10 هک وب 3 در سال 2023 تقریباً 70 درصد از کل ضررها را شامل می شود

برای هر نوع حمله و هک وب 3، رویکرد امنیتی متفاوتی وجود دارد. گزارش جامعی که توسط تیم متخصص سالوس تهیه شده است، نحوه انجام هر یک از آنها را توضیح می دهد.
به گفته سالوس، یک شرکت امنیتی وب 3 مبتنی بر تحقیقات، در سال 2023، تاب آوری و چشم انداز چالش شاهد حملات سایبری بیش از 1.7 میلیارد دلار در 453 حادثه خواهد بود.
روندهای قابل توجه شامل کاهش زیان کل است که در تضاد با اکسپلویت های قابل توجهی مانند ضرر 200 میلیون دلاری، ضرر 197 میلیون دلاری و ضرر 126.36 میلیون دلاری است.

آسیب‌پذیری‌ها در Web Hack 3 متنوع هستند، از جمله کلاهبرداری از خروج، مسائل کنترل دسترسی، فیشینگ، حملات وام‌های فلش، ورود مجدد، مسائل اوراکل و سایر آسیب‌پذیری‌هایی که منجر به از دست رفتن می‌شوند. اقدامات امنیتی بر تحقیقات طراحی کامل، احتیاط در مورد وعده‌های بازدهی بالا، مکانیسم‌های کنترل دسترسی قوی، آزمایش نفوذ Web3 و محافظت در برابر حملات وام‌های فلش و آسیب‌پذیری‌های ورود مجدد تأکید دارند.

10 مورد برتر در سال 2023 که تقریباً 70 درصد از کل تلفات را به خود اختصاص داده اند، آسیب پذیری مشترکی را در مورد مسائل کنترل دسترسی، به ویژه سرقت کلید خصوصی نشان می دهند. گروه لازاروس نقشی کلیدی در نقض‌های متعددی ایفا کرد و وجوه را از کیف پول‌های داغ به خطر انداخت.
رویدادهای کلیدی عبارتند از Mixin Network Cloud Intrusion، Euler Finance Vulnerability Exploitation، Multichain Asset Movement، هک دستکاری Oracle توسط BonqDAO، حمله گروهی Lazarus کره شمالی به کیف پول اتمی، خسارات HECO Bridge و HTX، CompactedPophery، Curvesperphish و کلید خصوصی CoinEx به خطر افتاده است.
علیرغم کاهش تعداد کل قربانیان نسبت به سال قبل، تمرکز قربانیان در 10 هک برتر، نیاز به بهبود اقدامات امنیتی را برجسته می کند. حسابرسی دقیق، تست نفوذ Web3 و افزایش آگاهی بسیار مهم هستند، به ویژه با توجه به روش های نفوذ در حال تکامل که توسط حملات گروه لازاروس نشان داده شده است.

برای هر نوع حمله Web3، رویکرد متفاوتی برای امنیت وجود دارد. گزارش جامعی که توسط تیم متخصص سالوس تهیه شده است، نحوه انجام هر یک از آنها را توضیح می دهد.

• انجام تحقیقات کامل روی پروژه ها و تیم ها، اولویت دادن به آنهایی که دارای سوابق خوب و ارزیابی های امنیتی واضح هستند.
• مراقب پروژه هایی باشید که بازده غیرواقعی بالایی را وعده می دهند و سرمایه گذاری ها را برای کاهش ریسک متنوع می کنند.

• پیاده سازی مکانیسم های قوی احراز هویت و مجوز با رعایت اصل حداقل امتیاز.
• به طور منظم مجوزهای دسترسی را به روز کنید و آموزش های امنیتی مداوم را برای کارمندان، به ویژه آنهایی که دارای امتیازات بالا هستند، ارائه دهید.
• ایجاد سیستم های نظارتی جامع برای شناسایی و پاسخ سریع به هرگونه فعالیت مشکوک در زیرساخت ها و برنامه ها.

• تست های نفوذ Web3 را برای شناسایی آسیب پذیری ها در دفاع های جلویی انجام دهید.
• آموزش کاربر را در اولویت قرار دهید، استفاده از کیف پول های سخت افزاری و احراز هویت چند عاملی (MFA) را تشویق کنید.
• از تأیید ایمیل و نظارت بر دامنه برای بهبود اقدامات ضد فیشینگ استفاده کنید.

• با اعمال محدودیت هایی مانند حداقل مبلغ وام و شرایط، خطرات وام های فوری را کاهش دهید.
• برای جلوگیری از مهاجمان و افزایش هزینه سوء استفاده های مخرب، کارمزد استفاده از وام روز پرداخت را در نظر بگیرید.

• به شدت به مدل بررسی اثر-تعامل پایبند باشید، قبل از تغییر حالت، بررسی ها و اعتبارسنجی های لازم را انجام دهید.
• اجرای حفاظت از ورود مجدد جامع برای عملکردهای مرتبط با عملیات حساس قرارداد.
• یک حسابرسی قرارداد هوشمند توسط حسابرسان مجرب و مسئول انجام دهید تا آسیب پذیری های ورود مجدد را کاهش دهید.

• از بازارهای با نقدینگی پایین برای پیش بینی قیمت خودداری کنید.
• قبل از ادغام طرح‌های اوراکل قیمت‌گذاری خاص در پلتفرم خود، نقدینگی رمز را ارزیابی کنید.
• برای محافظت بیشتر از آسیب پذیری Oracle، هزینه دستکاری مهاجم را از طریق هزینه میانگین زمانی (TWAP) افزایش دهید.