برای هر نوع حمله و هک وب3، یک رویکرد متمایز برای ایمنی وجود داره. گزارش جامعی که توسط تیم کارشناسی سالوس تهیه شده نحوه انجام هر یک از اون‌ها رو توضیح می‌ده.
بر اساس گزارش سالوس، یک شرکت امنیتی وب 3 مبتنی بر تحقیقات، در سال 2023، چشم انداز امنیت Web3 شاهد انعطاف پذیری و چالش‌هایی بود که حملات سایبری باعث خسارات بیش از 1.7 میلیارد دلار در 453 حادثه شد.
روندهای قابل توجه شامل کاهش زیان‌های کلی بود که در تضاد با اکسپلویت‌های مطرحی مثل ضرر 200 میلیون دلاری Mixin Network، ضرر 197 میلیون دلاری Euler Finance و ضرر 126.36 میلیون دلاری Multichain بود.

هک وب3 و آسیب پذیری رایج در مسائل کنترل دسترسی

آسیب‌پذیری‌ها در هک وب 3 متنوع بودن، از جمله کلاهبرداری‌های خروج، مسائل کنترل دسترسی، فیشینگ، حملات وام‌های فلش، ورود مجدد، مسائل اوراکل و سایر آسیب‌پذیری‌ها که منجر به ضرر می‌شدن. اقدامات ایمنی بر تحقیقات کامل پروژه، احتیاط در مورد وعده‌های بازدهی بالا، مکانیسم‌های کنترل دسترسی قوی، آزمایش نفوذ Web3، و اقدامات حفاظتی در برابر حملات وام‌های فلش و آسیب‌پذیری‌های ورود مجدد تاکید دارن.

10 هک Web3 برتر سال 2023، که تقریباً 70 درصد از کل ضررها رو تشکیل می‌دن، آسیب پذیری مشترکی رو در مسائل کنترل دسترسی، به ویژه سرقت کلید خصوصی، نشون دادن. گروه لازاروس نقش مهمی در نقض‌های متعدد، تخلیه وجوه از کیف‌پول‌های داغ در معرض خطر داشت.
رویدادهای مهم شامل نفوذ ابری شبکه Mixin، سوء استفاده از آسیب پذیری Euler Finance، جنبش دارایی Multichain، هک Lazarus Group Poloniex، دستکاری Oracle توسط BonqDAO، حمله به گروه Lazarus کره شمالی در کیف پول اتمی، HECO Bridge و HTX losses، CompactedPophery، Curvesperphish و کلید خصوصی در معرض خطر CoinEx .
علیرغم کاهش مجموع تلفات نسبت به سال قبل، تمرکز تلفات در 10 هک برتر، نیاز به بهبود اقدامات امنیتی رو برجسته می‌کنه. حسابرسی دقیق، تست نفوذ Web3 و افزایش آگاهی بسیار مهم هستن، به ویژه با توجه به روش های نفوذ در حال تکامل که توسط حملات گروه Lazarus نشون داده شده.

چگونه در WEB3 ایمن باشیم؟

برای هر نوع حمله Web3، یک رویکرد متمایز برای ایمنی وجود داره. گزارش جامعی که توسط تیم کارشناسی سالوس تهیه شده ، نحوه انجام هر یک از اون‌ها رو توضیح می‌ده.

خروج از کلاهبرداری:

• انجام تحقیقات کامل در مورد پروژه‌ها و تیم‌ها، با اولویت دادن به کسانی که دارای سابقه کار خوب و ارزیابی های امنیتی شفاف هستند.
• در مورد پروژه هایی که بازده غیر واقعی بالا رو وعده می‌دن احتیاط کنید و برای کاهش ریسک، سرمایه گذاری‌ها رو متنوع کنید.

مشکلات کنترل دسترسی:

• پیاده سازی مکانیسم‌های احراز هویت و مجوز قوی، با پیروی از اصل حداقل امتیاز.
• به طور منظم مجوزهای دسترسی رو به روز کنید و آموزش‌های امنیتی مداوم رو برای کارمندان، به ویژه اون‌هایی که دارای امتیازات بالا هستند، ارائه کنید.
• ایجاد سیستم‌های نظارتی جامع برای شناسایی و پاسخ سریع به هرگونه فعالیت مشکوک در زیرساخت‌ها و برنامه‌ها.

فیشینگ:

• آزمایش نفوذ Web3 رو برای شناسایی آسیب‌پذیری‌ها در امنیت جلویی انجام بدین.
• آموزش کاربر رو در اولویت قرار بدین، استفاده از کیف پول‌های سخت افزاری و احراز هویت چند عاملی (MFA) رو تشویق کنید.
• از تأیید ایمیل و نظارت بر دامنه برای بهبود اقدامات پیشگیری از فیشینگ استفاده کنید.

حملات وام فلش:

• با اعمال محدودیت‌هایی مانند حداقل مقدار وام و محدودیت های زمانی، خطرات وام فوری رو کاهش بدین.
• برای جلوگیری از مهاجمان و افزایش هزینه های سوء استفاده های مخرب، هزینه هایی رو برای استفاده از وام فلش در نظر بگیرید.

ورود مجدد:

• به شدت به مدل چک-اثر-تعامل پایبند باشید، قبل از تغییر حالت، بررسی‌ها و اعتبارسنجی‌های لازم رو انجام بدین.
• اجرای حفاظت از ورود مجدد جامع برای عملکردهای مربوط به عملیات حساس در قرارداد.
• انجام ممیزی کامل قرارداد هوشمند توسط حسابرسان مجرب و مسئول برای کاهش آسیب پذیری های ورود مجدد.

مشکلات اوراکل:

• از استفاده از بازارهایی با نقدینگی کم برای پیش بینی قیمت خودداری کنید.
• نقدینگی توکن رو قبل از ادغام طرح‌های اوراکل قیمت خاص در پلتفرم خود ارزیابی کنید.
• هزینه دستکاری مهاجم رو از طریق قیمت میانگین زمانی (TWAP) افزایش بدین تا محافظت از آسیب پذیری اوراکل رو بیشتر کنید.

منبع:
TOP 10 WEB3 HACKS OF 2023 CONSTITUTED NEARLY 70% OF TOTAL LOSSES