Web3 i 2024 har været et år med både fremskridt og fare. Mens reguleringsmæssige gennembrud som USA’s godkendelse af Bitcoin og Ethereum exchange-traded funds (ETF’er) signalerede mainstream accept, blev branchen overskygget af en stigning i hacks og svindel, der satte milliarder i fare.
For at afdække omfanget af disse trusler talte vi med Prof. Ronghui Gu, medstifter af CertiK, hvis firmas seneste Hack3d: The Web3 Security Report 2024 afslører et svimlende tab på 2,36 milliarder dollars på tværs af 760 on-chain hændelser—en stigning på 31,61% fra sidste år. Med phishing-angreb alene ansvarlige for næsten halvdelen af disse tab, fremhæver resultaterne det presserende behov for stærkere sikkerhedsforanstaltninger på tværs af økosystemet.
BeInCrypto: Hvad var de vigtigste faktorer bag Ethereums høje antal målrettede angreb?
Prof. Gu: Ethereums status som den mest populære EVM-kæde, afspejler dens succes, men det er også et primært mål for udnyttelser, givet det store antal projekter og brugere, der opererer på netværket.
Derudover tillader dets åbne og komponerbare økosystem udviklere at bygge på eksisterende protokoller, hvilket, mens det fremmer innovation, utilsigtet kan introducere sårbarheder gennem sammenkoblede afhængigheder. Den hyppige implementering af eksperimentel eller utestet kode af nyere projekter øger yderligere disse risici.
BeInCrypto: Hvordan kan branchen bekæmpe stigningen i phishing-angreb, der forårsagede næsten 50% af 2024’s tab?
Prof. Gu: Uddannelse, teknologisk innovation og samarbejde er nøglen til at imødegå den voksende trussel fra phishing-angreb. At uddanne brugere i at identificere advarselstegn—såsom mistænkelige links, uopfordrede kommunikationer og falske hjemmesider—er afgørende for forebyggelse. Klar, løbende kommunikation om disse risici giver individer mulighed for at beskytte sig selv.
På den tekniske side kan integration af avancerede detektionssystemer som AI-drevet trusselsmonitorering og realtidsalarmer hjælpe organisationer med at forebygge angreb. Samarbejde på tværs af branchen for at dele trusselsinformation og bedste praksis styrker yderligere forsvaret.
BeInCrypto: Hvilke DeFi-protokoller var mest sårbare, og hvilke skridt kan de tage for at styrke sikkerheden?
Prof. Gu: I 2024 observerede vi en stigning i kompromittering af private nøgler og phishing-hændelser på tværs af økosystemet. Dette repræsenterer et generelt skift fra kontraktsårbarheder til menneskelig sårbarhed, som ofte betragtes som det svageste led i et sådant system.
To af de største skridt, protokoller kan tage for at sikre, at de forbliver sikre, er at opbevare private nøgler sikkert og implementere robuste procedurer for at sikre, at medarbejderne ikke selv bliver målrettet.
BeInCrypto: Hvor effektive har bestræbelserne været på at adressere tilbagevendende problemer med smart contract-udnyttelser?
Prof. Gu: Generelt er tab på grund af kode-sårbarheder faldet år for år siden 2022, hvilket tyder på, at smart contracts er blevet mere sikre. Derudover har vi set et skift mod kompromittering af private nøgler og phishing, sandsynligvis fordi kode-sårbarheder er svære for de fleste brugere at finde, undtagen for højt kvalificerede bug hunters.
BeInCrypto: Eksponerede godkendelsen af Bitcoin og Ethereum ETF’er økosystemet for nye typer trusler?
Prof. Gu: Disse produkter bygger bro mellem traditionel finans og krypto, hvilket potentielt udsætter økosystemet for trusler som regulatorisk arbitrage, insiderhandel og øget kontrol fra dårlige aktører, der målretter både investorer og institutioner involveret i disse tilbud.
Cybersikkerhedstrusler, såsom angreb på forvaltningstjenester eller ETF-infrastruktur, er en betydelig bekymring. Beskyttelse af disse aktiver kræver robuste sikkerhedsprotokoller, herunder cold storage-løsninger og realtidsmonitorering.
Derudover kan gennemsigtighed i ETF-drift og samarbejde med regulatorer hjælpe med at mindske risici. Mens Bitcoin og Ethereum ETF’er repræsenterer et positivt skridt for mainstream udbredelse, er det afgørende for deres langsigtede succes at sikre sikkerhed og tillid til disse produkter.
BeInCrypto: Hvilken rolle spiller brugeruddannelse i at mindske kompromittering af private nøgler?
Mange hændelser stammer fra en mangel på forståelse af sikre praksisser, såsom at beskytte nøgler og genkende social engineering-taktikker. At uddanne brugere om sikre opbevaringsmetoder, herunder hardware wallets og krypterede backups, kan hjælpe med at minimere eksponering.
Derudover kan træning af brugere i at identificere phishing-svindel, undgå at dele følsomme oplysninger og bruge multifaktorautentifikation yderligere forbedre den samlede sikkerhed.
BeInCrypto: Hvordan adresserer blockchain-udviklere den voksende sofistikering af hacking-taktikker?
Prof. Gu: Mange udviklere integrerer avancerede kryptografiske metoder, forbedrer konsensusmekanismer og gennemfører grundige sikkerhedsaudits. Formelle verifikationsprocesser hjælper med at sikre, at smart contract-kode er fri for sårbarheder, mens AI og maskinlæring værktøjer overvåger netværk i realtid for at opdage og neutralisere unormale aktiviteter.
BeInCrypto: Hvilke lærdomme kan Web3-industrien drage af de største angreb i 2024 for at forme fremtidige sikkerhedsrammer?
Prof. Gu: Generelt forventer vi stærkere reguleringer, såsom dem fra institutioner og regeringer som MiCA i Europa, forbedrede sikkerhedsforanstaltninger og bredere uddannelsesindsatser for at hjælpe med at mindske risici forbundet med hacks og svindel. Men efterhånden som teknologien udvikler sig, vil de strategier, der anvendes af dårlige aktører, også gøre det.
Branchen skal være på forkant med disse trusler ved at fremme samarbejde mellem udviklere, regulatorer og sikkerhedsprofessionelle. Med vedvarende indsats kan krypto-relaterede tab falde over tid, men årvågenhed vil forblive afgørende.
CertiK’s Hack3d: The Web3 Security Report 2024 giver et dybdegående kig på de største risici, der truer økosystemet, sammen med vigtige indsigter for at hjælpe projekter og brugere med at være på forkant med nye trusler. For at få dybere indsigt i de tendenser, angrebsvektorer og løsninger, der former Web3-sikkerhed, læs hele rapporten her.
Disclaimer
Alle oplysninger på vores hjemmeside offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, der foretages af læserne på grundlag af oplysningerne på vores hjemmeside, er udelukkende på egen risiko.
