Купить криптовалюту
Buy & Sell
Рынки
Торговля
Фьючерсы
Earn
Square
Подробнее
Блог Binance

Безопасность Web3: лучшие методы защиты на основе конфиденциальности

2022-12-09

Основные выводы 

  • Экосистема Web3 сталкивается со многими проблемами безопасности — как с теми, которые были характерны для Web2, так и с новыми видами атак. 

  • Важно внедрять лучшие практики, такие как аудит смарт-контрактов, аналитика блокчейна, мониторинг в реальном времени и т. д., которые необходимы для создания безопасной экосистемы Web3. 

  • Binance разработала ключевые услуги и продукты инфраструктуры безопасности для сообщества Web3, включая решения для хранения на основе конфиденциальных вычислений (MPC), системы управления кошельками и многое другое.

Web3 дает нам шанс взглянуть на интернет по-новому и перестроить наши платформы на основе обновленных принципов. Однако эта отрасль находится только на начальном этапе развития, а потому подвержена новому классу киберугроз, начиная от уязвимости смарт-контрактов и заканчивая схемами rug pull.

Чтобы помочь нашим пользователям и создателям проектов лучше ориентироваться в этой постоянно меняющейся экосистеме, Binance Labs приглашает лидеров отрасли и наших штатных экспертов поделиться своим мнением о безопасности Web3 и лучшими практиками.  

Обзор индустрии безопасности Web3 

Угрозы безопасности в среде Web3 эволюционируют крайне быстро. Злоумышленники, как правило, выбирают наиболее экономичные и эффективные способы атак, например используют вредоносные смарт-контракты. Многие угрозы Web2, такие как фишинг, подмена SIM-карт, вредоносные программы и атаки ботов, продолжают работать и в Web3.

Однако, по сравнению с решениями безопасности Web2, в Web3 существует не так много инструментов для предотвращения подобных угроз. В мире Web2 у нас есть антивирусное программное обеспечение, брандмауэры, облачные системы безопасности, а также VPN и нулевое доверие для доступа к сети. В Web3 большинство проектов используют только однослойные решения для обеспечения безопасности, которых недостаточно для предотвращения атак.

Согласно отчету PwC, ожидается, что к 2030 году технология блокчейна увеличит мировой валовой внутренний продукт (ВВП) более чем в 25 раз до $1,76 трлн (1,4% от мирового ВВП). Однако с развитием блокчейна увеличивается и число случаев мошенничества.

Хакеры, использующие уязвимости в смарт-контрактах, нанесли ущерб в размере более $1,3 млрд в 2021 году (на 250% больше, чем в 2020 году) и $1,8 млрд в течение пяти месяцев в 2022 году (на 138% больше, чем в 2021 году). Но с ростом DeFi (общая стоимость заблокированных средств увеличилась в 16 раз) и числа кроссчейнов появляются новые уязвимости, что приводит к увеличению количества краж и взломов.

Источник: CertiK

Источник: DeFi Pulse

Общие потери с начала 2022 года до настоящего момента составили колоссальные $2 338 910 183, при этом было зафиксировано около 377 атак. За первые семь месяцев года в результате взломов было утрачено более $2 млрд. Большинство компаний DeFi полагаются на аудиторские фирмы для проверки и верификации кодов своих смарт-контрактов перед развертыванием, но эти смарт-контракты все еще подвержены взломам, которые делятся на четыре категории: крупные взломы, атаки с флеш-кредитами, обман доверия и NFT. 

Крупные взломы

Одним из самых печально известных взломов года стал взлом сети Ronin, в результате которого был зафиксирован ущерб в размере $624 млн. Фишинговая атака была направлена на сотрудников Sky Mavis. Хакеры, представлявшие поддельную компанию, связывались с ними через LinkedIn и проводили фальшивые собеседования с теми, кто проявил интерес.

Хакерам — как позже выяснилось, группировке из Северной Кореи Lazarus — удалось отправить документ с вредоносным ПО старшему инженеру, который открыл его на ноутбуке компании. Это позволило хакерам получить доступ и взломать достаточное количество нод валидатора для кражи средств.

Более поздний масштабный инцидент произошел с криптовалютным мостом Nomad в августе 2022 года. Взломщики вывели из блокчейн-протокола около $190 млн, воспользовавшись уязвимостью моста Nomad и обманным путем отправив хранящиеся токены без надлежащей авторизации. После этого происшествия протокол Nomad был обновлен. 

В феврале 2022 года мост Wormhole прошел аудит и был одобрен компанией Neodyme. Однако проект все равно был взломан и в результате понес убытки на сумму более $320 млн.

Атаки с флеш-кредитами

Ущерб от атак с флеш-кредитами существенно снизился с исторического максимума в $300,5 млн в апреле 2022 года до $700 000 в августе 2022 года, то есть почти на 100%. Самая масштабная атака в августе 2022 года произошла на XStable, где злоумышленник завладел примерно $366 975, манипулируя ценами.

После этого протокол XStable самоуничтожился. Однако до сих пор самая крупная атака с флеш-кредитами была связана с DeFi-проектом Beanstalk, из протокола которого было украдено $182 млн в апреле 2022 года.  

Обман доверия

Схемы rug pull и мошенничество с обманом доверия также показали значительный спад, снизившись на 74% с $38,7 млн в июле 2022 года до $10 млн в августе 2022 года. Крупнейший инцидент, связанный с обманом доверия, произошел на турецкой криптовалютной бирже Thodex, которая обманула более 400 000 инвесторов на сумму около $2,6 млрд после приостановки торгов.  

NFT

В августе 2022 года поддельный аккаунт в Twitter, выдающий себя за проект под названием We All Survived Death, продал 155 поддельных NFT на сумму 11,7 ETH. Еще один случай — кража хакерами четырех NFT Bored Ape и одного NFT Otherdeed на общую сумму 289,7 ETH (около $455 000 на тот момент).

Эти атаки подчеркивают первостепенную важность проведения аудита смарт-контрактов перед их внедрением. Учредители проектов должны сохранять бдительность и принимать превентивные меры для защиты своих пользователей.

Источник: CertiK

Динамический анализ: защита от киберугроз

По мере того как развертывание смарт-контрактов и кросс-мосты становятся все более распространенными, система безопасности Web3 также требует более сложных решений. Поэтому ончейн-оповещения, основанные на сложных технологиях искусственного интеллекта, стали надежным способом обнаружения и предотвращения угроз в реальном времени.

В описанных случаях проекты пострадали от взлома несмотря на то, что в течение полугода до этого они провели аудит кодов смарт-контрактов. Поэтому создатели проектов должны подключать дополнительные уровни безопасности на протяжении всего цикла существования своих проектов.

Джейсон Цзян, директор по развитию бизнесу компании CertiK, отметил, что «около 60% проектов не проводят аудит перед запуском продукта». Это тревожная тенденция, учитывая, что большинство смарт-контрактов имеют открытый исходный код и практически неизменяемы. Одна уязвимость в системе может привести к потере более $10 млн. 

Хуаганг Кси, генеральный директор компании Ancilia, подчеркнул важность внедрения мер безопасности уже на стадии разработки проекта. На этом этапе создатели должны использовать проверенные материалы, разбираться в структуре угроз безопасности и следовать передовым методам проверки кодов смарт-контрактов.

После того как проект прошел аудит, необходимо проводить мониторинг в реальном времени. Основатели должны четко представлять, что происходит с проектом, кто взаимодействует с его смарт-контрактами, кто может атаковать проект и каковы возможные риски. На сайте Ancilia даже есть знаменитая цитата Сунь-Цзы: «Если ты знаешь врага и знаешь себя, тебе не нужно волноваться за исход сотни сражений».

По словам Николаса Чиу, руководителя оперативного управления Salus Security, «при найме Web3-разработчиков учредители проектов должны убедиться, что они ответственно относятся к безопасности, поскольку от разработанных ими кодов зависит безопасность активов и данных пользователей».

Защитные механизмы Binance по борьбе с проблемами безопасности Web3 

Binance разработала ключевые услуги и продукты инфраструктуры безопасности для сообщества Web3, включая решения для хранения на основе конфиденциальных вычислений (MPC) и системы управления кошельками.
Кроме того, Binance предоставляет услуги по автоматическому сканированию смарт-контрактов, оценку рисков, программы вознаграждения за обнаружение уязвимостей, поддержку после взлома, Red Alarm на BNB Chain и многое другое. Наша команда понимает, что обеспечение безопасности — это тяжелая работа, особенно на фоне растущей популярности проектов и систем. К основным задачам, связанным с безопасностью проекта, относятся: 

  1. Защита фундаментальной ИТ-инфраструктуры — например, доменного имени и сетевой среды — для предотвращения атак.  

  2. Минимизация потенциальной эксплуатации уязвимостей в алгоритмах и кодах смарт-контрактов.

  3. Снижение рисков управления кошельками и средствами при внедрении надлежащего управления и внутреннего контроля операций.

План управления рисками Binance распространяется на проекты, размещенные на Binance. Инициативы по повышению безопасности наших проектов включают бесплатный аудит смарт-контрактов компанией CertiK, а также рекомендации по безопасности. Помимо этого, команда Binance продолжит публиковать образовательные статьи о том, как владельцы проектов могут более эффективно предотвращать DNS-атаки.

С момента создания в 2017 году Binance прилагает все усилия для решения проблем безопасности по мере развития отрасли. Вот несколько советов, которыми мы хотим поделиться:

  • Убедитесь, что все члены вашей команды — не только специалисты по безопасности — проходят обучение основам безопасности.

  • Определите самое слабое звено в вашей системе, например чрезмерные количество разрешений для операционных команд.

  • Проводите регулярный анализ своей системы и команд и адаптируйтесь к изменениям в структуре безопасности Web3.

Минимизируйте риск атак за счет защиты управления ключами кошелька, административных серверов и разрешений на код с помощью нулевого доверия и предоставления доступа по принципу только необходимой информации.

Первые АМА-сессии от Binance Labs 

Недавно мы пригласили лидеров мнений и экспертов отрасли поделиться некоторыми передовыми методами и возможностями защиты криптовалют. Если вы пропустили сессию, можете посмотреть запись по ссылке.   

CertiK

CertiK — это рейтинговая платформа, ориентированная на безопасность, которая анализирует и отслеживает блокчейн-протоколы и проекты DeFi с помощью формальной верификации и технологии искусственного интеллекта. Команда помогла проектам на Binance выявить уязвимости в кодах их смарт-контрактов на блокчейне.

Недавно CertiK добавила в свой продукт Skynet дополнительные функции оповещений на блокчейне и вне его. Они включают углубленный анализ инцидентов, аналитику общественных настроений и отслеживание ликвидности. 

Web3 — это новый технический уровень, и CertiK решает возникающие вместе с ним проблемы, предоставляя критически важные для безопасности сервисы. На сегодняшний день компания достигла уровня безопасности более 99,9%, обеспечила безопасность криптоактивов на сумму около $300 млрд, обслужила более 3200 клиентов и провела более 250 ежемесячных аудитов.

Ancilia 

Ancilia — платформа для обнаружения и предотвращения угроз в реальном времени на основе поведения. Она собирает данные на блокчейне и вне его и проводит глубокий анализ с помощью механизма обнаружения угроз. По сравнению с существующими решениями Ancilia может обеспечивать защиту проектов Web3 на протяжении всего периода их существования.

Некоторые из ее ключевых функций включают анализ безопасности смарт-контрактов, обнаружение вредоносной и аномальной активности, мониторинг и защиту активов, мониторинг процессов управления, мониторинг и обеспечение качества внешних данных, а также предотвращение вредоносной активности.

В настоящее время компания Ancilia находится на стадии закрытого бета-тестирования и специализируется на защите информационных активов с помощью адаптивного машинного обучения, непрерывного мониторинга, быстрого обнаружения проблем и других методик. 

Salus Security 

Salus Security — компания в области кибербезопасности блокчейна, предоставляющая полный спектр услуг по автоматизированному аудиту смарт-контрактов и ручному экспертному аудиту. Salus предлагает передовые решения по обеспечению безопасности блокчейна, которые помогают клиентам лидировать в своих отраслях и раскрывать потенциал Web3, укрепляя доверие к своим технологиям и инфраструктуре.

Компания способна решать самые сложные проблемы безопасности в отрасли благодаря своему богатому опыту в области как обычной безопасности, так и безопасности блокчейна, и стремится сделать эти услуги доступными для всех, чтобы обеспечить надежную цифровую экономику будущего.

Заключение: безопасность в Web3

Ответственность за обеспечение безопасной среды Web3 лежит на криптовалютных компаниях, которые обслуживают миллионы пользователей по всему миру. Проекты должны использовать авторитетных поставщиков услуг по управлению доменами и проводить регулярный аудит смарт-контрактов для обеспечения максимальной безопасности.

Пользователи должны защищать свои средства, а именно не переходить по подозрительным ссылкам, периодически очищать кэш DNS и регулярно сканировать свои устройства на наличие вредоносных программ. Вот несколько советов:

  1. Храните все приватные ключи в безопасном месте.

  2. Никогда не используйте буфер обмена компьютера для копирования своих ключей и никогда не создавайте резервные копии своего кошелька в любом облачном хранилище.

  3. Выбирайте наиболее авторитетные платформы, чтобы снизить риск недобросовестности контрагента. 

  4. Обеспечьте безопасность операционной системы, установив средства защиты, такие как антивирусное и антифишинговое программное обеспечение.

  5. Используйте кошелек с минимальным балансом для майнинга NFT или совершения любых транзакций в децентрализованных приложениях (DApp).

Как венчурный акселератор Binance, Binance Labs продолжит инвестировать в проекты, связанные с криптобезопасностью, и предоставлять дополнительные защитные механизмы для индустрии Web3. Чтобы развитие блокчейна и Web3 было стабильным, мы должны в первую очередь уделять внимание безопасности экосистемы. Мы надеемся, что другие проекты смогут извлечь уроки из этой статьи и сосредоточиться на самом важном аспекте — защите пользователей.

Нас выбирают более 232,161,346 пользователей. Узнайте почему.
Зарегистрироваться