AvengerDAO: Щотижневий огляд безпеки

Інциденти безпеки

AvengerDAO — це ініціатива спільноти, яка спрямована на захист користувачів і проєктів основних публічних блокчейнів від зловмисних учасників. Компанія HashDit, що спеціалізується на безпеці блокчейнів, регулярно публікує звіти з аналізом інцидентів безпеки в межах цієї діяльності.

Останній аналіз HashDit містить інформацію про низку інцидентів безпеки, зокрема експлойти смартконтрактів і шахрайства типу rug pull. У результаті цих подій зафіксовано значні фінансові втрати. Один NFT-проєкт зазнав найбільшої втрати через rug pull — $680 000. Платформа ліквідного майнінгу втратила $73 800 через уразливість компілятора. Декілька проєктів зазнали втрат коштів користувачів унаслідок rug pull.

Основні уроки з інцидентів безпеки

Ретельний розбір цих інцидентів дає ключові висновки для безпеки. Випадок із уразливістю компілятора показує ризики технічного боргу. Частина платформ використовувала застарілі інструменти розробки з багами повторного входу, що дозволяло зловмисникам зламувати захист через маніпуляції викликами контрактів. Розробники мають своєчасно оновлювати версії смартконтрактів і бути пильними щодо застарілого коду. Всі проєкти із застарілими компіляторами повинні негайно переходити на актуальні версії для уникнення аналогічних експлойтів.

Аналіз rug pull демонструє, що централізоване управління проєктами підвищує ризики. В окремих постраждалих проєктах зловмисники залучали ліквідність, стимулюючи користувачів вкладати кошти в пули — ці активи ставали ціллю крадіжки. Такі проєкти надають командам надмірний контроль — великі обсяги токенів чи необмежену можливість емісії, що фактично створює бекдори у смартконтракті.

Механізми інформування про ризики

AvengerDAO публікує повні списки ризикованих проєктів і адрес на платформі оцінки безпеки, що допомагає користувачам розпізнавати високоризикові блокчейн-додатки. У цих ресурсах наведено рівень ризику, опис і ключову інформацію.

Нові високоризикові адреси

Учасники AvengerDAO надають інструменти для перевірки безпеки контрактів перед взаємодією або отримання інформації про ризики для конкретних адрес, що спрощує проведення due diligence. Наприклад, адреси на кшталт 0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e вимагають особливої уваги. Ці API забезпечують комплексний аналіз кожної адреси. Користувачі мають регулярно застосовувати ці сервіси під час отримання airdrop токенів чи взаємодії з потенційними інвестиційними контрактами.

Останні високоризикові адреси цього тижня ранжовано за кількістю щотижневих активних користувачів (WAU). Найризикованіша адреса має великий WAU, що свідчить про значну активність. Високий ризик виникає через уразливості смартконтракту, дії команди проєкту чи інші загрози безпеці.

Нові заходи з мінімізації ризиків

AvengerDAO проводить активне сканування проєктів із високим сукупним заблокованим капіталом (TVL). Виявлено низку проєктів із TVL понад $1 млн, де зафіксовано потенційні ризики, частину з яких уже усунено. Додатково проєкти з TVL понад $500 000 були відзначені як потенційно вразливі.

Переважна більшість проблем пов’язана з помилками налаштування гаманців EOA (externally owned account). Це свідчить про необхідність підвищення компетенції команд проєктів у питаннях Web3-ризиків і впровадження найкращих практик безпечного розгортання. Надмірна концентрація прав у EOA-гаманцях створює точку відмови. Командам варто впроваджувати багатопідписні гаманці або моделі розподіленого управління.

Дотримуйтесь обачності – проводьте власне дослідження

Перед участю у будь-якому криптопроєкті користувачі повинні проводити ретельний due diligence (DYOR). Не обмежуйтеся лише соцмережами чи форумами — шукайте оцінки ризиків на профільних платформах безпеки. Надійний DYOR передбачає аналіз whitepaper, перевірку коду, спілкування з ком’юніті та оцінку ринкових перспектив проєкту.

Використовуйте перевірені інструменти й джерела: провідні маркетингові платформи, публічні блокчейн-оглядачі, авторитетні новинні ресурси, офіційні сайти проєктів і наукові публікації. Захист інвестицій від шахрайства та пошук перспективних проєктів однаково важливі. Якщо виникають сумніви — дійте з максимальною обачністю.

Про AvengerDAO

AvengerDAO — спільнотна ініціатива, спрямована на захист користувачів від вразливостей, шахрайств і зловмисників у головних публічних блокчейнах. Засновники створили проєкт для вирішення питань відповідальності за підтримку масштабних блокчейн-екосистем. Місія AvengerDAO — забезпечити захист користувачів від фінансових втрат і шкідливих смартконтрактів.

Створюючи галузеві стандарти безпеки й підвищуючи рівень обізнаності, AvengerDAO сприяє впровадженню блокчейн-технологій. Ініціатива об’єднує провідних фахівців з безпеки й ресурси спільноти для формування єдиного захисту користувачів.

Висновки

Звіт AvengerDAO із безпеки демонструє постійні виклики для блокчейн-екосистеми. Ризики охоплюють технічні баги компілятора, централізоване управління та нестачу інформації для користувачів — це впливає на всі рівні індустрії. Користувачам слід зосереджувати увагу на незалежному дослідженні й використовувати інструменти оцінки для перевірки проєктів, а командам — дотримуватись найкращих практик безпеки Web3 для захисту активів. Безпечне й надійне блокчейн-середовище можливе лише за умов співпраці користувачів, команд і провайдерів безпеки.

FAQ

Що це за адреса Ethereum? Як перевірити її баланс і історію транзакцій?

Адреса 0x11a1764c877837921eca6f3f58cdbe9bcd4e9e5e є адресою Ethereum. Для перевірки балансу й історії транзакцій скористайтеся Etherscan.io: введіть адресу у пошукове поле, щоб отримати повну інформацію про баланси, перекази та ERC-20 транзакції.

Як перевірити автентичність і безпеку цієї адреси? Це контракт чи гаманець?

Скористайтеся блокчейн-оглядачами, наприклад Etherscan, для перевірки адреси. Ви зможете визначити, чи це контракт, чи гаманець. Завжди перевіряйте інформацію через надійні та перевірені спільнотою джерела.

Які токени або NFT-активи прив’язані до цієї адреси? Як із нею взаємодіяти?

Ця адреса містить різні BEP-20 токени й NFT-активи. Для взаємодії використовуйте сумісний гаманець для прямого управління й доступу до активів.