Báo cáo nghiên cứu bảo mật Web3 toàn cầu năm 2023: Phân tích tình trạng bảo mật của từng hệ sinh thái

Nguồn: Công nghệ Lingshi Thâm Quyến

Tóm tắt

2023 là năm của sự đổi mới đa dạng trong lĩnh vực tiền điện tử năm thế giới, nhưng đằng sau sự đổi mới đó cũng xảy ra nhiều sự cố an ninh chấn động. Nhóm bảo mật công nghệ zero-hour đã phát hành "Báo cáo nghiên cứu bảo mật ngành Web3 toàn cầu năm 2023", trong đó xem xét các chính sách toàn cầu của ngành Web3 vào năm 2023. Các nội dung chính bao gồm các khái niệm cơ bản, sự cố bảo mật, số lượng tổn thất và các loại tấn công, đồng thời tiến hành một cuộc điều tra thực hiện phân tích chi tiết và đề xuất các kế hoạch, biện pháp phòng ngừa an toàn. Chúng tôi hy vọng có thể giúp những người thực hành và người dùng hiểu được hiện trạng bảo mật Web3, nâng cao nhận thức về bảo mật mạng, bảo vệ tài sản kỹ thuật số và thực hiện các biện pháp phòng ngừa bảo mật.

1. Vào năm 2023, tổng giá trị thị trường của tiền điện tử trong ngành Web3 toàn cầu sẽ đạt tối đa 1,3 nghìn tỷ đô la Mỹ. Bị ảnh hưởng bởi sự bùng nổ của ngành, so với tổng giá trị thị trường cao nhất năm ngoái là 2,4 nghìn tỷ đô la Mỹ đô la, năm nay đã giảm, nhưng nhìn chung số lượng tài sản không ngừng mở rộng.

2. Theo thống kê của Zero Hour Technology, tổng cộng 506 sự cố bảo mật đã xảy ra vào năm 2023, với thiệt hại lũy kế lên tới 11 tỷ USD. So với năm 2022, năm nay có 110 sự cố bảo mật Web3 mới, tăng 65,3% so với cùng kỳ năm trước.

3. Tổng cộng có 435 sự cố bảo mật đã xảy ra trong sáu hướng chính của Web3: chuỗi công khai, cầu nối chuỗi, ví, sàn giao dịch, NFT và DeFi, gây thiệt hại hơn 7,983 tỷ USD. Ngoài ra, các lĩnh vực mới nổi như GameFi và DAO đã trở thành mục tiêu của tin tặc, liên tục xảy ra tình trạng lừa đảo, lừa đảo gây thiệt hại nghiêm trọng.

4. Những sự cố an ninh điển hình với tổn thất vượt quá 100 triệu USD vào năm 2023 sẽ gây ra tổng thiệt hại 3,2 tỷ USD, chiếm 29% tổng thiệt hại vào năm 2023. Các đại diện tiêu biểu bao gồm: sàn giao dịch tiền điện tử Bitzlato Lianchuang thừa nhận rửa tiền 700 triệu USD; VenusProtoco khai thác lỗ hổng Binance Bridge để đánh cắp BNB trị giá gần 600 triệu USD; cầu xuyên chuỗi Wormhole bị tấn công và số ETH trị giá khoảng 323 triệu USD bị đánh cắp; Lỗ hổng Dfyn của sàn giao dịch phi tập trung đa chuỗi (DEX) đã bị khai thác, gây thiệt hại 300 triệu USD.

5. Năm 2023, sẽ có nhiều kiểu tấn công khác nhau trong các sự cố bảo mật Web3 toàn cầu. Đánh giá theo số lượng sự cố bảo mật, 5 kiểu tấn công điển hình hàng đầu là: tấn công của hacker, lỗ hổng bảo mật, trộm cắp tài sản, lừa đảo và quyền không chính xác. Xét về mức độ tổn thất, năm loại tấn công điển hình hàng đầu là: tấn công của hacker, lỗ hổng bảo mật, trộm cắp tài sản, tấn công cho vay nhanh và lừa đảo.

6. Trường hợp pháp lý tiêu biểu nhất trong năm nay là: tổ chức hacker Lazarus của Triều Tiên đã trở thành tổ chức APT ảnh hưởng nghiêm trọng nhất đến cộng đồng Web 3. Vào năm 2023, nhóm Lazarus đã gây thiệt hại ít nhất 750 triệu USD, chiếm 20% tổng số tiền bị đánh cắp trong lĩnh vực tiền điện tử vào năm 2023. CertiK đã phân tích 5 cuộc tấn công tiền điện tử lớn vào năm 2023, bao gồm Atomic Wallet, Alphapo, CoinsPaid, Stake.com và CoinEx, dẫn đến thiệt hại 290 triệu USD.

1. Đánh giá toàn cầu về ngành Web3 và tổng quan về tình hình bảo mật

Web3 đề cập đến một thế hệ mạng mới dựa trên công nghệ mã hóa, tích hợp công nghệ chuỗi khối, kinh tế mã thông báo và phân cấp Nhiều công nghệ và ý tưởng khác nhau chẳng hạn như lý thuyết tổ chức và trò chơi đã được đề xuất bởi người đồng sáng lập Ethereum, Gavin Wood vào năm 2014. Web3 được xây dựng dựa trên blockchain, tính từ năm 2008 đến nay công nghệ blockchain đã phát triển được hơn 15 năm. Sự bùng nổ của ngành Web3 vào năm 2023 không thể tách rời sự tích lũy của nhiều năm phát triển của ngành blockchain.

Từ góc độ người dùng, hệ sinh thái Web3 có thể được chia thành lớp cơ bản, lớp ứng dụng và dịch vụ của bên thứ ba. Lớp cơ bản chủ yếu dựa trên các chuỗi công cộng, cầu nối chuỗi và chuỗi liên minh để cung cấp cơ sở hạ tầng mạng cho Web3; lớp ứng dụng chủ yếu dựa trên APP (ứng dụng tập trung) và DAPP (ứng dụng phi tập trung), được người dùng thường sử dụng. Các ứng dụng để tương tác bao gồm nền tảng giao dịch, ví, DeFi, NFT, GameFi, DAO, phần mềm lưu trữ và xã hội, v.v. Lớp cơ bản và lớp ứng dụng thúc đẩy sự thịnh vượng của hệ sinh thái Web3 nhưng chúng cũng mang đến những rủi ro bảo mật rất lớn cho Web3. Hệ sinh thái dịch vụ là bên thứ ba trong ngành Web3. Các tổ chức đầu tư, ươm tạo giáo dục và truyền thông cung cấp hỗ trợ cho ngành. Các tổ chức dịch vụ bảo mật như Công nghệ Zero Hour là một phần không thể thiếu trong việc bảo vệ bảo mật Web3.

Tính đến tháng 12 năm 2023, theo thống kê của CoinMarketCap, tổng giá trị thị trường của tiền điện tử trong ngành Web3 toàn cầu đã đạt mức cao nhất là 2,4 nghìn tỷ USD. Bị ảnh hưởng bởi sự bùng nổ của ngành, năm nay đã giảm so với tổng giá trị thị trường cao nhất là 2,97 nghìn tỷ USD vào năm ngoái . Mặc dù tổng giá trị thị trường biến động nhưng tổng khối lượng tài sản không ngừng mở rộng. Do tốc độ đổi mới nhanh chóng của ngành, nhận thức về bảo mật của người dùng còn yếu, thiếu sự giám sát và các vấn đề bảo mật nổi bật, Web3 đang trở thành "máy rút tiền" cho tin tặc.

Theo thống kê từ Zero Hour Technology, tổng cộng 506 sự cố bảo mật đã xảy ra vào năm 2023, với tổng thiệt hại lên tới 11 tỷ USD. So với năm 2022, năm nay có 116 sự cố bảo mật Web3 mới, tăng 38% so với cùng kỳ năm ngoái. Trong số đó, 152 sự cố bảo mật đã xảy ra trong sáu tuyến chính của chuỗi công cộng, cầu nối chuỗi, ví, sàn giao dịch, NFT và DeFi, gây thiệt hại hơn 4,08 tỷ đô la Mỹ.

Ngoài sáu đường hướng chính nêu trên, còn có tổng cộng 354 sự cố bảo mật khác, với thiệt hại lên tới 6,92 tỷ USD. Các lĩnh vực mới nổi như GameFi và DAO đã trở thành mục tiêu của tin tặc, gian lận và những kẻ lừa đảo lần lượt xuất hiện. Khi nhiều gã khổng lồ tham gia Metaverse và NFT, quy mô tài sản trên chuỗi sẽ tiếp tục tăng trong tương lai và số lượng vi phạm an ninh mạng Web3 có thể tiếp tục tăng cao.

Theo thống kê từ Zero Hour Technology, trong số sáu xu hướng chính của hệ sinh thái Web3 toàn cầu vào năm 2023: 13 sự cố bảo mật xảy ra trong chuỗi công cộng, với tổng thiệt hại khoảng 280 triệu USD; 18 sự cố bảo mật đã xảy ra trong các cầu nối chuỗi, với tổng thiệt hại khoảng 280 triệu USD; Thiệt hại là 1,21 tỷ USD; 19 sự cố bảo mật xảy ra trên các sàn giao dịch, với tổng thiệt hại là 1,208 tỷ USD; 35 sự cố bảo mật xảy ra trong ví, với tổng thiệt hại trị giá 600 triệu USD; 21 sự cố bảo mật xảy ra ở DeFi, với tổng thiệt hại là 720 triệu USD; 43 sự cố bảo mật xảy ra ở NFT Kể từ đó, thiệt hại đã vượt quá 62 triệu USD.

Đánh giá về số lượng sự cố an toàn đã xảy ra tại các đường đua lớn, NFT có nhiều sự cố an ninh nhất, điều này không thể tách rời khỏi việc nó đã trở thành đường đua phổ biến được ngành săn đón vào năm 2023. Mặt khác, do số lượng người tham gia vào ngành Web3 ngày càng tăng, ví và DeFi đã trở thành khu vực bị ảnh hưởng nặng nề nhất bởi sự cố bảo mật. Xét về mức độ tổn thất, cầu xuyên chuỗi đứng đầu và chịu tổn thất lớn nhất.

Năm 2023, xét theo số lượng sự cố bảo mật Web3 toàn cầu, Top 5 kiểu tấn công điển hình là: tấn công của hacker, chiếm 47%; trộm cắp tài sản, chiếm 29,6%; lỗ hổng bảo mật, chiếm 20,1%; tấn công lừa đảo, kế toán chiếm 13,8%, sai quyền chiếm 13,4%.

Xét về số tiền thiệt hại, 5 kiểu tấn công điển hình hàng đầu của các sự cố bảo mật Web3 toàn cầu là: tấn công của hacker, số tiền thiệt hại là 6,05 tỷ USD; lỗ hổng bảo mật, số tiền thiệt hại là 4,8 tỷ USD; trộm cắp tài sản , số tiền thiệt hại là 3,04 tỷ đô la Mỹ; vụ tấn công cho vay chớp nhoáng, số tiền thiệt hại là 1,26 tỷ đô la Mỹ; gian lận, số tiền thiệt hại là 750 triệu đô la Mỹ.

Điều đáng chú ý là nhiều sự cố bảo mật xảy ra vào năm 2023 đều là đối tượng của nhiều cuộc tấn công. Một số sự cố có thể dẫn đến trộm cắp tài sản, trộm khóa riêng, tấn công của hacker, rò rỉ khóa riêng và các lỗ hổng bảo mật đồng thời.

Lưu ý: Các kiểu tấn công chính được giải thích như sau

Trộm cắp tài sản: đánh cắp tiền ảo, đánh cắp nền tảng

Tấn công của hacker: hacker và các kiểu tấn công khác

Rò rỉ thông tin: rò rỉ khóa riêng, v.v.

Lỗ hổng bảo mật: lỗ hổng hợp đồng, lỗ hổng chức năng

Quyền không chính xác: cài đặt quyền hệ thống không chính xác, quyền hợp đồng không chính xác, v.v.

< p>Tấn công lừa đảo: Lừa đảo

Thao túng giá: Thao túng giá

Theo thông tin giám sát từ nền tảng tình báo bảo mật blockchain của Zero Time Technology, các sự cố bảo mật điển hình vào năm 2023 sẽ gây thiệt hại hơn 100 triệu USD , với tổng thiệt hại là 3,2 tỷ đô la Mỹ, chiếm 29% tổng thiệt hại vào năm 2023.

2. Chính sách quản lý Web3 toàn cầu

Vào năm 2023, Internet Web3 thế hệ tiếp theo dựa trên blockchain sẽ mở ra đỉnh cao tăng trưởng. Trước ngành công nghiệp mới nổi với công nghệ tài chính này đặc điểm này, các Chính phủ và cơ quan quản lý toàn cầu đang theo dõi chặt chẽ. Web3 có lĩnh vực ứng dụng rộng rãi, phân phối và cộng tác toàn cầu, hàm lượng kỹ thuật cao.Ngoài ra, các quốc gia trên thế giới và các cơ quan quản lý nội bộ của họ chưa thống nhất về định hướng phát triển của ngành Web3 và định nghĩa về tài sản kỹ thuật số. đã mang lại những thách thức lớn cho việc giám sát tài chính toàn cầu. Vào năm 2023, tội phạm tài chính, hacker tấn công, lừa đảo, tống tiền và rửa tiền sẽ xảy ra thường xuyên, với số tiền khổng lồ, thiệt hại nghiêm trọng và ảnh hưởng lan rộng. Để đảm bảo tính bảo mật và tuân thủ của Web3, nhiều quốc gia khác nhau đã đưa ra các chính sách quản lý.

Từ góc độ chính sách quản lý toàn cầu đối với Web3 nói chung, việc bảo vệ nhà đầu tư và chống rửa tiền (AML) là sự đồng thuận toàn cầu và việc chấp nhận cũng như giám sát các sàn giao dịch tiền điện tử rất khác nhau giữa các quốc gia. Các thành viên Quốc hội Hoa Kỳ đã đề xuất "đảm bảo Web3 diễn ra ở Hoa Kỳ" và đang đẩy mạnh đổi mới quy định; các nước EU có chính sách tương đối rõ ràng và tích cực; Nhật Bản, Singapore và Hàn Quốc bị ảnh hưởng bởi cơn giông bão năm 2023 và việc giám sát trở nên chặt chẽ hơn ; Trung Quốc đại lục vẫn khuyến khích ứng dụng công nghệ blockchain, nghiêm cấm các tổ chức tài chính và tổ chức thanh toán tham gia giao dịch tiền ảo và gây quỹ bất hợp pháp, đồng thời tăng cường trấn áp tội phạm tiền điện tử. Hồng Kông, Trung Quốc, hỗ trợ đầy đủ cho việc phát triển tài sản ảo và triển khai hệ thống cấp phép; Các Tiểu vương quốc Ả Rập Thống nhất là quốc gia tích cực nhất trên thế giới trong việc nắm bắt tài sản tiền điện tử. Đối với NFT, stablecoin, DeFi, giao thức tài sản và lĩnh vực DAO, thế giới đang trong tình trạng thăm dò quy định.

3. Hiện trạng an ninh sinh thái Web3 năm 2023

Web3 là một ngành tương đối đặc biệt và đặc điểm nổi bật nhất của nó là nó liên quan đến một số lượng lớn Trong việc quản lý tài sản được mã hóa, hàng chục triệu tài sản được lưu trữ trên chuỗi và các quyền được xác nhận thông qua một khóa riêng duy nhất. Ai nắm giữ khóa riêng này sẽ là chủ sở hữu của tài sản. Nếu một ứng dụng hoặc giao thức trong hệ sinh thái bị hacker tấn công có thể gây ra tổn thất rất lớn. Với sự phát triển nhanh chóng của hệ sinh thái, nhiều phương thức tấn công và phương thức lừa đảo mới lần lượt xuất hiện và toàn bộ ngành đang tiến tới bờ vực an ninh. Nhóm bảo mật công nghệ zero-hour đã quan sát và đếm các loại tấn công tồn tại trong Web3. Hiện tại, các loại tấn công sau chủ yếu gây ra mối đe dọa đối với bảo mật Web3: tấn công APT, lừa đảo kỹ thuật xã hội, tấn công chuỗi cung ứng, tấn công flash loan, hợp đồng thông minh các cuộc tấn công và tấn công vào lỗ hổng phía web. , lỗ hổng zero-day và lừa đảo trực tuyến.

Tiếp theo, chúng ta sẽ bắt đầu từ góc độ chuỗi công cộng cơ sở hạ tầng, cầu nối chuỗi chéo, đại diện của APP và DAPP phía ứng dụng: nền tảng giao dịch, ví, DeFi, NFT, chống rửa tiền trong các lĩnh vực quản lý và giáo dục bảo mật web3. Phân tích trạng thái bảo mật của từng hệ sinh thái Web3 vào năm 2023, diễn giải các sự kiện tấn công và đưa ra đề xuất biện pháp bảo mật tương ứng cho từng hệ sinh thái.

1. Chuỗi công cộng - huyết mạch của an ninh sinh thái Web3

Chuỗi công cộng là cơ sở hạ tầng của ngành Web3, mang theo các giao thức, ứng dụng và tài sản của toàn bộ ngành Kế toán, với nhu cầu mạnh mẽ của ngành về hiệu suất chuỗi công cộng, khả năng tương tác, khả năng tương thích và mở rộng công suất, sự phát triển đa chuỗi đang có đà phát triển và các vấn đề bảo mật là cấp bách.

Theo thống kê chưa đầy đủ của Zero Hour Technology, tính đến tháng 12 năm 2023, hiện có 194 chuỗi công khai. Xét về số lượng ứng dụng sinh thái chuỗi công cộng, theo dữ liệu rootdata, Ethereum có 2.203 ứng dụng, Polygon có 1.301 ứng dụng và BNB Chian có 1.239 ứng dụng, đứng vững trong top 3, tiếp theo là các chuỗi công khai mới như Solana, Avalanche và ICP. Kể từ đó, nó đã cho thấy xu hướng tăng trưởng nhanh chóng.

Xét về giá trị thị trường của hệ sinh thái chuỗi công cộng, theo dữ liệu của Coingecko, các hệ sinh thái Ethereum, BNB Chain và Solana xếp trong top 3 với giá trị lần lượt là 334,3 tỷ USD, 47,7 tỷ USD và 42 tỷ USD. Hiện tại, tổng giá trị thị trường của hệ sinh thái chuỗi công cộng đã vượt quá một nghìn tỷ đô la Mỹ, sức hấp dẫn của số tiền khổng lồ như vậy khiến tin tặc để mắt tới.

Tính đến tháng 12 năm 2023, theo thống kê từ Zero Hour Technology, 13 sự cố an toàn đã xảy ra trên chuỗi công cộng, với tổng tài sản bị mất tích lũy vượt quá 280 triệu USD.

Từ góc độ định lượng, các loại tấn công chính trên chuỗi công khai là: tấn công của hacker, đánh cắp tài sản, lỗ hổng bảo mật, tấn công cho vay nhanh và lừa đảo, với tỷ lệ tương ứng là: 46,1%, 30,7%, 23%, 15,4%, 15,4%. Xét về mức độ thiệt hại, các cuộc tấn công của hacker gây thiệt hại cao nhất là 167 triệu USD, chiếm 60,1%; vi phạm an ninh gây thiệt hại lớn thứ hai là 131 triệu USD, chiếm 46,7%. (Lưu ý: Một số dự án đã phải hứng chịu nhiều kiểu tấn công)

Theo thông tin giám sát của Zero Time Technology Blockchain Security Intelligence Platform, hình ảnh sau đây cho thấy một số trường hợp điển hình về các cuộc tấn công chuỗi công khai vào năm 2023:

Các đề xuất về biện pháp và rủi ro an ninh chuỗi công cộng

< p> Theo phân tích của nhóm bảo mật của Zero Hour Technology, rủi ro bảo mật chuỗi công cộng chủ yếu đến từ ba điểm sau:

1) Độ phức tạp về mặt kỹ thuật: Nó liên quan đến nhiều lĩnh vực kỹ thuật và nhiều điểm rủi ro về bảo mật.

2) Sự không chắc chắn của nhà phát triển: Mã được viết bởi các nhà phát triển và chắc chắn sẽ xảy ra sơ hở trong quá trình này.

3) Tính minh bạch về lỗ hổng nguồn mở: Mã chuỗi công khai là nguồn mở, giúp tin tặc phát hiện ra lỗ hổng dễ dàng hơn.

Nhóm bảo mật công nghệ 0 giờ có bốn đề xuất sau đây về bảo mật chuỗi công cộng:

1) Trước khi mạng chính trực tuyến, cần thiết lập một tập hợp phong phú về các điểm rủi ro cho chuỗi công khai. Cơ chế bảo mật:

Về P2P và RPC, bạn cần chú ý đến các cuộc tấn công chiếm quyền điều khiển, tấn công từ chối dịch vụ, lỗi cấu hình quyền, v.v.;

Về mặt thuật toán đồng thuận và mã hóa, Bạn cần chú ý đến các cuộc tấn công 51%, các cuộc tấn công kéo dài thời gian, v.v.;

Về mặt bảo mật giao dịch, bạn cần chú ý để tấn công nạp tiền giả, tấn công phát lại giao dịch, backdoor độc hại, v.v.;

Về bảo mật ví, cần chú ý đến việc quản lý bảo mật khóa riêng, giám sát bảo mật tài sản, kiểm soát rủi ro bảo mật của các giao dịch, v.v.;

Nhân viên có liên quan của các dự án chuỗi công cộng cần phải có nhận thức tốt về bảo mật, bảo mật văn phòng, bảo mật phát triển, v.v.

2) Tiến hành kiểm tra mã nguồn và hợp đồng thông minh để đảm bảo lấp đầy các lỗ hổng nguyên tắc và rõ ràng:

Kiểm tra mã nguồn có thể là mã đầy đủ hoặc là một phần của mô-đun. Nhóm bảo mật của Zero Hour Technology có bộ tiêu chuẩn kiểm tra bảo mật chuỗi công cộng hoàn chỉnh, sử dụng chiến lược + công cụ thủ công để kiểm tra tính bảo mật của mã mục tiêu, sử dụng máy quét mã nguồn mở hoặc thương mại để kiểm tra chất lượng mã, kết hợp với kiểm tra bảo mật và bảo mật thủ công xác minh lỗ hổng. Hỗ trợ tất cả các ngôn ngữ phổ biến, chẳng hạn như: C/C++/C#/Golang/Rust/Java/Nodejs/Python.

3) Sau khi mainnet trực tuyến, tiến hành phát hiện bảo mật theo thời gian thực và cảnh báo sớm các rủi ro hệ thống;

4) Sau khi có hacker sự cố xảy ra, truy tìm nguồn gốc kịp thời. Phân tích để xác định vấn đề và giảm thiểu khả năng bị tấn công trong tương lai; nhanh chóng truy tìm nguồn và theo dõi dòng tổn thất để thu hồi tài sản một cách tối đa.

2. Cross-chain bridge - máy rút tiền mới dành cho hacker

Cầu xuyên chuỗi hay còn gọi là cầu blockchain, kết nối hai blockchain và cho phép người dùng Gửi tiền điện tử từ chuỗi này sang chuỗi khác. Cầu nối chuỗi chéo cho phép vận hành quỹ xuyên chuỗi bằng cách cho phép chuyển mã thông báo, hợp đồng thông minh và trao đổi dữ liệu, cũng như các phản hồi và hướng dẫn khác giữa hai nền tảng độc lập.

Tính đến tháng 12 năm 2023, theo dữ liệu của Dune Analytics, tổng giá trị bị khóa (TVL) của các cầu nối chuỗi chéo chính trong Ethereum là khoảng 6,5 tỷ USD. TVL hiện tại có TVL cao nhất là Polygon Bridges với 2,99 tỷ USD, theo sát là Aritrum Bridge với 2,04 tỷ USD và Optimism Bridges đứng thứ ba với 1 tỷ USD.

Với sự phát triển của các chương trình blockchain và trên chuỗi, nhu cầu chuyển đổi quỹ đa chuỗi trở nên cấp thiết. Các tính năng cộng tác của cầu nối chuỗi chéo có thể cho phép mỗi chuỗi khối phát huy tiềm năng hợp tác lớn hơn. Cầu nối chuỗi chéo không chỉ mang lại sự tiện lợi cho người dùng, nhưng Hacker cũng cung cấp một cánh cửa khác. Do tính chất của việc chuyển tài sản qua các cầu nối chuỗi, một khi có vấn đề phát sinh trong quá trình khóa, truyền, phá hủy và mở khóa, an ninh tài sản của người dùng sẽ bị đe dọa. Nó có vẻ không phải là một hoạt động chuyển tiền xuyên chuỗi phức tạp, nhưng trong nhiều dự án cầu nối chuỗi chéo, các lỗ hổng bảo mật đã xảy ra ở các bước khác nhau.

Theo thống kê từ Zero Hour Technology, tính đến tháng 12, 18 sự cố bảo mật đã xảy ra do các cuộc tấn công vào cầu nối chuỗi, với tổn thất tài sản lũy kế là 1,21 tỷ USD.

Vào năm 2023, 5 cây cầu xuyên chuỗi hàng đầu bị thiệt hại do sự cố bảo mật là: Harmony, Wormhole, MultiChain, Aave fork và HECO, với mức thiệt hại lần lượt là 350 triệu USD, 300 triệu USD, 210 triệu USD , và lần lượt là 1,5 tỷ USD và 100 triệu USD.

Đánh giá về số lượng sự cố bảo mật, các loại tấn công cầu nối xuyên chuỗi chính là: tấn công của hacker, đánh cắp tài sản, lỗ hổng bảo mật, cấp quyền sai và tấn công cho vay nhanh, chiếm 61%, 33%, 28%, 17% và tương ứng là 17%. 11%. Xét về số lượng thiệt hại, tấn công của hacker chiếm tỷ lệ lớn nhất, chiếm 55%; tiếp theo là trộm cắp tài sản, chiếm 29%; vi phạm an ninh chiếm 14%, đứng thứ 3.

Hình bên dưới cho thấy một số trường hợp tấn công cầu chuỗi chéo điển hình vào năm 2023:

p>

Rủi ro bảo mật cầu nối chuỗi và đề xuất biện pháp

Nhóm bảo mật Công nghệ Zero Hour đã kết luận từ nhiều cuộc tấn công cầu nối chuỗi rằng có nhiều cuộc tấn công hơn trước chuỗi chéo và ở chữ ký mà có sự cẩu thả của chính quyền, trộm cắp do bất cẩn. Liên quan đến vấn đề bảo mật của ngày càng nhiều dự án chuỗi chéo và hợp đồng dự án, Công nghệ Zero Hour đưa ra các đề xuất biện pháp bảo mật sau:

1) Tiến hành kiểm tra bảo mật các hợp đồng trước khi dự án lên mạng;

2 ) Giao diện gọi hợp đồng cần kiểm tra chặt chẽ tính phù hợp của nó;

3) Các giao diện liên quan và bảo mật chữ ký cần được đánh giá lại khi phiên bản được cập nhật;

4) Người ký chuỗi chéo cần phải được kiểm tra nghiêm ngặt để đảm bảo chữ ký không bị kiểm soát bởi các tác nhân độc hại.

3. Nền tảng giao dịch - nguồn gốc của những cám dỗ rất lớn

Nền tảng giao dịch của Web3 còn được gọi là sàn giao dịch tiền kỹ thuật số hoặc sàn giao dịch tiền điện tử. Nó là một blockchain An Là một phần quan trọng của ngành, nó cung cấp dịch vụ giao dịch giữa các loại tiền kỹ thuật số khác nhau và giữa các loại tiền kỹ thuật số và tiền tệ hợp pháp. Đây cũng là nơi chính để định giá và lưu thông các loại tiền kỹ thuật số.

Theo dữ liệu của Coingecko, tính đến tháng 12 năm 2023, có 887 sàn giao dịch tiền điện tử, bao gồm 224 sàn giao dịch tập trung, với tổng khối lượng giao dịch trong 24 giờ là 8 tỷ USD; các sàn giao dịch phi tập trung có 663, với tổng số 24 sàn giao dịch. -Khối lượng giao dịch trong giờ là 3,7 tỷ USD; 94 sàn giao dịch phái sinh, với khối lượng giao dịch trong 24 giờ là 1,93 nghìn tỷ USD.

Dữ liệu cho thấy 10 sàn giao dịch hàng đầu tính theo khối lượng giao dịch trong 24 giờ là: Binance, Bybit, Coinbase Exchange, OKX, MEXC, Gate.io, Kraken, KuCoin, Bitfinex và Binance US. Trong số đó, Binance đứng đầu với khối lượng giao dịch 13,595 tỷ vào ngày 24.

10 trung tâm phi tập trung hàng đầu theo khối lượng giao dịch các sàn giao dịch là: Uniswap V3 (Ethereum), Orca, Uniswap V3 (Arbitrum One), PancakeSwap (V3), Curve (Ethereum), Uniswap V3 (Ethereum), THORWallet DEX, THORSwap, Raydium, Ferro Protocol, trong đó Uniswap là Single- tự tay chiếm hơn mười vị trí trong top mười.

Theo thống kê từ Zero Hour Technology, 19 sự cố bảo mật đã xảy ra trên các sàn giao dịch tiền điện tử vào năm 2023, với tổng thiệt hại tài sản vượt quá 1,2 tỷ USD.

Theo thống kê từ Zero Time Technology Blockchain Security Threat Intelligence Platform, năm 2023, 6 nền tảng giao dịch thua lỗ nhiều nhất do sự cố bảo mật là: Curve, Coinbase, OKX, Platypus Finanace, Uniswap, Coins. ph, lỗ Các khoản tiền lần lượt là 440 triệu USD, 360 triệu USD, 180 triệu USD, 100 triệu USD, 60 triệu USD và 40 triệu USD.

Nhìn vào sự phân bổ tổn thất do sự cố bảo mật trên các nền tảng giao dịch, Couve chiếm 36,6%, CoinBase chiếm 30% và Platypus Finanace chiếm 15%, xếp hạng ba.

Theo thống kê từ Lingshi Technology, xét về số lượng sự cố bảo mật, các loại tấn công chính trên nền tảng giao dịch là hacker tấn công vào lỗ hổng bảo mật, trộm cắp tài sản, tấn công lừa đảo và tấn công cho vay nhanh, chiếm 59%, 31,8% , 27%, tương ứng là 9%, 9%. Đánh giá về sự phân bổ số tiền thiệt hại, các cuộc tấn công của hacker chiếm 59% và là loại sự cố bảo mật chính, lỗ hổng bảo mật chiếm 40% và trộm cắp tài sản chiếm 33,3%.

Hình bên dưới thể hiện một số trường hợp điển hình về sự cố bảo mật sàn giao dịch trong năm 2023:

Giao dịch Đề xuất biện pháp và rủi ro bảo mật của nền tảng

Xem xét các sự cố bảo mật của tất cả các sàn giao dịch trong quá khứ, nhóm bảo mật công nghệ zero-hour tin rằng từ góc độ kiến ​​trúc bảo mật tổng thể của Là một nền tảng giao dịch, nền tảng giao dịch phải đối mặt với Rủi ro bảo mật chủ yếu bao gồm: phát triển, cấu hình máy chủ, vận hành và bảo trì, nhận thức về bảo mật của nhóm, nhân sự nội bộ, rủi ro thị trường và chuỗi cung ứng.

Nhóm bảo mật công nghệ zero-hour đã xuất bản "Giới thiệu về bảo mật Blockchain và cuộc chiến thực tế", tiến hành phân tích toàn diện và chi tiết về các vấn đề bảo mật của nền tảng giao dịch tiền điện tử. Nó bao gồm các bước kiểm tra thâm nhập, chẳng hạn như thu thập thông tin, kỹ thuật xã hội, v.v., đồng thời giới thiệu các bề mặt tấn công khác nhau, chẳng hạn như logic nghiệp vụ, đầu vào và đầu ra, cấu hình bảo mật, rò rỉ thông tin, bảo mật giao diện, bảo mật xác thực người dùng, bảo mật ứng dụng , vân vân.

Đối với các rủi ro bảo mật sàn giao dịch, nhóm bảo mật của Zero Hour Technology đưa ra các đề xuất sau:

Từ góc độ nền tảng giao dịch:

1) Nâng cao nhận thức về bảo mật của nhân viên nội bộ, tăng cường cách ly an ninh đối với môi trường sản xuất, môi trường thử nghiệm và môi trường gỡ lỗi của sàn giao dịch, đồng thời cố gắng sử dụng các sản phẩm bảo vệ an ninh mạng chuyên nghiệp.

2) Thông qua hợp tác với các công ty bảo mật chuyên nghiệp, tiến hành kiểm tra mã và kiểm tra thâm nhập để tìm hiểu xem hệ thống có lỗ hổng và rủi ro bảo mật tiềm ẩn hay không, đồng thời thiết lập cơ chế bảo vệ an ninh đầy đủ và toàn diện. Trong hoạt động hàng ngày, các cuộc kiểm tra an toàn thường xuyên được tiến hành và công tác tăng cường an toàn được tăng cường.

3) Nâng cấp cấu trúc khóa và các biện pháp kiểm soát rủi ro của tài khoản, thiết lập cấu trúc khóa đa chữ ký phù hợp và thiết lập các cơ chế kiểm soát, phát hiện và cảnh báo sớm rủi ro nghiêm ngặt, đồng thời củng cố ví nóng và lạnh phụ trợ tăng cường bảo mật, chẳng hạn như kiểm soát tần suất chuyển, chuyển khoản lớn, cách ly ví nóng và lạnh, v.v.

Bởi vì hầu hết người dùng, ngoài việc sử dụng sàn giao dịch để giao dịch, họ thường sử dụng ví để lưu trữ tài sản kỹ thuật số.

Do đó, từ góc độ người dùng:

1) Không tùy ý cài đặt phần mềm từ các nguồn không xác định.

2) Máy chủ máy tính nên tránh mở các cổng không cần thiết và vá các lỗ hổng tương ứng kịp thời. Máy chủ nên cài đặt phần mềm chống vi-rút hoặc phần mềm bảo mật khác hiệu quả và đáng tin cậy, đồng thời cài đặt phích cắm cách ly tập lệnh khai thác -ins trên trình duyệt WEB, v.v.

3) Không tùy tiện click vào những link không rõ nguồn gốc do người lạ gửi.

4. Ví - Vết thương của việc quản lý tài sản tiền điện tử

Ví của Web3 là ví kỹ thuật số blockchain hay còn gọi là ví tiền điện tử hay ví tài sản kỹ thuật số Là công cụ lưu trữ, quản lý và sử dụng tiền kỹ thuật số, đóng vai trò quan trọng trong lĩnh vực blockchain và là lối vào để người dùng tiếp cận tiền kỹ thuật số. Ngày nay, với sự phát triển của hệ sinh thái, ví kỹ thuật số đã trở thành nền tảng quản lý đa chuỗi, đa tài sản.

Theo thống kê từ Nền tảng thông tin về mối đe dọa bảo mật chuỗi khối công nghệ Zero Time, tính đến tháng 12 năm 2023, có tổng cộng 153 dự án ví kỹ thuật số. Theo thống kê của Blockchain.com, hơn 400 triệu người trên thế giới sẽ sử dụng tài sản mã hóa vào năm 2023. Trong số đó, số lượng người dùng ví mã hóa sẽ đạt 81 triệu vào năm 2022 và đến tháng 11 năm 2023, số lượng người dùng ví mã hóa đã lên tới 221 triệu, với con số tăng theo cấp số nhân.

Là lối vào Web3, ví từ lâu đã trở thành "củ khoai nóng" trong mắt hacker. Theo thống kê từ Zero Hour Technology, vào năm 2023, đã xảy ra 35 sự cố bảo mật trong ví kỹ thuật số, với tổng thiệt hại tài sản vượt quá 600 triệu USD.

Vào năm 2023, 5 sự cố bảo mật ví hàng đầu bị tấn công và tổn thất chủ yếu đến từ: BitKeep, Solana, Cropto.com, Transit và Bable Finanace. Thiệt hại lần lượt là: 200 triệu USD, 130 USD triệu, và 120 triệu USD, 100 triệu USD và 40 triệu USD. Trong số đó, BitKeep chịu tổn thất cao nhất do cuộc tấn công.

Theo thống kê từ Zero Hour Technology, đánh giá từ số lượng sự cố bảo mật, các loại tấn công chính vào ví kỹ thuật số là: tấn công của hacker, trộm cắp tài sản, lỗ hổng bảo mật, tấn công lừa đảo và lừa đảo, chiếm 44,9%, 35,5%, 27 % tương ứng là 13,4%, 9,8%. Tấn công chiếm tỷ lệ cao nhất, đứng đầu.

Tỷ lệ tổn thất sự cố bảo mật tương ứng với từng loại hình tấn công chính như sau: tấn công của hacker gây tổn thất cao nhất, chiếm 48,2%; vi phạm an ninh gây tổn thất thứ hai, chiếm 41%; và tổn thất do trộm cắp tài sản cao nhất, thứ ba, chiếm 28%.

Khi một ví bị tấn công, thường có hai tình huống. Một là ví tổ chức và một là ví cá nhân.

Đề xuất các biện pháp và rủi ro bảo mật ví kỹ thuật số

Theo phân tích của nhóm bảo mật của Zero Hour Technology, ví kỹ thuật số blockchain tồn tại dưới nhiều hình thức.Các rủi ro bảo mật chính bao gồm nhưng không Giới hạn ở các khía cạnh sau:

Các khía cạnh thể chế: Rủi ro bảo mật của môi trường vận hành, rủi ro bảo mật khi truyền mạng, rủi ro bảo mật của phương pháp lưu trữ tệp và bảo mật của chính ứng dụng Rủi ro, rủi ro bảo mật khi sao lưu dữ liệu, v.v.

Mã QR hướng dẫn khách hàng chuyển và đánh cắp tài sản, đánh cắp khóa riêng/cụm từ ghi nhớ bằng cách tấn công nền tảng đám mây nơi khách hàng lưu trữ thông tin, phần mềm độc hại, gian lận airdrop, lừa đảo, lừa đảo khác (bán trước, tải xuống APP, bẫy chiến thắng) và những rủi ro khác.

Làm cách nào để bảo vệ an ninh ví trước những rủi ro này?

Từ phía tổ chức, nhóm bảo mật của Zero Hour Technology khuyến nghị:

Cho dù đó là ví tập trung hay phi tập trung, ví phần mềm hay phần cứng Ví phải được kiểm tra bảo mật đầy đủ về mặt bảo mật. Để kiểm tra bảo mật ví kỹ thuật số, nhóm bảo mật của Zero Hour Technology bao gồm nhưng không giới hạn ở các mục kiểm tra sau:

1. Kiểm tra bảo mật mạng và truyền thông. Các nút mạng phải Đạt được chức năng phát hiện kịp thời và chống lại các cuộc tấn công mạng;

2. Môi trường vận hành ví an toàn. Ví có thể phát hiện các lỗ hổng lớn đã biết trong hệ điều hành, phát hiện máy ảo và phát hiện tính toàn vẹn ; ví kỹ thuật số phải có chức năng phát hiện chiếm quyền điều khiển chương trình của bên thứ ba ngăn chặn các chương trình của bên thứ ba chiếm quyền điều khiển ví và đánh cắp thông tin người dùng có liên quan.

3. Bảo mật giao dịch ví. Tất cả các giao dịch do ví phát hành phải được ký. Khi ký, khóa riêng phải được giải mã bằng cách nhập mật khẩu thanh toán. Sau khi chữ ký giao dịch được tạo, khóa riêng được giải mã trong bộ nhớ phải được xóa để ngăn chặn Khóa riêng bị đánh cắp và rò rỉ, v.v.

4. Bảo mật nhật ký ví. Để tạo điều kiện thuận lợi cho người dùng kiểm tra hành vi vận hành ví và ngăn chặn các hoạt động bất thường và hoạt động trái phép, nhật ký vận hành ví cần phải được ghi lại. Đồng thời, nhật ký ví phải được được giải mẫn cảm và không được chứa thông tin bí mật.

5. Kiểm tra bảo mật giao diện nút. Giao diện cần ký dữ liệu để ngăn chặn tin tặc giả mạo dữ liệu; quyền truy cập giao diện cần thêm cơ chế xác thực mã thông báo để ngăn chặn tin tặc thực hiện các cuộc tấn công lặp lại; nút Giao diện cần kiểm soát tốc độ kết nối của người dùng Thực hiện các hạn chế để ngăn chặn tin tặc mô phỏng hoạt động của người dùng để tiến hành các cuộc tấn công CC.

Đối với khách hàng, nhóm bảo mật của Zero Hour Technology khuyến nghị:

1) Thực hiện các biện pháp để lưu trữ khóa riêng tư: chẳng hạn như sao chép và sao lưu khóa riêng tư như càng nhiều càng tốt, Hoặc sử dụng nền tảng đám mây và mạng xã hội như email để truyền hoặc lưu trữ khóa riêng.

2) Sử dụng mật khẩu mạnh và bật xác minh hai bước MFA (hoặc 2FA) bất cứ khi nào có thể, đồng thời luôn duy trì nhận thức và cảnh giác về bảo mật.

3) Chú ý xác minh giá trị băm khi cập nhật phiên bản chương trình. Cài đặt phần mềm chống vi-rút và sử dụng tường lửa khi có thể. Giám sát tài khoản/ví của bạn để xác nhận không có giao dịch độc hại.

4) Ví phần cứng phù hợp với người dùng có số lượng lớn tài sản kỹ thuật số và những người yêu cầu mức độ bảo vệ an ninh cao hơn. Khuyến nghị thông thường là sử dụng ví phần mềm để lưu trữ tài sản nhỏ của bạn để sử dụng hàng ngày và ví phần cứng để lưu trữ tài sản lớn, điều này có thể đạt được cả sự tiện lợi và bảo mật.

Nếu tiền bị đánh cắp thì sao?

Nếu xảy ra hoạt động ủy quyền ngoài ý muốn, trước khi tiền bị đánh cắp, hãy chuyển tiền trong ví ra càng sớm càng tốt và hủy ủy quyền; nếu tiền đã bị đánh cắp hoặc khóa riêng đã bị đánh cắp sau khi ủy quyền, Để chuyển tiền, vui lòng liên hệ ngay với nhóm bảo mật của Zero Hour Technology để theo dõi tài sản.

5. Khu vực thảm họa an ninh DeFi-Web3

Tên đầy đủ của DeFi: Tài chính phi tập trung, thường được dịch là tài chính phân tán hoặc tài chính phi tập trung. Các dự án DeFi được chia thành năm loại: oracles, DEX, cho vay thế chấp, tài sản tiền tệ ổn định và các công cụ phái sinh tổng hợp.

Tên đầy đủ của TVL: Total Value Locked nghĩa là tổng giá trị bị khóa. Tổng giá trị tài sản thế chấp của người dùng là một trong những chỉ số quan trọng nhất để đo lường sự phát triển của hệ sinh thái DeFi.Thông thường, sự tăng trưởng của TVL thể hiện sự phát triển của dự án tốt hơn.

Theo thống kê từ nền tảng tình báo mối đe dọa bảo mật blockchain của Zero Hour Technology, tính đến tháng 12 năm 2023, có tổng cộng 1.297 dự án DeFi. Theo dữ liệu của DeFi Llama, tổng giá trị khóa của DeFi đạt 39,051 tỷ USD. Trong đó, Ethereum chiếm 58,59%, đứng đầu với TVL là 23,02 tỷ USD, tiếp theo là Tron, chiếm 11,1%, đứng thứ hai với TVL là 4,036 tỷ USD, tiếp theo là BSC, chiếm 10,47%, với TVL 40,12 TVL đứng thứ ba về giá trị 100 triệu USD. Nhiều chuỗi công khai mới nổi như Avalanche, Ploygon, Optimism, v.v. đã nhanh chóng phát triển hệ sinh thái trên chuỗi bằng cách đón nhận DeFi, đồng thời cũng thu hút được một lượng lớn người dùng và tiền gửi vốn.

Các vấn đề bảo mật hợp đồng thông minh nổi bật của DeFi đã trở thành thách thức lớn nhất trong ngành DeFi. Ngoài ra, không nhà cung cấp dịch vụ DeFi hoặc cơ quan quản lý nào có thể hoàn trả số tiền được chuyển do nhầm lẫn. Khi tin tặc tìm thấy lỗ hổng trong hợp đồng thông minh hoặc các khía cạnh khác của dịch vụ DeFi và đánh cắp tài sản của người dùng, có thể không nhất thiết phải có nhà cung cấp dịch vụ DeFi bồi thường cho các nhà đầu tư.Ngoài ra, nhiều vấn đề liên kết tiềm ẩn có thể gây ra hàng loạt tai nạn tài chính.

Theo thống kê từ Zero Hour Technology, tính đến tháng 12 năm 2023, đã xảy ra tổng cộng 24 sự cố bảo mật DeFi, với tổng tài sản bị mất tích lũy vượt quá 720 triệu USD.

Nhìn vào sự phân bổ số lượng sự cố bảo mật DeFi xảy ra trong mỗi hệ sinh thái, hệ sinh thái Ethereum mỗi hệ sinh thái có 6 sự cố, chiếm 25%, đứng đầu và BSC (BNB Chian) có 5 sự cố trong tổng cộng chiếm 25% so với 20% chiếm 24% đứng thứ 2. Có 3 sự cố xảy ra trong hệ sinh thái Solana chiếm 15% đứng thứ 3.

Nhìn vào mức độ phân bổ tổn thất của các sự cố bảo mật trong nhiều DeFi khác nhau, ba hệ sinh thái chuỗi công cộng hàng đầu là: Số tiền tổn thất do sự cố DeFi của hệ sinh thái Ethereum vượt quá 216 triệu đô la Mỹ, chiếm 30%, xếp thứ nhất; Solana đứng thứ hai, số tiền thiệt hại 144 triệu đô la Mỹ , chiếm 20%; BNB Chain đứng thứ 3 với mức lỗ 130 triệu USD, chiếm 18%. Có thể thấy, hệ sinh thái càng hoạt động thì càng nhận được nhiều sự chú ý từ hacker và tổn thất là nổi bật nhất.

Theo thống kê từ Zero Time Technology, nhìn từ góc độ các loại tấn công DeFi, chúng chủ yếu là: tấn công của hacker, trộm cắp tài sản, tấn công cho vay nhanh và các lỗ hổng bảo mật. Sự phân bổ số lượng sự cố bảo mật tương ứng với từng loại hình tấn công chính như sau: hacker tấn công chiếm 50%, xếp thứ nhất; lỗ hổng bảo mật chiếm 29%, xếp thứ hai; trộm cắp tài sản chiếm 20%, xếp thứ ba; Flash loan tấn công chiếm 16%, đứng thứ 4.

Từ góc độ phân bổ tổn thất của các loại tấn công chính, các cuộc tấn công của hacker gây ra tổn thất cao nhất, chiếm 48,6%, tiếp theo là trộm cắp tài sản, chiếm 34,7% và lỗ hổng bảo mật đứng thứ ba, chiếm 43%.

Rủi ro bảo mật DeFi và các biện pháp đề xuất

Các dự án DeFi phải đối mặt với nhiều rủi ro bảo mật, có thể được chia từ nhóm thành phía dự án (thực thi giao thức) và phía người dùng; từ loại bảo mật đến giao thức, chúng được chia thành Bảo mật của các kết hợp, bao gồm một số khiếm khuyết giữa các kết hợp, bảo mật hợp đồng thông minh, bảo mật nguồn mở, lợi nhuận cao đi kèm với rủi ro cao và một số vấn đề bảo mật do thiếu giám sát.

Từ góc độ kiểm tra bảo mật, những rủi ro mà các dự án DeFi gặp phải được thể hiện trong hình bên dưới:

< img src="https://img.jinse.cn/7174945_image3.png" alt="52inDQVXcu0Owhr77nvjCBJg47F05kEHHGlcZVmV.png">

Từ quá trình thực thi giao thức, Rủi ro DeFi bao gồm:Rủi ro tấn công hợp đồng thông minh, các vấn đề về thiết kế trong khuyến khích kinh tế, rủi ro lưu ký, xây dựng lại giao thức ban đầu, thiếu quyền riêng tư và các rủi ro khác.

Từ góc độ người dùng, những rủi ro mà người dùng DeFi gặp phải là:Rủi ro kỹ thuật: Có lỗ hổng trong hợp đồng thông minh và có thể bị tấn công bảo mật; Rủi ro thanh khoản: Tính thanh khoản của nền tảng bị suy giảm cạn kiệt; Rủi ro tiền điện tử: Rủi ro quản lý khóa: Khóa riêng chính của nền tảng có thể bị đánh cắp. Rủi ro nhận thức về bảo mật: bị lừa đảo, gặp phải các dự án lừa đảo chênh lệch giá, v.v.

Nhóm bảo mật công nghệ Zero Hour khuyến nghị rằng với tư cách là các bên tham gia dự án và người dùng, bạn có thể giải quyết rủi ro từ bốn điểm sau:

1) Các bên tham gia dự án đang khởi động các dự án DeFi Khi làm như vậy, bạn phải tìm một nhóm bảo mật chuyên nghiệp để tiến hành kiểm tra mã toàn diện và cố gắng tìm càng nhiều cuộc kiểm toán chung càng tốt để phát hiện ra càng nhiều lỗi thiết kế dự án càng tốt nhằm tránh những tổn thất không đáng có sau khi lên mạng.

2) Người dùng nên kiểm tra cẩn thận khi đầu tư vào các dự án này, có hiểu biết nhất định về dự án hoặc kiểm tra xem dự án đó đã vượt qua kiểm tra bảo mật hay chưa trước khi lên mạng.

3) Nâng cao nhận thức về bảo mật cá nhân, bao gồm hành vi trên Internet, thói quen lưu trữ tài sản và sử dụng ví, đồng thời phát triển thói quen nhận thức tốt về bảo mật.

4) Dự án mang lại lợi nhuận cao và rủi ro cao nên bạn cần thận trọng khi tham gia, nếu không hiểu rõ về dự án thì cố gắng không tham gia để tránh thua lỗ.

6. NFT - Pond of Phishing Attacks

NFT là tên viết tắt của Non-Fungible Token, là token không thể thay thế dựa trên blockchain ., và nó là một tài sản kỹ thuật số duy nhất được lưu trữ trên blockchain, thường được sử dụng làm chứng nhận điện tử hoặc giấy chứng nhận quyền sở hữu hàng hóa ảo, có thể được mua hoặc bán.

Theo dữ liệu của NFTScan, tính đến ngày 31 tháng 12, đã có 4.624 dự án NFT được đưa vào, tổng cộng là 1.476.479.394 NFT. Tổng giá trị thị trường hiện tại của NFT đạt 25,6 tỷ USD, với 4,7338 triệu người nắm giữ. Đánh giá từ sự phân bổ giá trị thị trường của các dự án khác nhau, PFP (Hình ảnh chứng minh), tức là giá trị thị trường NFT của hình ảnh hồ sơ cá nhân vượt xa. Đây cũng là NFT có nhiều tình huống sử dụng nhất hiện nay, tiếp theo là sưu tầm. Nhìn vào tài sản và hợp đồng NFT từ tám chuỗi công cộng lớn hiện tại, Polygon dẫn đầu về số lượng tài sản và hợp đồng.

Từ góc độ quy mô giao dịch: trong số 10 nền tảng giao dịch NFT hàng đầu được xếp hạng theo khối lượng bán hàng trong vòng 24 giờ, Blur đứng đầu, theo sát là OKX NFT và OpenSea xếp thứ ba. Từ góc độ nhà giao dịch, trong số 10 thị trường hàng đầu được xếp hạng theo số lượng nhà giao dịch, người mua và người bán trong vòng 24 giờ, Blur xếp thứ nhất, OKX NFT xếp thứ hai và OpenSea xếp thứ ba.

Khi giá trị của NFT ngày càng nổi bật, tin tặc cũng đang để mắt tới miếng mỡ này. Mặc dù toàn bộ thị trường tiền điện tử hiện đang có xu hướng giảm giá dữ dội nhưng mức độ phổ biến của NFT vẫn không suy giảm.

Theo thống kê chưa đầy đủ từ Zero Hour Technology, tính đến tháng 12 năm 2023, có tổng cộng 44 sự cố an toàn đã xảy ra trên đường đua NFT, với tổng thiệt hại tài sản khoảng 62 triệu USD.

Xét từ góc độ các loại tấn công trên đường đua NFT, chúng chủ yếu là: tấn công của hacker, lỗ hổng bảo mật, trộm cắp tài sản, tấn công lừa đảo, v.v. Số sự cố bảo mật tương ứng chiếm 50%, 35%, 25% và tương ứng là 23%.

Nhìn vào tỷ lệ tổn thất do các loại tấn công NFT chính gây ra, tấn công của hacker gây ra nhiều tổn thất nhất, chiếm 50%; trộm cắp tài sản theo sau, chiếm 30%; lỗ hổng bảo mật đứng thứ ba, chiếm 30%.

Đề xuất biện pháp và rủi ro bảo mật của NFT

Hiện tại, có nhiều cuộc tấn công của hacker theo hướng NFT. Xét về mặt nhóm, đối tượng gặp rủi ro nói chung là nền tảng và người dùng.

Đối với nền tảng tập trung, các rủi ro bảo mật có thể gặp phải bao gồm: Rủi ro tài khoản, rủi ro cạnh tranh thương mại, rủi ro nhận thức về bảo mật, rủi ro nội bộ, rủi ro thị trường, v.v.

Đối với phía người dùng, các cuộc tấn công Discord đã trở thành phương thức tấn công chính trong năm nay.

Đối với những rủi ro bảo mật nêu trên, đội ngũ bảo mật của Zero Hour Technology đưa ra những gợi ý sau:

Đối với người dùng thông thường,

strong> Để bảo vệ Discord của chính mình, bạn cần chú ý những điểm sau: Đảm bảo mật khẩu đủ an toàn, sử dụng ký tự đặc biệt gồm chữ và số để tạo mật khẩu dài ngẫu nhiên; về xác thực 2FA, mặc dù bản thân mật khẩu đủ phức tạp nhưng nó không thể được bảo vệ bằng một phương pháp; không nhấp vào Từ những người gửi không xác định hoặc các liên kết có vẻ đáng ngờ, hãy cân nhắc việc hạn chế những người có thể nhắn tin riêng cho bạn; không tải xuống chương trình hoặc sao chép/dán mã bạn không nhận ra; không chia sẻ hoặc chia sẻ màn hình mã thông báo ủy quyền của bạn; không quét bất kỳ thứ gì từ người mà bạn không biết Người mà bạn biết hoặc mã QR mà bạn không thể xác minh tính hợp pháp.

Dành cho chủ sở hữu máy chủ: Kiểm tra quyền máy chủ của bạn, đặc biệt đối với các công cụ cấp cao hơn như WebHook; khi thực hiện bất kỳ thay đổi nào, hãy luôn cập nhật lời mời máy chủ chính thức và trên tất cả. Hiển thị trên nền tảng , đặc biệt khi phần lớn thành viên máy chủ mới đến từ các cộng đồng bên ngoài Discord; tương tự, đừng nhấp vào các liên kết đáng ngờ hoặc không xác định! Nếu một tài khoản bị xâm phạm, nó có thể có tác động lớn hơn đến cộng đồng được kiểm duyệt.

Đối với các dự án: Hợp đồng nên đánh giá nghiêm ngặt tính hợp lý của số lượng mua mà người dùng nhập vào; hợp đồng nên hạn chế khả năng mua NFT bằng không có tiền, nên sử dụng Token NFT của giao thức ERC721 và ERC1155. Phân biệt nghiêm ngặt để tránh nhầm lẫn và giả mạo các trường hợp chính thức của Discord. Hiện tại, các liên kết đúc tiền độc hại được tìm thấy trong nhiều phần mềm trò chuyện và nhiều quỹ của người dùng đã bị đánh cắp. Để tránh những sự cố trộm tiền xu như vậy, mọi người nên xác minh độ tin cậy của nguồn liên kết khi thực hiện các hoạt động đúc tiền và tại đồng thời đảm bảo nội dung, nội dung giao dịch đã ký thực tế.

7.Security Education-Web3 Security Shield

Vụ việc nổi tiếng về việc tất cả nhân viên Sohu bị lừa đảo trợ cấp lương qua email lừa đảo đã khiến nhiều công ty nhận ra rằng nếu không nhận thức được an ninh mạng được cải thiện, họ sẽ gặp khó khăn trong tương lai, nhiều sự cố an ninh khác nhau như bí mật thương mại chắc chắn sẽ ảnh hưởng đến sự phát triển của doanh nghiệp. Phương thức tham gia tự tổ chức phi tập trung của Web3 khiến các cá nhân nhận ra rằng nếu không nâng cao nhận thức về bảo mật, họ sẽ trở thành cỗ máy rút tiền của tin tặc.

Hiện nay, trên thị trường có nhiều phim truyền hình, phim ảnh, cộng đồng và các cách khác để nâng cao nhận thức về an ninh mạng cá nhân. Công nghệ Zero Hour cũng đã rao giảng hàng trăm kiến ​​thức về an ninh mạng trên nhiều nền tảng khác nhau.

Ngoài ra, Lingshi Technology cũng đã phát triển một nền tảng quản lý đánh giá nhận thức bảo mật tự phát triển, chủ yếu nhắm đến các tổ chức trong ngành có nhu cầu nâng cao nhận thức về an ninh mạng, bao gồm chính phủ, an ninh công cộng, giáo dục, tài chính , năng lượng điện, v.v., đánh giá nhận thức về an ninh mạng Dựa trên công nghệ lừa đảo, nền tảng này giúp doanh nghiệp xây dựng nền tảng quản lý và đánh giá nhận thức về an ninh mạng dựa trên đám mây riêng, tích hợp hệ thống lý thuyết, diễn tập lừa đảo, phát hiện máy chủ, đánh giá quản lý và tùy chỉnh kịch bản hệ thống nhằm đạt được sự cải thiện liên tục và có hệ thống về an ninh mạng của tất cả nhân viên. Ngoài ra, dựa trên thế mạnh chuyên môn của đội ngũ bảo mật Zero Hour Technology còn cung cấp dịch vụ tư vấn và đào tạo về an ninh mạng doanh nghiệp, củng cố lá chắn bảo mật từ nguồn.

Kết luận

Web3 vì khả năng đổi mới to lớn của nó Và những lợi thế của nguồn mở đã trở thành một thế hệ cơ sở hạ tầng mạng mới đang bùng nổ, mang lại một hệ sinh thái đáng tin cậy và mang lại giá trị hơn cho toàn bộ thế giới Internet. Mặc dù các sự cố bảo mật trong ngành Web3 vẫn tiếp diễn và tin tặc cũng như tội phạm sử dụng nhiều phương pháp khác nhau một cách vô tận, nhưng điều này không cản trở sự phát triển lành mạnh của ngành Web3.

Ngược lại, cũng giống như hai phe trong cuộc chơi, những kẻ “mũ trắng” của thế giới Web3, các cơ quan bảo mật như Zero Hour Technology của chúng ta, chắc chắn sẽ bảo vệ hệ sinh thái tươi tốt này và bảo vệ tài sản của người dùng trong thế giới mới. Đấu tranh trí tuệ và lòng dũng cảm với tin tặc, đồng thời tiếp tục nỗ lực để thiết lập một cơ chế hoàn thiện hơn, hệ thống kỹ thuật mạnh mẽ hơn và giao dịch an toàn hơn.

Các lỗ hổng luôn tồn tại, bảo mật là vô giá và trò chơi giữa phát triển và bảo mật sẽ không bao giờ dừng lại. Tôi hy vọng tất cả chúng ta có thể trang bị cho mình một lá chắn an toàn để đối phó với thế giới công nghệ phức tạp trong tương lai!