mật liên quan đến trao đổi xảy ra hàng tháng. Và số tiền thất thoát do sự cố bảo mật không phải là con số nhỏ.

gợi ý:

*Người dùng cẩn thận với các liên kết lừa đảo và độc hại: Tránh nhấp vào các liên kết không đáng tin cậy, đặc biệt là những liên kết nhận được qua email hoặc mạng xã hội.

• Thường xuyên kiểm tra hoạt động tài khoản; không lưu trữ tất cả tiền tập trung; cập nhật và bảo mật thiết bị; chọn công ty bảo mật đáng tin cậy để kiểm tra sớm.

3 Chuỗi công khai/Chuỗi bên

Chuỗi khối công khai, được gọi là chuỗi công khai, đề cập đến một chuỗi khối đồng thuận mà bất kỳ ai trên thế giới cũng có thể truy cập và đọc bất kỳ lúc nào, đồng thời bất kỳ ai cũng có thể gửi giao dịch và nhận được xác nhận hiệu quả. Sidechain là một chuỗi khối song song với chuỗi chính, có thể hiểu là một giao thức mở rộng của chuỗi khối. Để đáp ứng các nhu cầu kinh doanh cụ thể, chẳng hạn như trao đổi tài sản chuỗi chéo, mở rộng chuỗi riêng tư và các giải pháp chuỗi khối dành riêng cho ngành.

• Trong nửa đầu năm 2023, chuỗi công khai/chuỗi bên là loại sự cố bảo mật lớn thứ ba. Lý do chính của cuộc tấn công là lỗ hổng hợp đồng thông minh.

gợi ý:

• Chọn cơ chế đồng thuận đáng tin cậy.
• Sử dụng thuật toán mã hóa an toàn để tạo và lưu trữ khóa, đồng thời sử dụng công nghệ đa chữ ký để tăng tính bảo mật cho giao dịch.
• Tiến hành kiểm tra bảo mật thường xuyên, bao gồm đánh giá mã, kiểm tra bảo mật và quét lỗ hổng để xác định các lỗ hổng và điểm yếu bảo mật tiềm ẩn.

4 Cầu xuyên xích

Cross-Chain Bridge là một giải pháp kỹ thuật cho phép chuyển tài sản kỹ thuật số giữa các mạng blockchain khác nhau. Cầu nối chuỗi chéo thường khóa hoặc ghi mã thông báo trong hợp đồng thông minh trên chuỗi gốc và mở khóa hoặc đúc mã thông báo thông qua một hợp đồng thông minh khác trên chuỗi mục tiêu. Giao tiếp xuyên chuỗi về cơ bản đòi hỏi sự đánh đổi ở ba khía cạnh: bảo mật, tin cậy và linh hoạt. Do sự tồn tại của các yếu tố phức tạp này, các cầu nối chuỗi chéo đã trở thành mục tiêu tấn công chính trong lĩnh vực Web3.

• Trong nửa đầu năm 2023, đã xảy ra 8 sự cố an ninh cầu liên chuỗi, gây thiệt hại 11,37 triệu USD.
• Vào năm 2022, 12 sự cố an ninh cầu liên chuỗi đã gây thiệt hại tổng cộng khoảng 1,89 tỷ đô la Mỹ, đứng đầu trong tất cả các loại dự án về thiệt hại. So với năm ngoái, đã có 7 sự cố bảo mật trong cầu liên chuỗi trong nửa đầu năm nay, ngoài sự cố bảo mật Poly Network và Multichain gần đây, đã có 10 sự cố bảo mật. sự cố cao hơn năm ngoái, diễn biến nghiêm trọng hơn. Những lý do chính để bị tấn công là các lỗ hổng hợp đồng thông minh, các khoản vay nhanh, v.v.

gợi ý:

• Bên dự án đặt tính bảo mật lên hàng đầu khi thiết kế giao thức truyền thông báo xuyên chuỗi.

5 ví

Ví blockchain là một phần quan trọng của blockchain, một công cụ quản lý và lưu trữ tiền kỹ thuật số cho phép người dùng lưu trữ, nhận và gửi một cách an toàn các loại tiền điện tử khác nhau như Bitcoin, Ethereum và các mã thông báo khác. ​Bảo mật ví luôn là một chủ đề nóng trong ngành công nghiệp blockchain. Sau khi ví bị tấn công, kẻ tấn công có thể dễ dàng đánh cắp thông tin nhạy cảm như khóa cá nhân và ghi nhớ của người dùng, sau đó làm chủ tài sản kỹ thuật số của người dùng. Giá trị của những tài sản kỹ thuật số này có thể rất cao và nếu bị đánh cắp, tổn thất sẽ rất nặng nề. Do đó, để tối đa hóa tính bảo mật cho tài sản kỹ thuật số của người dùng, chúng tôi khuyên người dùng nên thực hiện một số biện pháp bảo mật.

• Trong nửa đầu năm 2023, số lượng sự cố bảo mật mà ví bị tấn công tương đối ít so với các loại ví khác, nhưng khi ví bị tấn công thì thiệt hại lại tương đối lớn. Chẳng hạn như sự cố ví Atomic và MyAlgo, hai cuộc tấn công đã gây ra thiệt hại lên tới 109 triệu đô la Mỹ.
• Loại có số lượng sự cố lớn thứ ba là ví và hầu hết các sự cố bảo mật trong danh mục này là do rò rỉ khóa cá nhân và thuật ghi nhớ.

gợi ý:

• Chọn nhà cung cấp ví đáng tin cậy: Chọn nhà cung cấp ví có danh tiếng tốt và lịch sử vững chắc. Đảm bảo hiểu các phương pháp bảo mật của họ, cách bảo vệ thông tin nhạy cảm như dữ liệu người dùng và khóa riêng tư.
• Sử dụng xác thực hai yếu tố: Bật xác thực hai yếu tố để tăng tính bảo mật cho tài khoản của bạn. Phương pháp này yêu cầu bạn nhập một hình thức xác thực khác ngoài tên người dùng và mật khẩu khi đăng nhập, chẳng hạn như mã xác minh hoặc nhận dạng dấu vân tay.
• KHÔNG CHIA SẺ KHÓA RIÊNG TƯ CỦA BẠN: Khóa riêng tư là bằng chứng về quyền sở hữu tiền điện tử của bạn. Không chia sẻ khóa riêng của bạn với bất kỳ ai, kể cả nhà cung cấp ví. Nếu ai đó yêu cầu bạn cung cấp khóa riêng, rất có thể đó là lừa đảo.
• Sao lưu ví của bạn thường xuyên: Việc sao lưu ví của bạn thường xuyên đảm bảo rằng bạn có thể khôi phục tiền điện tử của mình nếu ví của bạn bị mất hoặc bị tấn công. Bạn có thể giữ các bản sao lưu của mình ở nơi an toàn, chẳng hạn như thiết bị ngoại tuyến hoặc ví phần cứng.
• Cẩn thận với các email hoặc tin nhắn không xác định: Không mở hoặc tải xuống các email hoặc tin nhắn từ các nguồn không xác định. Những thứ này có thể chứa phần mềm độc hại hoặc liên kết có thể dẫn đến việc ví của bạn bị xâm phạm.
• Đảm bảo máy tính và thiết bị di động của bạn an toàn: Đảm bảo máy tính và thiết bị di động của bạn có bản cập nhật bảo mật và chống vi-rút mới nhất để bảo vệ thiết bị của bạn khỏi các cuộc tấn công.
• Không sử dụng các mạng Wi-Fi không rõ nguồn gốc ở những nơi công cộng, vì các mạng này có thể không an toàn và có thể bị tin tặc lợi dụng để tấn công ví của bạn.
• Đảm bảo phần mềm ví của bạn được cập nhật: Đảm bảo phần mềm ví của bạn được cập nhật. Các bản phát hành mới thường chứa các bản sửa lỗi và cập nhật bảo mật có thể giúp bạn bảo vệ ví của mình khỏi các cuộc tấn công.
• Luôn cập nhật thông tin mới nhất về bảo mật ví: Luôn cập nhật thông tin và sự kiện mới nhất về bảo mật ví để giúp bạn nắm bắt thông tin về bảo mật ví và thực hiện các biện pháp phòng ngừa thích hợp.

Phân tích và tổng hợp các sự cố bảo mật blockchain nửa đầu năm 2023

Thông qua việc phân loại các sự cố bảo mật blockchain trong nửa đầu năm 2023, người ta thấy rằng ứng dụng trên chuỗi là loại dự án có tần suất tấn công cao nhất và thiệt hại lớn nhất trong nửa năm. Tổng cộng có 157 sự cố bảo mật đã xảy ra trong lĩnh vực ứng dụng trên chuỗi, 32 trong số đó là các cuộc tấn công dựa trên lỗ hổng hợp đồng.

Trước các sự cố bảo mật thường xuyên xảy ra, các nhà phát triển nên tiếp tục tuân thủ mã hóa bảo mật, kiểm tra mã hợp đồng và sử dụng các thư viện bảo mật trưởng thành để bảo vệ quyền của người dùng và người dùng sử dụng hợp đồng thông minh cũng nên chọn hợp đồng cẩn thận và kiểm tra cẩn thận hợp đồng của họ trước khi sử dụng. mật mã và bảo mật, hãy chọn công ty bảo vệ chuyên nghiệp để kiểm toán. Khi xảy ra sự cố bảo mật, người dùng có thể làm rất ít, chỉ bằng cách liên tục nâng cao nhận thức về bảo mật của chính họ, phát hiện trước các lỗ hổng, giải quyết các lỗ hổng và thực hiện các biện pháp phòng ngừa, họ mới có thể tránh bị tấn công nhiều nhất có thể.

Thông tin cung cấp trong báo cáo này chỉ mang tính tham khảo và nghiên cứu, thông tin được lấy từ các nguồn công khai, tác giả đã cố gắng hết sức để xác minh tính chính xác và đầy đủ, nhưng không thể đảm bảo tính chính xác và đầy đủ của nó và không chịu bất kỳ trách nhiệm nào đối với việc sử dụng hoặc dựa vào thông tin.trách nhiệm pháp lý đối với mất mát hoặc thiệt hại. Báo cáo này không nên được coi là một đề xuất hoặc đề xuất cho bất kỳ dự án blockchain hoặc đầu tư tiền điện tử cụ thể nào và người đọc nên tiến hành nghiên cứu và ra quyết định của riêng họ. Nội dung của báo cáo này không thể thay thế cho sự phán đoán và ra quyết định của người đọc, cũng như không thể đảm bảo tính bền vững hoặc hiện thực của tình huống được mô tả.