tp钱包app官网下载|Salus 发布 2023 年 Web3 安全形势报告

与 2022 年相比，2023 年 web3 行业因黑客攻击造成的总体财务损失减少至 17 亿美元。

真的。 web3 行业在网络安全和网络攻击预防方面做得越来越好。 然而，对于 Lazarus 等依赖高级攻击的网络犯罪团伙来说，黑客攻击仍然有利可图。

也就是说，大部分综合损失（估计 70%）可归因于备受瞩目的网络攻击。 想想多链、Mixin Network 或 Poloniex。

Salus 是一家专注于 web3 行业网络安全和传统安全的网络安全公司，编制了 2023 年 Web3 安全形势报告。

该文件重点介绍了十大攻击、加密货币黑客攻击造成的总体损失、在行业中引发重大事件的常见漏洞，以及公司可以采取的减少黑客攻击机会的步骤。

以下是 web3 领域内的公司可以学习并应用于 2024 年安全的亮点和主要发现。

2023 年观察到的主要 Web3 漏洞

根据 Salus 报告，造成大多数黑客攻击的弱点是：

• 访问控制问题——39.18% 网络攻击的原因

• 闪贷攻击——占网络犯罪的 16%

• 退出诈骗——造成 12% 的年度损失

• Oracle 问题 — 触发了所有漏洞的 6%

• 网络钓鱼 — 4% 的事件背后是社会工程

• 可重入性 — 造成 4% 的网络犯罪

• 其他 — 涵盖总体黑客攻击的剩余 17%

最常见的网络攻击和弱点类型既涉及高技术和复杂的威胁，也涉及依赖人为偏见和错误的威胁。

2024 年我们如何预防它们？

让我们来详细分析最常见的黑客威胁以及来年避免这些威胁的最佳预防措施。

访问控制问题

大多数黑客攻击（估计为 39.18%）都是由于与访问控制相关的问题而可能发生的。 报告称，2023 年有 29 起黑客案件导致了 6.66 亿美元的损失。所有案件都是从这一漏洞开始的——包括 Atomic钱包、Multichain 和 Poloniex。

访问控制漏洞是指黑客可用来非法进入的一系列缺陷。 无论是旧设备、设置错误、访问管理不当、设置过于宽松、钥匙卡被盗、无法与其他系统集成等。

为了防止这种常见的安全缺陷，请设置遵循最小权限原则的强授权。 定期更新访问权限。 确保具有更高特权访问权限的人员接受额外培训。

最后，进行自动化和彻底的监控，帮助您识别和减少跨整个基础设施的访问利用尝试。

闪电贷攻击

闪电贷攻击属于去中心化金融（DeFi）类别，因为它们滥用和改变智能合约。 在这次黑客攻击中，不良行为者在 DeFi 平台内启动闪电贷并借入大量加密货币，因为它不需要抵押品。

加密货币领域的许多公司都陷入了这种骗局。 2023 年，该公司引发了 37 起事件，造成了 2.74 亿美元的损失。 遭受此次攻击的公司包括 Euler Finance、KyberSwap 和 Yearn Finance。

为了保护您的资产免受闪贷攻击，请设置一个人可以使用智能合约借款的金额限制并设定时间限制。

向那些想要快速贷款的人收取费用是阻止黑客利用这种通常无抵押贷款的另一种方法。

退出骗局

这种骗局对投资者钱包的伤害最大。 加密货币开发人员启动该项目只是为了放弃它。 在大多数情况下，退出骗局涉及机会主义网络犯罪分子提供的一些高风险有利可图的机会，这些机会最终会随着投资者的资金消失。

2023 年，加密货币领域记录了 276 起退出骗局，造成了 2.08 亿美元的损失。

此事件不涉及技术含量高的黑客攻击，或者根本不涉及任何黑客攻击。 因此，为了预防这种情况，有必要警惕最常见的诈骗迹象。

当出现一个好得令人难以置信的机会时，请务必研究参与该特定项目的团队。 与拥有良好业绩记录的值得信赖的企业合作。

然后，避免将所有资金都投入到一个地方，并对不切实际的机会保持警惕。

甲骨文问题

在加密行业，Oracle 被用作某些加密货币协议的价格来源。 如果黑客发现其中的漏洞，他们就可以操纵价格。 在最坏的情况下，他们可以窃取在闪贷攻击中获得的资金。

web3 行业中因 Oracle 内部错误而引发的 7 次黑客攻击导致了 2.34 亿美元的损失。 BonqDAO 网络攻击是 2023 年 Oracle 漏洞的受害者之一。黑客滥用这些漏洞来改变代币价格。

为了防止 Oracle 被利用，您必须精通代币流动性。 避免根据流动性较弱的市场评估未来价格。 询问流动性是否适合您，并考虑 Oracle 与您现有平台的集成。

此外，还可以使用时间加权平均价格 (TWAP)。

网络钓鱼

网络钓鱼等社会工程策略每年都位居榜首，因为它们很难被发现并完全消除。 它们每年都在进化，并且依赖于人为错误。

报告称，共有 13 起事件涉及某种类型的网络钓鱼，导致损失达 6760 万美元。

网络钓鱼主要通过电子邮件完成，说服人们执行某种操作。 黑客经常利用它来进入受到良好保护的系统。 甚至 Lazarus 等已知的黑客组织在 2023 年也依靠网络钓鱼进行攻击。

除了经常建议对所有员工进行打击网络钓鱼的意识培训外，针对更高级形式的网络钓鱼的建议措施还包括渗透测试。

它的作用是在黑客有机会利用它们之前，尽早发现可能允许前端进行网络钓鱼的潜在弱点。

其他必要的预防措施包括多重身份验证、域安全、电子邮件验证和硬件钱包的使用。

可重入性

在此漏洞中，智能合约在完成任务之前被中断并重新调用。 这使得攻击者能够操纵合约的状态——主要是为了提取资金。

2023年，web3行业发生了15起依赖重入漏洞的黑客攻击，带来了7400万美元的损失。 Exactly Protocol 是重入漏洞的受害者之一。 这是由 Vyper 错误引起的。

为了防止重入尝试，请采用智能合约审计技术，确保所有审计员都是值得信赖且经验丰富的，依靠检查-效果-交互模型，并引入全面的重入保护来保护敏感操作。

2023 年 Web3 行业的 5 大网络攻击

2023 年发生的 web3 领域五次最严重的网络攻击造成的损害：

其他对黑客有利可图的高水平黑客攻击包括 Atomic钱包、HECO Bridge、Curve、AlphaPo 和 CoinEx。

仅这 10 起事件就占总损失的 70%（2023 年损失超过 17 亿美元）。

以在朝鲜开展业务而闻名的拉撒路集团（Lazarus Group）获利最多。 他们对过去几年发生的许多引人注目的攻击负有责任。

大多数损失发生在七月、九月和十一月。 仅在 9 月份，网络攻击就造成了 3.6 亿美元的损失。 1月、8月、10月和12月财务损失大幅下降。

让我们来详细分析一下 2023 年 web3 行业最具破坏性的五次黑客攻击。

#1 Mixin 网络

9 月，Mixin Network 披露了一次违规事件，导致他们损失了 2 亿美元——其中大部分是比特币。 这是 2023 年有记录以来最大的加密资产盗窃案。

此次袭击和随后调查的所有细节尚未披露。 我们所知道的是，黑客利用了云安全中的漏洞。 不良行为者利用存储在第三方云上的数据库来获取主网上的资产。

Mixin Network 以提供免费且更快的数字资产跨链传输而闻名。 为此，他们依赖集中式数据库——为黑客提供了一个主要弱点。

#2 欧拉金融

今年 3 月，Euler Finance 遭受了 1.97 亿美元的损失，现在被称为 2023 年第二严重的加密货币黑客攻击。这次黑客攻击的罪魁祸首是他们系统中名为 donateToReserves 函数的漏洞。

犯罪分子利用闪电贷利用 DeFi 协议窃取资金。 他们用它来触发债务和清算，导致 Euler Finance 的锁定总价值（代表其系统中涉及的所有资金）急剧下降。

没想到，黑客在区块链消息中道歉并归还了被盗资金。

然而，这一事件凸显了仔细检查和评估去中心化金融中使用的智能合约的风险是多么重要。

#3 多链

6 月，Multichain 遭遇黑客攻击，损失了价值 1.2 亿美元的加密货币钱包。 此前，该公司被称为 Anyswap。

6月份，出现了锁仓资产意外转移至未知地址的情况，让用户担忧不已。

当该公司于 11 月份恢复运营时，该公司又遭受了 100 万美元的损失。

该事件涉及异常转账、资产引流、用户资金不正常转移至不明钱包等，但攻击细节尚不清楚。 该公司的内部安全做法现在受到质疑，用户仍在等待更多答案。

由于首席执行官和他的妹妹入狱，公司的运营被暂停，服务器和资金的访问目前由中国警方监管。

#4 波洛尼克斯

去年 11 月，加密货币交易所 Poloniex 因 Lazarus Group 实施的黑客攻击而蒙受 1.26 亿美元的损失。该组织因使用网络钓鱼和使用自己的恶意软件进行多种攻击而臭名昭著。

攻击者利用受损的私钥从交易所的热钱包中窃取资金。 通过访问私钥，不良行为者可以将加密货币发送到属于 Lazarus 的钱包。

这次攻击显示了拉撒路的许多典型迹象——包括利用不同的代币类型并将它们发送到通用地址。

这一事件提醒我们，依赖单一私钥控制的区块链钱包与社会工程相结合可能是危险的。

此后，Poloniex 继续运营并采取了更强有力的安全措施，特别是在管理密钥方面。

#5 BonqDAO

今年 2 月，Polygon 网络上的借贷和稳定币协议 BonqDAO 因预言机操纵而面临两阶段攻击，造成 1.2 亿美元的重大损失。

攻击者操纵 Tellor 价格，允许他们使用人为夸大的抵押品借入资金。

这一事件强调了与 Oracle 漏洞相关的危险及其对去中心化金融 (DeFi) 平台的重大影响——被称为 2023 年 web3 领域最常被利用的漏洞之一。

2024 年 Web3 网络安全的后续步骤

如前所述，2023 年成功黑客攻击后造成的大部分财务损失都归因于备受瞩目的事件。 与 2022 年相比，网络攻击有所减少，但上述漏洞对于高级黑客组织来说仍然非常有利可图。

每年，企业都在更好地保护其资产免受各种网络威胁的侵害。 然而，随着新的一年的到来，他们面临着越来越多的威胁以及新型网络问题，需要改进的安全解决方案和协议。

2024 年，我们如何才能减少 web3 行业发生重大黑客攻击的可能性？

Salus 建议采取多方面的方法，包括严格的审核和提高对 Web3 渗透测试的认识。

安全必须涵盖利用人类心理的骗局和针对技术致命缺陷的复杂黑客攻击可能造成的弱点。

免责声明：本文仅供参考。 它不提供或旨在用作法律、税务、投资、财务或其他建议。