Web3 vuonna 2024 on ollut sekä edistysaskeleiden että vaarojen vuosi. Vaikka sääntelylliset läpimurrot, kuten Bitcoin- ja Ethereum-pörssinoteerattujen rahastojen (ETF) hyväksyntä Yhdysvalloissa, viittasivat valtavirran hyväksyntään, ala jäi varjoon hakkereiden ja huijausten lisääntymisen vuoksi, mikä asetti miljardit vaaralle alttiiksi.
Uhkausten laajuuden selvittämiseksi puhuimme Prof. Ronghui Gu:n kanssa, joka on CertiK:n perustaja. Hänen yrityksensä uusin Hack3d: The Web3 Security Report 2024 paljastaa hämmästyttävät 2,36 miljardia dollaria tappioita 760 ketjussa tapahtuneessa tapauksessa, mikä on 31,61 % kasvu viime vuodesta. Pelkästään tietojenkalasteluhyökkäykset aiheuttivat lähes puolet näistä tappioista, mikä korostaa kiireellistä tarvetta vahvemmille turvallisuustoimenpiteille koko ekosysteemissä.
BeInCrypto: Mitkä olivat keskeiset tekijät Ethereumin suuren hyökkäysmäärän taustalla?
Prof. Gu: Ethereumin asema suosituimpana EVM-ketjuna heijastaa sen menestystä, mutta se on myös ensisijainen kohde hyväksikäytöille, koska verkossa toimii suuri määrä projekteja ja käyttäjiä.
Lisäksi sen avoin ja yhdisteltävä ekosysteemi mahdollistaa kehittäjien rakentamisen olemassa olevien protokollien päälle, mikä samalla kun se edistää innovaatioita, voi tahattomasti tuoda mukanaan haavoittuvuuksia toisiinsa liittyvien riippuvuuksien kautta. Uusien projektien usein kokeellisen tai testaamattoman koodin käyttöönotto lisää näitä riskejä.
BeInCrypto: Miten ala voi torjua tietojenkalasteluhyökkäysten lisääntymistä, jotka aiheuttivat lähes 50 % vuoden 2024 tappioista?
Prof. Gu: Koulutus, teknologinen innovaatio ja yhteistyö ovat avainasemassa tietojenkalasteluhyökkäysten kasvavan uhan torjumisessa. Käyttäjien kouluttaminen tunnistamaan varoitusmerkkejä, kuten epäilyttäviä linkkejä, pyytämättömiä viestejä ja väärennettyjä verkkosivustoja, on olennaista ennaltaehkäisyssä. Selkeä, jatkuva viestintä näistä riskeistä antaa yksilöille mahdollisuuden suojautua.
Teknisellä puolella kehittyneiden havaitsemisjärjestelmien, kuten tekoälypohjaisen uhkavalvonnan ja reaaliaikaisten hälytysten, integrointi voi auttaa organisaatioita ennakoimaan hyökkäyksiä. Yhteistyö alan sisällä uhkatiedon ja parhaiden käytäntöjen jakamiseksi vahvistaa puolustusta.
BeInCrypto: Mitkä DeFi-protokollat olivat haavoittuvimpia, ja mitä toimenpiteitä ne voivat tehdä vahvistaakseen turvallisuutta?
Prof. Gu: Vuonna 2024 havaitsimme yksityisten avainten kompromissien ja tietojenkalastelutapausten lisääntymisen ekosysteemissä. Tämä edustaa yleistä siirtymää sopimusten haavoittuvuuksista ihmisten haavoittuvuuteen, jota pidetään usein tällaisen järjestelmän heikoimpana lenkkinä.
Kaksi suurinta askelta, jotka protokollat voivat ottaa varmistaakseen turvallisuutensa, ovat yksityisten avainten turvallinen säilyttäminen ja vankkojen menettelyjen toteuttaminen varmistaakseen, etteivät työntekijät itse ole kohteena.
BeInCrypto: Kuinka tehokkaita ovat olleet ponnistelut älykkäiden sopimusten hyväksikäyttöön liittyvien toistuvien ongelmien ratkaisemiseksi?
Prof. Gu: Yleisesti ottaen koodin haavoittuvuuksista johtuvat tappiot ovat vähentyneet vuodesta 2022 lähtien, mikä viittaa siihen, että älykkäät sopimukset ovat tulleet turvallisemmiksi. Lisäksi olemme nähneet siirtymisen kohti yksityisten avainten kompromisseja ja tietojenkalastelua, todennäköisesti siksi, että koodin haavoittuvuudet ovat vaikeita useimmille käyttäjille löytää, paitsi erittäin taitaville bugien metsästäjille.
BeInCrypto: Altistiko Bitcoin- ja Ethereum-ETF:ien hyväksyntä ekosysteemin uusille uhkille?
Prof. Gu: Nämä tuotteet yhdistävät perinteisen rahoituksen ja krypton, mikä voi altistaa ekosysteemin uhille, kuten sääntelyarbitraasille, sisäpiirikaupalle ja lisääntyneelle tarkkailulle pahantahtoisten toimijoiden taholta, jotka kohdistavat hyökkäyksiä sekä sijoittajiin että näihin tarjouksiin osallistuviin instituutioihin.
Kyberturvallisuusuhat, kuten hyökkäykset säilytyspalveluihin tai ETF-infrastruktuuriin, ovat merkittävä huolenaihe. Näiden omaisuuserien suojaaminen vaatii vankkoja turvallisuusprotokollia, mukaan lukien kylmäsäilytysratkaisut ja reaaliaikainen valvonta.
Lisäksi ETF-toimintojen läpinäkyvyys ja yhteistyö sääntelyviranomaisten kanssa voivat auttaa lieventämään riskejä. Vaikka Bitcoin- ja Ethereum-ETF:t edustavat positiivista askelta valtavirran käyttöönotossa, näiden tuotteiden turvallisuuden ja luottamuksen varmistaminen on ratkaisevan tärkeää niiden pitkäaikaiselle menestykselle.
BeInCrypto: Mikä rooli käyttäjäkoulutuksella on yksityisten avainten kompromissien lieventämisessä?
Monet tapaukset johtuvat puutteellisesta ymmärryksestä turvallisista käytännöistä, kuten avainten suojaamisesta ja sosiaalisen manipuloinnin taktiikoiden tunnistamisesta. Käyttäjien kouluttaminen turvallisista säilytysmenetelmistä, mukaan lukien laitteistolompakot ja salatut varmuuskopiot, voi auttaa minimoimaan altistumista.
Lisäksi käyttäjien kouluttaminen tunnistamaan tietojenkalasteluyritykset, välttämään arkaluonteisten tietojen jakamista ja käyttämään monivaiheista todennusta voi parantaa yleistä turvallisuustilannetta.
BeInCrypto: Kuinka lohkoketjun kehittäjät vastaavat hakkereiden taktiikoiden kasvavaan hienostuneisuuteen?
Prof. Gu: Monet kehittäjät integroivat kehittyneitä kryptografisia menetelmiä, parantavat konsensusmekanismeja ja suorittavat perusteellisia turvallisuusauditointeja. Formaalit varmennusprosessit auttavat varmistamaan, että älykkäiden sopimusten koodi on vapaa haavoittuvuuksista, kun taas tekoäly- ja koneoppimistyökalut valvovat verkkoja reaaliajassa havaitakseen ja neutraloidakseen poikkeavuuksia.
BeInCrypto: Mitä oppeja Web3-ala voi oppia vuoden 2024 suurimmista hyökkäyksistä tulevien turvallisuuskehysten muokkaamiseksi?
Prof. Gu: Yleisesti odotamme vahvempia säädöksiä, kuten MiCA Euroopassa, parannettuja turvallisuustoimenpiteitä ja laajempia koulutuspyrkimyksiä auttamaan hakkereihin ja huijauksiin liittyvien riskien lieventämisessä. Teknologian kehittyessä myös pahantahtoisten toimijoiden käyttämät strategiat kehittyvät.
Alan on pysyttävä näiden uhkien edellä edistämällä yhteistyötä kehittäjien, sääntelijöiden ja turvallisuusammattilaisten kesken. Jatkuvalla ponnistelulla kryptoon liittyvät tappiot voivat ajan myötä vähentyä, mutta valppaus on edelleen kriittistä.
CertiK:n Hack3d: The Web3 Security Report 2024 tarjoaa syvällisen katsauksen ekosysteemiä kohtaaviin suurimpiin riskeihin sekä keskeisiä havaintoja, jotka auttavat projekteja ja käyttäjiä pysymään uusien uhkien edellä. Saadaksesi syvällisempää tietoa trendeistä, hyökkäysvektoreista ja ratkaisuista, jotka muokkaavat Web3-turvallisuutta, lue koko raportti täältä.
Vastuuvapauslauseke
Kaikki verkkosivustollamme olevat tiedot julkaistaan vilpittömässä mielessä ja ainoastaan yleiseen tiedottamiseen. Lukijan on toimittava verkkosivustomme tietojen perusteella täysin omalla vastuullaan.
