Безопасность Web3 во многом зависит от уникальной способности блокчейнов к приверженности и устойчивости к человеческому вмешательству. Эти управляемые программным обеспечением сети являются основной целью злоумышленников из-за связанного с ними свойства завершенности, когда транзакции обычно необратимы. Как и блокчейны, распределенные компьютерные сети, лежащие в основе web3, приобретают ценность, равно как и вспомогательные технологии и приложения, что делает их все более и более привлекательными целями для злоумышленников.

Мы видели сходство с историческими тенденциями в области безопасности программного обеспечения, несмотря на отличия web3 от более ранних интернет-итераций.
Основные проблемы часто остаются прежними.
Изучая эти темы, защитники — будь то разработчики, команды безопасности или обычные пользователи криптовалюты — могут лучше защитить свои проекты, личные вещи и кошельки от потенциальных воров.
Основываясь на нашем опыте, мы перечислили несколько повторяющихся тем и прогнозов ниже.


Следуя за деньгами

  • Злоумышленники обычно хотят получить максимальную отдачу от своих инвестиций. Из-за более высокого потенциального вознаграждения они могут тратить больше времени и усилий на атаки на протоколы с большей «заблокированной общей стоимостью» или TVL.
  • Системы с высокой ценностью чаще становятся целью хакерских организаций с наибольшим количеством ресурсов.
  • Эти желаемые цели также чаще становятся целью новых эксплойтов, наиболее прибыльных.
  • Мы ожидаем, что в обозримом будущем недорогие атаки, такие как фишинг, станут более распространенными.


Заделка дыр

  • По мере того, как программисты получают знания в результате проверенных временем атак, программное обеспечение web3 может в конечном итоге стать «безопасным по умолчанию».
    Интерфейсы прикладного программирования или API часто ужесточаются, чтобы снизить вероятность ошибок, ведущих к внедрению уязвимостей.

  • Эффективность следующих атак, включая атаки на управление, манипулирование оракулом ценообразования и бреши повторного входа, может значительно снизиться по мере развития методов и технологий безопасности.

  • Стоимость атак может быть увеличена за счет удаления большинства легкодоступных продуктов для злоумышленников, даже если безопасность всегда находится в стадии разработки, и ничто никогда не защищено от взлома.

  • Платформы, которые не могут гарантировать «идеальную» безопасность, должны будут использовать меры по смягчению эксплойтов, чтобы снизить вероятность потерь. Снижая «выгоду» или увеличивая компонент их уравнения затрат и выгод, это может сдерживать атаки.


Классификация атак

  • Атаки на различные системы можно классифицировать на основе их схожих свойств. Определяющие качества включают в себя, насколько сложно осуществить нападение, в какой степени атаки могут быть автоматизированы и какие меры защиты могут быть приняты для борьбы с ними.

Атаки оракула ценообразования: рыночные манипуляторы:
Трудно точно оценить активы. Манипулирование рынком запрещено в обычной торговой среде, и вы рискуете быть оштрафованным или даже арестованным, если искусственно завысите или занизите цену актива.
Проблема остро стоит в DeFi, который позволяет произвольным лицам «мгновенно торговать» сотнями миллионов или миллиардами долларов, что приводит к резким изменениям цен.

Многочисленные инициативы web3 опираются на «оракулы», которые представляют собой компьютерные системы, предлагающие данные в режиме реального времени и служащие источником данных, которые нельзя получить в сети.
Оракулы часто используются, например, для расчета обменного курса между двумя активами.
Однако злоумышленники нашли способ обмануть эти якобы надежные источники.

По мере прогресса стандартизации оракулов станут доступны более безопасные мосты между офчейн- и ончейн-мирами, и мы можем ожидать, что рынки станут более устойчивыми к попыткам манипулирования. Если повезет, этот класс атак может однажды исчезнуть почти полностью.

  • Профиль
  • Кто: организованные группы (АПТ), сольные актеры и инсайдеры.
  • Сложность: Умеренная (требуются технические знания).
  • Автоматизация: высокая (большинство атак, вероятно, связаны с автоматизацией обнаружения уязвимости).
  • Ожидания на будущее: вероятность снижения по мере того, как методы точного ценообразования станут более стандартными.

Атаки на управление: похитители выборов:
Это первая проблема, связанная с криптографией, которая появляется в списке. Компонент управления присутствует во многих проектах web3, позволяя держателям токенов отправлять и принимать решения по запросам на изменение сети. Хотя это дает возможность для постоянного развития и улучшения, это также создает лазейку для внедрения злонамеренных идей, которые, если они будут реализованы, могут нанести вред сети.

Злоумышленники разработали новые стратегии для обхода ограничений, захвата власти и ограбления казны. Нападения на органы управления теперь наблюдаются в дикой природе, тогда как раньше они вызывали только теоретическое беспокойство. Как недавно произошло с децентрализованным финансированием, или DeFi, проектом Beanstalk, злоумышленники могут брать значительные «срочные кредиты», чтобы повлиять на голоса. Злоумышленникам будет проще воспользоваться голосованием за управление, которое инициирует автоматическое выполнение предложения; но, если принятие предложения задерживается или требует одобрения людьми со стороны многих сторон (например, через кошелек с мультиподписью), его может быть труднее реализовать.

  • Профиль
  • Кто: Любой, от организованных групп (APT) до сольных актеров.
  • Сложность: от низкой до высокой, в зависимости от протокола. (У многих проектов есть активные форумы, сообщества в Twitter и Discord, а также панели делегирования, которые могут легко выявить больше любительских попыток.)
  • Автоматизация: от низкой до высокой, в зависимости от протокола.
  • Ожидания на будущее. Эти атаки в значительной степени зависят от инструментов и стандартов управления, особенно в том, что касается мониторинга и процесса принятия предложений.

Уязвимости цепочки поставок: самые слабые звенья:
Автопроизводители отзывают товары по соображениям безопасности, когда обнаруживают неисправные детали в своих автомобилях, и цепочка поставок программного обеспечения не является исключением.

Библиотеки, созданные третьими сторонами для программного обеспечения, увеличивают поверхность атаки. Это долгое время было проблемой безопасности для систем до web3, о чем свидетельствует взлом log4j в декабре прошлого года, который повлиял на многие программы веб-серверов. Чтобы найти незакрытые уязвимости, которые они могут использовать, злоумышленники будут искать в Интернете известные недостатки.

Хотя ваш инженерный персонал, возможно, не создал импортированный код, его все же необходимо поддерживать. Команды должны отслеживать ход и состояние проектов, на которые они полагаются, проверять наличие уязвимостей в отдельных компонентах своего программного обеспечения и следить за применением обновлений. Трудно должным образом информировать пользователей библиотек об этих рисках из-за фактических и немедленных затрат на эксплуатацию уязвимостей программного обеспечения Web3. До сих пор не принято решение о том, как и где команды должны делиться ими друг с другом, чтобы непреднамеренно не подвергать опасности финансирование пользователей.

  • Профиль
  • Кто: Организованные группы, такие как APT, сольные актеры и инсайдеры.
  • Сложность: умеренная (требуются технические ноу-хау и некоторое время)
  • Автоматизация: умеренная (сканирование с целью поиска неисправных программных компонентов может быть автоматизировано, но при обнаружении новых уязвимостей необходимо создавать эксплойты вручную).
  • Ожидания на будущее: Уязвимости цепочки поставок, вероятно, будут увеличиваться по мере роста взаимозависимости и сложности программных систем. Случайные хакерские атаки, скорее всего, также будут расти, пока не будут разработаны хорошие стандартизированные методы раскрытия уязвимостей для безопасности веб-3.

APT-операции: главные хищники:
Опытные противники, иногда называемые продвинутыми постоянными угрозами (APT), являются страшилками индустрии безопасности. У них широкий спектр мотивов и навыков, но они часто богаты и настойчивы, как следует из их названия; к сожалению, вполне вероятно, что они будут существовать постоянно. Хотя различные APT выполняют широкий спектр операций, эти субъекты угроз, скорее всего, будут напрямую нацелены на сетевой уровень бизнеса для достижения своих целей.

Мы знаем, что некоторые высокоразвитые группы активно реализуют инициативы web3, и мы полагаем, что могут быть и другие неопознанные сущности. Лица, ответственные за наиболее тревожные APT, обычно проживают в странах, у которых нет соглашений об экстрадиции с США и ЕС, что затрудняет выдвижение против них обвинений. Lazarus, северокорейская организация, которую ФБР обвинило в проведении крупнейшей криптоатаки на сегодняшний день, является одной из самых известных APT.

  • Профиль
  • Кто: национальные государства, хорошо финансируемые преступные организации и другие продвинутые организованные группы. Примеры включают хакеров Ronin (Lazarus, широко связанных с Северной Кореей).
  • Сложность: Высокая (доступна только группам с большими ресурсами, обычно в странах, которые не будут преследовать в судебном порядке).
  • Автоматизация: Низкая (все еще в основном ручная работа с некоторыми пользовательскими инструментами)
  • Ожидания на будущее: APT будут оставаться активными до тех пор, пока они могут монетизировать свою деятельность или достигать различных политических целей.

Новые слабости: неизвестные неизвестные:
Безопасность Web3 ничем не отличается. Уязвимости «нулевого дня», названные так потому, что они были широко известны нулевыми днями на момент их появления, являются спорной темой в мире информационной безопасности. Сложнее всего защититься от ударов, которые появляются из ниоткуда.

Web3, во всяком случае, упростил монетизацию этих дорогостоящих и трудоемких операций, потому что может быть сложно вернуть украденные криптовалюты. Злоумышленники могут потратить много времени на просмотр кода сетевых приложений, пытаясь обнаружить дефект, который оправдает их усилия.

Неосведомленные проекты все еще страдают от некоторых бывших новых уязвимостей; например, проблема повторного входа, которая привела к краху TheDAO, раннего проекта Ethereum, до сих пор присутствует в других местах.

  • Профиль
  • Кто: организованные группы (АПТ), сольные актеры (менее вероятно) и инсайдеры.
  • Сложность: Средняя-Высокая (требуются технические знания, но не все уязвимости слишком сложны для понимания людьми).
  • Автоматизация: Низкая (поиск новых уязвимостей требует времени и усилий и вряд ли будет автоматизирован; после обнаружения подобных проблем в других системах становится проще).
  • Ожидания на будущее: больше внимания привлекает больше белых хакеров и повышает «входной барьер» для обнаружения новых уязвимостей. Между тем, по мере роста внедрения Web3 растет и мотив для черных шляп находить новые эксплойты. Скорее всего, это останется игрой в кошки-мышки, как и во многих других областях безопасности.