網絡安全公司 Hacken 的報告顯示,第三季度黑客攻擊造成的損失是近三年來最小的。28 起事件共造成約 4.6 億美元損失。儘管如此,恢復率仍是近年來最低的,僅爲 5%。Hacken 結合第三季度 Web3 安全的總體狀況對這些數據進行了分析。它還討論了主要的攻擊類型、受影響最大的項目類別以及緩解策略。
點擊此處免費下載完整版報告
訪問控制攻擊仍然是最有害的
利用訪問控制機制的漏洞被盜金額達 3.16 億美元,佔第三季度加密貨幣黑客攻擊被盜資金總額的近 70%。此類攻擊的實施者控制了控制智能合約的密鑰。一旦控制了密鑰,他們就可以將合約中的資金提取到自己的錢包中,或者升級代理合約實現以激活提現功能。
2024 年各類攻擊造成的損失。來源:Hacken
智能合約漏洞在第三季度的損失中排名第二。智能合約有時容易受到重入攻擊,這種攻擊涉及多次調用提款函數,而合約的狀態在執行提取資金之前未能正確更新。這種類型的攻擊對於具有流動性池的協議尤其有害,因爲它們可以通過單筆交易中的一系列多次遞歸調用耗盡。Minterest 遭受了第三季度三次重入攻擊中的一次,損失了 146 萬美元。報告中詳細描述了黑客攻擊的實施過程。
點擊此處免費下載完整版報告
中心化交易所損失最大
從資金量來看,中心化交易所是被利用最多的項目。最大的黑客攻擊發生在 7 月 18 日,當時 WazirX India 的以太坊多重簽名錢包被盜。黑客通過獲取員工的三個簽名和數字資產託管提供商 Liminal 的一個簽名來操縱交易所的多重簽名錢包。黑客通過獲取六個簽名中的四個簽名,成功盜取了超過 2.3 億美元。被盜資金尚未追回。交易所和 Liminal 進行了獨立審計,但未發現任何安全漏洞,這引發了關於可能存在內部作案的爭論。
主要是由於 WazirX 黑客攻擊的規模,中心化交易所的攻擊在第三季度造成的損失最高。收益聚合器和跨鏈橋的黑客攻擊在統計數據中排在第二位。不過,跨鏈橋只被攻破過三次。其中一個受害者是 Ronin Bridge,但幸運的是,一個白帽 MEV 機器人搶先執行了惡意交易,並在不久之後歸還了資金。
不同項目類型加密貨幣黑客造成的損失:來源:Hacken
第三季度,借貸協議損失了 1960 萬美元。即使是行業領導者 Aave 也成爲外圍合約漏洞的受害者,損失了 56,000 美元。對 Aave 的攻擊是在一筆交易中執行的,這意味着它不可能被發現或阻止。大多數去中心化金融 (DeFi) 漏洞涉及多筆交易,例如惡意代理更新或從池中連續提款。如果持續監控智能合約的狀態並立即採取行動,則可以減輕此類漏洞的後果。
Hacken 開發的自動事件響應策略系統可以定製以提供此類保護。如果滿足某些條件,它可以被觸發以暫停智能合約或凍結可疑交易中提取的資金。據 Hacken 稱,如果目標公司使用監控和自動事件報告系統,大約 28.7% 的 DeFi 黑客損失可以避免。
點擊此處免費下載完整版報告
Nexera 漏洞 — 案例研究
一名騙子利用 DeFi 協議 Nexera 竊取了 4720 萬個 NXRA(該平臺的原生代幣)。在團隊暫停合約之前,他成功兌換了 1500 萬個 NXRA。這次攻擊導致損失 150 萬美元。
使用 Hacken 的自動事件響應策略,暫停功能可以被編程爲在代理升級時立即激活。一旦激活暫停功能,就無法轉移任何代幣,這意味着被盜資金無法交換。報告中討論了另外五個自動事件響應策略可以發揮作用的案例。其中包括對 Penpie 的重入攻擊造成 2700 萬美元的損失,以及 Ronin 橋漏洞導致從協議中竊取 1200 萬美元。
可以通過自動事件響應策略避免黑客攻擊。來源:Hacken
本文表達的觀點僅供一般參考。它們並非旨在爲任何個人或任何特定證券或投資產品提供具體建議或推薦。
