Het eerste kwartaal van 2024 heeft zich ontvouwd als een cruciaal hoofdstuk in het verhaal van Web3 security, gemarkeerd door zowel opmerkelijke successen in het beperken van bedreigingen als diepgaande uitdagingen.
Dit rapport geeft een samenvatting van de belangrijkste bevindingen van het AI Web3 beveiligingsbedrijf Cyvers’ uitgebreide analyse van beveiligingsincidenten in Q1 2024, waarbij opkomende bedreigingen worden benadrukt en het belang van veerkracht binnen het ecosysteem wordt onderstreept.
Samenvatting
Temidden van de voortdurende vooruitgang van DeFi, DePIN (Decentralized Physical Infrastructure Networks), RWAs (Real World Assets) en andere blockchain-gebaseerde toepassingen, hebben we een overeenkomstige escalatie in geavanceerde security bedreigingen waargenomen. De aanvalsvectoren zijn gediversifieerd, met kwetsbaarheden in codes die leiden tot aanzienlijke financiële gevolgen en inbreuken op toegangscontrole die uitzonderlijk kostbaar blijken te zijn.
Deze trends duiden op een dringende behoefte aan verbeterde security maatregelen en grotere waakzaamheid binnen de Web3 community.
Cyvers, in samenwerking met BeInCrypto, heeft zijn toewijding aan deze zaak aangetoond door baanbrekend werk te verrichten op het gebied van realtime bedreigingsdetectie en AI-gestuurde security-oplossingen. Het doel is om bedreigingen snel en nauwkeurig te identificeren, proactieve risicobeperking te bieden en assets op de blockchain te beschermen.
Deze bedreigingen maken gebruik van een reeks aanvalsvectoren, van kwetsbaarheden in slimme contracten tot phishing-zwendel, met als doel de open en onderling verbonden aard van Web3-technologieën uit te buiten. Als reactie op deze uitdagingen heeft de Web3 community zich verenigd en het belang van security als fundamenteel element van de infrastructuur van het ecosysteem benadrukt.
Belangrijkste trends en statistieken op het gebied van security
De totale gestolen waarde (TSV) in het eerste kwartaal van 2024 is ongeveer $739,7 miljoen. Januari kende het hoogste aantal aanvallen (27), gevolgd door maart (21) en februari (18). Despite having the least number of attacks, February had a high financial impact, with around $405.3 million lost to attacks.
Het gemiddelde verlies per aanval werd berekend op ongeveer $6,7 miljoen, wat aangeeft hoe high de inzet is van Web3 security.
De meest voorkomende aanvalsvector was Code Kwetsbaarheden, met 37 gevallen, resulterend in een verlies van ongeveer $ 165,9 miljoen. Hoewel minder voorkomend, waren aanvallen op toegangscontrole veel kostbaarder, met een verlies van ongeveer 573,8 miljoen dollar als resultaat.
Er waren 10 gevallen waarbij hacks exclusief door Cyvers werden gedetecteerd, wat het belang onderstreept van proactieve security maatregelen, geavanceerde algoritmen en voortdurende optimalisatie.
Drie van deze gevallen behoorden tot de Top 10 Hacks van Q1 2024.
PlayDapp’s analyse van inbraken in de beveiliging
In februari 2024 werd het prominente gaming- en NFT-platform PlayDapp geconfronteerd met een ernstige security-uitdaging toen het twee opeenvolgende exploits onderging die leidden tot een ongekende hoeveelheid geslagen PLA-tokens. In eerste instantie, op 9 februari, sloeg een onbevoegde entiteit 200 miljoen PLA tokens, met een waarde van ongeveer $ 36,5 miljoen.
Een paar dagen later, op 12 februari, sloeg dezelfde entiteit naar verluidt nog eens 1,79 miljard PLA-tokens, wat neerkomt op een duizelingwekkende $253,9 miljoen. Deze exploits resulteerden gezamenlijk in een totaal verlies van ongeveer 290 miljoen dollar.
De hoofdoorzaak van het lek werd geïdentificeerd als een kwetsbaarheid in slimme contracten, waardoor de aanvaller tokens kon slaan zonder de benodigde autoriteit. De gevolgen waren onmiddellijk ernstig: de koers voor PLA tokens kelderde door de plotselinge toestroom van ongeautoriseerde tokens. Het team van PlayDapp probeerde te onderhandelen met de aanvaller en bood een premie van $1 miljoen voor de teruggave van de gestolen fondsen, maar het mocht niet baten.
De security maatregelen die na het incident werden genomen waren onder andere het pauzeren van het PLA smart contract en het initiëren van een contractmigratie op basis van snapshots van de balansen van de holders vóór de aanval. PlayDapp’s snelle reactie om het contract te pauzeren en samen te werken met wetshandhavingsinstanties en forensische blockchainbedrijven toonde een toewijding aan security en transparantie. De inspanningen om in contact te komen met exchanges en de gestolen fondsen te traceren zijn nog gaande, waarbij strategieën om de impact te beperken en dergelijke incidenten in de toekomst te voorkomen actief worden besproken.
Lees meer: AI voor Smart Contract Audits: Snelle oplossing of riskante onderneming?
Het PlayDapp incident dient als een waarschuwing voor de kwetsbaarheden die inherent zijn aan slimme contracten, met name met betrekking tot het slaan en beheren van tokens. De lessen van het PlayDapp incident zijn talrijk: de absolute noodzaak van voortdurende waakzaamheid op het gebied van security, het belang van proactieve en reactieve security maatregelen en de altijd aanwezige noodzaak voor community educatie over best practices op het gebied van security.
Veranderingen in regelgeving voor Web3 Security
In Q1 2024 zijn er in het wereldwijde landschap van digitale assets opmerkelijke ontwikkelingen geweest op het gebied van regelgeving die een aanzienlijke impact hebben gehad op de beveiliging van Web3.
Het Global Crypto Regulatory Report van PwC benadrukt de voortdurende evolutie in de regelgeving voor digitale assets, en suggereert dat hoewel er in 2023 aanzienlijke vooruitgang is geboekt, de sector nog steeds te maken heeft met een sterke regelgevingsdruk. Dergelijke ontwikkelingen zijn van cruciaal belang omdat ze een gestructureerd kader bieden voor activiteiten, het wereldwijde regelgevingsbeleid versterken en helpen bij het vaststellen van wereldwijde prudentiële normen, die mogelijk van invloed zijn op de Markets in Crypto-Assets-regelgeving van de EU en ander internationaal beleid.
Bovendien zijn regelgevende instanties na de high-profile ineenstorting van FTX aangezet tot een strengere aanpak van de regels voor digitale assets om het beleggerspubliek beter te beschermen. De Amerikaanse Securities and Exchange Commission (SEC) was bijvoorbeeld van plan om nieuwe regels op te stellen voor exchanges en aanbiedingen van digitale assets. Deze regels zouden uitgebreide voorschriften bevatten voor aanbiedingen van digitale activa, naast richtlijnen voor exchanges van digitale activa.
Deze reactie op gebeurtenissen uit het verleden toont een duidelijke intentie van regelgevende instanties om het toezicht te verbeteren en soortgelijke voorvallen in de toekomst te voorkomen.
Deze regelgeving is niet alleen bedoeld om investeerders te beschermen, maar ook om een ordelijke werking van de markten voor digitale assets te garanderen. Voor Cyvers zouden deze ontwikkelingen kunnen dienen als een kans om bij te dragen aan discussies over regelgeving, door gebruik te maken van zijn expertise om de formulering van beleid te begeleiden dat de behoefte aan security in evenwicht brengt met het potentieel voor innovatie in de Web3-ruimte.
Naarmate de regelgeving zich verder ontwikkelt, wordt het vermogen van Cyvers en BeInCrypto om op compliance afgestemde security services te leveren steeds belangrijker. Q1 2024 is daarom een cruciale tijd voor Web3 security, gekenmerkt door regelgevende instanties over de hele wereld die lering trekken uit gebeurtenissen in het verleden om de verdediging van de industrie te versterken en een veilige basis te leggen voor de ontluikende digitale economie.
Aanbevelingen voor het verbeteren van de beveiliging van Web3
In het streven naar een versterkt Web3 landschap, legde Cyvers aan BeInCrypto strategische manieren uit om de security voor verschillende belanghebbenden binnen het ecosysteem te verbeteren:
Voor projecten:
- Smart Contract Auditing: Zorg ervoor dat slimme contracten grondige beveiligingsaudits ondergaan door gerenommeerde bedrijven. Voer regelmatig een nieuwe audit uit na grote updates of wijzigingen in de logica van het contract. Bekijk onze aanbevolen auditors hier.
- Incident response planning: Ontwikkel een incident response plan op maat van potentiëleWeb3-specifieke inbreuken, met details over onmiddellijke acties, communicatieprotocollen en noodmaatregelen.
- Integratie van security modules: Implementeer real-time bedreigingsdetectie en beveiligingsmodules, zoals die van Cyvers, om continu te controleren en te beschermen tegen kwaadaardige activiteiten.
Voor ontwikkelaars:
- Security-First Ontwerp: Omarm een security-first benadering bij het ontwerpen van systemen, waarbij security in elke ontwikkelingsfase prioriteit krijgt.
- Voortdurende bijscholing: Blijf op de hoogte van het laatste beveiligingsonderzoek, kwetsbaarheden en beschermingsstrategieën. Ga de dialoog aan met de community om kennis en best practices te delen.
- Decentralisatie van controle: Vermijd single points of failure in uw systemen. Gebruik wallets met meerdere handtekeningen en gedistribueerde besluitvorming voor kritieke activiteiten.
Voor investeerders:
- Zorgvuldigheid: Voer due diligence uit door de security praktijken van projecten te bekijken voordat u investeert. Controleer op auditrapporten, banden met security en incidentenhistorie.
- Diversifieer holdings: Bescherm uw portefeuille tegen gerichte inbreuken door uw holdings te diversifiëren over verschillende platforms en wallets.
- Gebruik vertrouwde platforms: Ga in zee met platforms die een bewezen staat van dienst hebben op het gebied van security en die de nieuwste security maatregelen implementeren.
Voor gebruikers:
- Veilige Wallet Praktijken: Gebruik hardware wallets voor sterke holdings, sla private sleutels veilig op en gebruik multi-factor authenticatie.
- Pas op voor phishing: Informeer uzelf over veelvoorkomende phishingtactieken binnen de Web3-ruimte. Controleer URL’s, controleer smart contract interacties dubbel en wees voorzichtig met ongevraagde verzoeken.
- Blijf up-to-date: Update regelmatig uw software naar de nieuwste versies en zorg ervoor dat security patches worden toegepast.
Lees meer: Risico’s op DeFi-uitleenprotocollen identificeren en onderzoeken
Door deze aanbevelingen op te volgen, kunnen belanghebbenden in het Web3 ecosysteem hun risicoprofiel sterk verminderen en bijdragen aan het creëren van een veilige en veerkrachtige digitale omgeving. Het is door collectieve waakzaamheid en proactieve maatregelen dat we veilig en vol vertrouwen door het Web3 ecosysteem kunnen navigeren.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
