Автоматизированное реагирование на инциденты может превратить полномасштабный кризис протокола в локализованную потерю. В сфере безопасности Web3 разница между реакцией в течение часов и реакцией в течение секунд может означать различие между управляемым инцидентом и потерей десятков миллионов долларов.
В DeFi ни один проект не может гарантировать полную безопасность навсегда. Вот почему важна тщательная подготовка. Но когда атака начинается, одной подготовки недостаточно. Проектам также необходима способность реагировать незамедлительно и минимизировать потери до того, как ущерб распространится.
Ручное вмешательство часто занимает слишком много времени. В инциденте с Nomad Bridge команде проекта потребовалось более трех часов, чтобы отреагировать. Во время эксплуатации уязвимости KyberSwap команда начала приостанавливать работу протоколов почти через два часа после первой атаки. Этот разрыв — именно та причина, по которой Phalcon Security имеет такое значение. Помимо обнаружения атак, Phalcon Security может автоматически запускать предустановленные ответные действия, включая приостановку работы и фронтраннинг, в критических ситуациях. Это позволяет сократить время реагирования с нескольких часов до одного блока.
Краткий обзор инцидента с KyberSwap
22 ноября 2023 года в 22:54:09 UTC сервис Phalcon зафиксировал первую атаку на KyberSwap в сети Base, убытки составили $857 025.
Минутой позже Phalcon обнаружил еще одну атаку через приватную транзакцию в основной сети Ethereum, убытки составили $64 896.
Начиная с 22:56:34 UTC, злоумышленник начал новые атаки на сетях Arbitrum, Optimism, Polygon и Avalanche. Некоторые транзакции злоумышленника в сетях Polygon и Avalanche были перехвачены (frontrun) другим MEV-ботом, который получил около $5,36 млн прибыли.
К 23:30:39 UTC злоумышленник завершил действия. Примерно за 37 минут он совершил 17 атак в шести сетях, что привело к потерям около $46 миллионов, исключая вторичные атаки подражателей.
23 ноября 2023 года в 00:36:47 UTC, примерно через 100 минут после первой атаки, команда протокола начала приостановку работы в различных сетях.
Типичный путь атаки: приватные транзакции и мультичейн-атака
Эксплуатация уязвимости KyberSwap не была единичным изолированным действием. Она перемещалась между сетями и включала в себя приватные транзакции, публичные транзакции и последующие атаки. Этот шаблон важен, поскольку он показывает, как современные злоумышленники ведут себя на практике. Они редко останавливаются после одного успешного шага и не ограничиваются одной сетью или одним типом транзакций.
Почему автоматизированное реагирование на инциденты критически важно для безопасности Web3?
100 минут против 12 секунд; $46 000 000 против $860 000
Как только Phalcon обнаруживает первую атаку, он может автоматически инициировать приостановку работы протокола или другие предустановленные ответные действия. Он также может одновременно приостановить работу того же протокола в других сетях. В случае с KyberSwap это позволило бы сократить потери до примерно $860 000 (убытки от первой атаки) вместо примерно $46 миллионов.
Phalcon поддерживает как одноподписные, так и мультиподписные настройки, что означает, что действия по реагированию на инциденты могут выполняться мгновенно даже в более сложных системах управления.
Одна приватная транзакция — это редко конец
Более 90% злоумышленников не останавливаются после одной приватной транзакции, и атаки редко случаются только в основной сети. В инциденте с KyberSwap только три из 17 транзакций атаки были приватными. Первая приватная транзакция составила всего 0,14% от общего объема потерь. Все три приватные транзакции вместе взятые составили 16%. Одна только первая не приватная атака стала причиной 2% общего ущерба.
Урок ясен. Даже когда злоумышленники используют приватные транзакции, проекты все равно могут значительно снизить потери, если атака обнаружена на ранней стадии и ответные меры приняты вовремя.
Когда происходит атака, время становится главной переменной
Поскольку у BlockSec не было предварительного сотрудничества с KyberSwap, команда могла связаться с ними только через публичные каналы после обнаружения атаки. Даже если бы информация об угрозе немедленно дошла до команды протокола, ручное реагирование все равно было бы слишком медленным.
Для проекта с мультиподписным управлением команде все равно потребовалось бы подтвердить, что атака происходит, оценить риск, согласовать контрмеры и собрать подписи для транзакций реагирования. Все это требует времени, и каждая минута имеет значение, пока эксплойт находится в стадии реализации.
В случае с KyberSwap между первой атакой и началом реагирования прошло более 100 минут. Эта задержка — именно та причина, по которой автоматизированное реагирование так важно для реагирования на инциденты в блокчейне.
Используя Phalcon Security, команды проектов могут интегрировать автоматизированное реагирование, не отказываясь от мультиподписного управления. Система позволяет заранее определенным действиям выполняться мгновенно, когда инцидент соответствует заданным условиям.
Как команды проектов могут реагировать на угрозы безопасности?
У команд проектов обычно есть два пути.
Первый — построить все самостоятельно. Это означает создание системы мониторинга вместо того, чтобы полагаться на оповещения из социальных сетей, определение стандартов оценки рисков и планов реагирования на инциденты, формирование специализированной группы реагирования и поддержание круглосуточной операционной готовности. Теоретически это работает. На практике это ресурсозатратно и трудно поддерживать.
Второй — использовать платформу, созданную для обнаружения угроз и реагирования в режиме реального времени. С помощью Phalcon Security команды проектов получают точный мониторинг внешних угроз, гибкую настройку правил, интеллектуальную оценку рисков и автоматизированные механизмы быстрого реагирования, такие как приостановка работы протокола и фронтраннинг. Это позволяет повысить безопасность протокола без создания круглосуточной службы реагирования с нуля.
Вы можете сделать свой протокол безопаснее, не полагаясь на постоянное ручное вмешательство.
Сопутствующие ресурсы
- Инцидент с KyberSwap: мастерское использование ошибок округления с чрезвычайно тонкими расчетами
- Очередная трагедия потери точности: глубокий анализ инцидента с KyberSwap
- BlockSec запускает Phalcon: первую в мире систему блокировки крипто-взломов для безопасности Web3
