Finanzas descentralizadas Seguridad Incidentes Revisión: Análisis de Casos Importantes de 2022
En 2022, se produjeron más de 300 incidentes de seguridad en el ámbito de la blockchain, con un monto involucrado que asciende a 4.3 mil millones de dólares. Este artículo analizará en detalle 8 casos típicos, la mayoría de los cuales superaron los 100 millones de dólares en pérdidas.
Puente Ronin
El 23 de marzo de 2022, la sidechain de Axie Infinity, Ronin Network, fue hackeada, lo que resultó en el robo de 173,600 ETH y 25.5 millones de USD, con un valor total de aproximadamente 590 millones de dólares.
Los atacantes controlaron 5 nodos de validación de la red Ronin a través de técnicas de ingeniería social, logrando así el control de la red. Este tipo de ataque se denomina APT( amenaza persistente avanzada ), donde los hackers primero controlan una computadora interna como punto de apoyo, para luego infiltrarse en todo el sistema.
Este evento expone la débil conciencia de seguridad de los empleados de Axie Infinity y las vulnerabilidades en el sistema de seguridad interno de la empresa.
Wormhole
El puente entre cadenas Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH. El problema radica en un error en el código de verificación de firma del contrato central en la red Solana, que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar ETH envuelto en Wormhole.
Este problema se debe principalmente al uso de algunas funciones obsoletas. Se recomienda a los desarrolladores que utilicen la versión más reciente del código fuente para evitar problemas similares.
Puente Nomad
El puente Nomad sufrió un problema de configuración durante la inicialización, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos del puente, con una pérdida total de aproximadamente 190 millones de dólares.
Los atacantes aprovecharon esta vulnerabilidad para enviar repetidamente datos de transacciones construidos, extrayendo fondos bloqueados en el puente entre cadenas. Muchos bots de MEV también participaron en este evento de "robo".
Este caso expone que, una vez que un proyecto de código abierto presenta vulnerabilidades, es muy fácil de ser aprovechado por los atacantes. El equipo del proyecto necesita manejar los problemas de seguridad del código con más precaución.
Beanstalk
El proyecto de stablecoin algorítmico Beanstalk Farms sufrió un ataque de préstamo relámpago, con una pérdida de aproximadamente 182 millones de dólares.
Los atacantes aprovecharon la vulnerabilidad en el mecanismo de gobernanza del proyecto: no hay intervalo de tiempo entre la votación de propuestas y su ejecución. Los atacantes obtuvieron una gran cantidad de tokens a través de un préstamo relámpago para votar a favor de propuestas maliciosas y las ejecutaron de inmediato.
Este caso refleja que los mecanismos de gobernanza descentralizada necesitan más consideraciones de seguridad, como establecer bloqueos temporales, entre otros.
Wintermute
El creador de mercado Wintermute sufrió una pérdida de aproximadamente 160 millones de dólares debido a la utilización de una herramienta de generación de direcciones con vulnerabilidades, Profanity, que comprometió la clave privada del propietario de un contrato.
Esto nos recuerda que debemos realizar una evaluación de seguridad adecuada al utilizar cualquier herramienta de código abierto.
Puente de Harmony
El puente跨链 de Horizon de Harmony fue atacado, con pérdidas superiores a 100 millones de dólares. Según informes, se sospecha que fue obra del grupo de hackers norcoreano Lazarus.
Esto destaca nuevamente los riesgos de seguridad de los puentes entre cadenas y la amenaza de algunos grupos de hackers a nivel nacional para los proyectos de blockchain.
Ankr
El proyecto Ankr ha sufrido un grave problema debido a la mala conducta de personal interno, lo que ha llevado a la acuñación de 1 billón de aBNBc de la nada, causando consecuencias severas.
Esto refleja que hay graves problemas en la gestión de permisos internos del proyecto, las operaciones clave deben realizarse utilizando métodos más seguros como billeteras multifirma.
Mango
La plataforma de intercambio descentralizada Mango fue objeto de un ataque de manipulación del mercado, con pérdidas de aproximadamente 115 millones de dólares.
Los atacantes se beneficiaron de la falta de liquidez de las criptomonedas menores en la plataforma, llevando a cabo operaciones de apertura de posiciones largas y cortas y manipulando el precio. Esto expone una vulnerabilidad en el diseño del modelo de negocio del proyecto.
Estos casos nos recuerdan que los proyectos de blockchain no solo deben prestar atención a la seguridad del código, sino también considerar plenamente las posibles vulnerabilidades en el modelo de negocio. Los usuarios que participan en los proyectos también deben evaluar los riesgos de manera integral.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Análisis de los ocho principales incidentes de seguridad en Finanzas descentralizadas en 2022: pérdidas que alcanzan cientos de millones de dólares
Finanzas descentralizadas Seguridad Incidentes Revisión: Análisis de Casos Importantes de 2022
En 2022, se produjeron más de 300 incidentes de seguridad en el ámbito de la blockchain, con un monto involucrado que asciende a 4.3 mil millones de dólares. Este artículo analizará en detalle 8 casos típicos, la mayoría de los cuales superaron los 100 millones de dólares en pérdidas.
Puente Ronin
El 23 de marzo de 2022, la sidechain de Axie Infinity, Ronin Network, fue hackeada, lo que resultó en el robo de 173,600 ETH y 25.5 millones de USD, con un valor total de aproximadamente 590 millones de dólares.
Los atacantes controlaron 5 nodos de validación de la red Ronin a través de técnicas de ingeniería social, logrando así el control de la red. Este tipo de ataque se denomina APT( amenaza persistente avanzada ), donde los hackers primero controlan una computadora interna como punto de apoyo, para luego infiltrarse en todo el sistema.
Este evento expone la débil conciencia de seguridad de los empleados de Axie Infinity y las vulnerabilidades en el sistema de seguridad interno de la empresa.
Wormhole
El puente entre cadenas Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH. El problema radica en un error en el código de verificación de firma del contrato central en la red Solana, que permitió a los atacantes falsificar mensajes de "guardianes" para acuñar ETH envuelto en Wormhole.
Este problema se debe principalmente al uso de algunas funciones obsoletas. Se recomienda a los desarrolladores que utilicen la versión más reciente del código fuente para evitar problemas similares.
Puente Nomad
El puente Nomad sufrió un problema de configuración durante la inicialización, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos del puente, con una pérdida total de aproximadamente 190 millones de dólares.
Los atacantes aprovecharon esta vulnerabilidad para enviar repetidamente datos de transacciones construidos, extrayendo fondos bloqueados en el puente entre cadenas. Muchos bots de MEV también participaron en este evento de "robo".
Este caso expone que, una vez que un proyecto de código abierto presenta vulnerabilidades, es muy fácil de ser aprovechado por los atacantes. El equipo del proyecto necesita manejar los problemas de seguridad del código con más precaución.
Beanstalk
El proyecto de stablecoin algorítmico Beanstalk Farms sufrió un ataque de préstamo relámpago, con una pérdida de aproximadamente 182 millones de dólares.
Los atacantes aprovecharon la vulnerabilidad en el mecanismo de gobernanza del proyecto: no hay intervalo de tiempo entre la votación de propuestas y su ejecución. Los atacantes obtuvieron una gran cantidad de tokens a través de un préstamo relámpago para votar a favor de propuestas maliciosas y las ejecutaron de inmediato.
Este caso refleja que los mecanismos de gobernanza descentralizada necesitan más consideraciones de seguridad, como establecer bloqueos temporales, entre otros.
Wintermute
El creador de mercado Wintermute sufrió una pérdida de aproximadamente 160 millones de dólares debido a la utilización de una herramienta de generación de direcciones con vulnerabilidades, Profanity, que comprometió la clave privada del propietario de un contrato.
Esto nos recuerda que debemos realizar una evaluación de seguridad adecuada al utilizar cualquier herramienta de código abierto.
Puente de Harmony
El puente跨链 de Horizon de Harmony fue atacado, con pérdidas superiores a 100 millones de dólares. Según informes, se sospecha que fue obra del grupo de hackers norcoreano Lazarus.
Esto destaca nuevamente los riesgos de seguridad de los puentes entre cadenas y la amenaza de algunos grupos de hackers a nivel nacional para los proyectos de blockchain.
Ankr
El proyecto Ankr ha sufrido un grave problema debido a la mala conducta de personal interno, lo que ha llevado a la acuñación de 1 billón de aBNBc de la nada, causando consecuencias severas.
Esto refleja que hay graves problemas en la gestión de permisos internos del proyecto, las operaciones clave deben realizarse utilizando métodos más seguros como billeteras multifirma.
Mango
La plataforma de intercambio descentralizada Mango fue objeto de un ataque de manipulación del mercado, con pérdidas de aproximadamente 115 millones de dólares.
Los atacantes se beneficiaron de la falta de liquidez de las criptomonedas menores en la plataforma, llevando a cabo operaciones de apertura de posiciones largas y cortas y manipulando el precio. Esto expone una vulnerabilidad en el diseño del modelo de negocio del proyecto.
Estos casos nos recuerdan que los proyectos de blockchain no solo deben prestar atención a la seguridad del código, sino también considerar plenamente las posibles vulnerabilidades en el modelo de negocio. Los usuarios que participan en los proyectos también deben evaluar los riesgos de manera integral.