Finanças Descentralizadas segurança eventos revisão: análise de casos significativos de 2022
Em 2022, ocorreram mais de 300 incidentes de segurança no campo da blockchain, envolvendo um montante que chega a 4,3 bilhões de dólares. Este artigo analisará detalhadamente 8 casos típicos, dos quais a maioria teve perdas superiores a 100 milhões de dólares.
Ronin Bridge
No dia 23 de março de 2022, a sidechain Ronin Network do Axie Infinity foi invadida, resultando no roubo de 173.600 ETH e 25.500.000 USD, com um valor total de cerca de 590 milhões de dólares.
Os atacantes controlaram 5 nós de validação da rede Ronin através de engenharia social, obtendo assim controle sobre a rede. Este tipo de ataque é conhecido como APT( Ameaça Persistente Avançada ), onde os hackers primeiro controlam um computador interno como ponto de salto, e depois penetram em todo o sistema.
Este evento expôs a fraca consciência de segurança dos funcionários da Axie Infinity e as falhas no sistema de segurança interno da empresa.
Wormhole
A ponte cross-chain Wormhole foi atacada, resultando numa perda de cerca de 120 mil ETH. O problema estava no código de verificação de assinatura do contrato principal do lado Solana, que permitiu que o atacante falsificasse mensagens de "guardião" para cunhar ETH embalado pelo Wormhole.
Este problema deve-se principalmente ao uso de algumas funções obsoletas. Recomenda-se que os desenvolvedores utilizem a versão mais recente da biblioteca de código, para evitar problemas semelhantes.
Nomad Bridge
A ponte Nomad sofreu uma perda de aproximadamente 190 milhões de dólares devido a um problema de configuração durante a inicialização, que permitiu que atacantes construíssem mensagens arbitrárias para roubar fundos da ponte.
Os atacantes exploraram esta vulnerabilidade para enviar repetidamente dados de transação construídos, retirando fundos bloqueados na ponte entre cadeias. Um grande número de robôs MEV também participou deste evento de "roubo".
Este caso expõe que, uma vez que um projeto de código aberto apresenta vulnerabilidades, é muito fácil para os atacantes explorá-las. A equipe do projeto precisa lidar com as questões de segurança do código com mais cautela.
Beanstalk
O projeto de stablecoin algorítmica Beanstalk Farms foi alvo de um ataque de empréstimo relâmpago, resultando em uma perda de cerca de 182 milhões de dólares.
Os atacantes exploraram a vulnerabilidade do mecanismo de governança do projeto: não há intervalo de tempo entre a votação da proposta e a execução. Os atacantes obtiveram uma grande quantidade de tokens através de um empréstimo relâmpago para votar a favor de propostas maliciosas e executá-las imediatamente.
Este caso reflete que os mecanismos de governança descentralizada necessitam de mais considerações de segurança, como a definição de bloqueios de tempo, entre outros.
Wintermute
O market maker Wintermute perdeu aproximadamente 160 milhões de dólares devido ao uso da ferramenta de geração de endereços com falhas Profanity, que resultou na quebra da chave privada do Owner de um contrato.
Isso nos lembra que devemos realizar uma avaliação de segurança adequada ao usar qualquer ferramenta de código aberto.
Ponte Harmony
A ponte cross-chain Horizon da Harmony foi atacada, resultando em perdas superiores a 100 milhões de dólares. Segundo relatos, suspeita-se que o grupo de hackers da Coreia do Norte, Lazarus Group, esteja por trás do ataque.
Isso destaca novamente os riscos de segurança das pontes entre cadeias, bem como a ameaça de alguns grupos de hackers de nível nacional aos projetos de blockchain.
Ankr
O projeto Ankr sofreu devido a ações maliciosas de pessoal interno, resultando na mintagem de 1 trilhão de aBNBc do nada, causando consequências graves.
Isto reflete que existem sérios problemas na gestão de permissões internas do projeto; operações críticas devem ser realizadas utilizando métodos mais seguros, como carteiras multi-assinatura.
Mango
A plataforma de negociação descentralizada Mango foi alvo de um ataque de manipulação de mercado, resultando em perdas de cerca de 115 milhões de dólares.
Os atacantes exploram a falta de liquidez de pequenas moedas na plataforma, lucrando através de operações de posição dupla e manipulação de preços. Isso expõe uma falha no design do modelo de negócios do projeto.
Esses casos nos lembram que os projetos de blockchain não devem apenas se preocupar com a segurança do código, mas também considerar plenamente as vulnerabilidades potenciais nos modelos de negócios. Os usuários que participam dos projetos também devem avaliar completamente os riscos.
Esta página pode conter conteúdo de terceiros, que é fornecido apenas para fins informativos (não para representações/garantias) e não deve ser considerada como um endosso de suas opiniões pela Gate nem como aconselhamento financeiro ou profissional. Consulte a Isenção de responsabilidade para obter detalhes.
Análise dos 8 principais eventos de segurança DeFi em 2022: perdas de até várias centenas de milhões de dólares
Finanças Descentralizadas segurança eventos revisão: análise de casos significativos de 2022
Em 2022, ocorreram mais de 300 incidentes de segurança no campo da blockchain, envolvendo um montante que chega a 4,3 bilhões de dólares. Este artigo analisará detalhadamente 8 casos típicos, dos quais a maioria teve perdas superiores a 100 milhões de dólares.
Ronin Bridge
No dia 23 de março de 2022, a sidechain Ronin Network do Axie Infinity foi invadida, resultando no roubo de 173.600 ETH e 25.500.000 USD, com um valor total de cerca de 590 milhões de dólares.
Os atacantes controlaram 5 nós de validação da rede Ronin através de engenharia social, obtendo assim controle sobre a rede. Este tipo de ataque é conhecido como APT( Ameaça Persistente Avançada ), onde os hackers primeiro controlam um computador interno como ponto de salto, e depois penetram em todo o sistema.
Este evento expôs a fraca consciência de segurança dos funcionários da Axie Infinity e as falhas no sistema de segurança interno da empresa.
Wormhole
A ponte cross-chain Wormhole foi atacada, resultando numa perda de cerca de 120 mil ETH. O problema estava no código de verificação de assinatura do contrato principal do lado Solana, que permitiu que o atacante falsificasse mensagens de "guardião" para cunhar ETH embalado pelo Wormhole.
Este problema deve-se principalmente ao uso de algumas funções obsoletas. Recomenda-se que os desenvolvedores utilizem a versão mais recente da biblioteca de código, para evitar problemas semelhantes.
Nomad Bridge
A ponte Nomad sofreu uma perda de aproximadamente 190 milhões de dólares devido a um problema de configuração durante a inicialização, que permitiu que atacantes construíssem mensagens arbitrárias para roubar fundos da ponte.
Os atacantes exploraram esta vulnerabilidade para enviar repetidamente dados de transação construídos, retirando fundos bloqueados na ponte entre cadeias. Um grande número de robôs MEV também participou deste evento de "roubo".
Este caso expõe que, uma vez que um projeto de código aberto apresenta vulnerabilidades, é muito fácil para os atacantes explorá-las. A equipe do projeto precisa lidar com as questões de segurança do código com mais cautela.
Beanstalk
O projeto de stablecoin algorítmica Beanstalk Farms foi alvo de um ataque de empréstimo relâmpago, resultando em uma perda de cerca de 182 milhões de dólares.
Os atacantes exploraram a vulnerabilidade do mecanismo de governança do projeto: não há intervalo de tempo entre a votação da proposta e a execução. Os atacantes obtiveram uma grande quantidade de tokens através de um empréstimo relâmpago para votar a favor de propostas maliciosas e executá-las imediatamente.
Este caso reflete que os mecanismos de governança descentralizada necessitam de mais considerações de segurança, como a definição de bloqueios de tempo, entre outros.
Wintermute
O market maker Wintermute perdeu aproximadamente 160 milhões de dólares devido ao uso da ferramenta de geração de endereços com falhas Profanity, que resultou na quebra da chave privada do Owner de um contrato.
Isso nos lembra que devemos realizar uma avaliação de segurança adequada ao usar qualquer ferramenta de código aberto.
Ponte Harmony
A ponte cross-chain Horizon da Harmony foi atacada, resultando em perdas superiores a 100 milhões de dólares. Segundo relatos, suspeita-se que o grupo de hackers da Coreia do Norte, Lazarus Group, esteja por trás do ataque.
Isso destaca novamente os riscos de segurança das pontes entre cadeias, bem como a ameaça de alguns grupos de hackers de nível nacional aos projetos de blockchain.
Ankr
O projeto Ankr sofreu devido a ações maliciosas de pessoal interno, resultando na mintagem de 1 trilhão de aBNBc do nada, causando consequências graves.
Isto reflete que existem sérios problemas na gestão de permissões internas do projeto; operações críticas devem ser realizadas utilizando métodos mais seguros, como carteiras multi-assinatura.
Mango
A plataforma de negociação descentralizada Mango foi alvo de um ataque de manipulação de mercado, resultando em perdas de cerca de 115 milhões de dólares.
Os atacantes exploram a falta de liquidez de pequenas moedas na plataforma, lucrando através de operações de posição dupla e manipulação de preços. Isso expõe uma falha no design do modelo de negócios do projeto.
Esses casos nos lembram que os projetos de blockchain não devem apenas se preocupar com a segurança do código, mas também considerar plenamente as vulnerabilidades potenciais nos modelos de negócios. Os usuários que participam dos projetos também devem avaliar completamente os riscos.