Det första kvartalet 2024 har blivit ett avgörande kapitel i berättelsen om Web3-säkerhet, präglat av både anmärkningsvärda framsteg inom hotbegränsning och betydande utmaningar.
Den här rapporten sammanfattar de viktigaste resultaten från AI Web3-säkerhetsföretaget Cyvers omfattande analys av säkerhetsincidenter under Q1 2024, belyser nya hot och understryker vikten av motståndskraft inom ekosystemet.
Sammanfattning
I takt med att DeFi, DePIN (Decentralized Physical Infrastructure Networks), RWA (Real World Assets) och andra blockkedjebaserade applikationer ständigt utvecklas har vi sett en motsvarande upptrappning av sofistikerade säkerhetshot. Attackvektorerna har diversifierats, med sårbar kod som leder till betydande ekonomiska återverkningar och överträdelser av åtkomstkontroll som visar sig vara exceptionellt kostsamma.
Dessa trender signalerar ett akut behov av förbättrade säkerhetsåtgärder och större vaksamhet inom Web3-communityn.
Cyvers, i partnerskap med BeInCrypto, har visat sitt engagemang för denna sak genom att vara banbrytande inom hotdetektering i realtid och AI-drivna säkerhetslösningar. Målet är att snabbt och exakt identifiera hot, erbjuda proaktiva åtgärder och skydda tillgångar över blockkedjan.
Dessa hot använder en rad olika attackvektorer – från sårbarheter i smarta kontrakt till nätfiske – i syfte att utnyttja Web3-teknikens öppna och sammankopplade natur. Som svar på dessa utmaningar har Web3-communityn samlats och betonat vikten av säkerhet som en grundläggande del av ekosystemets infrastruktur.
Viktiga säkerhetstrender och statistik
Det totala stulna värdet (TSV) under det första kvartalet 2024 är cirka 739,7 miljoner USD. Januari bevittnade det högsta antalet attacker (27), följt av mars (21) och februari (18). Trots det lägsta antalet attacker hade februari en hög finansiell påverkan, med cirka 405,3 miljoner dollar förlorade till följd av attacker.
Den genomsnittliga förlusten per attack beräknades till cirka 6,7 miljoner dollar, vilket visar att mycket står på spel när det gäller Web3-säkerhet.
Den vanligaste attackvektorn var kodsårbarheter, med 37 fall, vilket ledde till förluster på cirka 165,9 miljoner dollar. Även om de var mindre vanliga, var attacker på åtkomstkontroll mycket kostsammare och resulterade i förluster på cirka 573,8 miljoner dollar.
I 10 fall upptäcktes hackningen enbart av Cyvers, vilket understryker vikten av proaktiva säkerhetsåtgärder, sofistikerade algoritmer och kontinuerlig optimering.
Tre av dessa fall var bland de 10 största hackningarna under Q1 2024.
Analys av PlayDapps säkerhetsintrång
I februari 2024 stod den framstående spel- och NFT-plattformen PlayDapp inför en allvarlig säkerhetsutmaning när den drabbades av två på varandra följande exploateringar som ledde till en aldrig tidigare skådad myntning av PLA-tokens. Inledningsvis, den 9 februari, präglade en obehörig enhet 200 miljoner PLA-tokens, värderade till cirka 36.5 miljoner dollar.
Några dagar senare, den 12 februari, präglade samma enhet enligt uppgift ytterligare 1,79 miljarder PLA-tokens, vilket motsvarade svindlande 253,9 miljoner dollar. Dessa utnyttjanden resulterade kollektivt i en total förlust på cirka 290 miljoner dollar.
Den främsta orsaken till överträdelsen identifierades som en smart kontraktssårbarhet, vilket gjorde det möjligt för angriparen att prägla tokens utan nödvändig auktoritet. Återverkningarna var omedelbara och allvarliga, eftersom marknadspriset för PLA-tokens sjönk kraftigt på grund av den plötsliga tillströmningen av obehöriga tokens. PlayDapps team försökte förhandla med angriparen och erbjöd en belöning på 1 miljon dollar för återlämnandet av de stulna medlen, men utan resultat.
De säkerhetsåtgärder som vidtogs efter incidenten inkluderade pausning av PLA:s smarta kontrakt och initiering av en kontraktsmigrering baserad på ögonblicksbilder av innehavarnas saldon före exploateringen. PlayDapps snabba svar att pausa kontraktet och samarbeta med brottsbekämpande myndigheter och blockkedjeforensiska företag visade ett engagemang för säkerhet och transparens. Arbetet med att kontakta börser och spåra de stulna medlen pågick, och strategier för att mildra effekterna och förhindra sådana incidenter i framtiden diskuterades aktivt.
Läs mer här: AI för smarta avtalsgranskningar: Snabb lösning eller riskabel affär?
PlayDapp-incidenten fungerar som en varnande berättelse om de inneboende sårbarheterna i smarta kontrakt, särskilt när det gäller prägling och hantering av tokens. Lärdomarna från PlayDapp-incidenten är många: den absoluta nödvändigheten av kontinuerlig säkerhetsövervakning, vikten av proaktiva och reaktiva säkerhetsåtgärder och det ständiga behovet av utbildning om bästa praxis för säkerhet.
Förändringar i lagstiftningen om Web3-säkerhet
Under Q1 2024 såg det globala landskapet för digitala tillgångar anmärkningsvärda framsteg inom reglering som har haft en betydande inverkan på Web3-säkerheten.
PwC:s Global Crypto Regulatory Report betonar den pågående utvecklingen inom reglering av digitala tillgångar och föreslår att även om betydande framsteg gjordes 2023, fortsätter branschen att möta en betydande arbetsbörda inom reglering. Sådan utveckling är avgörande eftersom den ger ett strukturerat ramverk för verksamheten, förbättrar globala regleringspolicyer och hjälper till att fastställa globala tillsynsstandarder, vilket kan påverka EU:s förordning om marknader för kryptotillgångar och andra internationella policyer.
Efter FTX:s uppmärksammade kollaps har tillsynsorganen dessutom uppmanats att införa strängare regler för digitala tillgångar för att bättre skydda investerarna. US Securities and Exchange Commission (SEC), till exempel, hade planerat att släppa nya regler för börser och erbjudanden av digitala tillgångar. Dessa regler förväntades innehålla omfattande bestämmelser för erbjudanden om digitala tillgångar, tillsammans med riktlinjer för börser för digitala tillgångar.
Detta svar på tidigare händelser visar en tydlig avsikt från tillsynsorgan att förbättra tillsynen och förhindra liknande händelser i framtiden.
Dessa regler syftar inte bara till att skydda investerare utan också till att säkerställa att marknaderna för digitala tillgångar fungerar på ett ordnat sätt. För Cyvers kan denna utveckling utgöra en möjlighet att bidra till diskussioner om reglering och utnyttja sin expertis för att vägleda utformningen av policyer som balanserar behovet av säkerhet med potentialen för innovation inom Web3-området.
I takt med att regelverken utvecklas blir Cyvers och BeInCryptos förmåga att tillhandahålla efterlevnadsanpassade säkerhetstjänster allt viktigare. Q1 2024 har därför varit en avgörande tid för Web3-säkerhet, präglad av tillsynsmyndigheter runt om i världen som tar lärdom av tidigare händelser för att stärka branschens försvar och skapa en säker grund för den växande digitala ekonomin.
Rekommendationer för att förbättra Web3-säkerheten
I jakten på ett förstärkt Web3-landskap förklarade Cyvers för BeInCrypto strategiska sätt att förbättra säkerheten för olika intressenter inom ekosystemet:
För projekt:
- Granskning av smarta kontrakt: Se till att smarta kontrakt genomgår grundliga säkerhetsrevisioner av ansedda företag. Gör regelbundet om revisionen efter större uppdateringar eller förändringar i kontraktets logik. Kolla in våra rekommenderade revisorer här.
- Planering av incidenthantering: Utveckla en incidenthanteringsplan som är skräddarsydd för potentiellaWeb3-specifika intrång och som beskriver omedelbara åtgärder, kommunikationsprotokoll och beredskapsåtgärder.
- Integration av säkerhetsmoduler: Implementera realtidsdetektering av hot och säkerhetsmoduler, som de som tillhandahålls av Cyvers, för att kontinuerligt övervaka och skydda mot skadlig aktivitet.
För utvecklare:
- Design med säkerhet först: Använd ett säkerhetstänkande när du utformar system och prioritera säkerhet i varje fas av utvecklingen.
- Kontinuerlig utbildning: Håll dig informerad om den senaste säkerhetsforskningen, sårbarheter och skyddsstrategier. Samarbeta med communityt för att dela med dig av kunskap och bästa praxis.
- Decentralisering av kontrollen: Undvik enskilda felkällor i dina system. Använd plånböcker med flera signaturer och distribuerat beslutsfattande för kritisk verksamhet.
För investerare:
- Due Diligence: Utöva due diligence genom att granska projektens säkerhetsrutiner innan du investerar. Kontrollera revisionsrapporter, säkerhetstillhörighet och incidenthistorik.
- Diversifiera innehaven: Skydda din portfölj från riktade intrång genom att diversifiera dina innehav över olika plattformar och plånböcker.
- Använd betrodda plattformar: Använd plattformar som har en dokumenterad historia av säkerhet och som implementerar de senaste säkerhetsåtgärderna.
För användare:
- Säker plånbokspraxis: Använd hårdvaruplånböcker för betydande innehav, förvara privata nycklar på ett säkert sätt och använd multifaktorautentisering.
- Se upp förnätfiske: Lär dig mer om vanliga nätfisketaktiker inom Web3-området. Kontrollera webbadresser, dubbelkolla smarta kontraktsinteraktioner och var försiktig med oönskade förfrågningar.
- Håll dig uppdaterad: Uppdatera regelbundet din programvara till de senaste versionerna och se till att säkerhetsuppdateringar används.
Läs mer här: Identifiera och utforska risker med DeFi-utlåningsprotokoll
Genom att följa dessa rekommendationer kan intressenter i hela Web3-ekosystemet avsevärt minska sin riskprofil och bidra till att skapa en säker och motståndskraftig digital miljö. Det är genom kollektiv vaksamhet och proaktiva åtgärder som vi kan navigera i Web3-ekosystemet med säkerhet och förtroende.
Trusted
Disclaimer
All information på vår webbplats publiceras i god tro och endast för allmän information. Varje åtgärd som läsaren vidtar baserat på informationen på vår webbplats sker strikt på egen risk.
