Децентралізовані фінанси безпекові інциденти огляд: аналіз значних випадків 2022 року
У 2022 році в сфері блокчейну сталося більше 300 інцидентів безпеки, загальна сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типовими випадками, більшість з яких призвела до збитків понад 100 мільйонів доларів.
Міст Роніна
23 березня 2022 року мережа Ronin, що є сайдчейном Axie Infinity, зазнала зламу, в результаті чого було вкрадено 173600 ETH та 25.5 млн USD, загальна вартість яких становить приблизно 590 млн доларів.
Зловмисники за допомогою соціальної інженерії контролювали 5 верифікаційних вузлів мережі Ronin, що дозволило їм здійснити контроль над мережею. Цей тип атаки називається APT(, або ж високостійка загроза ), хакери спочатку контролюють один комп’ютер всередині системи як трамплін, а потім проникають у всю систему.
Ця подія виявила слабку обізнаність співробітників компанії Axie Infinity щодо безпеки, а також наявність вразливостей у внутрішній безпековій системі компанії.
Червоточина
Wormhole кросчейн-міст зазнав атаки, внаслідок чого було втрачено близько 120000 ETH. Проблема полягає в тому, що в коді перевірки підпису основного контракту на стороні Solana є помилка, яка дозволяє зловмисникам підробляти повідомлення "опікунів" для карбування упакованого ETH Wormhole.
Ця проблема викликана тим, що були використані деякі застарілі функції. Рекомендується розробникам використовувати останню версію коду, щоб уникнути подібних проблем.
Міст кочівників
Міст Nomad зазнав атаки через проблеми з налаштуваннями під час ініціалізації, що дозволило зловмисникам створювати довільні повідомлення для крадіжки коштів з мосту, в результаті чого було втрачено близько 190 мільйонів доларів.
Атакуючі використовували цю вразливість, щоб неодноразово надсилати конструйовані дані транзакцій, витягуючи кошти, заблоковані в кросчейн мосту. Велика кількість MEV-роботів також брала участь у цій "грабіжницькій" події.
Цей випадок виявив, що відкриті проекти, якщо в них з'являються вразливості, дуже легко можуть бути використані зловмисниками. Команді проекту потрібно більш обережно підходити до вирішення питань безпеки коду.
Стебло квасолі
Проект алгоритмічних стабільних монет Beanstalk Farms зазнав атаки за допомогою блискавичного кредиту, збитки становлять близько 182 мільйонів доларів.
Зловмисник скористався вразливістю механізму управління проєкту: між голосуванням за пропозицію та її виконанням немає часової затримки. Зловмисник отримав велику кількість токенів через флеш-кредит і проголосував за шкідливу пропозицію, після чого негайно її реалізував.
Цей випадок відображає, що механізми децентралізованого управління потребують більше заходів безпеки, таких як налаштування часових замків тощо.
Зимовий німий
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через злом приватного ключа власника одного з контрактів, викликаний використанням уразливого генератора нікнеймів Profanity.
Це нагадує нам про те, що при використанні будь-яких інструментів з відкритим кодом необхідно проводити ретельну оцінку безпеки.
Міст Гармонії
Кросчейн-міст Horizon від Harmony був атакований, збитки перевищили 100 мільйонів доларів. За повідомленнями, за цим стоїть підозрювана північнокорейська хакерська група Lazarus Group.
Це знову підкреслює ризики безпеки кросчейн-мостів та загрози, які деякі державні хакерські організації становлять для блокчейн-проєктів.
Анкр
Проект Ankr через зловживання внутрішніми особами призвів до безпідставного випуску 1 трильйона aBNBc, що спричинило серйозні наслідки.
Це вказує на серйозні проблеми з внутрішнім управлінням правами доступу проекту, ключові операції слід виконувати за допомогою мультипідписних гаманців або інших більш безпечних способів.
Манго
Децентралізована торгова платформа Mango зазнала атаки маніпуляцій на ринку, втративши близько 1,15 мільярда доларів.
Зловмисники використовують проблему недостатньої ліквідності малих монет на платформі, отримуючи прибуток через подвійні позиції і маніпуляції з цінами. Це виявляє недоліки в проектуванні бізнес-моделі.
Ці випадки нагадують нам, що блокчейн-проекти повинні не лише звертати увагу на безпеку коду, але й повністю враховувати можливі вразливості бізнес-моделі. Користувачі, беручи участь у проекті, також повинні всебічно оцінювати ризики.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Аналіз восьми великих інцидентів безпеки в DeFi 2022 року: збитки сягнули кількох сотень мільйонів доларів
Децентралізовані фінанси безпекові інциденти огляд: аналіз значних випадків 2022 року
У 2022 році в сфері блокчейну сталося більше 300 інцидентів безпеки, загальна сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типовими випадками, більшість з яких призвела до збитків понад 100 мільйонів доларів.
Міст Роніна
23 березня 2022 року мережа Ronin, що є сайдчейном Axie Infinity, зазнала зламу, в результаті чого було вкрадено 173600 ETH та 25.5 млн USD, загальна вартість яких становить приблизно 590 млн доларів.
Зловмисники за допомогою соціальної інженерії контролювали 5 верифікаційних вузлів мережі Ronin, що дозволило їм здійснити контроль над мережею. Цей тип атаки називається APT(, або ж високостійка загроза ), хакери спочатку контролюють один комп’ютер всередині системи як трамплін, а потім проникають у всю систему.
Ця подія виявила слабку обізнаність співробітників компанії Axie Infinity щодо безпеки, а також наявність вразливостей у внутрішній безпековій системі компанії.
Червоточина
Wormhole кросчейн-міст зазнав атаки, внаслідок чого було втрачено близько 120000 ETH. Проблема полягає в тому, що в коді перевірки підпису основного контракту на стороні Solana є помилка, яка дозволяє зловмисникам підробляти повідомлення "опікунів" для карбування упакованого ETH Wormhole.
Ця проблема викликана тим, що були використані деякі застарілі функції. Рекомендується розробникам використовувати останню версію коду, щоб уникнути подібних проблем.
Міст кочівників
Міст Nomad зазнав атаки через проблеми з налаштуваннями під час ініціалізації, що дозволило зловмисникам створювати довільні повідомлення для крадіжки коштів з мосту, в результаті чого було втрачено близько 190 мільйонів доларів.
Атакуючі використовували цю вразливість, щоб неодноразово надсилати конструйовані дані транзакцій, витягуючи кошти, заблоковані в кросчейн мосту. Велика кількість MEV-роботів також брала участь у цій "грабіжницькій" події.
Цей випадок виявив, що відкриті проекти, якщо в них з'являються вразливості, дуже легко можуть бути використані зловмисниками. Команді проекту потрібно більш обережно підходити до вирішення питань безпеки коду.
Стебло квасолі
Проект алгоритмічних стабільних монет Beanstalk Farms зазнав атаки за допомогою блискавичного кредиту, збитки становлять близько 182 мільйонів доларів.
Зловмисник скористався вразливістю механізму управління проєкту: між голосуванням за пропозицію та її виконанням немає часової затримки. Зловмисник отримав велику кількість токенів через флеш-кредит і проголосував за шкідливу пропозицію, після чого негайно її реалізував.
Цей випадок відображає, що механізми децентралізованого управління потребують більше заходів безпеки, таких як налаштування часових замків тощо.
Зимовий німий
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через злом приватного ключа власника одного з контрактів, викликаний використанням уразливого генератора нікнеймів Profanity.
Це нагадує нам про те, що при використанні будь-яких інструментів з відкритим кодом необхідно проводити ретельну оцінку безпеки.
Міст Гармонії
Кросчейн-міст Horizon від Harmony був атакований, збитки перевищили 100 мільйонів доларів. За повідомленнями, за цим стоїть підозрювана північнокорейська хакерська група Lazarus Group.
Це знову підкреслює ризики безпеки кросчейн-мостів та загрози, які деякі державні хакерські організації становлять для блокчейн-проєктів.
Анкр
Проект Ankr через зловживання внутрішніми особами призвів до безпідставного випуску 1 трильйона aBNBc, що спричинило серйозні наслідки.
Це вказує на серйозні проблеми з внутрішнім управлінням правами доступу проекту, ключові операції слід виконувати за допомогою мультипідписних гаманців або інших більш безпечних способів.
Манго
Децентралізована торгова платформа Mango зазнала атаки маніпуляцій на ринку, втративши близько 1,15 мільярда доларів.
Зловмисники використовують проблему недостатньої ліквідності малих монет на платформі, отримуючи прибуток через подвійні позиції і маніпуляції з цінами. Це виявляє недоліки в проектуванні бізнес-моделі.
Ці випадки нагадують нам, що блокчейн-проекти повинні не лише звертати увагу на безпеку коду, але й повністю враховувати можливі вразливості бізнес-моделі. Користувачі, беручи участь у проекті, також повинні всебічно оцінювати ризики.