Механізми безпеки екосистеми DeFi покращилися, про що свідчить значне зниження кількості зломів DeFi на 40% порівняно з попереднім роком. З іншого боку, кількість порушень у централізованих фінансових системах значно зросла, склавши 694 мільйони доларів США, і ця статистика підкреслює постійні недоліки централізованих систем. Ретельний аналіз цих шаблонів представлений у звіті про безпеку Web3 Hacken 2024, який також містить глибоку інформацію про те, як змінюється ландшафт загроз Web3.
Зменшення вразливості DeFi: висхідний рух
У 2024 році галузь DeFi помітно покращила свою архітектуру безпеки. Загальні збитки значно зменшилися з 787 мільйонів доларів США у 2023 році до 474 мільйонів доларів. Підвищена безпека міжланцюгових мостових протоколів була головним фактором цього розвитку. Мости, які раніше були популярною мішенню для хакерів, показали підвищений опір у результаті використання інноваційних криптографічних методів, таких як Multi-Party Computation (MPC) і Zero-Knowledge (ZK) шифрування.
Фото: Злом
Збитки, пов’язані з мостами, суттєво знизили серйозність експлойтів, знизившись з 338 мільйонів доларів США у 2023 році до 114 мільйонів доларів США у 2024 році. Ці покращення безпеки мостів демонструють, як індустрія DeFi змогла застосувати потужні контрзаходи та вчиться на попередніх аваріях.
Збільшення кількості порушень CeFi
З іншого боку, у платформ CeFi був важкий рік. 339 мільйонів доларів, зафіксованих у 2023 році, зросли більш ніж удвічі до 694 мільйонів доларів збитків. Ці порушення в основному вплинули на централізовані біржі, причому експлойти контролю доступу спричинили великий відсоток втрат. Критичні недоліки в операційній безпеці виявили гучні випадки, такі як злом WazirX на суму 230 мільйонів доларів США та атака DMM Exchange на суму 305 мільйонів доларів США.
Усі платформи CeFi мають поширені недоліки контролю доступу, найчастіше пов’язані зі зламаними особистими ключами або недоліками в схемах мультипідпису. Ці події підкреслюють, наскільки терміново потрібні кращі процедури контролю доступу та можливості децентралізованого зберігання фондів.
Переважання експлойтів для контролю доступу
У всіх галузях промисловості використання засобів контролю доступу стало найпоширенішою небезпекою, завдавши приголомшливих збитків у 1,7 мільярда доларів США. У 2024 році 75% усіх втрат від злому криптовалюти припало на цю групу, порівняно з 50% у 2023 році. Ці атаки, які вплинули на DeFi, CeFi та навіть ігрові/метавсесвітні системи, здебільшого були спричинені зломом приватного ключа.
Примітні приклади включають злом Radiant Capital на суму 55 мільйонів доларів, який використовував зловмисне програмне забезпечення для фальсифікації схвалення транзакцій, і злам PlayDapp на суму 290 мільйонів доларів, під час якого хакери використали недолік контролю доступу для виготовлення незаконних токенів. Ці ілюстрації показують, наскільки терміново потрібні вдосконалені процедури безпеки приватного ключа.
Метавсесвіт та ігрова індустрія: уражений сектор
Ігрові платформи та метавсесвіт також зазнали великих збитків у 2024 році до 389 мільйонів доларів. Один лише злом PlayDapp був найсерйознішою подією в цій галузі, втративши 290 мільйонів доларів. Недоліки в контролі доступу стали причиною ще двох відомих випадків: зламу Super Sushi Samurai за 5 мільйонів доларів і атаки Munchables за 62,5 мільйона доларів.
Концентровані втрати в першому кварталі вказують на те, що новим платформам часто важко запровадити потужні заходи безпеки, що робить їх відкритими для складних нападів.
У 2024 році фішингові атаки продовжували викликати занепокоєння, що призвело до збитків у понад 600 мільйонів доларів США. Зловмисники використовували такі стратегії, як отруєння адреси, щоб обдурити жертв у цих більш витончених шахрайствах. Крадіжка 129 мільйонів доларів через атаку з отруєнням адреси на блокчейні Tron стала загальновідомою подією в листопаді. Такі інциденти підкреслюють життєво важливу потребу в освіті користувачів і ефективних процедурах захисту від фішингу, навіть якщо вкрадені гроші було повернуто.
Перетягування килимів і еволюція криптошахрайства
У криптовалютному світі, особливо в блокчейні Solana, все ще залишалося проблемою перетягування килимів. Ці шахрайства були здійснені швидко завдяки створенню понад 4 мільйонів токенів за допомогою таких платформ, як pump.fun. Залучення мемекойнів, коли розробники скидають великі обсяги своїх токенів, щоб вичерпати пули ліквідності, стало більш поширеним через низькі комісії за транзакції та швидку мережу Solana.
Шахрайство з передпродажем набуло популярності у 2024 році, коли збитки від мемів Solana перевищили 122,5 мільйона доларів. Підтримки килимів, схвалені знаменитостями, ще більше заплутали ситуацію, використавши соціальну владу, щоб заманити інвесторів, перш ніж різко знецінити токени.
Стратегії зменшення ризиків безпеки
Список повторюваних уразливостей звіту про безпеку Hacken 2024 Web3 наголошує на необхідності вжиття превентивних заходів у кожній галузі. Основні рекомендації включають:
Організації повинні впроваджувати багаторівневі заходи безпеки, такі як використання апаратних гаманців, холодного зберігання та надійного шифрування. Систематична основа для зменшення занепокоєння щодо контролю доступу забезпечується Стандартом безпеки криптовалют (CCSS).
Щоб зменшити вплив окремих точок відмови, платформи CeFi повинні подумати про включення гаманців із кількома підписами та децентралізованих опцій зберігання.
Вкрай важливо поширювати знання про фішингові шахрайства, витягування килимів та інші шахрайські дії. Інвестори повинні бути достатньо обізнаними, щоб розпізнавати будь-які ризики та уникати їх.
Регулярним перевіркам безпеки слід приділяти головний пріоритет в ініціативах DeFi, і слід заохочувати етичний злом, щоб знайти недоліки, перш ніж зловмисники зможуть ними скористатися.
Різні моделі безпеки DeFi та CeFi у 2024 році свідчать як про прогрес, так і про тривалі труднощі в екосистемі криптовалют. Зростання кількості порушень CeFi підкреслює нагальну потребу в системних змінах, навіть якщо досягнення сектору DeFi є моделлю для покращення безпеки. Застосування розширених процедур безпеки та підтримання постійної пильності будуть вирішальними для захисту цифрових активів у міру змін екосистеми Web3.
Повідомлення Звіт про безпеку Web3 висвітлює шокуюче зростання кількості порушень CeFi та оприлюднює покращення DeFi спочатку з’явився на Metaverse Post.
