2023 تقرير أبحاث الأمن العالمي لـ Web3: تحليل الوضع الراهن الحالي للأمن البيئي

المصدر: تقنية Shenzhen Zero -Time

ملخص

2023 هو عام الابتكار المتنوع في العالم المشفر ، ولكن وراء الابتكار ، حدثت العديد من الحوادث الأمنية المذهلة.أصدر فريق أمن العلوم والتكنولوجيا “تقرير أبحاث سلامة الصناعة العالميين في عام 2023” ، حيث استعرض السياسة العالمية لصناعة Web3 في عام 2023. ويغطي المسار الرئيسي المفاهيم الأساسية وأحداث السلامة والخسائر وأنواع الهجمات تحليل مفصل ، تم اقتراح خطة الوقاية من السلامة وتدابير.من المأمول أن يتمكن الممارسون والمستخدمون من فهم الحالة الحالية لأمن Web3 ، وتحسين الوعي بأمان الشبكة ، وحماية الأصول الرقمية ، واتخاذ تدابير الوقاية من السلامة.

1. في عام 2023 ، يبلغ إجمالي القيمة السوقية لصناعة Web3 العالمية القيمة السوقية البالغة 1.3 تريليون دولار أمريكي.

2. وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، حدث ما مجموعه 506 حادث أمني في عام 2023 ، مع خسارة تراكمية قدرها 11 مليار دولار.بالمقارنة مع 2022 ، زادت حادثة أمن Web3 لهذا العام 110 ، بزيادة قدرها 65.3 ٪ على أساس سنوي.

3. ستة مسارات رئيسية لـ Web3: السلسلة العامة ، جسر التقاطع المتقاطع ، المحفظة ، التبادل ، NFT ، و Defi لديها ما مجموعه 435 حادثًا أمنيًا ، مما تسبب في أن تتجاوز الخسائر 7.983 مليار دولار أمريكي.بالإضافة إلى ذلك ، أصبحت الحقول الناشئة مثل GameFI و DAO موضوعًا للمتسللين.

4. في عام 20123 ، فقدت حادثة أمنية نموذجية لأكثر من 100 مليون دولار أمريكي ما مجموعه 3.2 مليار دولار أمريكي ، وهو ما يمثل 29 ٪ من إجمالي الخسائر البالغة 2023.الممثلون النموذجيون هم: اعتبرت البورتزلو المشفرة 700 مليون دولار في غسل الأموال ؛ تم استخدام نقاط الضعف DFYN ، مما تسبب في خسارة 300 مليون دولار أمريكي.

5. في عام 2023 ، تتنوع أنواع حوادث الأمان في العالم 3.من منظور مبلغ الخسائر ، نوع الهجوم النموذجي TOP5 هو: القرصنة ، نقاط الضعف الأمنية ، الأصول المسروقة ، هجوم قرض البرق ، الاحتيال.

6. القضية التنظيمية الأكثر تمثيلا في هذا العام هي: أصبح القراصنة الكورية الشمالية لازاروس أكثر منظمة ملائمة تؤثر على مجتمع الويب 3.في عام 2023 ، تسببت منظمة Lazarus في خسائر ما لا يقل عن 750 مليون دولار ، حيث تمثل 20 ٪ من إجمالي سرقة في مجال العملة المشفرة في عام 2023.قامت Certik بتحليل خمس هجمات رئيسية للعملات المشفرة في عام 2023 ، بما في ذلك المحفظة الذرية ، Alphapo ، Coinspaid ، Stake.com و Coinex ، مما تسبب في خسارة قدرها 290 مليون دولار.

1. نظرة عامة على مراجعة صناعة Web3 العالمية والحالة الأمنية

يشير Web3 إلى جيل جديد من الشبكات القائمة على التكنولوجيا المشفرة ، والتي تدمج العديد من التقنيات والأفكار مثل تقنية blockchain ، والاقتصاد الرمزي ، والمنظمات اللامركزية ، ونظرية اللعبة.تم تصميم Web3 على أساس blockchain.إن اندلاع صناعة Web3 في عام 2023 لا ينفصل عن تراكم صناعة إنتاج blockchain لسنوات عديدة.

من منظور منظور المستخدم ، يمكن تقسيم بيئة Web3 إلى طبقات أساسية وطبقات تطبيق وخدمات ثالثة.تهيمن الطبقة الأساسية على السلسلة العامة ، وجسر التقاطع ، وسلسلة التحالف ، وتوفر البنية التحتية للشبكة لـ Web3 ؛ ، NFT ، Gamefi ، DAO ، التخزين والبرامج الاجتماعية.تعزز الطبقات الأساسية والتطبيقات ازدهار النظام البيئي لـ Web3 ، ولكنها أيضًا تثير مخاطر أمنية ضخمة على Web3.بيئة الخدمة هي الطرف الثالث من صناعة Web3.

اعتبارًا من ديسمبر 2023 ، وفقًا لإحصائيات بيانات CoinmarketCap ، فإن القيمة السوقية الإجمالية لصناعة Web3 العالمية تبلغ قيمتها الإجمالية البالغة 2.4 تريليون دولار أمريكي. ، وقد انخفض هذا العام.على الرغم من أن القيمة السوقية الإجمالية تتقلب ، فإن حجم الأصول الإجمالية يتوسع باستمرار.نظرًا للإيقاع السريع للصناعة ، والوعي الضعيف لسلامة المستخدمين ، والإشراف على الإشراف ، وقضايا الأمن البارزة ، أصبح Web3 “آلة نقدية” للمتسلل.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، حدث ما مجموعه 506 حادثًا أمنيًا في عام 2023 ، مع خسارة تراكمية قدرها 11 مليار دولار.بالمقارنة مع 2022 ، زادت حادثة أمن Web3 لهذا العام 116 ، بزيادة قدرها 38 ٪ على أساس سنوي.من بينها ، كان هناك 152 حادثًا أمنيًا للسلسلة العامة ، وجسر الصليب ، والمحفظة ، والتبادلات ، و NFT ، و Defi ، والتي تسببت في خسارة تزيد عن 4.08 مليار دولار.

بالإضافة إلى المسارات الستة المذكورة أعلاه ، هناك 354 حدثًا أمانًا آخر ، مع خسارة قدرها 6.92 مليار دولار أمريكي.مع توبيخ العديد من العمالقة و NFT ، في المستقبل ، سيستمر حجم الأصول على السلسلة في النمو ، وقد يستمر عدد انتهاك أمان شبكة Web3 في الارتفاع.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، في عام 2023 ، حدثت المسارات الستة الرئيسية لبيئة Web3 العالمية في عام 2023: 13 حوادث أمنية في السلسلة العامة ، ما مجموعه حوالي 280 مليون دولار أمريكي ؛ ما مجموعه 1.21 مليار دولار أمريكي ؛ ، ما مجموعه 720 مليون دولار من الخسائر ؛

انطلاقًا من عدد حوادث السلامة التي تحدث في المسارات الرئيسية ، فإن حوادث أمان NFT هي الأكثر ، والتي لا يمكن فصلها عن المسار الشهير لصناعة 2023.من ناحية أخرى ، نظرًا لزيادة عدد الأشخاص الذين يدخلون صناعة Web3 ، أصبحت المحافظ و Defi أصعب مجالات الحوادث الأمنية.من منظور مبلغ الخسائر ، احتلت الجسور المتقاطعة المرتبة الأولى وعانت من أكبر خسائر.

في عام 2023 ، من عدد الحوادث الأمنية في WEB3 العالمية ، هو هجوم هاربين ، وهو ما يمثل 47 ٪ ؛ 13.8 النسبة المئوية من أذونات خطأ 13.8 ٪ ؛

من منظور الخسائر ، فإن Top5 النموذجي لحادث أمان Web3 العالمي هو: هجوم Hacker ، تم سرق المبلغ 6.05 مليار دولار. مليار هجمات قرض البرق ، والخسائر ، والخسائر المبلغ 1.26 مليار دولار.

تجدر الإشارة إلى أن حوادث أمنية متعددة حدثت في عام 2023 لم تتعرض للهجوم فحسب ، بل قد تحدث بعض الحوادث في نفس الوقت مثل الأصول والمفاتيح الخاصة والمتسللين والتسربات الرئيسية الخاصة والثغرات الأمنية.

ملاحظة: تفسير نوع الهجوم الرئيسي هو كما يلي

الأصول المسروقة: منصة مسروقة بالعملة الافتراضية

الهجوم المتسلل: أنواع متعددة من الهجمات مثل المتسللين

تسرب المعلومات: تسرب المفتاح الخاص ، إلخ.

قابلية أمنية الأمن: نقاط الضعف في العقد ، نقاط الضعف الوظيفية

أذونات الخطأ: خطأ أذونات النظام ، خطأ ، خطأ في أذونات العقد ، إلخ.

هجوم الصيد: صيد الإنترنت

معالجة الأسعار: التلاعب بالسعر

وفقًا لأخبار مراقبة منصة معلومات أمن Blockchain التكنولوجية في Zero ، فقدت حادثة أمنية نموذجية لأكثر من 100 مليون دولار أمريكي في عام 2023 ما مجموعه 3.2 مليار دولار أمريكي ، وهو ما يمثل 29 ٪ من إجمالي الخسائر البالغة 2023.

2. السياسة التنظيمية العالمية Web3

في عام 2023 ، تم توسيع نطاق الويب الخاص بالإنترنت القادم بناءً على ذروة النمو.تُستخدم تطبيقات Web3 على نطاق واسع ، والتعاون العالمي الموزعة ، والمحتوى الفني العالي ، إلى جانب التعريفات غير الكافية لاتجاه التطوير والأصول الرقمية لصناعة Web3 ووكالاتها التنظيمية الداخلية ، جلبت تحديات هائلة على الإشراف المالي العالمي.في عام 2023 ، تتكرر الجرائم المالية ، وهجمات المتسللين ، وفدية الاحتيال ، وغسل الأموال ، مع مبالغ ضخمة وخسائر خطيرة وتأثير واسع النطاق.من أجل ضمان أمن وامتثال Web3 ، أصدرت البلدان سياسات تنظيمية.

من منظور السياسة التنظيمية الشاملة العالمية لـ Web3 ، فإن حماية المستثمرين وغسل الأموال (AML) هي إجماع عالمي.اقترح الكونغرس الأمريكي أن “حدوث WEB3 في الولايات المتحدة” تسارع الابتكار التنظيمي ؛ لا تزال الصين تشجع على تطبيقات تكنولوجيا blockchain ، وهي ممنوعة تمامًا للمؤسسات المالية ومؤسسات الدفع على المشاركة في معاملات العملات الافتراضية وجمع التبرعات غير القانونية ، وزيادة الحملة على الحوادث الجنائية للعملة المشفرة.هونغ كونغ ، الصين ، تدعم بشكل شامل تطوير الأصول الافتراضية وتنفذ نظام الترخيص ؛بالنسبة إلى NFT و StableCoin و Defi و Asset Apoyments و Dao Fields ، فإن العالم في حالة من الإشراف والاستكشاف.

ثالثًا ، 2023 الوضع الأمني ​​البيئي لـ Web3

Web3 هي صناعة خاصة نسبيًا.إذا تعرض الطلب أو الاتفاقية من قبل المتسلل في علم البيئة ، فقد يسبب خسائر كبيرة.مع التطور السريع لعلم البيئة ، ظهرت أنواع جديدة من أساليب الهجوم وأساليب الاحتيال إلى ما لا نهاية ، وقد تقدمت الصناعة بأكملها إلى الأمام في ميزة آمنة من الأمن.لاحظ فريق أمن التكنولوجيا إحصائيات حول أنواع الهجمات في Web3 ، هناك بشكل أساسي الأنواع التالية من أنواع الهجمات التي تهدد Web3: هجمات APT ، وصيد الأسماك الاجتماعية ، وهجمات سلسلة التوريد ، وهجمات القروض الذكية ، الهجوم على نقاط الضعف على شبكة الإنترنت ، الضعف الصفر (0 يوم) ، الاحتيال على الإنترنت.

بعد ذلك ، سنقوم من السلسلة العامة للبنية التحتية ، وجسر التقاطع المتقاطع ، والممثلين التطبيقيين وممثلي DAPP: منصات التداول ، والمحافظ ، و Defi ، و NFT ، والغسل التنظيمي المضاد للأموال ، وزاوية التعليم الأمنية Web3 ، لتحليل 2023 أمنًا بيئيًا للبيئة المختلفة الأمان في عام 2023 ، وفسر حدث الهجوم ، وإعطاء تدابير أمنية مقابلة لكل بيئة.

1. السلسلة العامة -نبض حياة السلامة البيئية

السلسلة العامة هي البنية التحتية لصناعة Web3. التنمية قوية.

وفقًا للإحصاءات غير المكتملة للعلوم والتكنولوجيا ، اعتبارًا من ديسمبر 2023 ، يوجد حاليًا 194 سلاسل عامة.من منظور عدد التطبيقات البيئية للسلسلة العامة ، وفقًا لبيانات ROOTDATA ، Ethereum ، 2203 تطبيقات ، مضلع ، 1301 تطبيقات ، BNB Chian ، 1239 تطبيقات ، ترتيب في المراكز الثلاثة الأولى ، السلاسل العامة الجديدة مثل Solana ، Avalance ، ICP are are are are are are مطاردة عن كثب مطاردة عن كثب في وقت لاحق ، اتجاهات النمو السريع.

من منظور القيمة السوقية البيئية للسلسلة العامة ، وفقًا لبيانات Coingecko ، تحتل Ethereum و BNB Chain و Solana Ecology من بين المراكز الثلاثة الأولى مقابل 334.3 مليار دولار و 47.7 مليار دولار و 42 مليار دولار.في الوقت الحاضر ، تجاوزت القيمة السوقية الإجمالية لبيئة السلسلة العامة تريليونات الدولارات ، وقد جعل هذا الإغراء الرأسمالي الضخم المتسللين مشاهده.

اعتبارًا من ديسمبر 2023 ، وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، كان هناك 13 حادثًا أمنيًا في السلسلة العامة Travele ، مع خسارة تراكمية للأصول التي تتجاوز 280 مليون دولار أمريكي.

من وجهة نظر الكمية ، فإن أنواع الهجمات في السلسلة العامة هي: هجوم المتسللين ، والأصول ، ونقاط الضعف الأمنية ، وهجمات قروض البرق والاحتيال ، ونسبةها المقابلة هي 46.1 ٪ ، 30.7 ٪ ، 23 ٪ ، 15.4 ٪ ، 15.4 ٪.من منظور الخسائر ، تسببت هجمات القرصنة في أعلى مستوياتها عند 167 مليون دولار أمريكي ، والتي تمثل 60.1 ٪.(ملاحظة: عانت بعض المشاريع من مجموعة متنوعة من أنواع الهجمات)

وفقًا لرسالة مراقبة منصة الذكاء الأمنية في العلوم والتكنولوجيا ، فإن الرقم التالي هو حالة نموذجية لبعض هجمات السلسلة العامة 2023:

سلسلة أمن السلسلة العامة ومقاييس الاقتراحات

في تحليل فريق الأمن التكنولوجي الذي يعود إلى وقت الصفر ، فإن المخاطر الأمنية للسلسلة العامة هي أساسا من النقاط الثلاث التالية:

1)التعقيد الفني:هناك العديد من المجالات الفنية والعديد من مخاطر السلامة.

2)المطورين غير مؤكد:يتم كتابة الرمز من قبل المطور ، وستظهر العملية حتماً ثغرات.

3)شفافية الضعف المفتوحة المصدر:رمز السلسلة العامة مفتوح المصدر ، ويجد المتسللين نقاط الضعف أكثر ملاءمة.

في وقت الصفر ، يحظى فريق الأمن الفني بالنقاط الأربع التالية: النقاط الأربع التالية:

1) قبل الشبكة الرئيسية ، نحتاج إلى إعداد ثروة من آليات الأمن لنقاط المخاطر في السلسلة العامة:

فيما يتعلق بـ P2P و RPC ، تحتاج إلى الانتباه إلى هجمات الاختطاف ، ورفض هجمات الخدمة ، وأخطاء تكوين السلطة ، وما إلى ذلك ؛

في خوارزمية الإجماع والتشفير ، تحتاج إلى الانتباه إلى هجوم 51 ٪ ، وتوسيع الهجوم ، وما إلى ذلك ؛

فيما يتعلق بأمن المعاملات ، تحتاج إلى الانتباه إلى هجمات إعادة الشحن المزيفة ، والهجمات الثقيلة للمعاملات ، والورق الخبيث ، وما إلى ذلك ؛

فيما يتعلق بسلامة المحفظة ، تحتاج إلى الانتباه إلى إدارة الأمان للمفتاح الخاص ، ومراقبة السلامة للأصول ، والتحكم في مخاطر السلامة في المعاملات ؛

فيما يتعلق بالموظفين المعنيين في مشروع السلسلة العامة ، من الضروري الحصول على وعي جيد بالأمان وسلامة المكاتب وسلامة التنمية.

2) تدقيق رمز المصدر والعقود الذكية لضمان أن تكون المبادئ والثغرات الواضحة مكونة:

يمكن أن يكون تدقيق التعليمات البرمجية المصدر مبلغًا كاملاً أو وحدة نمطية.لدى فريق أمن التكنولوجيا مجموعة كاملة من معايير أمن السلسلة العامة. تدقيق الأمن ، ونقاط الضعف الأمنية.دعم جميع اللغات الشائعة ، مثل: C/C ++/C#/Golang/Rust/Java/NodeJS/Python.

3) بعد أن تكون الشبكة الرئيسية على الإنترنت ، قم بإجراء اختبار السلامة الحقيقي في الوقت المناسب ومخاطر نظام الإنذار المبكر ؛

4) بعد حدوث حادثة القرصنة ، يتم استخدام تحليل التتبع في الوقت المناسب لمعرفة المشكلة وتقليل إمكانية الهجوم في المستقبل ؛

2. جسر الصليب -نوع جديد من آلة السحب للمتسللين

يتيح جسر Cross -CHAIN ​​، المعروف أيضًا باسم Blockchain Bridge ، اثنين من blockchain ، للمستخدمين إرسال عملات مشفرة من سلسلة إلى أخرى.تقوم Bridges Cross -CHAIN ​​بإجراء عمليات Capital Cross -CHAIN ​​من خلال تمكين النقل الرمزي والعقود الذكية وتبادل البيانات وغيرها من التعليقات والتعليمات من قبل المنصتين المستقلتين.

اعتبارًا من ديسمبر 2023 ، وفقًا لإحصائيات البيانات من تحليلات الكثبان الرملية ، بلغت قيمة القفل الكلي (TVL) في جسر التسلل الرئيسي في Ethereum حوالي 6.5 مليار دولار أمريكي.أعلى TVL حالي هو جسور Polygon ، التي تبلغ قيمتها 2.99 مليار دولار أمريكي ، وتبعها Aritrum Bridge عن كثب ، 2.04 مليار دولار ، والتفاؤل في المرتبة الثالثة ، مليار دولار أمريكي.

مع نمو البرنامج على blockchain والسلسلة ، فإن احتياجات الأموال المتعددة العاجلة.نظرًا لخصائص انتقال الأصول عبر الجسر المتقاطع ، بمجرد أن تكون المشكلات مثل القفل والكسب وتدمير وفتح مشكلات ، فإنهم سيهددون أمن أصول المستخدم.يبدو أنه ليس معقدًا نقل عملية النقل ، ولكن في مشاريع جسر التقاطع المتعدد ، كانت هناك نقاط ضعف في الأمن في خطوات مختلفة.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، اعتبارًا من شهر ديسمبر ، كان لجسر التسلسل المتقاطع 18 حادثًا أمنيًا بسبب الهجمات ، وكانت أصول الخسارة التراكمية 1.21 مليار دولار أمريكي.

في عام 2023 ، خسرت الجسور المتقاطعة 5 في حوادث أمنية: هارموني ، ثقب ، متعدد الأسود ، Aave Fork ، و Heco ، على التوالي: 350 مليون دولار ، 210 مليون دولار ، 150 مليون دولار ، و 100 مليون دولار ، على التوالي.

من منظور عدد الحوادث الأمنية ، تكون أنواع هجمات الجسر المتقاطع بشكل أساسي: هجمات القرصنة ، وسرقة الأصول ، والثغرات الأمنية ، وأذونات الأخطاء وهجمات قروض البرق ، على التوالي ، تمثل 61 ٪ ، 33 ٪ ، 28 ٪ ، 17 ٪ ، و 11 على التوالي.من منظور الخسائر ، فإن نسبة المتسللين هي الأكبر ، 55 ٪.

يوضح الشكل التالي بعض حالات هجوم الجسر التقاطع النموذجي في عام 2023:

خطوط الأمن المتقاطعة -المخاطر الأمنية وقياس الاقتراحات

في وقت الصفر ، تم الحصول على فريق أمن التكنولوجيا من العديد من الهجمات على جسور التقاطع المتقاطعة أن هناك العديد من الهجمات مع التوقيع قبل التقاطع ، وكانت هناك حوادث مسروقة رسمية ناجمة عن النمر الرسمي.لمزيد من المشاريع المتقاطعة وسلامة عقود المشروع ، يتم تقديم تدابير السلامة التالية في تقنية الصفر في الوقت المناسب:

1) تدقيق السلامة من العقد قبل إطلاق المشروع ؛

2) يجب أن تكون واجهة استدعاء العقد تحقق بدقة من قابليتها للتكيف ؛

3) عند تحديث الإصدار ، يجب إعادة تقييم الواجهة ذات الصلة وأمان التوقيع ؛

4) هناك حاجة إلى مراجعة صارمة لتوقيعات التقاطع المتقاطع لضمان عدم التحكم في التوقيع من قبل الموظفين الخبيثين.

3. منصة التداول -مصدر الإغراء الضخم

يطلق على منصة التداول في Web3 تبادل العملة الرقمية أو تبادل العملة المشفرة.

وفقًا لبيانات Coingecko ، اعتبارًا من ديسمبر 2023 ، كان هناك 887 تبادلًا للعملة المشفرة ، منها 224 معاملة مركزية كانت جميعها 224 ، مع إجمالي حجم المعاملات 8 مليار دولار ؛ دولارات الولايات المتحدة ؛

تشير البيانات إلى أن أفضل 10 عمليات تبادل في حجم المعاملات الـ 24 ساعة هي: Binance ، Bybit ، Coinbase Exchange ، OKX ، Mexc ، Gate.io ، Kraken ، Kucoin ، Bitfinex ، Binance US.من بينها ، احتلت Binance المرتبة الأولى مع 24 حجم تداول بلغ 13.595 مليار.

أفضل 10 تبادلات لا مركزية في حجم المعاملة هي: uniswap v3 (ethereum) ، orca ، uniswap v3 (تعريفي واحد) ، الفطائر (V3) ، المنحنى (Ethereum) ، Uniswap (Ethereum) ، Thorwal Let Dex ، Thorswap ، Raydium ، Ferro ، بروتوكول ، الذي احتلت Uniswap أكثر من عشرة في قوته الخاصة.

وفقًا لتوحيد بيانات العلوم والتكنولوجيا في الوقت المناسب ، في عام 2023 ، حدث 19 حادثًا أمنيًا في تبادل العملة المشفرة ، وتجاوزت الخسارة التراكمية للأصول 1.2 مليار دولار أمريكي.

وفقًا للإحصائيات الصادرة عن منصة ذكاء التهديدات الأمنية للعلوم والتكنولوجيا ، كانت منصة التداول الخاصة بأعلى 6 خسارة في حوادث الأمن: Curve ، Coinbase ، OKX ، Platypus Finanace ، Uniswap ، Coins.ph ، مقدار الخسائر كان 440 مليون دولار أمريكي ، على التوالي ، على التوالي ، على التوالي.

من منظور توزيع الخسارة لحوادث الأمان في منصات المعاملات المختلفة ، شكلت Couve 36.6 ٪ ، شكلت Coinbase بنسبة 30 ٪ ، بلغت Flatypus Finanace 15 ٪ ، وحصلت على المراكز الثلاثة الأولى.

وفقًا لإحصائيات بيانات العلوم والتكنولوجيا ، من منظور عدد الحوادث الأمنية ، فإن أنواع الهجمات على منصة التداول هي أساسًا من نقاط الضعف الأمنية للمتسللين ، وسرقة الأصول ، وهجمات الصيد ، وهجمات قروض البرق ، على التوالي ، وهي تمثل 59 ٪ ، 31.8 ٪ ، 27 ٪ ، 9 ، 9 ، و 9 ٪ ، 9 ٪.من منظور توزيع الخسائر ، تمثل اختراق 59 ٪ ، وهو النوع الرئيسي من حوادث الأمن.

يوضح الشكل أدناه حالة نموذجية لبعض الحوادث الأمنية في تبادل 2023:

اقتراحات ومقاييس للمخاطر الأمنية ومقاييس منصات التداول

回顾以往所有交易所的安全事件 ， 零时科技安全团队认为 ， 从一个交易平台整体安全架构来看 交易平台面临的安全风险主要有 ： ： مخاطر السوق وسلسلة التوريد.

نشر فريق أمن العلوم والتكنولوجيا “بداية Blockchain Security and Real War” ، الذي لديه تحليل شامل ومفصل لقضايا الأمن في منصة تداول العملة المشفرة.بما في ذلك خطوات الاختبارات المخترقة ، مثل جمع المعلومات ، والهندسة الاجتماعية ، وما إلى ذلك ، تم أيضًا تقديم أسطح الهجوم المختلفة ، مثل منطق الأعمال ، والمدخلات والمخرجات ، وتسرب المعلومات ، وأمن الواجهة ، وأمن شهادة المستخدم ، وأمان التطبيق ، إلخ.

بالنسبة للمخاطر الأمنية للبورصات ، يقدم فريق أمن العلوم والتكنولوجيا التدابير التالية للاقتراحات:

من منظور منصة التداول:

1) زراعة وعي السلامة بالموظفين الداخليين ، وتعزيز بيئة الإنتاج ، وبيئة الاختبار ، وتكليف العزلة الأمنية البيئية للتبادل ، ومحاولة استخدام منتجات حماية أمن الشبكة المهنية قدر الإمكان.

2) من خلال التعاون مع شركات الأمن المحترفة ، إجراء اختبارات تدقيق الكود واختبار الاختراق لفهم ما إذا كان النظام قد خفي نقاط الضعف ومخاطر الأمن ، وإنشاء آلية حماية أمنية شاملة وشاملة.في العمليات اليومية ، إجراء اختبارات السلامة المنتظمة لتعزيز السلامة والعمل التعزيز.

3) ترقية هيكل رئيسي ومقاييس التحكم في المخاطر للحساب ، وإنشاء بنية مفتاح توقيع متعددة مناسبة وإنشاء آلية صارمة للسيطرة على المخاطر واكتشافها وآلية الإنذار المبكر لتعزيز التعزيز الآمن للمحافظ الساخنة والباردة في الخلف ، مثل التحكم تواتر النقل ، النقل الكبير ، وكميات كبيرة من التحويلات.

نظرًا لأن معظم المستخدمين يستخدمون التبادلات للمعاملات ، فإنهم في كثير من الأحيان يتصرفون كأصول رقمية مخزنة للمحفظة.

لذلك،من منظور المستخدم:

1) لا تقم بتثبيت برنامج غير معروف في الإرادة.

2) يجب أن يكون خادم الكمبيوتر فتح المنفذ غير الضروري. على متصفح الويب.

3) لا تنقر على الرابط غير المعروف الصادر عن الغريب في الإرادة.

4. محفظة -إصابة في إدارة الأصول المحفظة

محفظة Web3 هي محفظة Blockchain ، المعروفة أيضًا باسم محفظة العملة المشفرة أو محفظة الأصول الرقمية. العملات.اليوم ، مع تطوير البيئة ، أصبحت المحافظ الرقمية منصة إدارة متعددة الأفعال.

وفقًا لإحصائيات منصة ذكاء التهديدات الأمنية للعلوم والتكنولوجيا ، فإن عدد مشاريع المحفظة الرقمية لديه 153 مشاريع المحفظة الرقمية.وفقًا لإحصائيات blockchain.com ، يستخدم أكثر من 400 مليون شخص في جميع أنحاء العالم أصول التشفير في عام 2023.من بينهم ، وصل المستخدمون الذين لديهم محافظ مشفرة إلى 81 مليون في عام 2022 ، وبحلول نوفمبر 2023 ، وصل عدد مستخدمي المحفظة المشفرة إلى 221 مليون ، وتم زيادة العدد بشكل كبير.

نظرًا لأن مدخل Web3 ، أصبحت المحافظ منذ فترة طويلة “عطرة” في عيون المتسللين.وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، في عام 2023 ، كان هناك 35 حادثًا أمنيًا في المحافظ الرقمية ، وتجاوزت الخسارة التراكمية للأصول 600 مليون دولار.

في عام 2023 ، جاء حادثة سلامة المحفظة التي هاجمتها Top5 بشكل رئيسي من: Bitkeep ، Solana ، Cropto.com ، Transit ، Bable Finanace ، على التوالي: 200 مليون دولار ، 130 مليون دولار ، 120 مليون دولار ، 100 مليون دولار و 40 مليون دولار. دولار.من بينها ، Bitkeep لديه أعلى الخسائر.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية في الصفر ، من منظور عدد الحوادث الأمنية ، فإن أنواع هجمات المحافظ الرقمية هي بشكل أساسي: هجوم المتسللين ، وسرقة الأصول ، ونقاط الأمن الأمنية ، وهجمات الصيد والاحتيال ، تمثل 44.9 ٪ ، 35.5 ٪ ، 27 ٪ ، 13.4 ، 13.4 ٪ ، 9.8 ٪.الهجوم هو الأعلى ، المرتبة الأولى.

من بينها ، تمثل نسبة الحوادث السلامة المقابلة لكل نوع هجوم رئيسي: تسبب المتسللين في أعلى خسارة ، حيث تمثل 48.2 ٪ من الثغرات الأمنية

يتم هجوم المحافظ ويتم تقسيمها عمومًا إلى حالتين.أحدهما محفظة المؤسسة ، والآخر محفظة شخصية.

مخاطر سلامة المحفظة الرقمية وقياس الاقتراحات

بعد تحليل فريق أمان التكنولوجيا من وقت الصفر ، توجد محفظة blockchain الرقمية في أشكال مختلفة.تشمل مخاطر السلامة الرئيسية على سبيل المثال لا الحصر الجوانب التالية:

الجانب المؤسسي:مخاطر السلامة لبيئة التشغيل ، وخطر أمان نقل الشبكة ، وخطر أمان طريقة تخزين المستندات ، وتطبيق مخاطر الأمان الخاصة به ، ومخاطر أمان النسخ الاحتياطي للبيانات.

جانب المستخدم:في مواجهة خسارة المفتاح الخاص أو المسروقة: مثل خدمة عملاء التمويه لخداع مفاتيح خاصة ، قام المتسللون بترقية الهجمات المستهدفة من خلال محافظ لجمع كلمات مساعدة المستخدمين ، وإرسال رموز QR الضارة لتوجيه العملاء إلى نقل الأصول ، وسرق المعلومات على المنصة السحابية من خلال الهجوم معلومات تخزين العملاء.

كيف تحمي سلامة المحفظة في مواجهة هذه المخاطر؟

اقتراحات من الجانب المؤسسي ، فريق أمان التكنولوجيا في الوقت المناسب:

بغض النظر عما إذا كان مركزيًا أو لامركزيًا ، يجب أن يكون محافظ البرمجيات أو محافظ الأجهزة إجراء اختبارات أمان كافية من حيث الأمن.

1. يجب أن تحقق اختبارات أمان الشبكة والاتصالات وظيفة الاكتشاف والمقاومة في الوقت المناسب لهجوم الشبكة ؛

2. يمكن أن تكتشف بيئة التشغيل للمحفظة أن تحتفظ المحافظ الرقمية الكاملة. لسرقة معلومات المستخدم ذات الصلة

3. يجب توقيع المعاملة المحفظة. تمت إزالته.

4. سجل المحفظة آمنة. معلومات سرية.

5. من محاكاة مستخدمي المستخدمين ، تؤدي عملية CC.

بالنسبة لجانب المستخدم ، اقتراح فريق أمن العلوم والتكنولوجيا:

1) قم بعمل جيد لتدابير تخزين المفاتيح الخاصة: إذا تم استخدام المفتاح الخاص للنسخ والنسخ الاحتياطي ، أو استخدام الشبكات الاجتماعية مثل المنصات السحابية والبريد لإرسال أو تخزين المفاتيح الخاصة.

2) استخدم كلمة مرور قوية وابدأ في التحقق من اثنين من MFA (أو 2FA) قدر الإمكان للحفاظ على الشعور بالوعي الأمني ​​في جميع الأوقات.

3) انتبه للتحقق من قيمة التجزئة عند تحديث إصدار البرنامج.قم بتثبيت برنامج مكافحة الفيروسات واستخدم جدار الحماية قدر الإمكان.راقب حسابك/محفظتك وتأكد من عدم وجود معاملات ضارة.

4) من بينها ، محفظة الأجهزة مناسبة للمستخدمين الذين لديهم أصول رقمية كبيرة وتتطلب مستويات أعلى من حماية الأمان.تتمثل الاقتراحات المعتادة في استخدام محافظ البرامج لتوفير أصولها الصغيرة للاستخدام اليومي ومحافظ الأجهزة لتوفير الأصول الكبيرة ، والتي يمكن أن تحقق كل من الراحة والأمان.

ماذا لو سرقت الأموال؟

في حالة حدوث عملية ترخيص غير مقصودة ، قبل سرقة الأموال ، يتم تحويل أموال المحفظة في أقرب وقت ممكن وتم إلغاء التفويض.

5. Defi -Web3 منطقة آمنة وكارثة بشدة

الاسم الكامل Defi: التمويل اللامركزي ، ترجم عمومًا إلى التمويل الموزع أو التمويل اللامركزي.تنقسم مشاريع Defi عمومًا إلى خمس فئات: آلات النبوءات ، DEX ، إقراض الرهن العقاري ، أصول العملة المستقرة ، والمشتقات الاصطناعية.

TVL الاسم الكامل: إجمالي القيمة المقفل هو إجمالي قيمة القفل.إجمالي الأصول التي قام بها المستخدمون هي واحدة من أهم المؤشرات لقياس تطوير Defi.

إحصاءات البيانات من منصة التهديد الأمنية للعلوم والتكنولوجيا.وفقًا لبيانات Defi Llama ، بلغت قيمة القفل الإجمالية لـ Defi 39.051 مليار دولار أمريكي.من بينها ، تمثل Ethereum 58.59 ٪ ، حيث احتلت TVL 23.02 مليار دولار ، تليها Tron ، التي تمثل 11.1 ٪ ، حيث احتلت TVL 4.036 مليار دولار.اجتذبت العديد من السلاسل العامة الناشئة مثل Avalanche و Playgon و Optly ، إلخ.

أصبحت مشكلة أمن العقد الذكية المتميزة من Defi هي التحدي الأكبر في صناعة Defi.بالإضافة إلى ذلك ، لا يمكن لأي مزود خدمة Defi أو وكالة تنظيمية استرداد الأموال لتحويل خاطئ.عندما يجد المتسلل جوانب أخرى من العقود الذكية أو خدمات Defi ، فإنه ليس بالضرورة مزود خدمة Defi تعويض المستثمرين.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية في الصفر ، اعتبارًا من ديسمبر 2023 ، حدث ما مجموعه 24 حادثًا أمنيًا Defi ، مع خسارة تراكمية للأصول التي تتجاوز 720 مليون دولار أمريكي.

من منظور عدد حوادث أمنية Defi التي تحدث في كل بيئة ، حدث 6 في علم البيئة Ethereum ، على التوالي ، وهو ما يمثل 25 ٪ ، وتصنيفًا أولاً ، و 5 (BNB Chian) من BSC (BNB Chian) ، وهو ما يمثل 20 ٪ ، تمثل 20 ٪ ، والنسبة كلاهما.

من منظور توزيع الخسارة في الحوادث الأمنية في كل Defi ، فإن أفضل ثلاثة بيئة في السلسلة العامة هي أن فقدان حادثة Ethereum Ecological Defi تجاوز 216 مليون دولار أمريكي ، وهو ما يمثل 30 ٪ ، المرتبة الأولى ؛ مبلغ الخسارة البالغ 1.44 مليون دولار ، وهو ما يمثل بنسبة 20 ٪ ؛يمكن أن نرى أنه كلما كانت البيئة أكثر نشاطًا ، كلما كان الاختراق أكثر ، والخسائر هي الأبرز.

وفقًا لإحصائيات البيانات العلمية والتكنولوجية ، من منظور نوع هجوم Defi ، فهو بشكل أساسي: الاختراق والأصول والأصول وهجمات قروض البرق ومواطن الأمن.من بينها ، تمثل توزيع الحوادث الأمنية المقابلة لأنواع الهجوم الرئيسية: تمثل هجمات البرق في المرتبة الأولى.

انطلاقًا من توزيع فقدان نوع الهجوم الرئيسي ، تسبب المتسللين في أعلى خسارة ، حيث تمثل 48.6 ٪ ، وسرقت الأصول ، حيث تمثل 34.7 ٪ ، وحققت الثغرات الأمنية في المرتبة الثالثة ، حيث تمثل 43 ٪.

مخاطر أمنية Defi وقياس الاقتراحات

في مواجهة مخاطر الأمن المتعددة ، يتم تقسيم مشروع Defi من المجموعة ، وهي جانب المشروع (تنفيذ الاتفاق) ونهاية المستخدم ؛ ، وبعض العيوب بين المجموعات.

من منظور التدقيق الأمني ​​، يظهر المخاطر التي يواجهها مشروع Defi في الشكل أدناه:

من عملية تنفيذ الاتفاقية ، تشمل مخاطر Defi:مخاطر الهجوم على العقود الذكية ، ومشاكل التصميم في الحوافز الاقتصادية ، ومخاطر التخزين ، وإعادة تنظيم الاتفاق الأصلي ، ونقص الخصوصية.

من وجهة نظر المستخدم ، فإن المخاطر التي يواجهها مستخدمو Defi هي:المخاطر الفنية: هناك نقاط ضعف في العقود الذكية ، والتي تتعرض للهجوم من قبل الأمان ؛خطر الوعي بالسلامة: صيد الأسماك ، ومواجهة مشاريع الاحتيال في المراجحة ، إلخ.

اقترح فريق أمن العلوم والتكنولوجيا أنه كحزب المشروع والمستخدمين ، يمكن التعامل مع المخاطر من النقاط الأربع التالية:

1) عندما يتم إطلاق حفلة المشروع في مشروع Defi ، يجب عليه العثور على فريق أمنية محترفة للقيام بمراجعة رمز شاملة ، والعثور على عمليات تدقيق مشتركة متعددة قدر الإمكان.

2) يوصى بأن يقوم المستخدمون بعمل جيد عندما يشاركون في هذه المشاريع.

3) زيادة الوعي الأمني ​​الشخصي ، بما في ذلك سلوك الوصول إلى الإنترنت ، والحفاظ على الأصول ، وعادات استخدام المحفظة لتطوير عادة جيدة في الأمن.

4) يجب أن تكون المشاركة ومخاطر المشروع.

6. nft -pond من هجوم الصيد

NFT هو اختصار الرمز المميز غير القابل للتطبيق. ملكية السلع الافتراضية.

وفقًا لبيانات NFTSCAN ، اعتبارًا من 31 ديسمبر ، كان هناك 4،624 مشروع NFT ، حيث بلغ مجموعها 1476،479،394 NFT.في الوقت الحاضر ، بلغ إجمالي القيمة السوقية لـ NFT 25.6 مليار دولار أمريكي ، ووصل أصحابها إلى 4.7338 مليون دولار.من منظور توزيع القيمة السوقية لمختلف المشاريع ، PFP (PictureF Proof) ، فإن القيمة السوقية لصور البيانات الشخصية NFT هي أيضًا NFT مع السيناريوهات الأكثر استخدامًا ، تليها المقتنيات.بالنظر إلى أصول NFT والعقود من السلاسل العامة الثمانية السائدة الحالية ، فإن Polygon يتقدم كثيرًا عن عدد الأصول والعقود.

من منظور مقياس المعاملات: من بين أفضل 10 منصات تداول NFT في المرتبة الأولى في المرتبة العشرة الأولى في 24 ساعة ، تم تصنيف Blur First ، تبع OKX NFT عن كثب ، في المرتبة الثالثة.من منظور تاجر ، في السوق مع أفضل 10 أسواق خلال 24 ساعة ، احتل Blur First ، وحصل OKX NFT على المرتبة الثانية و Opensea في المرتبة الثالثة.

كما تم تسليط الضوء على قيمة NFT ، يحدق المتسللون أيضًا في هذه الدهون.على الرغم من أن سوق التشفير بأكمله يخضع حاليًا لاتجاه شرسة للصدمات ، إلا أن شعبية NFT لا يتم تقليلها.

وفقًا للإحصاءات غير المكتملة من العلوم والتكنولوجيا ، اعتبارًا من ديسمبر 2023 ، كان هناك 44 حادثًا أمنيًا في مسار NFT ، وكانت الخسارة التراكمية للأصول حوالي 62 مليون دولار.

من منظور نوع هجوم مسار NFT ، هو أساسا: القرصنة ، نقاط الضعف الأمنية ، الأصول المسروقة ، هجمات الصيد ، وعدد أحداث السلامة تمثل 50 ٪ ، 35 ٪ ، 25 ٪ ، و 23 ٪ ، على التوالي .

من منظور فقدان نوع الهجوم الرئيسي من NFT ، تسببت هجمات القرصنة في أكبر قدر من الخسائر ، حيث تم إحرازها لما يهدأ بنسبة 50 ٪.

مخاطر الأمن NFT وقياس الاقتراحات

حاليا على مسار NFT ، طرق القرصنة متنوعة.تقسيم إلى مجموعات ، الكائنات التي تواجه المخاطر هي منصات ومستخدمين بشكل عام.

بالنسبة للمنصات المركزية ، فإن المخاطر الأمنية التي قد تواجهها هي:مخاطر الحساب ، ومخاطر المنافسة التجارية ، ومخاطر التوعية الأمنية ، ومخاطر الموظفين الداخليين ، ومخاطر السوق ، إلخ.

بالنسبة لجانب المستخدم ، أصبح هجوم Discord طريقة الهجوم الرئيسية لهذا العام.

بالنسبة للمخاطر الأمنية المذكورة أعلاه ، يقدم فريق أمن العلوم والتكنولوجيا التدابير التالية عند الصفر:

للمستخدمين العاديين ،لحماية خلافك ، تحتاج إلى الانتباه إلى النقاط التالية: لضمان أن تكون كلمة المرور آمنة بما فيه الكفاية ، استخدم الأحرف الرقمية الأبجدية لإنشاء كلمة مرور عشوائية طويلة ؛ ولكن لا يمكن حمايتها بطريقة واحدة ؛ مشاركة أو مشاركة تفويضك على الشاشة ؛

لمالك الخادم:راجع أذونات الخادم الخاصة بك ، خاصة بالنسبة للأدوات ذات المستوى الأعلى مثل WebHook ؛ ر انقر فوق روابط مشبوهة أو غير معروفة!إذا تم غزو الحساب ، فقد يكون له تأثير أكبر على مجتمع الإدارة.

للمشاريع:من المستحسن أن تحكم العقود بشكل صارم على عقلانية المستخدمين. حالة خلاف التزوير.في الوقت الحالي ، ستجد برنامج الدردشة المتعددة روابط النعناع الخبيثة ، وسيتم سرقة العديد من أموال المستخدمين الوقت ، تأكد من أن محتوى المعاملة ومحتوى توقع المعاملة متسق.

7. تعليم السلامة ويب 3 درع أمني

لقد واجه جميع موظفي SOHU المعروفين إعانات الرواتب لحالات الاحتيال عبر البريد الإلكتروني التي يمكن أن تدرك العديد من الشركات أنه إذا لم يتحسن الوعي بأمان الشبكة ، فإن العديد من الحوادث الأمنية مثل الأسرار التجارية في المستقبل ستؤثر حتماً على تطوير المؤسسة.جعلت طريقة المشاركة ذاتية التنظيم غير المركزية Web3 الأفراد أن الأفراد يدركون أنه إذا لم يتم تحسين الوعي بالأمان ، فسيتم تقليله إلى آلة سحب المتسلل.

في الوقت الحاضر ، يمتلك السوق العديد من الطرق مثل الأعمال التلفزيونية والأفلام والمجتمعات وغيرها من الطرق لتحسين الوعي بأمان الشبكات الشخصية.

بالإضافة إلى ذلك ، هناك أيضًا منصة لإدارة التوعية بالتوعية بالذات التي يتم تطويرها في تقنية الوقت. ، وأنظمة تخصيص المشهد ، وتحقيق النظام المستمر والمنهجي للمؤسسات لتحسين الوعي بأمان الشبكة.بالإضافة إلى ذلك ، استنادًا إلى القوة المهنية لفريق أمن تكنولوجيا Time -Time ، وهو أيضًا درع أمان قوي لخدمات الاستشارات والتدريب لأمن شبكة الشركات.

خاتمة

نظرًا لقدراتها الابتكارية الضخمة ومزايا المصادر المفتوحة ، أصبحت Web3 جيلًا جديدًا مزدهرًا من البنية التحتية للشبكات ، مما يجلب أنظمة بيئية أكثر مصداقية وأكثر مصداقية إلى عالم الإنترنت بأكمله.على الرغم من أن الحوادث الأمنية لصناعة Web3 استمرت ، وظهر المتسللون والمجرمون إلى ما لا نهاية ، فإن هذا لا يعيق التطور الصحي لصناعة Web3.

على العكس من ذلك ، تمامًا مثل الحزبين في اللعبة ، فإن “القبعة البيضاء” لعالم Web3 ، وهي مؤسسة أمنية مثل تقنية وقتنا الصفر ، ستقوم بالتأكيد بمرافقة هذه البيئة المورقة ، وحماية أصول مستخدمي العالم الجدد ، والقتال مع المتسللين ، والقتال من أجل الحكمة.

غالبًا ما تكون الثغرات آمنة ولا تقدر بثمن ، ولن تتوقف لعبة التطوير والأمن.