Обзор инцидентов безопасности в Децентрализованных финансах: анализ значительных случаев 2022 года
В 2022 году в области блокчейна произошло более 300 инцидентов безопасности, сумма ущерба составила до 4,3 миллиарда долларов США. В данной статье будет подробно проанализировано 8 типичных случаев, в большинстве из которых сумма убытков превышает 100 миллионов долларов.
Мост Ронин
23 марта 2022 года сеть Ronin, побочная цепочка Axie Infinity, была взломана, в результате чего было украдено 173600 ETH и 25,5 миллиона USD, общая стоимость составляет около 590 миллионов долларов.
Атакующие контролировали 5 узлов верификации сети Ronin с помощью социальной инженерии, что дало им контроль над сетью. Этот метод атаки называется APT(, высокоэффективная постоянная угроза ), хакеры сначала контролируют один внутренний компьютер в качестве трамплина, а затем проникают в всю систему.
Это событие выявило недостаточную безопасность сотрудников компании Axie Infinity, а также наличие уязвимостей в внутренней системе безопасности компании.
Червоточина
Мост Wormhole между цепями подвергся атаке, в результате чего было потеряно около 120 000 ETH. Проблема заключалась в ошибке в коде проверки подписи основного контракта на стороне Solana, что позволило злоумышленникам подделывать сообщения "опекунов" для создания упакованного ETH Wormhole.
Эта проблема в основном вызвана использованием некоторых устаревших функций. Рекомендуется разработчикам использовать последнюю версию кодовой базы, чтобы избежать подобных проблем.
Мост кочевников
Из-за проблем с настройками во время инициализации моста Nomad злоумышленники смогли составить произвольные сообщения для кражи средств через мост, в результате чего общий убыток составил около 190 миллионов долларов.
Злоумышленники используют эту уязвимость для многократной отправки сконструированных данных о транзакциях, извлекая средства, заблокированные в кросс-чейн мостах. Большое количество MEV-роботов также участвовало в этом событии "грабежа".
Этот случай выявляет, что если у открытого проекта возникает уязвимость, его легко могут использовать злоумышленники. Команде проекта необходимо более осторожно относиться к вопросам безопасности кода.
Бобовый стебель
Проект алгоритмических стабильных монет Beanstalk Farms подвергся атаке через кредитование с использованием флеш-займов, убытки составили около 182 миллионов долларов.
Злоумышленник использовал уязвимость в механизме управления проектом: между голосованием по предложению и его выполнением нет временного интервала. Злоумышленник получил большое количество токенов через флеш-займ, проголосовал за злонамеренное предложение и немедленно его выполнил.
Этот случай демонстрирует, что механизмы децентрализованного управления требуют большего внимания к безопасности, например, установления временных замков и т.д.
Зимний немый
Маркетмейкер Wintermute понес убытки около 160 миллионов долларов из-за использования уязвимого генератора красивых номеров Profanity, что привело к компрометации приватного ключа владельца одного контракта.
Это напоминает нам о том, что при использовании любых открытых инструментов необходимо проводить тщательную оценку безопасности.
Мост Гармонии
Мост Harmony Horizon был атакован, убытки превышают 100 миллионов долларов. По сообщениям, это дело рук подозреваемой северокорейской хакерской группы Lazarus Group.
Это снова подчеркивает риски безопасности кросс-чейн мостов, а также угрозу со стороны некоторых национальных хакерских организаций для проектов блокчейна.
Анкр
Проект Ankr столкнулся с внутренними злоупотреблениями, что привело к созданию 1 триллиона aBNBc из ниоткуда, что вызвало серьезные последствия.
Это указывает на серьезные проблемы с внутренним управлением правами проекта, ключевые операции должны выполняться с использованием много signature кошельков и других более безопасных методов.
Манго
Децентрализованная торговая платформа Mango подверглась атаке манипуляции на рынке, понесла убытки около 1,15 миллиарда долларов.
Атакующие используют проблему недостаточной ликвидности на платформе для мелких токенов, получая прибыль через открытие длинных и коротких позиций и манипуляции с ценой. Это выявляет недостатки в проекте по дизайну бизнес-модели.
Эти примеры напоминают нам, что блокчейн-проекты должны не только обращать внимание на безопасность кода, но и тщательно рассматривать возможные уязвимости в бизнес-моделях. Пользователи, участвуя в проектах, также должны всесторонне оценивать риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Анализ восьми крупных инцидентов безопасности в Децентрализованных финансах в 2022 году: потери составили до нескольких сотен миллионов долларов.
Обзор инцидентов безопасности в Децентрализованных финансах: анализ значительных случаев 2022 года
В 2022 году в области блокчейна произошло более 300 инцидентов безопасности, сумма ущерба составила до 4,3 миллиарда долларов США. В данной статье будет подробно проанализировано 8 типичных случаев, в большинстве из которых сумма убытков превышает 100 миллионов долларов.
Мост Ронин
23 марта 2022 года сеть Ronin, побочная цепочка Axie Infinity, была взломана, в результате чего было украдено 173600 ETH и 25,5 миллиона USD, общая стоимость составляет около 590 миллионов долларов.
Атакующие контролировали 5 узлов верификации сети Ronin с помощью социальной инженерии, что дало им контроль над сетью. Этот метод атаки называется APT(, высокоэффективная постоянная угроза ), хакеры сначала контролируют один внутренний компьютер в качестве трамплина, а затем проникают в всю систему.
Это событие выявило недостаточную безопасность сотрудников компании Axie Infinity, а также наличие уязвимостей в внутренней системе безопасности компании.
Червоточина
Мост Wormhole между цепями подвергся атаке, в результате чего было потеряно около 120 000 ETH. Проблема заключалась в ошибке в коде проверки подписи основного контракта на стороне Solana, что позволило злоумышленникам подделывать сообщения "опекунов" для создания упакованного ETH Wormhole.
Эта проблема в основном вызвана использованием некоторых устаревших функций. Рекомендуется разработчикам использовать последнюю версию кодовой базы, чтобы избежать подобных проблем.
Мост кочевников
Из-за проблем с настройками во время инициализации моста Nomad злоумышленники смогли составить произвольные сообщения для кражи средств через мост, в результате чего общий убыток составил около 190 миллионов долларов.
Злоумышленники используют эту уязвимость для многократной отправки сконструированных данных о транзакциях, извлекая средства, заблокированные в кросс-чейн мостах. Большое количество MEV-роботов также участвовало в этом событии "грабежа".
Этот случай выявляет, что если у открытого проекта возникает уязвимость, его легко могут использовать злоумышленники. Команде проекта необходимо более осторожно относиться к вопросам безопасности кода.
Бобовый стебель
Проект алгоритмических стабильных монет Beanstalk Farms подвергся атаке через кредитование с использованием флеш-займов, убытки составили около 182 миллионов долларов.
Злоумышленник использовал уязвимость в механизме управления проектом: между голосованием по предложению и его выполнением нет временного интервала. Злоумышленник получил большое количество токенов через флеш-займ, проголосовал за злонамеренное предложение и немедленно его выполнил.
Этот случай демонстрирует, что механизмы децентрализованного управления требуют большего внимания к безопасности, например, установления временных замков и т.д.
Зимний немый
Маркетмейкер Wintermute понес убытки около 160 миллионов долларов из-за использования уязвимого генератора красивых номеров Profanity, что привело к компрометации приватного ключа владельца одного контракта.
Это напоминает нам о том, что при использовании любых открытых инструментов необходимо проводить тщательную оценку безопасности.
Мост Гармонии
Мост Harmony Horizon был атакован, убытки превышают 100 миллионов долларов. По сообщениям, это дело рук подозреваемой северокорейской хакерской группы Lazarus Group.
Это снова подчеркивает риски безопасности кросс-чейн мостов, а также угрозу со стороны некоторых национальных хакерских организаций для проектов блокчейна.
Анкр
Проект Ankr столкнулся с внутренними злоупотреблениями, что привело к созданию 1 триллиона aBNBc из ниоткуда, что вызвало серьезные последствия.
Это указывает на серьезные проблемы с внутренним управлением правами проекта, ключевые операции должны выполняться с использованием много signature кошельков и других более безопасных методов.
Манго
Децентрализованная торговая платформа Mango подверглась атаке манипуляции на рынке, понесла убытки около 1,15 миллиарда долларов.
Атакующие используют проблему недостаточной ликвидности на платформе для мелких токенов, получая прибыль через открытие длинных и коротких позиций и манипуляции с ценой. Это выявляет недостатки в проекте по дизайну бизнес-модели.
Эти примеры напоминают нам, что блокчейн-проекты должны не только обращать внимание на безопасность кода, но и тщательно рассматривать возможные уязвимости в бизнес-моделях. Пользователи, участвуя в проектах, также должны всесторонне оценивать риски.