Informe de seguridad ecológica de Blockchain para el tercer trimestre de 2023

Escrito por Fairyproof

Resumen

En el tercer trimestre de 2023, el mercado de criptomonedas en su conjunto se mantuvo sin incidentes. Sin embargo, la frecuencia de accidentes de seguridad en la ecología superó a la de los dos trimestres anteriores. Durante el trimestre, aproximadamente USD 572 millones en criptoactivos sufrieron pérdidas por diversos incidentes de seguridad.

Fairyproof estudió 198 casos típicos reportados públicamente en el tercer trimestre, y analizó los casos, y exploró las características del ecosistema de seguridad reflejadas en estos incidentes y las medidas preventivas relevantes que los usuarios pueden tomar.

AntecedentesIntroducciónAntes de presentar en detalle los resultados del informe de investigación de Fairyproof, es necesario explicar y explicar los términos relevantes de este informe.

CCBS

CCBS significa “Autoridad de Servicio Centralizado de Criptoactivos o Blockchain”. Por lo general, se refiere a la plataforma de servicio no en cadena administrada por operación humana, y su tecnología central se basa principalmente en tecnología centralizada tradicional, y sus actividades diarias de operación y mantenimiento son principalmente actividades fuera de la cadena. Los exchanges de criptoactivos tradicionales (como Binance) y las plataformas de aceptación de emisión de criptoactivos (como Tether) son típicos de esto.

PRÉSTAMO FLASH

Los préstamos relámpago son una forma común y popular para que los piratas informáticos ataquen los contratos inteligentes en la plataforma Ethereum Virtual Machine. Flash Loan es una conocida aplicación DeFi AAVE[1] [2]Un método de invocación de contratos inventado por el equipo. Esta llamada de contrato permite a los usuarios prestar criptoactivos directamente desde aplicaciones DeFi que admiten esta función sin ninguna garantía, siempre que el usuario devuelva el activo dentro de una transacción en bloque para que la transacción sea válida [3]。 Originalmente, esta función se inventó para brindar a los usuarios de DeFi un medio más flexible y conveniente para llevar a cabo diversas actividades financieras en la cadena. Pero más tarde, el escenario más utilizado para los préstamos flash debido a su flexibilidad se convirtió en los hackers que prestaban ERC-20 A continuación, el token se utiliza para atacar. Antes de iniciar un préstamo flash, el usuario debe describir claramente la lógica del préstamo (activos) y el rendimiento (activos, intereses y gastos de gestión relacionados) en un contrato, y luego llamar al contrato para iniciar el préstamo flash.

PUENTE DE CADENA CRUZADA**

Un puente entre cadenas es una infraestructura que conecta múltiples cadenas de bloques independientes, lo que permite que los tokens implementados en diferentes cadenas de bloques circulen entre cada cadena de bloques.

A medida que más y más cadenas de bloques tienen sus propios ecosistemas, aplicaciones y criptoactivos, la demanda de comunicación y transacciones entre cadenas de bloques ha crecido significativamente. Esto también hace que los puentes entre cadenas sean un objetivo candente a los ojos de los piratas informáticos.

Aspectos destacados del informe

Fairyproof estudió en detalle los 198 incidentes de seguridad típicos que ocurrieron en el tercer trimestre de 2023 y, en este informe, analizó estadísticamente varios factores, como la cantidad de daños causados por estos incidentes, las causas y dio las recomendaciones y medidas de prevención correspondientes.

Estadísticas y análisis de incidentes de seguridad en el 3T 2023

El equipo de investigación de Fairyproof estudió en detalle los 198 incidentes de seguridad que se destacaron en el tercer trimestre de 2023, enumeró los resultados estadísticos y los analizó en términos del objetivo del ataque y la causa raíz del ataque.

La pérdida total de criptoactivos por estos 198 incidentes de seguridad ascendió a USD 572 millones, y Tradingview mostró un valor total de los criptoactivos convencionales de USD 1,056 mil millones. La relación entre los activos con pérdidas y la capitalización bursátil total es del 0,05%.

Incidentes de seguridad basados en la víctima

Los incidentes de seguridad estudiados por Fairyproof se pueden dividir en las siguientes cuatro categorías según sus víctimas:

1. Servicio Centralizado de Criptoactivos o Blockchain (CCBS, CCBS en lo sucesivo denominado este concepto)

2. Cadenas de bloques

3. Aplicaciones descentralizadas (dApps)

4. Puentes entre cadenas

A los efectos de este informe, un incidente de seguridad de CCBS es cuando el sistema de CCBS es atacado o comprometido. Durante estos incidentes, se robaron activos bajo la custodia de CCBS o se interrumpieron los servicios operativos. Un incidente de seguridad de la cadena de bloques es cuando la red principal de la cadena de bloques, la cadena lateral o el sistema de extensión de segunda capa adjunto a la red principal de la cadena de bloques es atacada o comprometida. Por lo general, en estos eventos, los piratas informáticos atacan desde dentro del sistema, fuera del sistema o ambos, lo que resulta en un mal funcionamiento del software o hardware y la pérdida de activos.

Un incidente de seguridad de dApp es cuando una dApp es atacada y no funciona correctamente, dando a los hackers la oportunidad de robar activos criptográficos gestionados en la dApp.

Un evento de seguridad de puente entre cadenas se refiere a un ataque al puente entre cadenas, lo que hace que no funcione correctamente o incluso provoque el robo de los criptoactivos con los que realiza transacciones.

Fairyproof dividió un total de 198 incidentes en las cuatro categorías descritas anteriormente, con un gráfico de distribución proporcional de la siguiente manera:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/a89e4cf4c8b19410eff238448ca5e395.png)

Como se puede ver en la figura, el número de incidentes de seguridad de dApp representó el 86,87% del total, más que cualquier otra categoría. Entre ellos, 198 fueron eventos de seguridad de dApp, 4 fueron eventos de seguridad de CCBS, 14 fueron eventos de seguridad de blockchain, 4 fueron eventos de seguridad de puentes entre cadenas y 172 fueron eventos de seguridad de dApp.

Eventos de seguridad de blockchain

Los incidentes de seguridad relacionados con la cadena de bloques se pueden subdividir en las siguientes tres categorías:

Mainnets de Blockchain ii Cadenas laterales

Soluciones de capa 2

También conocida como Capa 1, la red principal de blockchain es una cadena de bloques independiente con su propia red, protocolo, consenso y validadores. La red principal de blockchain puede verificar transacciones, datos y bloques, todo ello realizado por sus propios validadores y, en última instancia, coherente. Bitcoin y Ethereum son las redes principales típicas de la cadena de bloques.

Una cadena lateral es una cadena de bloques separada que opera en paralelo con la red principal de la cadena de bloques. También tiene su propio consenso y validadores, pero estará anclado de alguna manera (como el anclaje bidireccional[4] [5]El sistema de escalado de segunda capa es un sistema que se basa en la red principal de la cadena de bloques, lo que requiere que la red principal de la cadena de bloques proporcione seguridad y coherencia eventual 。 Es principalmente para resolver la escalabilidad de la red principal de blockchain, que puede procesar transacciones con tarifas más bajas y precios más bajos. Desde 2021, el sistema de escalado de capa 2 adjunto a Ethereum ha crecido a pasos agigantados.

Tanto las cadenas laterales como los sistemas de escalado de capa 2 están diseñados para abordar la escalabilidad de la red principal de la cadena de bloques. La principal diferencia entre los dos es que las cadenas laterales no dependen de la red principal de la cadena de bloques para proporcionar seguridad y consistencia, pero un sistema de escalado de capa 2 sí lo hace.

En total, hubo 14 incidentes de seguridad relacionados con blockchain en el tercer trimestre de 2023. La siguiente figura muestra la proporción de la red principal de la cadena de bloques, la cadena lateral y el sistema de escalado de capa 2.

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/38ffdfc32f8c433a3f7a49164e6caf2c.png)

Como se puede ver en la figura anterior, el número de incidentes de seguridad relacionados con la red principal de blockchain y los eventos de seguridad relacionados con el sistema de extensión de segunda capa representaron el 92,86% (13 casos) y el 7,14% del total, respectivamente

。 No hay eventos de seguridad típicos de la cadena lateral. La segunda capa de eventos de seguridad del sistema extendido involucra a los sistemas que son Metis[6] [7], la red principal involucrada en el incidente de seguridad de la red principal de blockchain es Mixin 、

Red Quai[8] [9]、Swisstronik [10]、Cadena de bloques SwapDex [11]、Aptos Esperar.

Eventos de seguridad de DAPP

De los 172 incidentes de seguridad que involucraron dApps, 16 fueron fugitivos, 1 estuvo implicado y 155 fueron atacados directamente. Los ataques directos a las dApps suelen implicar tres áreas:

El front-end, el back-end y el contrato inteligente de la Dapp. Por lo tanto, dividimos los 155 incidentes atacados directamente en las siguientes tres categorías: i. dApp frontend ii. dApp Backend iii. Contratos de dApp

En el caso de un ataque front-end a una dApp, los hackers atacan principalmente a través de vulnerabilidades front-end para robar activos o paralizar sus servicios.

En el incidente de ataque en segundo plano de dApp, los piratas informáticos lanzan ataques principalmente a través de vulnerabilidades en segundo plano, como el secuestro de la comunicación entre el backend y el contrato, el secuestro de activos o la paralización de servicios.

En el caso de los ataques a contratos de dApp, los hackers lanzaron ataques principalmente a través de vulnerabilidades de contratos, robando activos o paralizando sus servicios. El siguiente gráfico muestra la proporción de incidentes atacados en estas tres categorías:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/1c0f7d516b29c5260d7790d0756b8eee.png)

Como se muestra en la figura anterior, la proporción de ataques de contrato, backend y front-end fue del 19,35 %, 0 % y 80,65 %, respectivamente. De un total de 155 incidentes, 125 fueron ataques frontales.

30 casos fueron ataques por encargo.

Estudiamos más a fondo la cantidad de pérdidas de criptoactivos causadas por varios eventos. Entre ellos, las pérdidas ocasionadas por ataques a contratos y ataques front-end fueron de US$210 millones y US$39,8 millones, respectivamente, representando el 84,03% y el 15,97% de la pérdida total, respectivamente, como se muestra en la siguiente figura:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/89f98870349f99a878152658943d12bb.png)

Entre las muchas vulnerabilidades de contratos, las fallas lógicas, la fuga de claves privadas, los ataques de préstamos flash y los ataques de reentrada son vulnerabilidades típicas.

Estudiamos 30 incidentes de seguridad relacionados con ataques directos a contratos y obtuvimos el siguiente gráfico de escala:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/d8ec1949322e5f3cbc4f32cfed966618.png)

Como se muestra en la figura anterior, los fallos lógicos causan la mayor proporción de eventos de seguridad del contrato. Los defectos lógicos a menudo incluyen la falta de validación de parámetros, la falta de validación de permisos, etc. El número de incidentes de seguridad causados por un fallo lógico fue de 13.

En la siguiente figura se muestra la relación entre el importe de la pérdida causada por cada vulnerabilidad:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/43c448b335833805a038d0fd4ea3b505.png)

El importe de la pérdida causada por la fuga de la clave privada representa la mayor proporción. Las 4 violaciones de claves privadas resultaron en una pérdida total de 173 millones de dólares, o el 82,56% de la pérdida total.

Incidentes de seguridad basados en causas

Basándonos en las causas de los incidentes de seguridad de la cadena de bloques, dividimos los accidentes en tres categorías: i. Causados por ataques de piratas informáticos

ii. Huida iii. Otro

Nuestros hallazgos se muestran en la siguiente figura:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/886803f8085fc8788dcf7488156087af.png)

Como se muestra en la figura anterior, la proporción de accidentes de seguridad causados por ataques de piratas informáticos y huida fue del 91,92% (182 casos) y del 8,08% (16 casos), respectivamente.

Analizamos las pérdidas causadas por estas causas, como se muestra en el siguiente gráfico:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/61306c8bd9c89411dac0654b6b2c88df.png)

Como se muestra en la figura anterior, las pérdidas causadas por la piratería y la huida representaron el 94,69% y el 5,31%, respectivamente, con la primera provocando una pérdida de 541 millones de dólares y la segunda de 30,35 millones de dólares. Esto demuestra que la piratería sigue siendo una amenaza importante para la seguridad de la industria en el tercer trimestre de 2023.

Incidente de pirateríaEstudiamos el incidente de piratería, como se muestra en la siguiente figura:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/57ec3c724a540940de823d4f6436995e.png)

Como se muestra en la figura anterior, la proporción de ataques de piratas informáticos a dApps, blockchain, CCBS y puentes entre cadenas fue del 87,64 % (156), 7,87 % (14), 2,25 % (4) y respectivamente

2.25%（4）。

Analizamos la cantidad de pérdidas causadas por varios tipos de eventos, como se muestra en el siguiente gráfico:

! [Informe de seguridad ecológica de la cadena de bloques del tercer trimestre de 2023] (https://cdn-img.panewslab.com//panews/2022/10/13/images/c83731b7e4e2871759f68636e0383a79.png)

Las pérdidas de activos causadas por los ataques de piratas informáticos a blockchain, dApps, puentes entre cadenas y CCBS representaron el 36,97%, 46,25%, 0,79% y 15,99%, respectivamente, y las pérdidas específicas fueron de USD 200 millones, USD 250 millones, USD 86,5 millones y USD 4,3 millones, respectivamente. Otros incidentes de seguridad no dieron lugar a pérdidas significativas.

Eventos de fuga

Los eventos típicos que ocurrieron en el tercer trimestre de 2023 fueron proyectos de dApp. Un total de 30,35 millones de dólares fueron causados por los 16 incidentes de segunda vuelta. Esta cantidad de daño es mucho menor que la cantidad de daño causado por la piratería.

Resultados de la investigación

Según nuestras estadísticas, en el tercer trimestre de 2023, el objetivo preferido de los hackers siguen siendo los proyectos de dApps, y los ataques a las dApps superan con creces a cualquier otro objeto, representando el 87,64% del número total de ataques y el 46,25% de las pérdidas totales. De todos los ataques, el más grave fue el de Multichain[12] atacar.

Para todo el ecosistema blockchain, los hackers siguen siendo la mayor amenaza de seguridad, tanto en términos de la cantidad de incidentes de seguridad causados por ellos como de la pérdida de activos que causan, y la cantidad de incidentes de seguridad causados por ataques de hackers representa más del 91,92% del número total de incidentes de seguridad, superando con creces la amenaza causada por la ejecución de eventos a la ecología.

Una dApp típica consta de tres partes: front-end, back-end y contrato inteligente. Cuando un hacker ataca una dApp, ataca una parte o varias partes al mismo tiempo. Según nuestras estadísticas, los ataques a la interfaz de la dApp superan con creces a los ataques de contratos, pero la cantidad de daño causado por los ataques a los contratos inteligentes supera con creces la cantidad de daño a la interfaz.

Esto demuestra que los peligros ocultos de los contratos inteligentes siguen siendo los mayores peligros ocultos de la seguridad de las dApps.

Los eventos típicos fuera de control en el tercer trimestre de 2023 ocurrieron en proyectos de dApp.

Entre los incidentes en los que los contratos inteligentes han sido hackeados, el número de ataques causados por las siguientes tres categorías es el de los tres primeros: primero: fallos lógicos, y segundo: préstamos flash

Sin embargo, en términos de la cantidad de pérdida, la cantidad de pérdida de activos causada por el ataque causado por la filtración de la clave privada está en la parte superior de la lista, superando con creces otras categorías.

Planes prácticos y medidas para prevenir incidentes de seguridad

En esta sección, resumiremos algunos escenarios y medidas para ayudar a los desarrolladores y usuarios de blockchain a gestionar y prevenir los riesgos de blockchain en función de las características de los incidentes de seguridad ocurridos en el tercer trimestre de 2023. Recomendamos que tanto los desarrolladores como los usuarios de blockchain implementen y practiquen activamente estos planes y medidas tanto como sea posible en sus operaciones diarias y trabajen para proteger la seguridad de los proyectos y los criptoactivos en la mayor medida posible.

Nota: “Desarrollador de blockchain” se refiere tanto al desarrollador del proyecto de blockchain en sí como al desarrollador relacionado con el sistema de blockchain o su sistema de extensión (como activos criptográficos, etc.). “Usuarios de blockchain” se refiere a todos los usuarios que participan en actividades del sistema blockchain (como gestión, operación, mantenimiento, etc.) o transacciones de criptoactivos.

** Para desarrolladores de blockchain**

Aunque no hubo incidentes de seguridad típicos que impliquen sistemas de escalabilidad horizontal de capa 2 en el tercer trimestre, todavía vale la pena prestar atención a la seguridad de los sistemas de escalabilidad horizontal de capa 2. Debido a que el desarrollo y el aterrizaje del esquema de extensión de la segunda capa seguirán siendo el punto caliente y el foco de todo el ecosistema, la investigación sobre la seguridad del esquema será un gran desafío para la industria.

En las aplicaciones de cadena de bloques, cuando el proyecto se despliega y se ejecuta de manera estable durante un período de tiempo, es un paso necesario transferir la autoridad para controlar las operaciones clave en el proyecto a la billetera multisig o a la organización DAO para su administración.

Cuando los piratas informáticos descubren vulnerabilidades en los contratos inteligentes, a menudo usan préstamos flash para atacar los contratos. Estas vulnerabilidades explotables a menudo incluyen vulnerabilidades de reentrada, fallas lógicas (por ejemplo, falta de validación de permisos, algoritmos de precios incorrectos), etc. Prevenir y tratar estrictamente estas vulnerabilidades requiere una gran atención para los desarrolladores de contratos inteligentes, e incluso debe clasificarse en la parte superior de la importancia.

Nuestras estadísticas también muestran que cada vez más piratas informáticos lanzan ataques de phishing a través de software de redes sociales como Discord, Twitter, etc. Este fenómeno continuó a lo largo de 2022 y en el tercer trimestre de 2023. Bastantes usuarios han sufrido pérdidas en él. El equipo del proyecto debe implementar una gestión estricta e integral de sus redes sociales, implementar las soluciones de seguridad correspondientes para garantizar la seguridad y estabilidad de su operación de redes sociales y evitar que sean explotadas por piratas informáticos.

Usuario de Blockchain

Cada vez más usuarios están comenzando a participar en diversas actividades ecológicas de blockchain y poseen varios activos ecológicos de blockchain. En el proceso, la actividad de transacciones entre cadenas también ha crecido rápidamente. Cuando los usuarios participan en transacciones entre cadenas, los usuarios necesitan interactuar con puentes entre cadenas, que a menudo son el objetivo de los piratas informáticos. Por lo tanto, antes de que los usuarios inicien transacciones entre cadenas, deben investigar y comprender en detalle el estado de seguridad y el estado de funcionamiento del puente entre cadenas que utilizan para garantizar la seguridad, estabilidad y confiabilidad del puente entre cadenas.

Cuando los usuarios interactúan con una dApp, deben prestar mucha atención a la calidad y seguridad de sus contratos inteligentes, así como a la seguridad de la interfaz de la dApp. Tenga cuidado con alguna información desconocida y altamente sospechosa, indicaciones, diálogos, etc. que se muestran en la interfaz, y no haga clic ni siga sus instrucciones a voluntad.

Recomendamos encarecidamente que los usuarios revisen y lean cuidadosamente el informe de auditoría de cualquier proyecto de blockchain antes de interactuar o invertir en un proyecto de blockchain. Discuta la participación en proyectos que no tienen un informe de auditoría o reportar algo sospechoso.

Recomendamos que los usuarios intenten usar billeteras frías o billeteras multifirma para administrar activos grandes o activos que no se utilizan para transacciones frecuentes. Siempre tenga cuidado con la seguridad operativa de la billetera caliente y asegúrese de que la plataforma de hardware en la que está instalada la billetera caliente sea inherentemente segura, confiable y estable.

Los usuarios deben hacer cierto nivel de investigación y comprensión de los antecedentes del equipo del proyecto blockchain. Ten cuidado con los equipos con fondos borrosos y falta de crédito. Tenga cuidado con el riesgo de huir con este tipo de proyectos. En el caso de los exchanges centralizados que se utilizan con frecuencia, los usuarios deben prestar más atención a sus antecedentes y crédito, y verificar los antecedentes, la información y los datos de estos exchanges a partir de múltiples fuentes de datos de terceros tanto como sea posible para garantizar el funcionamiento seguro y sostenible a largo plazo del exchange.

Recursos

[1] Fantasma.

[2] Préstamos flash. Préstamos-Flash/

[3] ESTÁNDAR DE TOKEN ERC-20.

[4] Cadenas laterales.

[5] Capa 2.

[6] Metis.

[7] Mezcla.

[8] Red Quai.

[9] Swisstronik.

[10] Cadena de bloques SwapDex.

[11] Aptos.

[12] Multicadena.