Автор: команда безпеки SlowMist
Огляд
У листопаді 2024 року загальні збитки від безпекових інцидентів у Web3 склали приблизно 86,24 мільйона доларів США. Зокрема, за даними архіву злому SlowMist (https://hacked.slowmist.io), сталося 21 інцидент злому, що призвело до збитків приблизно в 76,86 мільйона доларів США, з яких 25,5 мільйона доларів США було повернено. Причини інцидентів включають вразливості контрактів, злом акаунтів та маніпуляції з цінами тощо. Крім того, за даними платформи Scam Sniffer з боротьби з шахрайством у Web3, цього місяця було 9,208 жертв фішингових інцидентів, збитки склали 9,38 мільйона доларів США.
(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)
Великі події безпеки
MetaWin
4 листопада 2024 року, за даними детектива ZachXBT, криптобукмекерська платформа MetaWin, ймовірно, зазнала атаки, в результаті чого було вкрадено понад 4 мільйони доларів США на ланцюгах Ethereum та Solana. За словами генерального директора MetaWin Skel, зловмисник отримав доступ до гарячого гаманця MetaWin через систему безперешкодного зняття коштів платформи.
DeltaPrime
11 листопада 2024 року протокол DeFi DeltaPrime зазнав атаки на Avalanche та Arbitrum, попередні оцінки DeltaPrime становлять збитки в 4,75 мільйона доларів США. Основною причиною цієї атаки стало відсутність перевірки вводу функції отримання винагороди.
(https://x.com/DeltaPrimeDefi/status/1855899502944903195)
Thala
15 листопада 2024 року проект DeFi на основі Aptos Thala зазнав атаки, в результаті чого було вкрадено 25,5 мільйона доларів США, зловмисники використали вразливість у їхньому смарт-контракті. Проект призупинив відповідні смарт-контракти та заморозив частину токенів, в результаті чого вдалося успішно заморозити приблизно 11,5 мільйона доларів США активів. Після співпраці з правоохоронними органами та кількома командами з безпеки блокчейнів проект успішно домовився про повернення активів і дозволив зловмиснику зберегти 300 тисяч доларів США як винагороду.
(https://x.com/thalalabs/status/1857703541089120541?s=46& t=bcMyidYO0QkS5ajIW9CBdg)
DEXX
16 листопада 2024 року у кількох користувачів торгового терміналу DEXX було вкрадено кошти. За даними команди безпеки SlowMist, збитки від цього інциденту вже досягли 21 мільйона доларів США. Наразі команда безпеки SlowMist допомагає офіційним представникам DEXX та партнерам продовжувати аналіз. 28 листопада команда безпеки SlowMist опублікувала 8,612 адрес атакуючих DEXX на ланцюзі Solana, а адреси атакуючих на EVM-ланцюзі також будуть опубліковані після завершення чистки статистики.
(https://x.com/MistTrack_io/status/1862134946090881368)
Polter Finance
17 листопада 2024 року проект DeFi Polter Finance на основі Fantom зазнав атаки, в результаті чого було втрачено приблизно 12 мільйонів доларів США. Зловмисник за допомогою кредиту з нульовою вартістю виснажив резерви токенів BOO, штучно підвищивши обчислювальну ціну BOO. Це дозволило йому позичити токени на значно більшу суму, ніж фактична вартість застави, що принесло величезний прибуток. Засновник платформи заявив, що вони подали звіт до влади Сінгапуру і намагаються зв'язатися з зловмисником через повідомлення в ланцюзі, щоб домовитися про повернення коштів, але поки не отримали відповіді.
(https://x.com/polterfinance/status/1857971122043551898)
Аналіз характеристик та поради з безпеки
Цього місяця кількість інцидентів безпеки та обсяги збитків значно знизилися порівняно з минулим місяцем, що певною мірою відображає постійне покращення заходів безпеки в індустрії. Варто зазначити, що незалежно від розподілу причин атак або обсягів завданих збитків, вразливості контрактів займають найбільшу частку. Цього місяця сталося 7 інцидентів використання вразливостей контрактів, що спричинило збитки приблизно в 30 мільйонів доларів США, що становить 39% від загальних збитків. Команда безпеки SlowMist рекомендує проектам завжди залишатися пильними та регулярно проводити всебічний аудит безпеки, відстежувати та вирішувати нові загрози безпеки та вразливості, щоб захистити проекти та активи.
Крім того, команда безпеки SlowMist звернула увагу на те, що цього місяця сталися реальні випадки атак на криптоіндустрію за допомогою отруєння AI. Це явище свідчить про те, що обсяг цілей для атак на ланцюг постачання продовжує розширюватися. Деякі розробники, прагнучи до ефективності, можуть надто покладатися на код, згенерований AI, і нехтувати перевіркою безпеки коду. Тому команда безпеки SlowMist застерігає розробників і проекти, що при використанні коду, згенерованого AI, не слід сліпо довіряти вихідним результатам. Усі коди перед фактичним використанням повинні пройти суворий аудит безпеки та тестування, щоб запобігти ризикам безпеки та захистити проекти та активи користувачів. Тим часом проекти повинні зміцнити загальне управління безпекою ланцюга постачання, провести всебічну оцінку сторонніх інструментів і послуг, а також постійно стежити за динамікою безпеки у відповідних сферах, щоб своєчасно реагувати на нові загрози.
