Уязвимости контроля доступа приводят к потерям в $1,7 млрд в CeFi, DeFi и играх

Уязвимости контроля доступа стали основной причиной потерь от взлома криптовалют в 2024 году, на их долю приходится колоссальные 75% общего ущерба в секторах децентрализованного финансирования (DeFi), централизованного финансирования (CeFi), а также игровых/метавселенных, исключая фишинговые атаки.

По словам Хакена, это означает значительный рост с 50% в 2023 году, при этом потери, связанные с несанкционированным доступом и кражей закрытых ключей, выросли до 1,7 миллиарда долларов по сравнению с менее чем 1 миллиардом долларов в предыдущем году. Напротив, эксплойты, нацеленные на уязвимости смарт-контрактов, принесли лишь 14% общих потерь.

Всплеск эксплойтов контроля доступа в 2024 году

В отчете Хакена показано, что атаки на контроль доступа были особенно распространены во всех категориях Web3 в 2024 году, при этом серьезно пострадали проекты CeFi, DeFi и игровые/метавселенные. В CeFi крупные инциденты на DMM Exchange и WazirX привели к совокупным убыткам, превышающим 500 миллионов долларов. Сектор DeFi также пострадал от взлома управления смарт-контрактами, как видно из взлома Radiant Capital, который привел к убыткам в размере 55 миллионов долларов.

Игровому пространству и метавселенной также был нанесен значительный ущерб, примером которого является эксплойт PlayDapp стоимостью 290 миллионов долларов. В основе этих атак лежала компрометация закрытого ключа, возникшая из-за слабых методов управления ключами, социальной инженерии и небезопасных методов резервного копирования.

Чтобы защититься от этих угроз, Хакен отметил, что предприятия должны внедрить расширенное управление несколькими подписями, автоматическое реагирование на инциденты и придерживаться стандарта безопасности криптовалюты (CCSS), чтобы обеспечить более надежную защиту закрытых ключей и снизить эксплуатационные уязвимости в Web3.

Потери DeFi падают, но игры и Metaverse все еще борются

В секторе DeFi в 2024 году наблюдалось заметное сокращение общих убытков по сравнению с предыдущим годом. В то время как потери, связанные с DeFi, в 2023 году выросли на 787 миллионов долларов, в 2024 году показатель снизился на 40%, что во многом можно объяснить улучшением мер безопасности во всем секторе, особенно в рамках децентрализованных мостов.

В 2024 году DeFi стал свидетелем улучшения межсетевой работоспособности, что сыграло решающую роль в предотвращении использования мостов. Поскольку мосты исторически были главной мишенью для хакеров, сокращение потерь – 338 миллионов долларов в 2023 году по сравнению со всего лишь 114 миллионами долларов в 2024 году – продемонстрировало растущую эффективность новых протоколов безопасности.

В отчете упоминаются такие инструменты, как многосторонние вычисления (MPC) и криптография с нулевым разглашением (ZK), которые стали необходимы разработчикам мостов, повышая безопасность и делая атаки менее эффективными. Эти достижения значительно снизили частоту и серьезность эксплойтов, нацеленных на межсетевые мосты.

Чего нельзя сказать о игровых секторах и секторах метавселенной, понесших значительные потери. В 2024 году эта когорта Web 3 зафиксировала убытки в размере 389 миллионов долларов, что составило почти 20% всех крипто-взломов. Большая часть этих потерь произошла из-за уязвимостей контроля доступа.

Три крупных инцидента стали причиной общих убытков в размере 358 миллионов долларов, что составило более 80% взломов игр и метавселенной за год. Концентрация этих потерь в первом квартале подчеркнула трудности, с которыми сталкиваются эти проекты при обеспечении управления доступом, особенно на новых платформах, таких как Blast, которые также столкнулись с многочисленными проблемами.