Безпека у Web3: найкращі практики для майбутнього, орієнтованого на конфіденційність
Ключові моменти
Екосистема Web3 стикається з багатьма проблемами повʼязаними з безпекою, зокрема з проблемами, успадкованими від Web2, і новими видами атак.
Важливо впроваджувати найкращі практики, які необхідні для розвитку безпечної екосистеми Web3: аудити смартконтрактів, аналітика блокчейну, моніторинг у реальному часі тощо.
Binance розробила ключові послуги та продукти для підтримки безпеки інфраструктури для спільноти Web3, зокрема рішення для зберігання на основі багатосторонніх обчислень (MPC), системи керування гаманцями тощо.
Web3 дає нам шанс переосмислити інтернет і перебудувати платформи, використовуючи нові принципи. Однак, будучи індустрією, що тільки зароджується, вона також створила новий клас кіберзагроз, починаючи від вразливості смартконтрактів і закінчуючи витягуванням килимків.
Щоб допомогти нашим користувачам і засновникам проєктів краще орієнтуватися в цій мінливій екосистемі, Binance Labs із задоволенням запрошує лідерів галузі та наших внутрішніх експертів поділитися своїми думками про ландшафт безпеки Web3 і передові практики.
Огляд індустрії безпеки у Web3
Ландшафт загроз Web3 швидко розвивається. Зловмисники, як правило, вибирають найбільш економні та ефективні способи атаки, наприклад, використання шкідливих смартконтрактів на зовнішньому інтерфейсі. Багато загроз з Web2, зокрема фішинг, перехоплення доступу до SIM-картки, шкідливе програмне забезпечення та атаки ботів, продовжують працювати в Web3.
Однак у порівнянні з рішеннями безпеки Web2 у Web3 існує небагато інструментів для запобігання таким зломам. У корпоративному світі Web2 у нас є антивірусне програмне забезпечення, брандмауери, інструменти безпеки в хмарі та VPN або Zero Trust для доступу до мережі. У середовищі Web3 більшість проєктів використовують лише однорівневі рішення безпеки, яких недостатньо для стримування атак.
Згідно зі звітом PwC, очікується, що технологія блокчейну збільшить світовий валовий внутрішній продукт (ВВП) більш ніж у 25 разів до 1,76 трильйона доларів США (що становить 1,4% світового ВВП) до 2030 року. Але в міру прийняття блокчейну випадки крадіжок також зросли.
Хакери, які використовували вразливості в смартконтрактах, спричинили збитки на понад 1,3 мільярда доларів США у 2021 році (зростання на 250% порівняно з 2020 роком) і 1,8 мільярда доларів США протягом п’яти місяців 2022 року (зростання на 138% порівняно з 2021 роком). У той час як ми спостерігали зростання DeFi (загальна заблокована вартість зросла в 16 разів) і зростання кількості крос-чейнів, нові вразливості також призвели до збільшення кількості крадіжок і зломів.
Джерело: CertiK.
Джерело: DeFi Pulse.
Загальні збитки з початку року (з початку року) у 2022 році становлять колосальні 2 338 910 183 доларів США із зареєстрованими близько 377 атак; понад 2 мільярди доларів США було втрачено через хакерські атаки за перші сім місяців року. Більшість компаній у DeFi покладаються на аудиторські фірми для перегляду та перевірки коду своїх смартконтрактів перед розгортанням, але ці смартконтракти все ще сприйнятливі до хакерських атак, які поділяються на чотири категорії: серйозні хакерські атаки, атаки на флеш-позики, екзит-скам та шахрайства з NFT.
Серйозні хакерські атаки
Однією із найганебніших атак року став злом Ronin Network, який зафіксував збиток у 624 мільйони доларів США. Фішингова атака була спрямована на співробітників Sky Mavis, при цьому хакери, які представляли фальшиву компанію, зв’язувалися з ними через LinkedIn і проводили фальшиві інтерв’ю з тими, хто виявив інтерес.
Хакерам, яким пізніше виявилася північнокорейська група Lazarus, вдалося надіслати документ із шкідливим програмним забезпеченням старшому інженеру, який відкрив його на своєму корпоративному ноутбуці. Це дозволило хакеру отримати доступ і скомпрометувати достатню кількість нод-валідаторів, щоб викрасти кошти.
Нещодавній великий інцидент пов’язаний з криптомостом Nomad у серпні 2022 року. Експлуататори вкрали приблизно 190 мільйонів доларів США із блокчейн-протоколу, скориставшись вразливістю Nomad Bridge і обманом змусивши його надіслати токени без належної перевірки запиту. Цей інцидент згодом призвів до оновлення протоколу Nomad.
У лютому 2022 року Wormhole Bridge пройшов аудит і був схвалений в Neodyme. Однак проєкт все одно був зламаний і в результаті зазнав збитків у понад 320 мільйонів доларів США.
Атаки на флеш-позики
Атаки на флеш-позики значно зменшилися з історичного максимуму в 300,5 мільйонів доларів США в квітні 2022 року до 700 000 доларів США в серпні 2022 року, падіння майже на 100%. Найзначніша атака в серпні 2022 року сталася на XStable, під час якої зловмисник втік із приблизно 366 975 доларами США шляхом маніпулювання цінами.
Відтоді протокол XStable самознищився. Однак найбільша атака на флеш-позику до цього часу стосувалася проєкту Beanstalk DeFi – з його протоколу було вкрадено 182 мільйони доларів США у квітні 2022 року.
Екзит-скам
Витягування килимків і подібні шахрайства також зафіксували помітне падіння, впавши на 74% з 38,7 мільйона доларів США в липні 2022 року до 10 мільйонів доларів США в серпні 2022 року. Найбільший екзит-скам (трюк, коли відомий, зазвичай незаконний, бізнес припиняє доставку замовлень або надання послуг, продовжуючи отримувати платежі через свою добру репутацію, а потім тікає з грошима) стосувався турецької криптовалютної біржі Thodex, яка ошукала понад 400 000 інвесторів Thodex приблизно на 2,6 мільярда доларів США після призупинення торгівлі.
Шахраства з NFT
У серпні 2022 року фальшивий акаунт у Twitter, котрий копіював проєкт під назвою "We All Survived Death", продав 155 фальшивих NFT на суму 11,7 ETH. Ще один інцидент стався, коли хакери вкрали чотири NFT від Bored Ape і один NFT від Otherdeed, загальна вартість яких досягла 289,7 ETH (близько 455 000 доларів США на той час).
Ці атаки підкреслюють першочергову важливість аудиту смартконтрактів перед розгортанням. Засновники проєкту повинні бути пильними і вживати превентивні заходи для захисту своїх користувачів.
Джерело: CertiK.
Динамічний аналіз – засіб стримування кіберзагроз
У міру того як розгортання смартконтрактів і крос-чейн мостів стають все більш поширеними, ландшафт безпеки Web3 ставатиме все більш складним. Зважаючи на це, сповіщення он-чейн за підтримки розвинутого штучного інтелекту стали надійним засобом для забезпечення виявлення та запобігання загрозам у реальному часі.
У вищезгаданих недавніх хакерських атаках проєкти страждали від експлуатації, навіть якщо їм вдавалося провести аудит коду смартконтрактів протягом шести місяців до атак. Тому засновники проєктів повинні залучати додаткові рівні безпеки протягом усього життєвого циклу своїх проєктів.
Jason Jiang, головний комерційний директор CertiK, сказав, що "близько 60% проєктів не проводять аудит перед запуском продукту". Це тривожна тенденція, враховуючи, що більшість коду смартконтрактів є відкритими і переважно незмінними. Одна вразливість у системі може призвести до втрати понад 10 мільйонів доларів США.
Huagang Xie, генеральний директор Ancilia, підкреслив важливість впровадження заходів безпеки ще на етапі розробки проєкту. На цьому етапі засновники повинні скористатися перевіреними бібліотеками, зрозуміти ландшафт загроз безпеці та дотримуватися найкращих практик для перевірки коду смартконтрактів.
Після аудиту проєкту необхідно провести моніторинг у режимі реального часу. Засновники повинні зосередитися на розумінні того, що відбувається з проєктом, хто взаємодіє з його смартконтрактами, хто може атакувати проєкт і які подальші ризики. Вебсайт Ancilia навіть містить знамениту цитату Сунь-Цзи: "Знай ворога і знай себе: тоді в тисячі битв не зазнаєш поразки."
За словами Nicholas Chiu, операційного директора Salus Security, "під час найму розробників у Web3 засновники проєкту повинні переконатися, що розробники серйозно ставляться до безпеки, оскільки написаний ними код відповідає за безпеку активів та інформації користувачів".
Заходи Binance для боротьби з проблемами безпеки у Web3
Binance розробила ключові послуги та продукти для підтримки безпеки інфраструктури для спільноти Web3, зокрема рішення для зберігання на основі багатосторонніх обчислень (MPC), системи керування гаманцями тощо.
Крім того, Binance також має автоматичне сканування смартконтрактів, послуги з оцінки ризиків, програми винагород за пошук багів, підтримку після злому, Red Alarm на BNB Chain тощо. Наша команда усвідомлює, що безпека – це складна робота, особливо в умовах зростання популярності проєктів і систем. Основні виклики безпеки, з якими стикаються засновники проєкту:
Захист фундаментальної ІТ-інфраструктури, наприклад доменного імені та мережевого середовища, для запобігання атакам.
Зведення до мінімуму потенційного експлойту багів у логіці та коді смартконтрактів.
Управління гаманцями та коштами з меншим ризиком із запровадженням необхідного управління і внутрішнього контролю за операціями.
План управління ризиками Binance поширюється на проєкти, доступні на Binance. Ініціативи щодо підвищення безпеки наших проєктів це безкоштовний аудит смартконтрактів від CertiK у поєднанні з рекомендаціями щодо безпеки. Крім того, команда Binance продовжує публікувати освітні статті про те, як власники проєктів можуть краще запобігати атакам на DNS.
З моменту заснування в 2017 році Binance наполегливо працює над розвʼязанням проблем повʼязаних з безпеки в міру розвитку галузі. Ось декілька порад щодо безпеки, якими ми хотіли б поділитися:
Переконайтеся, що всі члени вашої команди, а не лише ті, хто займається безпекою, пройшли навчання основам безпеки.
Визначте найслабшу ланку у вашій системі, наприклад, надмірна кількість наданих дозволів операційним командам.
Регулярно перевіряйте свою систему та команди і адаптуйтеся до змін у системі безпеки Web3.
Зведіть до мінімуму ризик атак, захищаючи системи керування ключами гаманця, сервери адміністрування та дозволи на зміну коду, використовуючи модель з нульовою довірою та надаючи доступ тільки за необхідності.
Перша співпраця Binance Labs для проведення AMA
Нещодавно ми запросили лідерів думок і експертів галузі поділитися найкращими практиками та способами захисту криптовалюти. Ті, хто пропустив, можуть переглянути запис за цим посиланням.
Про CertiK
CertiK – це платформа аудиту безпеки, яка аналізує та відстежує протоколи блокчейну і DeFi-проєкти за допомогою формальної верифікації та технології штучного інтелекту. Команда допомогла представленим на Binance проєктам у виявленні вразливостей у коді смартконтрактів он-чейн.
Нещодавно CertiK додали до свого продукту Skynet додаткові функції, щоб зробити службу сповіщень CertiK доступною як он- так і оф-чейн. Ці функції пропонують глибокий аналіз інцидентів, аналіз соціальних настроїв і відстеження стану ліквідності.
Web3 – це нова технічна структура даних, і CertiK вирішує проблеми, надаючи критично важливі для безпеки послуги. Сьогодні рівень безпеки CertiK перевищує 99,9%, вони тримають у безпеці криптоактиви на суму близько 300 мільярдів доларів США, обслугували понад 3200 клієнтів і проводять понад 250 щомісячних аудитів.
Про Ancilia
Ancilia – це платформа виявлення та запобігання загрозам у режимі реального часу за допомогою аналізу поведінки. Платформа збирає дані он-чейн та оф-чейн і забезпечує поглиблений аналіз за допомогою механізму виявлення загроз. У порівнянні з подібними існуючими рішеннями, платформа може захищати проєкти у Web3 протягом усього життєвого циклу.
Деякі з ключових функцій Ancilia це аналіз безпеки смартконтрактів, виявлення зловмисних і нестандартних дій, моніторинг і захист активів, моніторинг процесів управління, зовнішній моніторинг, гарантія якості даних, а також запобігання зловмисним діям.
Ancilia наразі знаходиться на стадії закритого бета-тестування і спеціалізується на захисті інформаційних активів за допомогою адаптивного машинного навчання, постійного моніторингу, швидкого виявлення порушень тощо.
Про Salus Security
Salus Security – це повноцінна компанія з блокчейн-безпеки, яка надає автоматизовані послуги аудиту смартконтрактів і ручні експертні аудити. Salus пропонує передові рішення для безпеки блокчейну, які допомагають клієнтам лідирувати у своїх галузях та розкривати свій потенціал Web3, зміцнюючи довіру до їхніх технологій та інфраструктури.
Salus Security спроможна вирішувати найскладніші проблеми безпеки в галузі завдяки своєму великому досвіду як у традиційній, так і в блокчейн-безпеці. Salus прагне зробити послуги з безпеки доступними для всіх сьогодні, щоб захистити майбутню цифрову економіку.
Висновок. Заходи з безпеки в Web3
Відповідальність за забезпечення безпечного середовища Web3 лежить на криптокомпаніях, які обслуговують мільйони користувачів у всьому світі. Проєкти повинні використовувати авторитетних постачальників із керування доменами та проводити регулярні аудити смартконтрактів, щоб забезпечити максимальну безпеку.
Користувачі повинні захищати свої кошти, не відкриваючи підозрілі посилання, періодично очищаючи кеш DNS і регулярно скануючи свої пристрої на наявність шкідливих програм:
Зберігайте всі приватні ключі в безпеці.
Ніколи не використовуйте буфер обміну комп’ютера для копіювання ключів і ніколи не створюйте резервні копії свого гаманця в хмарі.
Виберіть найавторитетнішу платформу, щоб зменшити ризик контрагента.
Підтримуйте безпеку операційної системи, встановивши інструменти безпеки, такі як антивірусне та антифішингове програмне забезпечення.
Використовуйте тимчасовий гаманець (Burner Wallet) з мінімальними коштами для створення NFT або здійснення транзакцій у децентралізованих додатках (dApp).
Як відділ венчурного капіталу і акселератор Binance, Binance Labs продовжить свої зусилля з інвестування в проєкти, що працюють над криптобезпекою та забезпечення більшої кількості засобів для індустрії Web3. Щоб блокчейн і Web3 розвивалися стабільно, ми повинні спершу створити безпечну екосистему. Ми сподіваємося, що інші проєкти зможуть отримати корисні знання з цієї статті та зосередитися на найважливішому аспекті – захисті наших користувачів.
Стежте за нами в соцмережах Binance Ukraine:
Telegram канал | Telegram група | Twitter | Facebook | Instagram | YouTube