U trećem kvartalu hakeri opljačkali 720 milijuna dolara kriptoimovine

U trećem kvartalu ove godine ekosustav kriptovaluta svjedočio je nizu sigurnosnih incidenata kojih je bilo nešto manje, ali su bili "skuplji", popeli su se na gotovo 720 milijuna dolara. Najznačajniji incident bila je eksploatacija Multichain mosta vrijedna 231 milijun dolara. To nije bio prvi sigurnosni incident za Multichain, budući da je platforma doživjela već dva napada.

Još jedan značajan incident uključivao je grešku u Vyper kompajleru, što je rezultiralo gubicima od 70 milijuna dolara za istaknute projekte kao što su Curve Pools, Alchemix i JPEG'd. Srećom, brza akcija i učinkovita komunikacija omogućili su povrat 90 posto ukupnih sredstava.

Web 3.0. blockchain sigurnosna tvrtka Hacken objavila je detaljno istraživanje.

Vrijeme reakcije projektnog tima nakon proboja sigurnosti je ključno. Podaci pokazuju da reakcija timova unutar dvadeset i četiri sata od hakiranja dovodi do povrata značajnog dijela izgubljenih sredstava.

Najštetnija vrsta kibernetičkih napada na kriptoimovinu u trećem je tromjesečju bila kontrola pristupa. U samo osam incidenata, takvi su napadi odgovorni za 449 milijuna dolara. To pokazuje kako je, osim ranjivosti koda, ljudski element ostao najranjiviji aspekt industrije kriptovaluta.

Usporedba drugog i trećeg kvartala ove godine | hacken.io

 

U trećem kvartalu kriptosektor je doživio raznolik niz sigurnosnih proboja, pri čemu su napadi kontrole pristupa odgovorni za znatnih 65 posto ukupnih gubitaka. Takozvani rug pulls i reentrancy uz flash loans zaslužni su za više od 20 posto gubitaka.

Detaljnija analiza sigurnosnih proboja u trećem kvartalu | hacken.io

Takozvani rug pullovi sve su prisutniji zbog jednostavnosti izrade. Serijski prevaranti razviju bezvrijedan token, prikupe značajna sredstva, a zatim se se povuku s novcem, odnosno "povuku tepih". Za takve je slučajeve znimno važna neovisna revizija postoji li potencijal za prijevaru. Od 78 pomno ispitanih rug pullova, samo je 12 izvijestilo da je podvrgnuto nekom obliku revizije. Iako sveobuhvatna revizija može djelovati kao upozorenje, ne jamči zaštitu od prijevara. Neki projekti mogu biti podvrgnuti reviziji i rezultirati izvješćem s lošom ocjenom, no korisnici mogu sam čin revizije smatrati dovoljnim.

Distribucija napada slijedi prepoznatljiv obrazac - veći lanci su češće ciljani. Tako Ethereumova glavna mreža vodi sa 73 hakiranja, od kojih su 54 rug pullovi. Binance Smart Chain (BSC) je sljedeći s 33 proboja, od kojih su 24 rug pullovi. Noviji Layer 2, Base, bio je hakiran šest puta, od kojih su četiri bila rug pullovi. Većina napada obično se fokusira na jednu do dvije različite mreže. Međutim, napadi kontrole pristupa utječu na sve mreže na kojima kompromitirana adresa drži imovinu. Nakon što se privatni ključ otkrije, lokacija kriptovalute postaje nevažna, budući da je cijeli izvor ugrožen.

Hakerski napadi prema lancima | hacken.io

Uvažavajući trendove u ovom kvartalu, pojavljuju se tri glavna zaključka Hackenova istraživanja:

1. Ranjivosti kontrole pristupa

Iako su rjeđa, ta kršenja rezultiraju znatnim financijskim gubicima, u prosjeku desetcima milijuna po incidentu. Ublažavanje kvarova na multisig novčanicima, distribuirana pohrana ključeva i dopuštenja temeljena na ulogama su ključna. Analiza proboja sigurnosti u trećem tromjesečju naglašava stalnu potrebu za povećanom sviješću o sigurnosti blockchaina i djelovanjem među korisnicima, projektima i revizorima.

2. Rug pullovi i dalje prevladavaju

Te prijevare ciljaju na pojedince koji traže brzu zaradu. Prije ulaganja ključno je pažljivo ispitati vlasništvo tokena, uvjete likvidnosti i rezultate revizije. Dajte prednost projektima s odbačenim administrativnim kontrolama, financijama koje vodi zajednica i budite oprezni kada radite s tokenima neidentificiranih programera sa zadanim postavkama.

3. Nužnost kvalitetnih revizija

Revizije nisu pouzdane, pa čak i temeljito pregledan kod može sakriti ranjivosti. Preporučljivo je usvojiti pristup s više revizora i zapamtiti da promjene učinjene nakon revizije mogu poništiti prethodne analize. S obzirom na redovitu pojavu novih prijetnji, stalne revizije aktivnih ugovora su imperativ.