Web3 i 2024 har vært et år med både fremgang og fare. Mens regulatoriske gjennombrudd som USAs godkjenning av Bitcoin og Ethereum børsnoterte fond (ETF-er) signaliserte mainstream aksept, ble industrien overskygget av en økning i hack og svindel, som satte milliarder i fare.
For å avdekke omfanget av disse truslene, snakket vi med Prof. Ronghui Gu, medgründer av CertiK, hvis firmas siste Hack3d: The Web3 Security Report 2024 avslører svimlende $ 2,36 milliarder i tap på tvers av 760 on-chain hendelser—en økning på 31,61 % fra i fjor. Med phishing-angrep alene ansvarlig for nesten halvparten av disse tapene, fremhever funnene det presserende behovet for sterkere sikkerhetstiltak i hele økosystemet.
BeInCrypto: Hva var de viktigste faktorene bak Ethereums høye antall målrettede angrep?
Prof. Gu: Ethereums status som den mest populære EVM-kjeden reflekterer dens suksess, men den er også et hovedmål for utnyttelser, gitt det store antallet prosjekter og brukere som opererer på nettverket.
I tillegg tillater det åpne og komponerbare økosystemet utviklere å bygge på eksisterende protokoller, noe som, mens det fremmer innovasjon, utilsiktet kan introdusere sårbarheter gjennom sammenkoblede avhengigheter. Den hyppige distribusjonen av eksperimentell eller uprøvd kode av nyere prosjekter øker ytterligere disse risikoene.
BeInCrypto: Hvordan kan industrien bekjempe økningen av phishing-angrep som forårsaket nesten 50 % av tapene i 2024?
Prof. Gu: Utdanning, teknologisk innovasjon og samarbeid er nøkkelen til å adressere den økende trusselen fra phishing-angrep. Å utdanne brukere om å identifisere røde flagg—som mistenkelige lenker, uønskede kommunikasjoner og falske nettsteder—er essensielt for forebygging. Klar, kontinuerlig kommunikasjon om disse risikoene gir enkeltpersoner mulighet til å beskytte seg selv.
På den tekniske siden kan integrering av avanserte deteksjonssystemer som AI-drevet trusselovervåking og varsler i sanntid hjelpe organisasjoner med å forhindre angrep. Samarbeid på tvers av industrien for å dele trusselinformasjon og beste praksis styrker ytterligere forsvarene.
BeInCrypto: Hvilke DeFi-protokoller var mest sårbare, og hvilke tiltak kan de ta for å styrke sikkerheten?
Prof. Gu: I 2024 observerte vi en økning i kompromittering av private nøkler og phishing-hendelser i hele økosystemet. Dette representerer et generelt skifte fra kontraktsårbarheter til menneskelig sårbarhet, som ofte regnes som det svakeste leddet i et slikt system.
To av de største tiltakene protokoller kan ta for å sikre at de forblir sikre, er å lagre private nøkler trygt og implementere robuste prosedyrer for å sikre at ansatte selv ikke blir målrettet.
BeInCrypto: Hvor effektive har innsatsene vært for å adressere tilbakevendende problemer med smartkontraktutnyttelser?
Prof. Gu: Totalt sett har tap på grunn av kode-sårbarheter falt år for år siden 2022, noe som tyder på at smartkontrakter har blitt mer sikre. I tillegg har vi sett et skifte mot kompromittering av private nøkler og phishing, sannsynligvis på grunn av at kode-sårbarheter er vanskelige for de fleste brukere å finne, bortsett fra for høyt kvalifiserte bugjegere.
BeInCrypto: Eksponerte godkjenningen av Bitcoin og Ethereum ETF-er økosystemet for nye typer trusler?
Prof. Gu: Disse produktene bygger bro mellom tradisjonell finans og krypto, og kan potensielt eksponere økosystemet for trusler som regulatorisk arbitrage, innsidehandel og økt gransking fra dårlige aktører som retter seg mot både investorer og institusjoner involvert i disse tilbudene.
Cybersikkerhetstrusler, som angrep på forvaringstjenester eller ETF-infrastruktur, er en betydelig bekymring. Å sikre disse aktiva krever robuste sikkerhetsprotokoller, inkludert løsninger for kald lagring og overvåking i sanntid.
I tillegg kan åpenhet i ETF-operasjoner og samarbeid med regulatorer bidra til å redusere risiko. Mens Bitcoin og Ethereum ETF-er representerer et positivt skritt for mainstream adopsjon, er det avgjørende for deres langsiktige suksess å sikre sikkerhet og tillit til disse produktene.
BeInCrypto: Hvilken rolle spiller brukerutdanning i å redusere kompromittering av private nøkler?
Mange hendelser stammer fra mangel på forståelse av sikre praksiser, som å beskytte nøkler og gjenkjenne sosial manipulasjonstaktikk. Å utdanne brukere om sikre lagringsmetoder, inkludert maskinvarelommebøker og krypterte sikkerhetskopier, kan bidra til å minimere eksponering.
I tillegg kan opplæring av brukere i å identifisere phishing-skjemaer, unngå å dele sensitiv informasjon og bruke multifaktorautentisering ytterligere forbedre den generelle sikkerhetsposisjonen.
BeInCrypto: Hvordan adresserer blokkjedeutviklere den økende sofistikeringen av hackingtaktikker?
Prof. Gu: Mange utviklere integrerer avanserte kryptografiske metoder, forbedrer konsensusmekanismer og gjennomfører grundige sikkerhetsrevisjoner. Formelle verifikasjonsprosesser bidrar til å sikre at smartkontraktkode er fri for sårbarheter, mens AI- og maskinlæringsverktøy overvåker nettverk i sanntid for å oppdage og nøytralisere avvik.
BeInCrypto: Hvilke lærdommer kan Web3-industrien trekke fra de største angrepene i 2024 for å forme fremtidige sikkerhetsrammer?
Prof. Gu: Generelt forventer vi sterkere reguleringer, som de fra institusjoner og regjeringer som MiCA i Europa, forbedrede sikkerhetstiltak og bredere utdanningsinnsats for å bidra til å redusere risikoen forbundet med hack og svindel. Men etter hvert som teknologien utvikler seg, vil også strategiene som brukes av dårlige aktører.
Bransjen må ligge i forkant av disse truslene ved å fremme samarbeid mellom utviklere, regulatorer og sikkerhetsprofesjonelle. Med vedvarende innsats kan kryptorelaterte tap reduseres over tid, men årvåkenhet vil forbli kritisk.
CertiKs Hack3d: The Web3 Security Report 2024 gir en grundig oversikt over de største risikoene som truer økosystemet, sammen med viktige lærdommer for å hjelpe prosjekter og brukere med å ligge i forkant av nye trusler. For å få dypere innsikt i trendene, angrepsvektorene og løsningene som former Web3-sikkerhet, les hele rapporten her.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt op basis van de informatie op onze website is strikt op eigen risico.
