Tuần trước, chúng tôi đã phát hành " Báo cáo thường niên về chống rửa tiền và bảo mật chuỗi khối năm 2023". Tiếp theo, chúng tôi sẽ chia báo cáo thành bốn bài để diễn giải và phân tích báo cáo Những nội dung chính trong đó giúp người đọc hiểu biết toàn diện và sâu sắc hơn về những thách thức và cơ hội bảo mật quan trọng trong hệ sinh thái blockchain hiện tại.

Bài viết này chủ yếu tập trung vào tình hình an ninh sinh thái của blockchain.

Tình hình an ninh blockchain

Với Do tác động của căng thẳng vĩ mô và địa chính trị đối với nền kinh tế toàn cầu và dấu vết còn sót lại của nhiều sự kiện giông bão khác nhau vào năm 2022, ngành công nghiệp blockchain cũng đang phải hứng chịu những biến động đáng kinh ngạc. Trong năm qua, nhiều ngân hàng thân thiện với tiền điện tử đã lần lượt sụp đổ, cùng với một loạt các cuộc tấn công bảo mật do tin tặc Triều Tiên Lazarus Group và nhiều nhóm lừa đảo Wallet Draines gây ra, càng làm nổi bật thêm sự thiếu nhận thức về bảo mật của người dùng và các chính sách quản lý không đầy đủ. Câu hỏi hoàn hảo.

Theo thống kê từ kho lưu trữ sự kiện SlowMistHacked, đã xảy ra tổng cộng 464 sự cố bảo mật vào năm 2023, với thiệt hại lên tới 2,486 tỷ USD. So với năm 2022, xảy ra tổng cộng 303 sự cố an ninh và thiệt hại khoảng 3,777 tỷ USD. Năm 2023, thiệt hại giảm 34,2% so với cùng kỳ năm ngoái và số sự cố an ninh tăng khoảng 53,13% so với cùng kỳ năm ngoái. . Mặc dù tổn thất đã giảm nhưng số lượng sự cố an ninh vẫn gia tăng.

Tiếp theo, chúng tôi sẽ diễn giải tình hình bảo mật blockchain vào năm 2023 từ ba khía cạnh: lộ trình dự án, hệ sinh thái và nguyên nhân sự cố.

Theo dõi dự án

Từ góc nhìn của theo dõi dự án , DeFi là lĩnh vực xảy ra nhiều sự cố bảo mật nhất và xảy ra tổn thất lớn nhất. Sự phát triển của DeFi không chỉ mang đến những cải tiến và cơ hội mới mà còn dẫn đến nhiều rủi ro và bề mặt tấn công tiềm ẩn hơn.Vì các dự án DeFi có quy mô vốn và cơ sở người dùng nhất định nên chúng dễ dàng trở thành mục tiêu tấn công tiềm tàng của tin tặc.

Sẽ có tổng cộng 282 sự cố bảo mật DeFi vào năm 2023, chiếm 60,77% tổng số sự cố, với thiệt hại lên tới 773 triệu USD. So với năm 2022 (tổng cộng 183 sự cố, thiệt hại khoảng 20,75 tỷ USD), mặc dù thiệt hại từ sự cố bảo mật DeFi giảm 62,73% vào năm 2023 nhưng số sự cố lại tăng 54,64%, cho thấy lĩnh vực DeFi vẫn phải đối mặt với những thách thức nghiêm trọng trong việc ngăn ngừa và xử lý các vấn đề về an ninh.

  (Phân bổ và tổn thất do sự cố an toàn tại mỗi đường đua vào năm 2023)

(Biểu đồ so sánh tổn thất và phân bổ sự cố bảo mật DeFi năm 2022 và 2023)

< strong>Sinh thái

Từ góc độ sinh thái, vì Ethereum là nền tảng ưa thích cho nhiều hợp đồng thông minh và ứng dụng phi tập trung nên nó đã trở thành mục tiêu mục tiêu chính chịu tổn thất lớn nhất, lên tới 487 triệu USD. Tiếp theo là Polygon, là giải pháp Lớp 2 được mở rộng trên Ethereum, nó cũng phải đối mặt với các mối đe dọa bảo mật đáng kể. Thiệt hại do 6 sự cố bảo mật trong hệ sinh thái này gây ra lên tới 123 triệu USD, trong đó có nền tảng cho vay không giám hộ BonqDAO và nền tảng tiền điện tử The nền tảng cơ sở AllianceBlock đã bị hack do lỗ hổng hợp đồng thông minh trong BonqDAO, dẫn đến thiệt hại khoảng 120 triệu USD.

(Sự phân bổ và thiệt hại của các sự cố an ninh sinh thái khác nhau vào năm 2023)

Nguyên nhân của sự cố

(Sự cố bảo mật năm 2023 Bản đồ phương pháp)< /p>

• Năm 2023, sẽ có tổng cộng 117 sự cố an toàn do dự án gây ra các bên bỏ chạy, gây thiệt hại khoảng 8.300 Mười nghìn đô la Mỹ. Trong số đó, Hệ sinh thái cơ sở chịu thiệt hại cao nhất, lên tới 32,5 triệu USD. Tiếp theo là BSC Ecology, đạt 23,05 triệu USD.

(Sự phân bố và tổn thất của các sự kiện thoát hiểm sinh thái khác nhau vào năm 2023)

Các nhà đầu tư thường khó thu hồi khoản lỗ sau khi bên dự án bỏ chạy. Bỏ chạy là cách để bên dự án chủ động làm điều ác. Ví dụ, bên dự án khởi xướng thanh khoản ban đầu, đẩy giá lên cao và sau đó rút thanh khoản, ví dụ: bên dự án để lại tiền trong dự án, tải xuống mã cửa sau, v.v.

(10 sự kiện và trận thua thất bại hàng đầu năm 2023)

• Vào năm 2023 , đã xảy ra 57 cuộc tấn công do lỗ hổng hợp đồng, gây thiệt hại khoảng 75,82 triệu USD.Tuy nhiên, việc sử dụng lỗ hổng hợp đồng thường đi kèm với các cuộc tấn công cho vay nhanh, thao túng giá và các kỹ thuật khác. Năm 2023, có 34 cuộc tấn công cho vay nhanh do tin tặc thực hiện, gây thiệt hại khoảng 225 triệu USD; có 14 cuộc tấn công thao túng giá, gây thiệt hại khoảng 140 triệu USD.

  Sự xuất hiện của các lỗ hổng hợp đồng thường liên quan đến việc xem xét không đầy đủ mã hợp đồng và hợp đồng phải được kiểm tra liên tục. Hơn nữa, nhóm phát triển nên áp dụng các phương pháp phát triển bảo mật tốt nhất. Nhóm bảo mật SlowMist đã mở cây kỹ năng kiểm tra bảo mật hợp đồng thông minh trên Github (https://github.com/slowmist/SlowMist-Learning-Roadmap-for-Becoming-a -Smart-Contract-Auditor); Yêu cầu thực hành bảo mật dự án Web3 (https://github.com/slowmist/Web3-Project-Security-Practice-Requirements) và Các phương pháp thực hành tốt nhất về bảo mật hợp đồng thông minh Solana (https://github .com /slowmist/solana-smart-contract-security-best-practices), bạn bè quan tâm có thể đọc nó trên Github.

• 2023 Đã có là 70 sự cố bảo mật trong đó nhiều tài khoản chủ đề khác nhau đã bị tấn công. Với sự phát triển nhanh chóng của Web3, các cuộc tấn công chống lại người dùng và các bên dự án đã xuất hiện với số lượng vô tận, đặc biệt là các cuộc tấn công nhằm vào các nền tảng truyền thông như Discord và Twitter.

  Tin tặc thường giả danh quản trị viên và xuất bản các liên kết lừa đảo sau khi có được quyền quản trị viên hoặc tài khoản, sau đó xúi giục người dùng Ủy quyền để chuyển tài sản . Các bên dự án nên áp dụng các hoạt động bảo mật như xác thực hai yếu tố và đặt mật khẩu mạnh để bảo vệ tài khoản, đồng thời cảnh giác với các cuộc tấn công mạng truyền thống và tấn công kỹ thuật xã hội khác nhau.

• Theo chậm sương mù Theo thống kê từ Kho lưu trữ sự kiện bị hack Blockchain (SlowMist Hacked), 11 vụ lừa đảo đã xảy ra trong ngành blockchain vào năm 2023. Trong số đó, vụ lừa đảo tiền điện tử JPEX ở Hồng Kông vào năm 2023 đã thu hút đầu tư với “rủi ro thấp và lợi nhuận cao”. Tính đến ngày 18 tháng 12 năm 2023, cảnh sát Hồng Kông đã bắt giữ tổng cộng 66 người và nhận được trình báo từ 2.623 nạn nhân, liên quan đến khoảng 1,6 tỷ đô la Hồng Kông. Theo các báo cáo liên quan, cơn giông bão JPEX có thể trở thành vụ lừa đảo tài chính lớn nhất trong lịch sử Hồng Kông.

• 

Đề xuất

Đối với các bên dự án:

• Nên tiếp tục theo dõi hợp đồng thông minh Ứng xử kiểm tra để đảm bảo tính bảo mật và ổn định của mã cũng như ngăn ngừa các lỗ hổng hợp đồng;

• Trong Đa cấp các biện pháp phòng thủ được đưa vào hợp đồng, bao gồm kiểm soát quyền, kiểm tra bảo mật và cơ chế bảo hiểm, nhằm giảm thiểu nguy cơ xảy ra các cuộc tấn công khác;

• Thiết lập cơ chế ứng phó khẩn cấp để ứng phó kịp thời khi có cuộc tấn công xảy ra và kiểm soát phạm vi tổn thất;

• Áp dụng xác thực hai yếu tố, đặt mật khẩu mạnh và các hoạt động bảo mật khác để giảm nguy cơ bị hack tài khoản.

Đối với người dùng cá nhân,tuân thủ các quy tắc và Nguyên tắc an toàn sau đây , hầu hết các rủi ro đều có thể tránh được:

• Hai quy tắc an toàn:

  < p>

• Không tin tưởng . Nói một cách đơn giản, hãy hoài nghi và luôn hoài nghi.

• Xác minh liên tục. Nếu muốn tin tưởng, bạn phải có khả năng xác minh những nghi ngờ của mình và phát triển khả năng này thành thói quen.

• Nguyên tắc an toàn:

• Để có kiến ​​thức về Internet, hãy tham khảo ít nhất hai nguồn thông tin vì mọi việc, hãy hỗ trợ lẫn nhau và luôn hoài nghi;

• Hãy thực hiện tốt việc cô lập, tức là không bỏ trứng vào giỏ;

• Đối với ví chứa tài sản quan trọng , đừng cập nhật chúng một cách dễ dàng, miễn là đủ OK;

• Những gì bạn thấy là những gì bạn ký. Tức là nội dung bạn nhìn thấy chính là nội dung bạn mong đợi ký, khi chữ ký của bạn được gửi đi, kết quả sẽ như những gì bạn mong đợi và sau đó sẽ không bao giờ là một cái tát vào mặt;

  < /p>

• Hãy chú ý đến các bản cập nhật bảo mật hệ thống và hành động ngay lập tức khi có bản cập nhật bảo mật;

  < /li>

• Đừng làm hỏng chương trình.

• Nên đọc và nắm vững "Sổ tay tự giải cứu khu rừng tối Blockchain" (https://github.com/ Slowmist/Blockchain- dark-forest-selfguard-handbook/blob/main/README_CN.md).

Tải xuống báo cáo đầy đủ:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf