Nuomonė Atsakingas verslas Gyvenimo būdas rinkos programinė įranga Technologija
Spalis 12, 2024

Nerimą keliantis kilimas DeFi 2024 m. įsilaužimai ir kodėl automatizuotas įvykių tvarkymas yra labai svarbus 

Trumpai

Geriausios DeFi pramonė susiduria su didelėmis saugumo problemomis, nes 3 m. trečiąjį ketvirtį Web3 Saugumo ataskaita rodo 463 milijonus dolerių pavogtų lėšų, pabrėžiant patobulintų protokolų poreikį.

Nerimą keliantis kilimas DeFi 2024 m. įsilaužimai ir kodėl automatizuotas įvykių tvarkymas yra labai svarbus

Pagal naujausią 3 m. III ketvirtį Web3 „Hacken and Extractor“ saugos ataskaita DeFi pramonė vis dar susiduria su rimtomis saugumo problemomis. Nors įsilaužimų skaičius nukrito iki žemiausio taško per trejus metus, finansinis poveikis vis dar yra reikšmingas. Per 28 m. trečiąjį ketvirtį tik 2024 atvejais buvo paimta stulbinanti 463 mln. DeFi ekosistema.

Remiantis ataskaitos išvadomis, 95% visų pavogtų pinigų buvo prarasta visam laikui, o tai kelia nerimą, nes ankstesniais ketvirčiais 50–60% pavogto turto paprastai buvo atgauta arba užšaldyta. Šis modelis pabrėžia, kaip labai svarbu imtis griežtų prevencijos priemonių ir reagavimo po incidento planų.

Nerimą keliantis kilimas DeFi 2024 m. įsilaužimai ir kodėl automatizuotas įvykių tvarkymas yra labai svarbus

Nuotrauka: Hacken

Automatizuotas įvykių valdymas: novatoriškas metodas

Automatizuotos reagavimo į incidentus strategijos yra viena iš perspektyviausių alternatyvų, kurią pabrėžia tyrimas. Dėl novatoriškų atakų aptikimo ir mažinimo realiuoju laiku šis metodas galėjo išvengti maždaug trisdešimties procentų DeFi nuostolių per pastaruosius tris mėnesius. Tai rodo, kad tokia taktika gali turėti didelę įtaką pažeidžiamumui mažinti ir vartotojų turtui apsaugoti – galima sutaupyti daugiau nei 25.6 mln. USD.

Keli realūs pavyzdžiai rodo automatinio reagavimo į incidentus veiksmingumą. Vienu atveju, nustatęs neįprastus išėmimus, jis galėjo sustabdyti 17% 12 mln. USD įsilaužimo į Ronino tiltą. Kitu atveju, nedelsiant sustabdžius sutartis piktybinio tarpinio serverio atnaujinimo metu, tai galėjo visiškai užkirsti kelią „Nexera“ 1.5 mln. USD nuostoliams. Šie atvejai parodo automatizuotų reakcijų ir stebėjimo realiuoju laiku veiksmingumą, drastiškai sumažinant finansinius nuostolius, kol užpuolimas gali visiškai įvykti.

Nerimą keliantis kilimas DeFi 2024 m. įsilaužimai ir kodėl automatizuotas įvykių tvarkymas yra labai svarbus

Nuotrauka: Hacken

DeFi Siekiant sukurti veiksmingą automatizuotą reagavimo į incidentus planą, įgyvendinant iniciatyvas turėtų būti atsižvelgta į toliau nurodytus veiksmus. Pirmiausia jie turi sukurti išsamias stebėjimo sistemas, kurios galėtų nedelsiant nustatyti pažeidimus ir galimas grėsmes. Norint tai padaryti, turi būti įjungti pavojaus signalai dėl keistų operacijų modelių, staigių veiklos svyravimų arba nukrypimų nuo įprastos išmaniosios sutarties elgsenos.

Antra, iniciatyvos turi sukurti ir įgyvendinti iš anksto nustatytus reakcijos metodus. Šiuose protokoluose turėtų būti nurodyti tikslūs veiksmai, kuriuos reikia atlikti reaguojant į tam tikrą riziką. Pavyzdžiui, automatiškai atidėti sutartis, kai pastebimas abejotinas elgesys, arba trumpam sustabdyti didelius sandorius, kai jie pasiekia tam tikrus kriterijus.

Trečia, šie automatizuoti metodai turi būti reguliariai tikrinami ir tobulinami. Būtina, kad reagavimo į incidentus taktika būtų reguliariai atnaujinama ir tobulinama, kad būtų užtikrintas jos veiksmingumas. DeFi keičiasi aplinka ir atsiranda naujų atakų vektorių.

Galiausiai, iniciatyvos turėtų pagalvoti apie žmogaus priežiūros derinimą su automatizuotomis reagavimo į incidentus sistemomis. Nors automatizavimas gali pasiūlyti greitus pirmuosius atsakymus, sudėtingesni scenarijai ir būtinybė priimti niuansus, atsižvelgiant į galimas saugumo problemas, kartais reikalauja žmogiškosios patirties.

Auditas, klaidų premijos ir atnaujinimai

Net jei automatinės reagavimo į incidentus metodai užtikrina didelį saugumą, jie geriausiai veikia kartu su kitomis prevencinėmis saugos priemonėmis. Tyrimas teigia, kad nuodugnus išmaniųjų sutarčių auditas yra labai svarbus, ypač prieš įdiegiant atnaujinimus ar naujas versijas. Kadangi daugelis pažeidžiamumų atsiranda dėl skubotų arba nepakankamai patikrintų naujinimų, labai svarbios nuodugnios audito procedūros.

Kitas svarbus išsamios apsaugos sistemos elementas yra atlygio už klaidas programos. Suteikdamos paskatų saugumo tyrinėtojams tinkamai atskleisti pažeidžiamumą, iniciatyvos gali veiksmingai panaudoti platesnės bendruomenės bendras žinias. Ši metodika ne tik palengvina galimų pažeidžiamumų aptikimą, bet ir ugdo saugumo suvokimo kultūrą visame pasaulyje. DeFi ekosistema.

Straipsnyje taip pat pabrėžiama, kaip reikia atidžiai valdyti sutarčių atnaujinimus. Kadangi išmaniųjų sutarčių pažeidžiamumai dažnai išryškėja išleidus naujas versijas, projektams svarbu nustatyti griežtas naujinimų testavimo ir tikrinimo procedūras prieš diegiant. Norint rasti kokių nors problemų prieš jas išnaudojant, gali prireikti lėto diegimo, užsitęsusio testavimo tinklo testavimo ir kelių lygių peržiūros.

Privataus rakto saugumo gerinimas yra esminis pažeidžiamumų mažinimo komponentas. Aparatinės įrangos piniginių ir saugių raktų valdymo programų naudojimas gali žymiai sumažinti nepageidaujamos prieigos galimybę ir pasiūlyti apsaugą nuo virusų. Vykdant projektus reikėtų galvoti apie kelių parašų piniginių įvedimą svarbiems procesams ir instruktuoti vartotojus apie geriausias pagrindines valdymo procedūras.

Rūpinimasis pagrindinėmis priežastimis: kilimėlio tempimas ir prieigos kontrolė

Pagal 3 m. trečiąjį ketvirtį prieigos kontrolės kompromisai yra pavojingiausia atakų rūšis Web3 Saugumo ataskaita, kurios nuostoliai yra dvigubai didesni nei visų kitų atakų kartu sudėjus. Tai pabrėžia, koks jis svarbus DeFi protokolus, kad būtų įdiegtos griežtos prieigos kontrolės priemonės. Projektams turėtų būti taikoma mažiausiai privilegijų koncepcija, užtikrinanti, kad kiekvienas sistemos komponentas turėtų mažiausią prieigą, reikalingą jo pareigoms atlikti.

Apklausa taip pat pastebi, kad pasikeitė kilimų traukimo sukčių aplinka. Tokiose sistemose kaip „Base“, „Tron“ ir „Solana“ memekoinų paleidimų skaičius padidėjo, o standartinių kilimėlių traukimų sumažėjo. Šis modelis reiškia, kad sukčiai keičia savo veiklos būdą, sutelkdami dėmesį į mažos vertės monetas, kurios imituoja kilimėlio traukimą, neparodydami jokių autentiškos veiklos požymių. DeFi platformos ir naudotojai turi būti atsargūs ir taikyti griežtesnes naujų žetonų įvedimo tikrinimo procedūras, kad tai būtų išvengta.

Sukurti DeFi Saugesnė ekosistema

Neįmanoma pervertinti griežtų saugumo priemonių svarbos DeFi vystosi pramonė. 3 m. trečiasis ketvirtis Web3 Saugumo ataskaita – tai saugumo didinimo planas ir pažadinimo skambutis vienu metu. Naudodami automatizuotus reagavimo į incidentus planus, išsamius auditus, kompensacijas už klaidas ir kruopštų atnaujinimų valdymą bei prieigos kontrolę, DeFi projektai gali smarkiai sumažinti jų atakos paviršiaus jautrumą.

Be to, visa pramonė turi dėti pastangas, kad skatintų saugumo kultūrą. Tai apima vartotojų mokymą apie galimus pavojus ir geriausią praktiką bei technologinių sprendimų įgyvendinimą. Bus labai svarbu, kad projektai, saugos įmonės ir plačioji visuomenė dirbtų kartu, kad surastų pažeidžiamumą ir jas ištaisytų prieš jas išnaudojant.

Atsakomybės neigimas

Remdamasi tuo, Pasitikėjimo projekto gairės, atkreipkite dėmesį, kad šiame puslapyje pateikta informacija nėra skirta ir neturėtų būti aiškinama kaip teisinė, mokesčių, investicinė, finansinė ar bet kokia kita konsultacija. Svarbu investuoti tik tai, ką galite sau leisti prarasti, ir, jei turite kokių nors abejonių, kreiptis į nepriklausomą finansinę konsultaciją. Norėdami gauti daugiau informacijos, siūlome peržiūrėti taisykles ir nuostatas bei pagalbos ir palaikymo puslapius, kuriuos pateikia išdavėjas arba reklamuotojas. MetaversePost yra įsipareigojusi teikti tikslias, nešališkas ataskaitas, tačiau rinkos sąlygos gali keistis be įspėjimo.

Apie autorių

Viktorija yra rašytoja įvairiomis technologijų temomis, įskaitant Web3.0, AI ir kriptovaliutos. Didelė patirtis leidžia jai rašyti įžvalgius straipsnius platesnei auditorijai.

Daugiau straipsnių
Viktorija d'Este
Viktorija d'Este

Viktorija yra rašytoja įvairiomis technologijų temomis, įskaitant Web3.0, AI ir kriptovaliutos. Didelė patirtis leidžia jai rašyti įžvalgius straipsnius platesnei auditorijai.

Hot Stories
Prisijunkite prie mūsų naujienlaiškio.
Paskutinės naujienos

Nuo Ripple iki Big Green DAO: kaip kriptovaliutų projektai prisideda prie labdaros

Išnagrinėkime iniciatyvas, kurios panaudoja skaitmeninių valiutų potencialą labdaros tikslais.

Žinoti daugiau

„AlphaFold 3“, „Med-Gemini“ ir kiti: „The Way AI Transforms Healthcare 2024“

DI pasireiškia įvairiais būdais sveikatos priežiūros srityje: nuo naujų genetinių koreliacijų atskleidimo iki robotų chirurginių sistemų įgalinimo...

Žinoti daugiau
Skaityti daugiau
Skaityti daugiau
„Kamino Finance“ pristato naują „Jito“ rinką „Kamino Lend“, kad paspartintų „JitoSOL“ augimą
Naujienų ataskaita Technologija
„Kamino Finance“ pristato naują „Jito“ rinką „Kamino Lend“, kad paspartintų „JitoSOL“ augimą
Lapkritis 5, 2024
„Arcium“ įsigyja pagrindines technologijas ir komandą iš „Inpher“, kad pagerintų tinklo našumą ir galimybes
Atsakingas verslas Naujienų ataskaita Technologija
„Arcium“ įsigyja pagrindines technologijas ir komandą iš „Inpher“, kad pagerintų tinklo našumą ir galimybes
Lapkritis 4, 2024
Dvyniai pradeda kampaniją „Eik ten, kur nebus dolerių“, leisdami pažvelgti į tai, kaip kriptovaliutos pavers mūsų gyvenimus tarp žvaigždžių
Atsakingas verslas Naujienų ataskaita Technologija
Dvyniai pradeda kampaniją „Eik ten, kur nebus dolerių“, leisdami pažvelgti į tai, kaip kriptovaliutos pavers mūsų gyvenimus tarp žvaigždžių
Lapkritis 4, 2024
Veridise „AuditHub“: pristatoma skaidrių ir išmaniųjų saugos auditų platforma
Nuomonė Atsakingas verslas programinė įranga Technologija
Veridise „AuditHub“: pristatoma skaidrių ir išmaniųjų saugos auditų platforma
Lapkritis 4, 2024
CRYPTOMERIA LABS PTE. LTD.