Щотижневий звіт з безпеки AvengerDAO

AvengerDAO — ініціатива під керуванням спільноти. Вона спрямована на захист користувачів і проєктів на блокчейні BNB Chain від зловмисників і загроз. Організація постійно публікує списки проєктів та адрес з високим ризиком, допомагаючи користувачам Web3 безпечно взаємодіяти з децентралізованими застосунками (dApps) у BNB Chain.

Інциденти безпеки

Упродовж останнього моніторингового періоду зафіксовано значущі інциденти безпеки. HashDit — провідна компанія у сфері безпеки блокчейнів та активний учасник AvengerDAO — здійснила аналіз випадків атак різного ступеня ризику.

Протокол Multichain зазнав великих втрат унаслідок компрометації криптографічного механізму MPC (безпечна багатостороння обробка). WGPT протокол став жертвою атаки на резерви, а LUSD — схожої атаки з аналогічним вектором.

Аналіз тижневих втрат вказує на постійну загрозу екосистемі. Фінансові втрати залишаються стабільними, що підкреслює необхідність постійної уваги.

Висновки та уроки

Огляд атак на резерви висвітлив критичну вразливість архітектури смартконтрактів. Причина полягає у стейкінгових контрактах, які мають недоліки через орієнтацію на миттєві ціни ліквідних пулів без відповідних захисних механізмів. Це відкриває можливість для зловмисників використовувати тимчасові стрибки цін або флеш-позики для маніпулювання резервами і отримання незаконного прибутку.

Для запобігання таким атакам команди мають застосовувати аналітичні інструменти, такі як Risk Scanner, для виявлення вразливостей у контрактах і впровадження ефективних заходів захисту.

Головні ризики тижня Red Alarm

Щотижневий звіт AvengerDAO містить глибокий огляд проєктів з високим ризиком для інвесторів і користувачів BNB Chain, зокрема адрес, таких як 0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e.

Нові dApp-проєкти з високим ризиком

За період моніторингу з’явилися нові dApp-проєкти з високим ризиком, які охоплюють різні категорії загроз. Деякі позначені як потенційні фінансові піраміди, що спокушають інвесторів неправдивими обіцянками надмірних прибутків. Інші ідентифіковані як фішингові застосунки, які використовують шахрайські вебсторінки для викрадення приватних ключів користувачів.

У деяких проєктах виявлено потенційні бекдори у коді смартконтрактів, що дозволяють навмисно обходити захисні механізми. Також зафіксовано проєкти з неперевіреними контрактами, що ускладнює аудит коду і проведення належної перевірки для користувачів та аналітиків.

Серед інших ризиків — надмірні комісії за купівлю, продаж, стейкінг або вивід токенів; відсутність документації та технічних описів; не працюючі вебсайти чи платформи; а також анонімні команди.

Останні заходи щодо ризиків — проєкти з TVL понад 1 млн $

AvengerDAO проводить активне сканування проєктів із загальною заблокованою вартістю (TVL) понад 1 мільйон доларів. Аналіз дозволив виявити проєкти з потенційними ризиками, найчастіше через неналежну конфігурацію мультипідписних гаманців (multi-sig wallets). AvengerDAO рекомендує командам переглянути Web3 Risk Framework для впровадження найкращих практик безпеки.

Залишайтеся в безпеці — DYOR (Do Your Own Research)

AvengerDAO закликає користувачів бути обачними під час взаємодії з проєктами та адресами, позначеними як високоризикові у цих звітах. Організація оновила Web3 Risk Framework — це результат спільних зусиль для впровадження найкращих практик безпеки у Web3.

Risk Framework містить основні компоненти: безперервність бізнесу — перелік критичних елементів для стабільної роботи; криптогаманець — детальний чекліст для безпечного керування гаманцем; децентралізовані фінанси — рекомендації для безпечної розробки DeFi; смартконтракт — ключові елементи для безпечної розробки контрактів на Solidity; управління проєктом — найкращі практики для менеджменту Web3-проєктів.

Усі проєкти BNB Chain мають самостійно оцінювати свої ризики, використовуючи рекомендовані практики і чеклісти. HashDit наголошує на важливості виявлення rug-pulls (раптове закриття проєкту з метою заволодіння коштами) і закликає користувачів Web3 самостійно досліджувати інформацію (DYOR), продовжувати розвивати екосистему (BUIDL) та залишатися в безпеці (SAFU).

Про AvengerDAO

AvengerDAO — це ініціатива під управлінням спільноти, яка захищає користувачів від експлойтів, шахрайства і шкідливої діяльності у блокчейні BNB Chain. Засновники запустили AvengerDAO, визнаючи BNB Chain найбільшою відкритою мережею та розуміючи, що зростаючі спільноти потребують більшої відповідальності перед користувачами.

Місія AvengerDAO — захищати користувачів від фінансових втрат і шкідливих контрактів, стримувати зловмисників і підвищувати обізнаність користувачів BNB Chain щодо нових загроз. Організація сприяє розвитку екосистеми, встановлюючи стандарти безпеки і поширюючи знання про Web3-безпеку.

Висновки

Звіти AvengerDAO акцентують на необхідності постійного моніторингу і аналізу безпеки в екосистемі BNB Chain. Постійне виявлення нових шахрайських схем і ризикованих адрес, таких як 0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e, доводить, що захист користувачів потребує комплексного підходу — аналізу інцидентів, виявлення проєктів з високим ризиком і навчання користувачів. AvengerDAO відіграє ключову роль у формуванні довіри та безпеки на BNB Chain, надаючи інструменти і фреймворки для управління ризиками, які допомагають проєктам і користувачам приймати обґрунтовані рішення. Користувачам Web3 слід завжди DYOR, BUIDL і залишатися SAFU під час роботи з децентралізованими застосунками.

FAQ

Що це за Ethereum-адреса, і як перевірити її історію транзакцій і баланс?

0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e — це Ethereum-адреса. Щоб переглянути баланс і історію транзакцій, скористайтеся будь-яким блокчейн-оглядачем. Введіть адресу у поле пошуку, щоб отримати детальну інформацію про всі транзакції і поточний баланс.

Як взаємодіяти з цією Ethereum-адресою? Чи можна надсилати токени або кошти?

Використовуйте Ethereum-гаманець, щоб відправити токени або кошти на цю адресу. Вкажіть адресу отримувача, суму, встановіть комісію за газ і підтвердьте транзакцію у блокчейні.

Хто є власником цієї адреси — це адреса смартконтракту чи стандартного гаманця?

Це адреса смартконтракту, а не стандартного гаманця. Смартконтракти розгортаються на блокчейні і мають унікальні адреси.

Як отримати детальну інформацію і історію транзакцій для цієї адреси через оглядач блокчейну Ethereum?

Введіть 0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e у поле пошуку будь-якого оглядача блокчейну Ethereum. Ви побачите повну історію транзакцій, баланс, токени і деталі активності цієї адреси.