Щотижневий звіт з безпеки AvengerDAO

AvengerDAO — ініціатива на основі спільноти, яку створили для захисту користувачів і проєктів у мережі BNB Chain від шкідливих дій та зловмисників. AvengerDAO регулярно публікує перелік ризикових проєктів і адрес на DappBay Red Alarm. Активно виявляючи та позначаючи такі об'єкти через Red Alarm сервісу DappBay, AvengerDAO дозволяє користувачам швидко ідентифікувати високоризикові dApp у мережі BNB Chain із зазначенням рівня ризику, опису та ключових деталей. Користувачі Web3 можуть впевнено взаємодіяти з dApp у BNB Chain, зберігаючи безпеку.

Інциденти безпеки

HashDit — провідна компанія з безпеки блокчейну, яка формує безпечне середовище для користувачів протоколів і розробників смартконтрактів у BNB Chain. HashDit є учасником AvengerDAO. Під час нещодавніх звітних періодів HashDit виявила кілька спам- та фішингових попереджень у межах комплексного аналізу безпеки. Ці інциденти демонструють постійні загрози для користувачів, які взаємодіють із різними децентралізованими застосунками і смартконтрактами в екосистемі BNB Chain. Постійний моніторинг безпеки залишається ключовим чинником захисту спільноти від експлойтів і шкідливих дій.

Висновки

Аналіз останніх інцидентів безпеки визначив важливі уроки для користувачів, які взаємодіють із контрактами роздачі токенів і адресами, наприклад 0x9a2478c4036548864d96a97fbf93f6a3341fedac. Перед підтвердженням approve() у контрактах airdrop рекомендуємо перевіряти, чи перевищує Gas Used by Transaction 90% у попередніх транзакціях підтвердження. Така перевірка допоможе виявити потенційно шкідливі контракти, які споживають надмірний gas, що може свідчити про спробу експлуатації підтверджень або несанкціоновані транзакції. Користувачам слід уважно перевіряти історію транзакцій і схеми використання gas перед погодженням на витрати токенів.

Нововиявлені високоризикові dApp-проєкти

У ширшій Web3-екосистемі різні блокчейн-мережі мають різний рівень ризику. Аналіз Total Value Locked (TVL) і фінансових оцінок засвідчує суттєві проблеми безпеки. Ethereum зберігає значний TVL, але має відносно низький відсоток ризику. BNB Chain характеризується помітним ризиком при великому TVL. Polygon демонструє підвищені ризикові показники. Інші великі мережі, як Arbitrum, Optimism і Avalanche, також мають відчутні ризики безпеки. Такі показники підтверджують необхідність ретельної перевірки під час роботи з децентралізованими застосунками на різних блокчейн-мережах.

Нововиявлена високоризикова адреса

Учасники AvengerDAO надають розширені API для перевірки безпеки смартконтрактів до початку взаємодії. Такі інструменти дозволяють отримати всю необхідну інформацію про потенційні ризики, пов’язані з конкретними адресами, зокрема 0x9a2478c4036548864d96a97fbf93f6a3341fedac, і провести необхідну перевірку. При отриманні airdrop токенів або плануванні взаємодії з інвестиційними контрактами радимо регулярно перевіряти ці API. Система AvengerDAO API надає повний набір оціночних метрик для кожної адреси, що дає змогу користувачам приймати обґрунтовані рішення та захищати себе від ризиків безпеки.

Останні заходи з усунення ризиків — проєкти з TVL >1 млн $

AvengerDAO активно перевіряє проєкти із заблокованими активами понад один мільйон доларів, щоб виявити потенційні вразливості. Упродовж останніх звітних періодів аналіз безпеки показав, що низка проєктів мала потенційні ризики, і декілька з них вже усунули виявлені проблеми. Основна частина виявлених ризиків пов’язана з недостатньою реалізацією мультипідписних гаманців, які забезпечують контроль над доступом до активів і запобігають несанкціонованим транзакціям. Для ефективного усунення ризиків AvengerDAO рекомендує всім проєктам ознайомитися з Web3 Risk Framework для впровадження кращих практик у сфері безпеки, управління та операційних ризиків у блокчейні.

Безпека — DYOR (Do Your Own Research)

Користувачам наполегливо рекомендуємо проводити власну перевірку (DYOR) і дотримуватись підвищеної обережності під час роботи з блокчейн-проєктами та dApp. Особливо уважно слід ставитись до проєктів, які позначає AvengerDAO у своїх регулярних оновленнях як ризикові. AvengerDAO розробила комплексні Web3 Risk Framework у партнерстві з учасниками ринку, щоб поширювати кращі стандарти безпеки Web3 та впроваджувати галузеві практики безпечної роботи.

Ці фреймворки охоплюють п’ять критичних сфер: Business Continuity — ключові елементи й практики сталості бізнесу; Crypto Wallet — повний чекліст для безпечного управління цифровими активами; Decentralized Finance — базові складові для розроблення безпечних DeFi-продуктів; Smart Contract — безпечні підходи розробки Solidity; Project Management — специфіку управління Web3-проєктами. Всі проєкти BNB Chain повинні проводити самооцінку за цими фреймворками й чеклістами для ідентифікації та мінімізації ризиків. HashDit акцентує на необхідності виявлення “rug-pull” (раптове виведення коштів засновниками) і шахрайських схем, закликаючи користувачів Web3 приділяти першочергову увагу безпеці та залишатись SAFU (Secure And Fully Understanding) під час роботи в екосистемі BNB Chain.

Висновок

AvengerDAO забезпечує захист екосистеми BNB Chain шляхом постійного моніторингу, виявлення й усунення ризиків і шкідливих дій. Регулярна публікація попереджень про ризики на DappBay Red Alarm і надання комплексних інструментів оцінки безпеки дають користувачам і проєктам змогу приймати обґрунтовані рішення та впроваджувати кращі практики. Регулярна ідентифікація ризикових проєктів, аналіз інцидентів безпеки і впровадження Web3 Risk Framework свідчать про високі стандарти безпеки в екосистемі. Користувачі повинні використовувати ці ресурси, проводити ретельну перевірку і дотримуватись усталених практик безпеки для захисту своїх інвестицій і безпечної участі у спільноті Web3.

FAQ

Що таке ця адреса Ethereum? Як переглянути її історію транзакцій і баланс?

Це адреса Ethereum у блокчейн-мережі. Переглянути її можна через Etherscan або оглядач Tokenview. Введіть адресу 0x9a2478c4036548864d96a97fbf93f6a3341fedac у пошуковий рядок, щоб миттєво побачити всі транзакції, їх суми і поточний баланс.

Як взаємодіяти з цією адресою смартконтракту? Які інструменти чи гаманці потрібні?

Взаємодіяти з цим смартконтрактом можна через Web3-сумісні гаманці, наприклад MetaMask, WalletConnect або Ledger. Для перегляду деталей використовуйте Etherscan чи інші блокчейн-оглядачі. Для прямої взаємодії застосовуйте бібліотеки Web3.js або інтерфейси контракту через Remix IDE. Переконайтесь, що маєте достатньо gas для виконання транзакцій.

Наскільки ця адреса безпечна? Як перевірити її легітимність?

Перевірте формат адреси через блокчейн-оглядачі, наприклад Etherscan. Оцініть історію транзакцій, розподіл власників і верифікацію коду контракту. Переконайтесь, що адреса збігається з офіційними джерелами та має доведену історію транзакцій для підтвердження безпеки.