Дэцэнтралізаваныя фінансы (Defi) пратаколы прапануюць карыстальнікам дэцэнтралізаваныя фінансавыя паслугі, дазваляючы ім здзяйсняць транзакцыі і заключаць пагадненні з іншымі ўдзельнікамі. У той час як пратаколы DeFi накіраваны на забеспячэнне бяспечнай і надзейнай платформы для сваіх карыстальнікаў, некалькі эксплойтаў за апошнія некалькі гадоў прывялі да значных страт сродкаў. У гэтым артыкуле будуць разгледжаны некаторыя з самых шырокіх эксплойтаў DeFi, якія адбыліся ў апошні час.
Вось 8 лепшых крыпта-эксплойтаў DeFi у Web3 пасля выліку вернутых сродкаў:
Ланцуг Ronin - 600 мільёнаў долараў
Сакавік 2023 года быў насычаным падзеямі для криптовалютной прасторы: узлом моста Axie Infinity Ronin узначаліў спіс з коштам 612 мільёнаў долараў.
Ронінскі мост - гэта ан Эфириума бакавы ланцужок, які выкарыстоўваецца ў папулярнай гульні "гуляй і зарабляй" Axie Infinity.
Кіберзлачынная групоўка Lazarus, якую падазраюць у сувязях з Паўночнай Карэяй, здолела атрымаць доступ да дзевяці прыватных ключоў валідатараў транзакцый, што дазволіла ім зацвердзіць дзве буйныя транзакцыі і перамясціць сродкі з адраса кашалька. На шчасце, супрацоўніцтва паміж уладамі, ахоўнымі фірмамі і біржамі крыптавалют змагло дапамагчы адсачыць некаторыя з гэтых сродкаў пасля таго, як хакеры накіравалі іх на Tornado cash - крыпта-стакан з адкрытым зыходным кодам - і іншыя біржы.
Чарвяточыны мост - 323 мільёны долараў
У лютым 2022 года адбыўся няшчасны інцыдэнт, калі крыптахакеры выкарысталі код чарвяточыны, каб атрымаць крыпту коштам 326 мільёнаў долараў.
Чарвяточына - гэта сімвалічны мост паміж Solana і Ethereum, які, на жаль, не змог прадухіліць атаку. Гэта стала магчымым дзякуючы састарэлай/небяспечнай функцыі, якая абыходзіла праверку подпісаў і ўключала ланцужок дэлегавання подпісаў.
Эксперты ў кібер-бяспекі мяркуюць, што распрацоўшчыкі маглі б прадухіліць атаку, калі б яны практыкавалі "бяспечныя метады кадавання", дзе яны павінны правяраць усе параметры. Праверка магла забяспечыць аўтэнтыфікацыю сапраўдных адрасоў і, такім чынам, выключыць доступ нелегітымных крыніц да актываў у ланцужку.
Бобовы сцябло - 181 мільён долараў
У лёсавызначальныя выхадныя ў красавіку 2022 года хакер развязаў атаку, якая ўзрушыла крыптасупольнасць. Выкарыстоўваючы флэш-пазыку - асаблівасць пратаколаў дэцэнтралізаванага фінансавання (DeFi) - ім удалося скрасці 182 мільёны долараў у ETH, стейблкойнах BEAN і іншых актывах з пратаколу стейблкойнаў Beanstalk.
Хакеры прадставілі дзве шкоднасныя прапановы ў Beanstalk DAO праз яе функцыю экстранай фіксацыі, якая патрабуе ⅔ галасавання перад рэалізацыяй праз 24 гадзіны. Зламыснік выкарыстаў тэхналогію флэш-пазыкі, каб атрымаць кантроль над 79% токенаў, каб прыняць абедзве прапановы і паспяхова выканаць свой план.
Сродкі былі накіраваны знутры пратакола для пагашэння тэрміновай пазыкі, а астатняя частка паступіла на адрас, звязаны з украінскім фондам надзвычайных сітуацый. У агульнай складанасці асоба, адказная за гэты смелы ўчынак, атрымала да 76 мільёнаў долараў.
Nomad - 155 мільёнаў долараў
Збянтэжаны ўзлом Nomad bridge трапіў у загалоўкі, калі гэта адбылося 1 жніўня 2022 года. Гэта шакавала многіх blockchain энтузіясты ў якасці зламыснікаў скарысталіся ўразлівасцю, каб зліць актывы на аснове Ethereum на суму больш за 190 мільёнаў долараў, якія захоўваюцца ў шматланцуговым крос-мосце.
Хакеры дзейнічалі хутка і люта: сотні кашалькоў былі задзейнічаны ў 960 транзакцыях, што прывяло да 1,175 індывідуальных зняцця сродкаў з Total Value Locked (TVL) моста. Усё на працягу некалькіх гадзін.
Збянтэжаным аспектам гэтага ўзлому было тое, што ўсё, што карыстальнікі павінны былі зрабіць, каб узламаць bridge-фонды, - гэта скапіяваць і ўставіць арыгінальныя дадзеныя выкліку транзакцыі хакера, замяніць зыходны адрас на асабісты, і транзакцыя будзе завершана.
Гэты ўзлом выклікаў шок ва ўсёй супольнасці дэцэнтралізаваных фінансаў (DeFi), даказваючы, што хакеры застаюцца на крок наперадзе, выкарыстоўваючы шчыліны ў кодзе. Мост Nomad дае наглядны прыклад, які дэманструе важнасць бяспечных практык кадавання і пацвярджае, чаму бяспека застаецца пастаяннай праблемай для праектаў блокчейн сёння.
CREAM Finance - $130.8 млн
Хаця напад на CREAM у кастрычніку 2021 года быў адным з найбуйнейшых крадзяжоў флэш-крэдытаў, гэта, безумоўна, не адзінкавы выпадак. Атакі на флэш-пазыку прадугледжваюць выкарыстанне «мгненнай пазыкі» ліквіднасці, запазычанне і дэфолт па гэтым хуткім фінансаванні, усё ў рамках адной транзакцыі.
Выкарыстоўваючы памылкі ў разліку цэн, хакеры могуць хутка атрымаць прыбытак ад сваіх запазычанняў. Напрыклад, у выпадку з CREAM два розныя адрасы ўзаемадзейнічалі з яго yUSDVault, каб адчаканіць вялікую колькасць токенаў crYUSD. Яны выкарысталі ўразлівасць, якая падвоіла кошт гэтых акцый. Нягледзячы на тое, што яны паспяхова забяспечылі сродкі на суму 130 мільёнаў долараў, ~1 мільярд даступных закладаў можа заняць значна больш, чым гэтая сума.
Атакі флэш-пазык становяцца ўсё больш распаўсюджанымі, і супольнасць павінна задаваць пытанні аб тым, як яны могуць прадухіліць далейшыя парушэнні бяспекі ў будучыні.
Токен-цэнтр BSC - 127 мільёнаў долараў
У кастрычніку 2022 года хакеры, выкарыстаўшы крытычную ўразлівасць у крос-масце кода BSC Beacon, пазбавіліся крыпта-актываў на агульную суму 570 мільёнаў долараў.
Ланцужок BSc Beacon, таксама вядомы як Token Hub, з'яўляецца міжланцуговым мостам, які злучае BNB Beacon Chain (BEP2) і BNB Chain (BEP20/BSC).
Хакер сапраўды сфальсіфікаваў крыптаграфічныя доказы, якія называюцца доказамі Меркла і прызначаныя для пацверджання сапраўднасці такіх даных, як транзакцыі. У сваю чаргу яны выкарыстоўвалі гэтыя ілжывыя доказы Merkle для пераводу сродкаў з пераходнага моста BSC Beacon у іншыя сеткі.
Як толькі Tether заблакіраваў адрас зламыснікаў, рушылі ўслед хуткія дзеянні: больш за 7 мільёнаў долараў былі замарожаны з сеткі BNB, канфіскаваўшы большую частку сродкаў, атрыманых незаконным шляхам.
Harmony Horizon - 100 мільёнаў долараў
У чэрвені 2022 года праект Harmony Horizon Bridge быў узламаны, калі хакеры скралі два з пяці закрытых ключоў валідатара, што дазволіла ашуканцам перавесці токены на 100 мільёнаў долараў.
Гэтая праблема бяспекі была звязана з тым, як быў наладжаны мост са схемай праверкі 2 з 5. У выніку зламысніку спатрэбілася толькі два ўзгадненні для праверкі любой шкоднаснай транзакцыі. Каб замесці сляды, зламыснікі выкарыстоўвалі Tornado Cash для адмывання часткі сваіх незаконна атрыманых даходаў.
Нягледзячы на тое, што першапачаткова гэтая ўстаноўка магла здацца бяспечнай, яна аказалася прыбытковай мішэнню для дрэнных акцёраў і дарагім урокам бяспекі блокчейна для тых, хто быў злоўлены.
Рары - 91 мільён долараў
Атакі паўторнага ўваходу існуюць з першых дзён Ethereum. Яны выкарыстоўвалі ўразлівасці кантракту, каб неаднаразова здымаць сродкі да таго, як першапачатковая транзакцыя будзе зацверджана або адхілена.
У маі 2022 года дзве дэцэнтралізаваныя фінансавыя платформы былі ўзламаныя такім чынам, і хакеры скралі 90 мільёнаў долараў. Джэк Лонгарзо з Rari Capital заявіў, што зламыснік выкарыстаў кампанію, і Fei Protocol, якая аб'ядналася з Rari Capital, прапанавала хакеру ўзнагароду ў 10 мільёнаў долараў.
Кампанія па бяспецы блокчейна BlockSec патлумачыла, што хакеры выкарысталі ўразлівасць паўторнага ўваходу.
Распрацоўшчыкі могуць прадухіліць гэтыя тыпы нападаў шляхам належнага тэсціравання і аўдыту кантрактаў перад разгортваннем у блокчейне Ethereum.
Як абараніць сябе ад эксплойтаў DeFi
Пратаколы DeFi становяцца ўсё больш папулярнымі і складанымі, што робіць іх прывабнымі мішэнямі для хакераў. Ніжэй прыведзены сем парад, якія дапамогуць вам абараніць сябе ад эксплойтаў DeFi:
- Правядзіце дбайную праверку любога праекта, перш чым інвеставаць. Праверце код платформы, вэб-сайт, членаў каманды і сацыяльныя каналы на наяўнасць чырвоных сцягоў.
- Пераканайцеся, што давераная крыніца правярае кантракты, з якімі вы ўзаемадзейнічаеце, і што вынікі аўдыту знаходзяцца ў адкрытым доступе.
- Не захоўвайце вялікія аб'ёмы сродкаў у адным кантракце DeFi, што робіць яго больш уразлівым для нападаў.
- Будзьце ў курсе апошніх навін бяспекі, каб даведацца пра новыя эксплойты.
- Укараняйце належныя працэдуры аўтэнтыфікацыі і аўтарызацыі для ўсіх уліковых запісаў, якія ўзаемадзейнічаюць з пратаколамі DeFi.
- Пераканайцеся, што ваш кашалёк абаронены, і па магчымасці выкарыстоўвайце двухфактарную аўтэнтыфікацыю.
- Рэгулярна кантралюйце свае сродкі і транзакцыі ў блокчейне, каб выявіць любую падазроную дзейнасць або несанкцыянаванае зняцце сродкаў.
Выкананне гэтых парад можа дапамагчы абараніць вас ад эксплойтаў DeFi і забяспечыць бяспеку вашых сродкаў пры ўзаемадзеянні з дэцэнтралізаванымі фінансавымі пратаколамі. Аднак таксама важна памятаць, што ні адна сістэма не з'яўляецца беспамылковай, таму заўсёды лепш праяўляць асаблівую асцярожнасць пры працы з лічбавымі актывамі.
заключэнне
У цэлым бяспека з'яўляецца адным з найбольш важных меркаванняў пры працы з криптовалютами і пратаколамі DeFi. На жаль, калі галіна працягвае расці, растуць і рызыкі шкоднасных дзеянняў. Хаця немагчыма гарантаваць поўную бяспеку, прытрымліванне гэтых парад можа дапамагчы вам абараніць сябе ад эксплойтаў DeFi і захаваць вашы сродкі ў бяспецы.
Застаючыся ў курсе апошніх распрацовак у галіне бяспекі блокчейна і забяспечваючы прымяненне належных працэдур аўтэнтыфікацыі для ўсіх уліковых запісаў, вы можаце гарантаваць бяспеку вашых лічбавых актываў.
Крыніца: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/