Il primo trimestre del 2024 si è rivelato un capitolo volto nella narrativa della sicurezza Web3, segnato sia da notevoli risultati nella mitigazione delle minacce che da profonde sfide.
Il presente rapporto sintetizza i risultati principali dell’analisi completa degli incidenti di sicurezza del primo trimestre 2024 condotta da Cyvers, società di AI per la sicurezza del Web3, evidenziando le minacce emergenti e sottolineando l’importanza della resilienza all’interno dell’ecosistema.
Sintesi
Con il continuo sviluppo di DeFi, DePIN (Reti di infrastrutture fisiche decentralizzate), RWA (Real World Assets) e altre applicazioni basate su blockchain, abbiamo osservato una corrispondente intensificazione delle minacce sofisticate alla sicurezza. I vettori di attacco si sono diversificati: le vulnerabilità del codice hanno portato a sostanziali ripercussioni finanziarie e le violazioni del controllo degli accessi si sono rivelate eccezionalmente costose.
Queste tendenze segnalano l’urgente necessità di migliorare le misure di sicurezza e di aumentare la vigilanza all’interno della comunità Web3.
Cyvers, in alleanza con BeInCrypto, ha dimostrato il suo impegno per questa causa, proponendo soluzioni di sicurezza pionieristiche per il rilevamento delle minacce in tempo reale e basate sull’intelligenza artificiale. L’obiettivo è quello di fornire un’identificazione rapida e precisa delle minacce, offrendo una mitigazione proattiva e salvaguardando gli asset sulla blockchain.
Queste minacce utilizzano una serie di vettori di attacco – dalle vulnerabilità degli smart contract alle truffe di phishing – con l’obiettivo di sfruttare la natura aperta e interconnessa delle tecnologie Web3. In risposta a queste sfide, la comunità Web3 si è rialzata, sottolineando l’importanza della sicurezza come elemento fondamentale dell’infrastruttura dell’ecosistema.
Tendenze e titoli chiave della sicurezza
Il valore totale rubato (TSV) nel primo trimestre del 2024 è di circa 739,7 milioni di dollari. Il mese di gennaio ha registrato il maggior numero di attacchi (27), seguito da marzo (21) e febbraio (18). Nonostante il minor numero di attacchi, febbraio ha avuto un elevato impatto finanziario, con circa 405,3 milioni di dollari persi a causa degli attacchi.
La perdita media per attacco è stata calcolata in circa 6,7 milioni di dollari, a dimostrazione dell’elevato interesse per la sicurezza del Web3.
Il vettore di attacco più comune è stato quello delle vulnerabilità del codice, con 37 casi, che hanno comportato una perdita di circa 165,9 milioni di dollari. Sebbene meno diffusi, gli attacchi al controllo degli accessi sono stati molto più costosi, con una perdita di circa 573,8 milioni di dollari.
Ci sono stati 10 casi in cui le violazioni sono state rilevate esclusivamente da Cyvers, il che sottolinea l’importanza di misure di sicurezza proattive, algoritmi sofisticati e ottimizzazione continua.
Tre di questi casi rientrano nella Top 10 degli hack del 1° trimestre 2024.
Analisi delle violazioni della sicurezza di PlayDapp
Nel febbraio 2024, l’importante piattaforma di gioco e NFT PlayDapp ha affrontato una grave sfida alla sicurezza quando ha subito due exploit consecutivi che hanno portato a un conio di token PLA senza precedenti. Inizialmente, il 9 febbraio, un’entità non autorizzata ha coniato 200 milioni di token PLA, per un valore di circa 36,5 milioni di dollari.
Pochi giorni dopo, il 12 febbraio, la stessa entità ha riportato il conio di altri 1,79 miliardi di token PLA, per un valore sbalorditivo di 253,9 milioni di dollari. Questi exploit hanno portato complessivamente a una perdita totale di circa 290 milioni di dollari.
La causa principale della violazione è stata identificata in una vulnerabilità dello smart contract, che ha permesso all’attaccante di coniare token senza l’autorità necessaria. Le ripercussioni sono state immediate e gravi, poiché il prezzo di mercato dei token PLA è crollato a causa dell’improvviso afflusso di token non autorizzati. Il team di PlayDapp ha tentato di negoziare con l’aggressore, offrendo una taglia di 1 milione di dollari per la restituzione dei fondi rubati, ma senza successo.
Le misure di sicurezza adottate dopo l’incidente includevano la messa in pausa dello smart contract PLA e l’avvio di una migrazione del contratto basata sulle istantanee dei saldi dei titolari prima dell’attacco. La pronta risposta di PlayDapp, che ha messo in pausa il contratto e si è confrontata con le forze dell’ordine e con le società forensi di blockchain, ha dimostrato l’impegno per la sicurezza e la trasparenza. Gli sforzi per mantenere i contatti con le borse e rintracciare i fondi rubati sono in corso, e si stanno discutendo attivamente le strategie per mitigare l’impatto e prevenire incidenti simili in futuro.
Per saperne di più: IA per le verifiche dei contratti intelligenti: Soluzione rapida o attività rischiosa?
L’incidente di PlayDapp serve da monito per le vulnerabilità insite nei contratti smart, in particolare per quanto riguarda il conio e la gestione dei token. Gli insegnamenti tratti dall’incidente di PlayDapp sono molteplici: l’assoluta necessità di una continua vigilanza sulla sicurezza, l’importanza di misure di sicurezza proattive e reattive e la necessità sempre presente di educare la comunità sulle migliori pratiche di sicurezza.
Cambiamenti normativi sulla sicurezza del Web3
Nel primo trimestre del 2024, il panorama globale degli asset digitali ha visto notevoli progressi normativi che hanno avuto un impatto considerevole sulla sicurezza del Web3.
Il Global Crypto Regulatory Report di PwC riporta la continua evoluzione della regolamentazione degli asset digitali, suggerendo che, sebbene nel 2023 siano stati compiuti progressi sostanziali, il settore continua ad affrontare un carico di lavoro normativo significativo. Questi sviluppi sono fondamentali in quanto forniscono una struttura per le operazioni, migliorano le politiche di regolamentazione globale e contribuiscono a stabilire standard prudenziali globali, influenzando potenzialmente il regolamento dell’UE sui mercati degli asset digitali e altre politiche internazionali.
Inoltre, dopo il fallimento di FTX, gli organismi di regolamentazione sono stati spinti ad adottare un approccio più rigoroso alle norme sugli asset digitali per proteggere meglio il pubblico degli investitori. La Securities and Exchange Commission (SEC) degli Stati Uniti, ad esempio, aveva previsto il rilascio di nuove norme che regolassero i piattaformadiscambio e le offerte di asset digitali. Tali norme avrebbero dovuto fornire regolamenti completi per le offerte di asset digitali, oltre a linee guida per i piattaformadiscambio di asset digitali.
Questa risposta agli eventi passati dimostra il chiaro intento degli organismi di regolamentazione di migliorare la supervisione e prevenire eventi simili in futuro.
Queste norme non mirano solo a salvaguardare gli investitori, ma anche a garantire il regolare funzionamento dei mercati degli asset digitali. Per Cyvers, questi sviluppi potrebbero rappresentare un’opportunità per contribuire alle discussioni sulla regolamentazione, sfruttando la sua esperienza per guidare la formulazione di politiche che bilancino l’esigenza di sicurezza con il potenziale di innovazione nello spazio Web3.
Con l’evoluzione delle normative, la capacità di Cyvers e BeInCrypto di fornire servizi di sicurezza in linea con le ottemperanze diventa sempre più critica. Il primo trimestre del 2024 è stato quindi un momento volto alla sicurezza del Web3, caratterizzato da enti normativi di tutto il mondo che hanno tratto insegnamento dagli eventi passati per rafforzare le difese del settore e stabilire una base sicura per la nascente economia digitale.
Raccomandazioni per migliorare la sicurezza del Web3
Nel perseguire un panorama Web3 fortificato, Cyvers ha spiegato a BeInCrypto i modi strategici per migliorare i titoli di sicurezza per i vari stakeholder all’interno dell’ecosistema:
Per i progetti:
- Audit dei contratti intelligenti: Assicurarsi che i contratti smart siano sottoposti a controlli di sicurezza approfonditi da parte di aziende affidabili. Effettuare regolarmente una nuova verifica dopo gli aggiornamenti più importanti o le modifiche alla logica del contratto. Consultate i nostri revisoricontabili qui.
- Pianificazione della risposta agli incidenti: Sviluppate un piano di risposta agli incidenti adatto alle potenziali violazioni specifiche del Web3, che specifichi le azioni immediate, i protocolli di comunicazione e le misure di emergenza.
- Integrazione dei moduli di sicurezza: Implementate il rilevamento delle minacce in tempo reale e i moduli di sicurezza, come quelli forniti da Cyvers, per monitorare e proteggere continuamente dalle attività dannose.
Per gli sviluppatori:
- Progettazione orientata alla sicurezza: Adottare un approccio orientato alla sicurezza nella progettazione dei sistemi, dando priorità alla sicurezza in ogni fase dello sviluppo.
- Formazione continua: Rimanere informati sulle ultime ricerche in materia di sicurezza, sulle vulnerabilità e sulle strategie di protezione. Impegnarsi con la comunità per condividere conoscenze e best practice.
- Decentramento del controllo: Evitate i singoli punti di guasto nei vostri sistemi. Utilizzate portafogli multi-firma e processi decisionali distribuiti per le operazioni critiche.
Per gli investitori:
- Due diligence: Esercitare la due diligence esaminando le pratiche di sicurezza dei progetti prima di investire. Verificate i rapporti di audit, le affiliazioni alla sicurezza e la cronologia degli incidenti.
- Diversificare le partecipazioni: Proteggete il vostro portafoglio da violazioni mirate diversificando le vostre partecipazioni su varie piattaforme e portafogli.
- Utilizzare piattaforme affidabili: Impegnatevi con piattaforme che hanno una comprovata esperienza di sicurezza e che implementano le più recenti misure di sicurezza.
Per gli utenti:
- Titolisicuri per i portafogli: Utilizzare portafogli hardware per le partecipazioni significative, conservare in modo sicuro le chiavi private e utilizzare l’autenticazione a più fattori.
- Attenzione al phishing: informatevi sulle tattiche di phishing più comuni nello spazio Web3. Verificate gli URL, controllate due volte le interazioni con gli smart contract e siate cauti con le richieste non richieste.
- Rimanere aggiornati: Aggiornate regolarmente il vostro software alle ultime versioni, assicurandovi che vengano applicati i titoli di sicurezza.
Per saperne di più: Identificare ed esplorare il rischio sui protocolli di prestito DeFi
Seguendo queste raccomandazioni, le parti interessate dell’ecosistema Web3 possono ridurre significativamente il loro profilo di rischio e contribuire a creare un ambiente digitale sicuro e resiliente. È attraverso la vigilanza collettiva e le misure proattive che possiamo navigare nell’ecosistema Web3 con sicurezza e fiducia.
Trusted
Dichiarazione di non responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo informativo generale. Qualsiasi azione intrapresa dal lettore in base alle informazioni contenute nel nostro sito web è strettamente a suo rischio e pericolo.
