Автор: команда безпеки SlowMist
Огляд
У листопаді 2024 року загальні збитки від безпекових інцидентів у Web3 становили приблизно 86,24 мільйона доларів США. Зокрема, за статистикою SlowMist Blockchain Hacked Archives (https://hacked.slowmist.io), було зареєстровано 21 випадок злому, що призвело до збитків приблизно 76,86 мільйона доларів США, з яких 25,5 мільйона доларів США було повернуто. Причинами інцидентів стали вразливості контрактів, злом акаунтів та маніпуляції цінами тощо. Крім того, за даними платформи Scam Sniffer, у цьому місяці було зареєстровано 9,208 жертв фішингових атак, загальні збитки склали 9,38 мільйона доларів США.
(https://dune.com/scam-sniffer/november-scam-sniffer-2024-phishing-report)
Великі інциденти безпеки
MetaWin
4 листопада 2024 року, за даними блокчейн-детектива ZachXBT, платформа криптобукмекерства MetaWin, ймовірно, стала жертвою атаки, в результаті якої було вкрадено понад 4 мільйони доларів США на Ethereum та Solana. Як заявив CEO MetaWin Skel, зловмисники проникли в гарячий гаманець MetaWin через систему безперешкодного виведення коштів.
DeltaPrime
11 листопада 2024 року протокол DeFi DeltaPrime зазнав атаки на Avalanche та Arbitrum, попередні оцінки збитків DeltaPrime становлять 4,75 мільйона доларів США. Основною причиною цієї атаки стало відсутність валідації входу для функції отримання винагороди.
(https://x.com/DeltaPrimeDefi/status/1855899502944903195)
Thala
15 листопада 2024 року проект DeFi Thala на основі Aptos зазнав атаки, в результаті якої було вкрадено 25,5 мільйона доларів США; зловмисник скористався вразливістю в смарт-контракті. Команда проекту призупинила пов'язані смарт-контракти та заморозила частину токенів, в результаті чого вдалося успішно заморозити активи на суму близько 11,5 мільйона доларів США. Після співпраці з правоохоронними органами та кількома командами безпеки блокчейну, команда проекту успішно домовилася про повернення активів і дозволила зловмиснику зберегти 300 тисяч доларів США як винагороду.
(https://x.com/thalalabs/status/1857703541089120541?s=46&t=bcMyidYO0QkS5ajIW9CBdg)
DEXX
16 листопада 2024 року кілька користувачів терміналу DeFi DEXX стали жертвами крадіжки коштів. За статистикою команди безпеки SlowMist, збитки від цього інциденту вже досягли 21 мільйона доларів США. Наразі команда SlowMist допомагає офіційним представникам DEXX та партнерам у продовженні аналізу. 28 листопада команда SlowMist повідомила про зібрані адреси 8,612 зловмисників на ланцюзі Solana, адреси зловмисників на EVM-ланцюзі також будуть опубліковані після завершення очищення статистики.
(https://x.com/MistTrack_io/status/1862134946090881368)
Polter Finance
17 листопада 2024 року проект DeFi Polter Finance на основі Fantom зазнав атаки, в результаті якої було втрачено приблизно 12 мільйонів доларів США. Зловмисники вичерпали резерви токенів BOO через миттєві кредити, штучно підвищивши обчислювальну ціну BOO. Це дозволило їм позичити токени на значно більшу суму, ніж фактична вартість застави, отримавши величезний прибуток. Засновник платформи заявив, що вони подали звіт до органів влади Сінгапуру і намагаються зв'язатися зі зловмисниками через ланцюгові повідомлення, щоб домовитися про повернення коштів, але поки що не отримали відповіді.
(https://x.com/polterfinance/status/1857971122043551898)
Аналіз характеристик та рекомендації щодо безпеки
Цього місяця кількість безпекових інцидентів та обсяги збитків значно знизилися в порівнянні з минулим місяцем, це зміна в певній мірі відображає постійне вдосконалення заходів безпеки в галузі. Варто зазначити, що незалежно від розподілу причин атак або обсягу збитків, вразливості контрактів залишаються найпоширенішими. У цьому місяці відбулося 7 випадків експлуатації вразливостей контрактів, що призвело до збитків приблизно 30 мільйонів доларів США, що становить 39% від загальних збитків. Команда SlowMist рекомендує проектам постійно бути насторожі та регулярно проводити повні аудити безпеки, відстежувати та усувати нові загрози безпеці та вразливості, щоб захистити проекти та активи.
Крім того, команда безпеки SlowMist звернула увагу на те, що в цьому місяці сталися реальні випадки атак з використанням AI у криптоіндустрії. Це явище свідчить про те, що цільові області атак на ланцюги постачання продовжують розширюватися. Деякі розробники, прагнучи підвищити ефективність, можуть надмірно покладатися на код, згенерований AI, і ігнорувати перевірку безпеки коду. Тому команда SlowMist застерігає розробників і команди проектів: при використанні AI для генерації коду не слід сліпо довіряти вихідним результатам. Увесь код перед фактичним використанням повинен проходити суворий аудит безпеки та тестування, щоб запобігти ризикам безпеки та захистити проекти та активи користувачів. Водночас командам проектів слід посилити загальне управління безпекою ланцюгів постачання, провести всебічну оцінку сторонніх інструментів та послуг, а також постійно стежити за безпековими новинами в цій сфері, щоб оперативно реагувати на нові загрози.
