Гумор у сфері безпеки завдав збитків на 118 мільйонів доларів: Боротьба з кризою безпеки криптовалют у грудні

Грудень 2024 року знаменує тривожний розділ в історії захисту цифрових активів, оскільки екосистема криптовалют стикається зі скандалами з безпекою, що призводять до рекордних втрат. За даними провідної компанії з безпеки блокчейну CertiK, загалом зловмисники використали $118 мільйонів у різних хитромудрих формах. Ця цифра відображає не лише складність зловмисників, а й вразливості, які існують глибоко в блокчейн-протоколах, незважаючи на постійні заходи захисту.

Грудневі крипто-редікуло: детальний розбір збитків на суму $118 мільйонів

Дані CertiK показують складну картину абсурдності систем грудня та технічних вразливостей. З 118 мільйонів доларів збитків фішингові атаки становили 93,4 мільйона, або 79% від загальної суми. Інші — це абсурдність смарт-контрактів, відкритість приватного ключа та маніпуляції ціною оракула.

Експерти з безпеки виявляють три основні типи абсурду. Перша — це вразливість у процесі автентифікації користувача, яку зловмисники використовують через фейкові повідомлення та шкідливі інтерфейси. Друга — це вразливості в механізмі управління блокчейном, які дозволяють несанкціонований доступ до ключа автентифікації. Третя — це вразливість у взаємодії між протоколами, особливо при крос-чейнових операціях.

Варто зазначити, що ці вразливості не є новими. Вони з’являються неодноразово через швидке розширення екосистеми без ретельного періоду інспекції. Зловмисник створив набір інструментів автоматизації для виявлення та масштабного використання цих вразливостей.

Фішинг використовує соціальні вразливості: 93,4 мільйона доларів володіння

Фішингові атаки залишаються домінуючою зброєю у сфері криптовалют. З виділенням 93,4 мільйона доларів ці вразливості не в технологіях, а в людському факторі.

Грудневі фішингові кампанії показали складні варіанти. Зловмисники використовують фейкові сповіщення про airdrop, щоб заманити користувачів. Вони створюють фейкові канали підтримки, прикидаючись працівниками проєкту. Вони також створюють фейкові децентралізовані додатки, які змушують користувачів підключати гаманець для «верифікації» акаунта.

Однією з найнебезпечніших технік є використання автоматизованих скриптів. Після схвалення шахрайства користувачем ці скрипти автоматично виведуть усі активи з гаманця жертви — від токенів ERC-20 до NFT — і переведуть їх усі на гаманець зловмисника.

Зловмисник також застосував багатоланцеву стратегію, одночасно атакуючи Ethereum, BNB Chain і Polygon. Це дозволяє їм охопити велику кількість користувачів і активів в одній кампанії.

Три основні абсурди: аналіз збоїв Trust Wallet, Flow і Unleash Protocol

У грудні сталося три великі експлойти, кожен з яких виявив різний тип вразливості екосистеми.

Trust Wallet, один із найпопулярніших електронних гаманців, втратив 8,5 мільйона доларів. Ця атака передбачала кампанію соціального інжинирингу, спрямовану на цю фразу seed. Зловмисник створив фейкове оновлення розширення браузера, і коли користувач його встановив, розширення зібрало seed-фразу і надсилало її на сервер зловмисника. Потім вони можуть отримати повний доступ до акаунта жертви.

Блокчейн Flow зазнав краху на $3,9 мільйона через недолік у механізмі управління. Ключі валідатора вузлів були відкриті під час процесу голосування з управління, що дозволяло підробленому зловмиснику обирати мережу.

Unleash Protocol втратила 3,9 мільйона доларів через гібридну атаку. Зловмисник використовує техніку флеш-кредиту для позики великих обсягів активів, а потім маніпулює ціною оракулів на кількох децентралізованих біржах, створюючи неточну цінову ситуацію, тим самим виводячи незаконний прибуток.

Ці інциденти показують, що вразливості безпеки прилягають не лише в програмному коді, а й у дизайні системи, процесах автентифікації та механізмах взаємодії між протоколами.

Тривожне зростання: порівняння вразливостей за останні 3 місяці 2024 року

Порівняння даних за останні три місяці 2024 року показує тривожну тенденцію.

У жовтні 2024 року збитки на суму 72 мільйони доларів, з яких 68% спричинені фішингом (48,96 мільйона доларів) та 4 великі експлойти. У листопаді ця цифра зросла до $86 мільйонів, з яких 74% припадає на фішинг ($63,64 мільйона) та п’ять великих справ. Грудень досяг піку в $118 мільйонів, з яких 79% — фішингом ($93,4 мільйона) та 7 серйозних інцидентів.

Ці дані виявляють три помітні тенденції. По-перше, частка фішингу зросла з 68% до 79%, що свідчить про те, що зловмисники більше покладаються на людський фактор, а не на технології. По-друге, кількість великих інцидентів зросла з 4 до 7, що свідчить про зростання складності атак. По-третє, середня втрата на інцидент трохи зменшилася (з 18 мільйонів до 16,8 мільйона), але загальна втрата все одно зросла через збільшення кількості інцидентів, що свідчить про ширший спектр атак.

Експерти пояснюють це зростання розширенням екосистеми криптовалют, запуском нових протоколів, які ще не були ретельно протестовані, а також можливістю кросчейнової сумісності для створення нової поверхні для атаки.

Галузеве рішення: ефективний захист від вразливостей

У відповідь на кризу безпеки галузь запропонувала та впровадила низку захисних заходів.

CertiK та інші компанії з безпеки рекомендують блокчейн-проєктам впроваджувати мультипідписні гаманці для всього протокольного фонду. Це означає, що для затвердження важливих транзакцій потрібен не один, а кілька підписів. Крім того, слід застосовувати таймлоки до транзакцій, які перевищують певні пороги, що дозволяє спільноті виявляти та зупиняти підозрілі транзакції.

Обов’язкові аудити безпеки перед запуском основної мережі — ще один важливий крок. Замість того, щоб покладатися лише на внутрішні аудити, проєкти повинні наймати незалежні аудиторські фірми для виявлення потенційних вразливостей.

З боку користувача конкретні показники мають різні пріоритети. Найвищий пріоритет — ніколи не розкривати початкову фразу нікому, незалежно від того, чи заявляють люди, що підтримують проєкт, чи ні. Другий пріоритет — увімкнути функцію симуляції торгівлі до затвердження, щоб попередньо переглянути фактичний результат угоди. Третій пріоритет — перевірити всі посилання та сповіщення про airdrop через офіційний канал проєкту.

Компанії, що виробляють гаманці, оновили функцію симуляції транзакцій, яка дозволяє користувачам попередньо переглядати, що станеться під час підписання транзакції. Страхові протоколи, такі як Nexus Mutual, мають розширені варіанти захисту для учасників децентралізованих фінансів.

Прогноз 2025: Нові вразливості та гонка за безпеку

Дивлячись на 2025 рік, експерти з безпеки прогнозують виникнення серйозних викликів.

Вразливості соціальної інженерії стануть більш переконливими, коли їх доповнює штучний інтелект. Фішингові листи та фейкові повідомлення стане важко відрізнити від оригіналу. Розвиток міжчейнової взаємодії відкриє нові вразливості, з якими ми не маємо досвіду. Досягнення квантових обчислень можуть загрожувати сучасним криптографічним стандартам, хоча ця небезпека ще далеко.

Однак також відбуваються оборонні наступи. Покращені інструменти формальної верифікації допоможуть виявляти вразливості на етапі проєктування. Децентралізовані мережі безпеки, де спільноти об’єднуються для моніторингу безпеки, процвітають. Ці зусилля відкривають перспективні перспективи в обороні.

Висновок

Збитки у розмірі $118 мільйонів через вразливості криптовалют у грудні 2024 року — це не просто статистика, а потужне попередження. Ці вразливості включають як технічні, так і людські фактори. Фішинг досі залишається основним ($93,4 мільйона), що доводить, що людський фактор залишається найслабшою стороною. Експлойти протоколів Trust Wallet, Flow та Unleash відображають різноманітні атаки, спрямовані на різні типи вразливостей.

Тенденція зростання з жовтня по грудень свідчить про погіршення ситуації. Індустрії потрібні радикальні дії: посилити аудити безпеки, впровадити гаманці з мультипідписами та підвищити обізнаність користувачів. Це гонка озброєнь між експертами з безпеки та нападниками, і кожна сторона постійно впроваджує нові методи. 2025 рік залишатиметься складним, але за умови ретельної підготовки екосистема криптовалют може суттєво зменшити втрати.