Обзор инцидентов безопасности в Децентрализованных финансах: анализ основных случаев 2022 года
В 2022 году в блокчейн-индустрии произошло более 300 инцидентов безопасности, сумма ущерба составила 4,3 миллиарда долларов. В этой статье будет подробно проанализировано 8典型案例, большинство из которых связано с потерями свыше 100 миллионов долларов.
Событие Ronin Bridge
23 марта 2022 года сайдчейн Axie Infinity, Ronin Network, подвергся атаке, в результате которой было украдено 173,6 тысячи ETH и 25,5 миллионов долларов. Сообщается, что к этому инциденту причастна северокорейская хакерская группа Lazarus. Хакеры с помощью социальной инженерии проникли в систему и в конечном итоге контролировали 5 из 9 валидаторских узлов, успешно осуществив атаку.
Этот инцидент выявил слабую осведомлённость сотрудников компании о безопасности и наличие уязвимостей в внутренней системе безопасности. Он также демонстрирует, что традиционные хакерские организации и государственные силы постепенно смещают свои цели на блокчейн-проекты, напрямую получая экономические выгоды.
Событие Wormhole
В основном контракте на стороне Solana моста Wormhole существует ошибка проверки подписи, которая позволяет злоумышленникам подделывать сообщения "наблюдателей" для выпуска обернутого ETH Wormhole, что приводит к потере около 120000 ETH.
Эта проблема в основном заключается на уровне кода, используются некоторые устаревшие функции. Разработчикам следует своевременно обновлять до последней версии, чтобы избежать подобных проблем.
Событие Nomad Bridge
При инициализации контракта Replica кросс-чейн моста Nomad доверенный корень был установлен на 0x0, и при изменении доверенного корня старый корень не был аннулирован, что позволило злоумышленникам конструировать любые сообщения для кражи средств, общие потери составили более 190 миллионов долларов.
Это типичная проблема настройки инициализации. Хакеры извлекают заблокированные средства, воспроизводя действительные транзакции. Было задействовано большое количество ботов MEV, что превратило инцидент в «захват денег».
Это также отражает эффект двустороннего меча открытого исходного кода - он упрощает аудит, но также облегчает анализ хакерам. Как только уязвимость будет обнаружена, проект может столкнуться с фатальными последствиями.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-займа, в результате которой были потеряны около 182 миллионов долларов. Нападающий использовал флеш-займ для получения большого количества токенов, чтобы проголосовать за вредоносное предложение, и сразу же реализовал прибыль.
Этот случай выявил риски децентрализованного управления. Проектам необходимо учитывать механизмы проверки предложений, распределение веса голосов и такие меры безопасности, как временные блокировки.
Событие Wintermute
Маркет-мейкер Wintermute использовал уязвимый инструмент для генерации красивых номеров для создания адреса контракта, что привело к взлому приватного ключа владельца контракта и выводу средств.
Это напоминает нам о том, что при использовании инструментов с открытым исходным кодом необходимо быть осторожными и лучше провести их полную оценку безопасности.
Событие Harmony Bridge
Кросс-цепочный мост Harmony Horizon потерял более 100 миллионов долларов, предположительно из-за утечки приватного ключа. Анализ показывает, что это также может быть сделано северокорейской хакерской группой.
Северокорейские хакеры в последние годы часто атакуют индустрию криптовалют, многие компании стали жертвами их фишинговых атак.
Событие Ankr
Смарт-контракт стейкинга Ankr был скомпрометирован бывшими сотрудниками с использованием приватных ключей, что привело к массовому злонамеренному созданию токенов. Это выявило серьезные проблемы проекта в управлении правами доступа и внутренней системе безопасности.
Событие Mango
Атакующие использовали уязвимость бизнес-модели платформы обмена Mango, манипулируя ценами на токены с малой капитализацией и получив более 100 миллионов долларов прибыли.
Это напоминает командам проекта о необходимости тщательно рассматривать различные экстремальные сценарии для тестирования. Пользователи, участвующие в проекте, также должны обращать внимание на то, существуют ли в бизнес-модели уязвимости, которые могут быть использованы.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 Лайков
Награда
15
5
Поделиться
комментарий
0/400
DuskSurfer
· 07-03 12:48
Снова пришла белая подруга, будут играть для лохов не страшно
Посмотреть ОригиналОтветить0
ForkItAllDay
· 07-02 04:57
Большие убытки... в любом случае это не мое дело
Посмотреть ОригиналОтветить0
SignatureVerifier
· 07-02 04:57
с технической точки зрения, 5/9 узлов - это просто небрежная архитектура валидации... смх
Посмотреть ОригиналОтветить0
just_another_fish
· 07-02 04:54
Все деньги украдены, кто теперь осмелится играть?
Посмотреть ОригиналОтветить0
CryptoHistoryClass
· 07-02 04:50
*проверяет журналы истории* еще $4.3b пропало... как и mt.gox в 2014, фр фр
Обзор событий безопасности DeFi 2022 года: Глубина анализа 8 типичных случаев
Обзор инцидентов безопасности в Децентрализованных финансах: анализ основных случаев 2022 года
В 2022 году в блокчейн-индустрии произошло более 300 инцидентов безопасности, сумма ущерба составила 4,3 миллиарда долларов. В этой статье будет подробно проанализировано 8典型案例, большинство из которых связано с потерями свыше 100 миллионов долларов.
Событие Ronin Bridge
23 марта 2022 года сайдчейн Axie Infinity, Ronin Network, подвергся атаке, в результате которой было украдено 173,6 тысячи ETH и 25,5 миллионов долларов. Сообщается, что к этому инциденту причастна северокорейская хакерская группа Lazarus. Хакеры с помощью социальной инженерии проникли в систему и в конечном итоге контролировали 5 из 9 валидаторских узлов, успешно осуществив атаку.
Этот инцидент выявил слабую осведомлённость сотрудников компании о безопасности и наличие уязвимостей в внутренней системе безопасности. Он также демонстрирует, что традиционные хакерские организации и государственные силы постепенно смещают свои цели на блокчейн-проекты, напрямую получая экономические выгоды.
Событие Wormhole
В основном контракте на стороне Solana моста Wormhole существует ошибка проверки подписи, которая позволяет злоумышленникам подделывать сообщения "наблюдателей" для выпуска обернутого ETH Wormhole, что приводит к потере около 120000 ETH.
Эта проблема в основном заключается на уровне кода, используются некоторые устаревшие функции. Разработчикам следует своевременно обновлять до последней версии, чтобы избежать подобных проблем.
Событие Nomad Bridge
При инициализации контракта Replica кросс-чейн моста Nomad доверенный корень был установлен на 0x0, и при изменении доверенного корня старый корень не был аннулирован, что позволило злоумышленникам конструировать любые сообщения для кражи средств, общие потери составили более 190 миллионов долларов.
Это типичная проблема настройки инициализации. Хакеры извлекают заблокированные средства, воспроизводя действительные транзакции. Было задействовано большое количество ботов MEV, что превратило инцидент в «захват денег».
Это также отражает эффект двустороннего меча открытого исходного кода - он упрощает аудит, но также облегчает анализ хакерам. Как только уязвимость будет обнаружена, проект может столкнуться с фатальными последствиями.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-займа, в результате которой были потеряны около 182 миллионов долларов. Нападающий использовал флеш-займ для получения большого количества токенов, чтобы проголосовать за вредоносное предложение, и сразу же реализовал прибыль.
Этот случай выявил риски децентрализованного управления. Проектам необходимо учитывать механизмы проверки предложений, распределение веса голосов и такие меры безопасности, как временные блокировки.
Событие Wintermute
Маркет-мейкер Wintermute использовал уязвимый инструмент для генерации красивых номеров для создания адреса контракта, что привело к взлому приватного ключа владельца контракта и выводу средств.
Это напоминает нам о том, что при использовании инструментов с открытым исходным кодом необходимо быть осторожными и лучше провести их полную оценку безопасности.
Событие Harmony Bridge
Кросс-цепочный мост Harmony Horizon потерял более 100 миллионов долларов, предположительно из-за утечки приватного ключа. Анализ показывает, что это также может быть сделано северокорейской хакерской группой.
Северокорейские хакеры в последние годы часто атакуют индустрию криптовалют, многие компании стали жертвами их фишинговых атак.
Событие Ankr
Смарт-контракт стейкинга Ankr был скомпрометирован бывшими сотрудниками с использованием приватных ключей, что привело к массовому злонамеренному созданию токенов. Это выявило серьезные проблемы проекта в управлении правами доступа и внутренней системе безопасности.
Событие Mango
Атакующие использовали уязвимость бизнес-модели платформы обмена Mango, манипулируя ценами на токены с малой капитализацией и получив более 100 миллионов долларов прибыли.
Это напоминает командам проекта о необходимости тщательно рассматривать различные экстремальные сценарии для тестирования. Пользователи, участвующие в проекте, также должны обращать внимание на то, существуют ли в бизнес-модели уязвимости, которые могут быть использованы.