أصدرنا الأسبوع الماضي "التقرير السنوي لأمن سلسلة الكتل ومكافحة غسل الأموال لعام 2023"، وبعد ذلك، سنقسم التقرير إلى أربع مقالات لتفسير التقرير وتحليله تساعد المحتويات الرئيسية فيه القراء على اكتساب فهم أكثر شمولاً ومتعمقًا للتحديات والفرص الأمنية الرئيسية في النظام البيئي الحالي لـ blockchain.

تركز هذه المقالة بشكل أساسي على وضع الأمن البيئي لـ blockchain.

الوضع الأمني ​​لسلسلة الكتل

مع نظرًا لتأثير التوترات الكلية والجيوسياسية على الاقتصاد العالمي والآثار المتبقية لأحداث العواصف الرعدية المختلفة في عام 2022، تعاني صناعة blockchain أيضًا من اضطراب لا يصدق. في العام الماضي، انهارت العديد من البنوك الصديقة للعملات المشفرة واحدًا تلو الآخر، إلى جانب سلسلة من الهجمات الأمنية التي تسبب فيها المتسللون الكوريون الشماليون Lazarus Group والعديد من عصابات التصيد الاحتيالي Wallet Draines، مما يسلط الضوء بشكل أكبر على نقص الوعي الأمني ​​لدى المستخدم وعدم كفاية السياسات التنظيمية. سؤال مثالي.

وفقًا لإحصائيات SlowMist Hacked، كان هناك إجمالي 464 حادثًا أمنيًا في عام 2023، مع خسائر تصل إلى 2.486 مليار دولار أمريكي. ومقارنة بعام 2022، كان هناك إجمالي 303 حوادث أمنية وخسائر بلغت حوالي 3.777 مليار دولار أمريكي، وفي عام 2023، انخفضت الخسائر بنسبة 34.2% على أساس سنوي، وارتفع عدد الحوادث الأمنية بنحو 53.13% على أساس سنوي. . وعلى الرغم من انخفاض الخسائر، فإن عدد الحوادث الأمنية آخذ في الارتفاع.

بعد ذلك، سنقوم بتفسير الوضع الأمني ​​لـ blockchain في عام 2023 من ثلاثة جوانب: مسار المشروع، والبيئة، وأسباب الحوادث.

مسار المشروع

من منظور مسار المشروع DeFi هو المجال الذي تحدث فيه معظم الحوادث الأمنية وتحدث فيه أكبر الخسائر. إن تطوير التمويل اللامركزي لا يجلب ابتكارات وفرص جديدة فحسب، بل يؤدي أيضًا إلى المزيد من المخاطر المحتملة وأسطح الهجوم. ونظرًا لأن مشاريع التمويل اللامركزي لها نطاق رأس مال معين وقاعدة مستخدمين معينة، فيمكن أن تصبح بسهولة أهدافًا محتملة للهجوم للمتسللين.

سيكون هناك إجمالي 282 حادثًا أمنيًا للتمويل اللامركزي في عام 2023، وهو ما يمثل 60.77% من إجمالي عدد الحوادث، مع خسائر تصل إلى 773 مليون دولار أمريكي. مقارنة بعام 2022 (إجمالي 183 حادثة، خسائر تبلغ حوالي 20.75 مليار دولار أمريكي)، على الرغم من انخفاض الخسائر الناجمة عن حوادث أمان التمويل اللامركزي بنسبة 62.73% في عام 2023، إلا أن عدد الحوادث ارتفع بنسبة 54.64%، مما يسلط الضوء على أن مجال التمويل اللامركزي لا يزال يواجه تحديات شديدة في منع ومعالجة القضايا الأمنية.

 (توزيع وخسائر حوادث السلامة في كل مسار عام 2023)

(مخطط مقارنة توزيع الحوادث الأمنية والخسائر في DeFi لعامي 2022 و2023)

< strong>البيئة

من منظور بيئي، نظرًا لأن Ethereum هي المنصة المفضلة للعديد من العقود الذكية والتطبيقات اللامركزية، فقد أصبحت هدفًا لهجمات القرصنة، وتكبد الهدف الرئيسي أكبر الخسائر، حيث بلغت 487 مليون دولار. يليه Polygon، كحل من الطبقة الثانية ممتد على Ethereum، فهو يواجه أيضًا تهديدات أمنية كبيرة، حيث بلغت الخسائر الناجمة عن 6 حوادث أمنية في هذا النظام البيئي 123 مليون دولار أمريكي، من بينها منصة الإقراض غير الاحتجازية BonqDAO وقاعدة العملات المشفرة The تم اختراق منصة المنشأة AllianceBlock بسبب ثغرة أمنية في العقود الذكية في BonqDAO، مما أدى إلى خسارة ما يقرب من 120 مليون دولار أمريكي.

(توزيع وخسائر حوادث الأمن البيئي المختلفة في عام 2023)

سبب الحادث

(حادث أمني 2023 خريطة الطرق)

• في عام 2023، سيكون هناك إجمالي 117 حادثة تتعلق بالسلامة ناجمة عن المشروع هروب الأطراف مما أدى إلى خسائر تقدر بحوالي 8300 عشرة آلاف دولار أمريكي. من بينها، تكبد النظام البيئي الأساسي أكبر خسارة، حيث وصلت إلى 32.5 مليون دولار أمريكي. تليها BSC علم البيئة، حيث وصلت إلى 23.05 مليون دولار أمريكي.

(توزيع وخسائر أحداث الهروب البيئي المختلفة في عام 2023)

عادة ما يكون من الصعب على المستثمرين استرداد خسائرهم بعد هروب طرف المشروع. الهروب هو وسيلة لطرف المشروع لأخذ زمام المبادرة لفعل الشر. على سبيل المثال، يقوم طرف المشروع ببدء السيولة الأولية، ويدفع السعر إلى الأعلى، ثم يسحب السيولة، على سبيل المثال، يقوم طرف المشروع بترك أموال في المشروع، يقوم بتنزيل كود الباب الخلفي وهكذا.

(أكبر عشرة أحداث وخسائر هاربة لعام 2023)

• في عام 2023 كان هناك 57 هجومًا بسبب ثغرات العقود، مما أدى إلى خسائر بلغت حوالي 75.82 مليون دولار أمريكي، ومع ذلك، غالبًا ما يكون استخدام ثغرات العقود مصحوبًا بهجمات القروض السريعة والتلاعب بالأسعار وأساليب أخرى. في عام 2023، كان هناك 34 هجومًا على القروض السريعة شنها المتسللون، مما تسبب في خسائر بلغت حوالي 225 مليون دولار أمريكي، وكان هناك 14 هجومًا للتلاعب بالأسعار، مما تسبب في خسائر بلغت حوالي 140 مليون دولار أمريكي.

  عادةً ما يرتبط حدوث ثغرات أمنية في العقد بعدم كفاية مراجعة رمز العقد، ويجب تدقيق العقود بشكل مستمر. علاوة على ذلك، يجب أن يتبنى فريق التطوير أفضل ممارسات التطوير الأمني.افتتح فريق أمان SlowMist شجرة مهارات تدقيق أمان العقود الذكية على Github (https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a -Smart-Contract-Auditor)؛ ومتطلبات ممارسة أمان مشروع Web3 (https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) وأفضل ممارسات Solana Smart Contract Security (https://github .com) /slowmist/solana-smart-contract-security-best-practices)، نرحب بالأصدقاء المهتمين لقراءته على Github.

• 2023 يوجد كان هناك 70 حادثًا أمنيًا تم فيها اختراق حسابات موضوعية مختلفة، ومع التطور السريع لـ Web3، ظهرت الهجمات ضد المستخدمين وأطراف المشروع في دفق لا نهاية له، وخاصة الهجمات ضد منصات الوسائط مثل Discord وTwitter.

  عادةً ما يتظاهر المتسللون بأنهم مسؤولون وينشرون روابط التصيد بعد الحصول على حقوق المسؤول أو الحساب، ومن ثم حث المستخدمين على التفويض لنقل الأصول . من المستحسن أن تعتمد أطراف المشروع عمليات أمنية مثل المصادقة الثنائية وتعيين كلمات مرور قوية لحماية الحسابات، وأن تكون حذرة من هجمات الشبكات التقليدية المختلفة وهجمات الهندسة الاجتماعية.

• حسب البطيء وفقًا لإحصائيات أرشيف أحداث Blockchain Hacked (SlowMist Hacked)، حدثت 11 عملية احتيال في صناعة blockchain في عام 2023. من بينها، اجتذبت حادثة احتيال العملة المشفرة في هونج كونج JPEX في عام 2023 استثمارات ذات "مخاطر منخفضة وعائدات مرتفعة". اعتبارًا من 18 ديسمبر 2023، ألقت شرطة هونغ كونغ القبض على ما مجموعه 66 شخصًا وتلقت تقارير من 2623 ضحية، تتعلق بحوالي 1.6 مليار دولار هونج كونج. ووفقا للتقارير ذات الصلة، قد تصبح عاصفة JPEX الرعدية أكبر قضية احتيال مالي في تاريخ هونج كونج.

• 

الاقتراحات

بالنسبة لأطراف المشروع:

• يجب الاستمرار في مراقبة سلوك العقود الذكية عمليات التدقيق لضمان أمان واستقرار التعليمات البرمجية ومنع ثغرات العقد؛

• في متعدد المستويات يتم إدخال تدابير الدفاع في العقد، بما في ذلك التحكم في الأذونات والفحوصات الأمنية وآليات التأمين، لتقليل مخاطر الهجمات الأخرى؛

• إنشاء آلية استجابة للطوارئ للاستجابة السريعة عند حدوث هجوم والتحكم في نطاق الخسائر؛

• اعتماد المصادقة الثنائية، وتعيين كلمات مرور قوية وعمليات أمنية أخرى لتقليل مخاطر اختراق الحساب.

بالنسبة للمستخدمين الفرديين،التزم بقواعد ومبادئ السلامة التالية ، يمكن تجنب معظم المخاطر:

• قاعدتان للسلامة:

  < p>

• ثقة معدومة . ببساطة، كن متشككًا، وكن دائمًا متشككًا.

• التحقق المستمر. إذا كنت تريد أن تصدق، يجب أن يكون لديك القدرة على التحقق من شكوكك وتطوير هذه القدرة إلى عادة.

• مبدأ السلامة:

• للحصول على المعرفة على الإنترنت، ارجع إلى مصدرين على الأقل للمعلومات في كل شيء، ادعموا بعضكم البعض، وابقوا متشككين دائمًا؛

• قم بعمل جيد في العزلة، أي لا تضع البيض معًا في السلة؛

• للمحافظ التي تحتوي على أصول مهمة ، لا تقم بتحديثها بسهولة، طالما أنها كافية بشكل جيد؛

• ما تراه هو ما تقوم بالتوقيع عليه. وهذا يعني أن المحتوى الذي تراه هو ما كنت تتوقع التوقيع عليه. وعندما يتم إرسال توقيعك، يجب أن تكون النتيجة كما توقعت، ولن تكون صفعة على وجهك أبدًا بعد ذلك؛

  < /p>

• انتبه إلى تحديثات أمان النظام وتصرف فورًا عند توفر تحديثات الأمان؛

  < /li>

• لا تعبث بالبرنامج.

• يوصى بقراءة وإتقان "دليل الإنقاذ الذاتي لـ Blockchain Dark Forest" (https://github.com/ Slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md).

تنزيل التقرير كاملاً:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf