Децентралізовані фінанси безпека подій огляд: аналіз значних випадків 2022 року
У 2022 році в індустрії блокчейну сталося понад 300 випадків безпеки, загальна сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких пов'язана з втратами понад 100 мільйонів доларів.
Інцидент на мосту Ронін
23 березня 2022 року бокова мережа Axie Infinity Ronin Network зазнала атаки, в результаті чого було втрачено 173600 ETH і 25,5 мільйона доларів. За повідомленнями, до цього інциденту причетна північнокорейська хакерська група Lazarus. Зловмисники проникли в систему через соціальну інженерію, в результаті чого контролювали 5 з 9 верифікаційних вузлів і успішно здійснили атаку.
Ця подія виявила слабку обізнаність співробітників компанії щодо безпеки та наявність вразливостей у внутрішній системі безпеки. Вона також показує, що традиційні хакерські організації та державні сили поступово зсувають свої цілі на проєкти блокчейну, безпосередньо здобуваючи економічні вигоди.
Подія Wormhole
У ядрі контракту Solana моста Wormhole існує помилка перевірки підпису, що дозволяє зловмисникам підробляти повідомлення "охоронця" для випуску упаковки Wormhole ETH, внаслідок чого було втрачено близько 120 000 ETH.
Ця проблема в основному полягає на рівні коду, оскільки використовувалися деякі застарілі функції. Розробники повинні вчасно оновлюватися до останньої версії, щоб уникнути подібних проблем.
Подія моста Nomad
При ініціалізації контракту Replica мосту Nomad, довірений корінь був встановлений на 0x0, і під час зміни довіреного кореня старий корінь не був анульований, що дозволило зловмиснику створити будь-яке повідомлення для викрадення коштів, завдавши збитків на понад 190 мільйонів доларів.
Це типовий випадок проблеми ініціалізації налаштувань. Хакери витягують заблоковані кошти, повторно відтворюючи дійсні транзакції. Велика кількість MEV-роботів бере участь у цьому, перетворюючи подію на "викрадення грошей".
Це також відображає ефект двосічного меча відкритого коду - він полегшує аудит, але також спрощує аналіз для хакерів. Як тільки вразливість буде виявлена, проект може зіткнутися з фатальним ударом.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки через闪电贷, втративши близько 182 мільйонів доларів. Зловмисник отримав велику кількість токенів через闪电贷, щоб проголосувати за зловмисну пропозицію, а потім негайно реалізував прибуток.
Цей випадок виявив ризики децентралізованого управління. Проектам потрібно врахувати налаштування механізму перевірки пропозицій, розподіл ваги голосування та безпечні заходи, такі як таймлок.
Подія Wintermute
Маркет-мейкер Wintermute використав уразливий генератор гарних номерів для створення адреси контракту, що призвело до зламу приватного ключа власника контракту та викрадення коштів.
Це нагадує нам про необхідність обережно використовувати інструменти з відкритим кодом, найкраще провести їх належну оцінку безпеки.
Подія Harmony Bridge
Кросчейн-міст Horizon Harmony втратив понад 100 мільйонів доларів, ймовірно, через витік приватного ключа. Аналіз показує, що це також могло бути справою північнокорейської хакерської організації.
Північнокорейські хакери останніми роками часто здійснюють атаки на криптовалютну індустрію, багато компаній стали жертвами їх фішингових атак.
Інцидент Ankr
Стейкінг-контракт Ankr був контролюваний колишнім співробітником за допомогою приватного ключа, що призвело до злочинного випуску великої кількості токенів. Це виявило серйозні проблеми проекту в управлінні правами та внутрішній системі безпеки.
Подія Mango
Зловмисники використали вразливість бізнес-моделі платформи Mango, маніпулюючи ціною малокапіталізованих токенів, отримавши прибуток понад 100 мільйонів доларів.
Це нагадує командам проекту, що вони повинні ретельно враховувати різні екстремальні сценарії для тестування. Користувачам, які беруть участь у проекті, також слід звернути увагу на те, чи існують у бізнес-моделі вразливості, які можуть бути використані.
This page may contain third-party content, which is provided for information purposes only (not representations/warranties) and should not be considered as an endorsement of its views by Gate, nor as financial or professional advice. See Disclaimer for details.
15 лайків
Нагородити
15
5
Поділіться
Прокоментувати
0/400
DuskSurfer
· 07-03 12:48
Немає нічого складного в тому, щоб знову нарізати цибулю-порей
Переглянути оригіналвідповісти на0
ForkItAllDay
· 07-02 04:57
Великі втрати... все одно мене це не стосується.
Переглянути оригіналвідповісти на0
SignatureVerifier
· 07-02 04:57
технічно кажучи, 5/9 вузлів - це просто неакуратна архітектура валідації... смх
Переглянути оригіналвідповісти на0
just_another_fish
· 07-02 04:54
Гроші були вкрадені, хто тепер наважиться грати?
Переглянути оригіналвідповісти на0
CryptoHistoryClass
· 07-02 04:50
*перевіряє історичні журнали* ще $4.3b зникло... так само, як mt.gox у 2014 році, серйозно
Огляд інцидентів безпеки DeFi 2022 року: глибокий аналіз 8典型案例
Децентралізовані фінанси безпека подій огляд: аналіз значних випадків 2022 року
У 2022 році в індустрії блокчейну сталося понад 300 випадків безпеки, загальна сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких пов'язана з втратами понад 100 мільйонів доларів.
Інцидент на мосту Ронін
23 березня 2022 року бокова мережа Axie Infinity Ronin Network зазнала атаки, в результаті чого було втрачено 173600 ETH і 25,5 мільйона доларів. За повідомленнями, до цього інциденту причетна північнокорейська хакерська група Lazarus. Зловмисники проникли в систему через соціальну інженерію, в результаті чого контролювали 5 з 9 верифікаційних вузлів і успішно здійснили атаку.
Ця подія виявила слабку обізнаність співробітників компанії щодо безпеки та наявність вразливостей у внутрішній системі безпеки. Вона також показує, що традиційні хакерські організації та державні сили поступово зсувають свої цілі на проєкти блокчейну, безпосередньо здобуваючи економічні вигоди.
Подія Wormhole
У ядрі контракту Solana моста Wormhole існує помилка перевірки підпису, що дозволяє зловмисникам підробляти повідомлення "охоронця" для випуску упаковки Wormhole ETH, внаслідок чого було втрачено близько 120 000 ETH.
Ця проблема в основному полягає на рівні коду, оскільки використовувалися деякі застарілі функції. Розробники повинні вчасно оновлюватися до останньої версії, щоб уникнути подібних проблем.
Подія моста Nomad
При ініціалізації контракту Replica мосту Nomad, довірений корінь був встановлений на 0x0, і під час зміни довіреного кореня старий корінь не був анульований, що дозволило зловмиснику створити будь-яке повідомлення для викрадення коштів, завдавши збитків на понад 190 мільйонів доларів.
Це типовий випадок проблеми ініціалізації налаштувань. Хакери витягують заблоковані кошти, повторно відтворюючи дійсні транзакції. Велика кількість MEV-роботів бере участь у цьому, перетворюючи подію на "викрадення грошей".
Це також відображає ефект двосічного меча відкритого коду - він полегшує аудит, але також спрощує аналіз для хакерів. Як тільки вразливість буде виявлена, проект може зіткнутися з фатальним ударом.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки через闪电贷, втративши близько 182 мільйонів доларів. Зловмисник отримав велику кількість токенів через闪电贷, щоб проголосувати за зловмисну пропозицію, а потім негайно реалізував прибуток.
Цей випадок виявив ризики децентралізованого управління. Проектам потрібно врахувати налаштування механізму перевірки пропозицій, розподіл ваги голосування та безпечні заходи, такі як таймлок.
Подія Wintermute
Маркет-мейкер Wintermute використав уразливий генератор гарних номерів для створення адреси контракту, що призвело до зламу приватного ключа власника контракту та викрадення коштів.
Це нагадує нам про необхідність обережно використовувати інструменти з відкритим кодом, найкраще провести їх належну оцінку безпеки.
Подія Harmony Bridge
Кросчейн-міст Horizon Harmony втратив понад 100 мільйонів доларів, ймовірно, через витік приватного ключа. Аналіз показує, що це також могло бути справою північнокорейської хакерської організації.
Північнокорейські хакери останніми роками часто здійснюють атаки на криптовалютну індустрію, багато компаній стали жертвами їх фішингових атак.
Інцидент Ankr
Стейкінг-контракт Ankr був контролюваний колишнім співробітником за допомогою приватного ключа, що призвело до злочинного випуску великої кількості токенів. Це виявило серйозні проблеми проекту в управлінні правами та внутрішній системі безпеки.
Подія Mango
Зловмисники використали вразливість бізнес-моделі платформи Mango, маніпулюючи ціною малокапіталізованих токенів, отримавши прибуток понад 100 мільйонів доларів.
Це нагадує командам проекту, що вони повинні ретельно враховувати різні екстремальні сценарії для тестування. Користувачам, які беруть участь у проекті, також слід звернути увагу на те, чи існують у бізнес-моделі вразливості, які можуть бути використані.