Web3 у 2024 році став роком як прогресу, так і небезпек. Хоча регуляторні прориви, такі як схвалення у США біткоїн- та Ethereum-ETF, свідчили про загальне визнання, індустрія була затьмарена зростанням кількості зломів та шахрайств, що поставило під загрозу мільярди доларів.
Щоб розкрити масштаб цих загроз, ми поспілкувалися з професором Ронгхуєм Гу, співзасновником CertiK, чия остання доповідь Hack3d: The Web3 Security Report 2024 показує вражаючі втрати у розмірі 2,36 мільярда доларів у 760 інцидентах на ланцюгу — це на 31,61% більше, ніж минулого року. Фішингові атаки самі по собі стали причиною майже половини цих втрат, що підкреслює нагальну потребу у посиленні заходів безпеки в екосистемі.
BeInCrypto: Які були ключові фактори, що спричинили велику кількість атак на Ethereum?
Проф. Гу: Статус Ethereum як найпопулярнішого EVM-ланцюга відображає його успіх, але також робить його основною ціллю для експлойтів, враховуючи велику кількість проєктів та користувачів, що працюють у мережі.
Крім того, його відкрита та компонуєма екосистема дозволяє розробникам будувати на основі існуючих протоколів, що, хоча і сприяє інноваціям, може ненавмисно вводити вразливості через взаємопов’язані залежності. Часте розгортання експериментального або неперевіреного коду новими проєктами ще більше збільшує ці ризики.
BeInCrypto: Як індустрія може боротися з ростом фішингових атак, які спричинили майже 50% втрат у 2024 році?
Проф. Гу: Освіта, технологічні інновації та співпраця є ключовими для вирішення зростаючої загрози фішингових атак. Навчання користувачів розпізнавати попереджувальні сигнали — такі як підозрілі посилання, небажані повідомлення та фальшиві вебсайти — є важливим для запобігання. Чітка, постійна комунікація про ці ризики надає людям можливість захистити себе.
З технічного боку, інтеграція передових систем виявлення, таких як моніторинг загроз на основі ШІ та сповіщення в реальному часі, може допомогти організаціям запобігати атакам. Співпраця в індустрії для обміну інформацією про загрози та найкращими практиками ще більше зміцнює захист.
BeInCrypto: Які DeFi-протоколи були найбільш вразливими, і які кроки вони можуть зробити для посилення безпеки?
Проф. Гу: У 2024 році ми спостерігали зростання компрометації приватних ключів та фішингових інцидентів в екосистемі. Це представляє загальний зсув від вразливостей контрактів до людської вразливості, яка часто вважається найслабшою ланкою в такій системі.
Два з найбільших кроків, які протоколи можуть зробити для забезпечення своєї безпеки, це безпечне зберігання приватних ключів та впровадження надійних процедур, щоб співробітники не стали ціллю.
BeInCrypto: Наскільки ефективними були зусилля щодо вирішення повторюваних проблем з експлойтами смартконтрактів?
Проф. Гу: Загалом, втрати через вразливості коду зменшилися з року в рік з 2022 року, що свідчить про те, що смартконтракти стали більш безпечними. Крім того, ми спостерігаємо зсув у бік компрометації приватних ключів та фішингу, ймовірно, через те, що вразливості коду важко знайти більшості користувачів, за винятком висококваліфікованих мисливців за помилками.
BeInCrypto: Чи відкрили схвалення біткоїн- та Ethereum-ETF нові типи загроз для екосистеми?
Проф. Гу: Ці продукти об’єднують традиційні фінанси та крипто, потенційно відкриваючи екосистему для загроз, таких як регуляторний арбітраж, інсайдерська торгівля та підвищена увага з боку зловмисників, які націлюються як на інвесторів, так і на інститути, залучені до цих пропозицій.
Кібербезпекові загрози, такі як атаки на кастодіальні сервіси або інфраструктуру ETF, є значною проблемою. Захист цих активів вимагає надійних протоколів безпеки, включаючи рішення для холодного зберігання та моніторинг у реальному часі.
Крім того, прозорість у роботі ETF та співпраця з регуляторами можуть допомогти зменшити ризики. Хоча біткоїн- та Ethereum-ETF представляють позитивний крок для загального прийняття, забезпечення безпеки та довіри до цих продуктів є ключовим для їх довгострокового успіху.
BeInCrypto: Яку роль відіграє освіта користувачів у зменшенні компрометації приватних ключів?
Багато інцидентів виникають через відсутність розуміння безпечних практик, таких як захист ключів та розпізнавання тактик соціальної інженерії. Навчання користувачів методам безпечного зберігання, включаючи апаратні гаманці та зашифровані резервні копії, може допомогти мінімізувати ризики.
Крім того, навчання користувачів розпізнавати фішингові схеми, уникати поширення конфіденційної інформації та використовувати багатофакторну аутентифікацію може ще більше підвищити загальну безпеку.
BeInCrypto: Як розробники блокчейну вирішують зростаючу складність хакерських тактик?
Проф. Гу: Багато розробників інтегрують передові криптографічні методи, покращують механізми консенсусу та проводять ретельні аудити безпеки. Формальні процеси верифікації допомагають забезпечити відсутність вразливостей у коді смартконтрактів, тоді як інструменти на основі ШІ та машинного навчання моніторять мережі в реальному часі для виявлення та нейтралізації аномалій.
BeInCrypto: Які уроки може винести індустрія Web3 з найбільших атак 2024 року для формування майбутніх рамок безпеки?
Проф. Гу: Загалом, ми очікуємо, що сильніші регуляції, такі як від інститутів та урядів, як-от MiCA у Європі, покращені заходи безпеки та ширші освітні зусилля допоможуть зменшити ризики, пов’язані зі зломами та шахрайствами. Однак, з розвитком технологій, стратегії, які використовують зловмисники, також будуть вдосконалюватися.
Індустрія повинна випереджати ці загрози, сприяючи співпраці між розробниками, регуляторами та фахівцями з безпеки. Завдяки постійним зусиллям, втрати, пов’язані з криптовалютами, можуть зменшитися з часом, але пильність залишатиметься критично важливою.
Звіт CertiK Hack3d: Звіт про безпеку Web3 2024 надає детальний огляд найбільших ризиків, з якими стикається екосистема, а також основні висновки, які допоможуть проектам і користувачам випереджати нові загрози. Щоб отримати глибші уявлення про тенденції, вектори атак і рішення, що формують безпеку Web3, читайте повний звіт тут.
Дисклеймер
Відповідно до принципів проєкту Trust Project, ця авторська стаття представляє точку зору автора і не обов'язково відображає погляди BeInCrypto. BeInCrypto залишається прихильником прозорої звітності та дотримання найвищих стандартів журналістики. Читачам рекомендується перевіряти інформацію самостійно і консультуватися з професіоналами, перш ніж приймати рішення на основі цього контенту. Зверніть увагу, що наші Загальні положення та умови, Полiтика конфіденційності та Дисклеймер були оновлені.