Децентрализованные финансы (Defi) предлагают пользователям децентрализованные финансовые услуги, позволяя им совершать транзакции и заключать соглашения с другими участниками. Хотя протоколы DeFi нацелены на обеспечение безопасной и надежной платформы для своих пользователей, несколько эксплойтов за последние несколько лет привели к значительным потерям средств. В этой статье будут обсуждаться некоторые из наиболее обширных эксплойтов DeFi, которые произошли в последнее время.
Вот 8 самых популярных эксплойтов крипто-DeFi в Web3 после вычета возвращенных средств:
Сеть Ронинов – 600 миллионов долларов.
Март 2023 года был насыщенным месяцем для криптовалютного пространства: взлом моста Axie Infinity Ronin возглавил список за 612 миллионов долларов.
Ронин мост это Эфириум боковая цепочка, используемая в популярной игре Axie Infinity.
Группе киберпреступников Lazarus, подозреваемой в связях с Северной Кореей, удалось получить доступ к закрытым ключам девяти валидаторов транзакций, что позволило им одобрить две крупные транзакции и перевести средства с адреса своего кошелька. К счастью, сотрудничество между властями, охранными фирмами и криптовалютными биржами помогло отследить некоторые из этих средств после того, как хакеры перевели их на Tornado cash — криптовалютный тумблер с открытым исходным кодом — и на другие биржи.
Мост через червоточину — 323 миллиона долларов.
В феврале 2022 года произошел досадный инцидент, когда крипто-хакеры использовали код червоточины, чтобы получить криптовалюту на сумму 326 миллионов долларов.
Червоточина — это токен-мост между Соланой и Эфириумом, который, к сожалению, не смог предотвратить атаку. Это стало возможным благодаря устаревшей/умершей небезопасной функции, которая обходила проверку подписи и включала цепочку делегирования подписей.
Эксперты в информационная безопасность предполагают, что разработчики могли бы предотвратить атаку, если бы они практиковали «методы безопасного кодирования», когда они должны проверять все параметры. Проверка могла бы обеспечить аутентификацию действительных адресов и, таким образом, исключить доступ незаконных источников к активам в цепочке.
Бобовый стебель — 181 млн долларов.
В судьбоносные выходные в апреле 2022 года хакер совершил атаку, потрясшую криптосообщество. Используя мгновенный кредит — особенность протоколов децентрализованного финансирования (DeFi) — им удалось украсть 182 миллиона долларов в ETH, стейблкоине BEAN и других активах из протокола стейблкоина Beanstalk.
Хакеры представили Beanstalk DAO два вредоносных предложения с помощью функции экстренной фиксации, которая требует ⅔ голосов перед реализацией через 24 часа. Злоумышленник использовал технологию мгновенного кредита, чтобы получить контроль над 79% токенов, чтобы передать оба предложения и успешно выполнить свой план.
Средства были отправлены из протокола для погашения мгновенного кредита, а оставшаяся часть была отправлена на адрес, связанный с базирующимся в Украине фондом экстренной помощи. В общей сложности ответственный за этот смелый поступок получил до 76 миллионов долларов.
Кочевник – 155 миллионов долларов
Озадачивающий взлом моста Nomad попал в заголовки газет, когда это произошло 1 августа 2022 года. Многих это шокировало. блокчейн энтузиасты в качестве злоумышленников воспользовались уязвимостью, чтобы похитить активы на основе Ethereum на сумму более 190 миллионов долларов, хранящиеся в кросс-мосте с несколькими цепями.
Хакеры действовали быстро и яростно: сотни кошельков участвовали в 960 транзакциях, что привело к 1,175 отдельным снятиям средств с общей заблокированной стоимости моста (TVL). Все в течение нескольких часов.
Сбивающий с толку аспект этого взлома заключался в том, что все, что нужно было сделать пользователям, чтобы взломать средства моста, — это скопировать и вставить исходные данные вызова транзакции хакера, заменить исходный адрес личным, и транзакция завершится.
Взлом вызвал шок в сообществе децентрализованных финансов (DeFi), доказав, что хакеры остаются на шаг впереди, используя лазейки в коде. Мост Nomad представляет собой наглядный пример, демонстрирующий важность методов безопасного кодирования и подтверждающий, почему сегодня безопасность остается постоянной проблемой для проектов блокчейна.
КРЕМ Финанс – 130.8 млн долларов
Хотя нападение на CREAM в октябре 2021 года было одним из крупнейших ограблений мгновенных кредитов, это, безусловно, не был единичный случай. Атаки мгновенного кредита включают в себя использование «быстрого кредита» ликвидности, заимствование и дефолт по этому быстрому финансированию, и все это в рамках одной транзакции.
Используя ошибки расчета цены, хакеры могут быстро получить прибыль от своих займов. Например, в случае CREAM два разных адреса взаимодействовали с его хранилищем yUSDVault, чтобы отчеканить большое количество токенов crYUSD. Они воспользовались уязвимостью, которая удвоила стоимость этих акций. Хотя они успешно получили средства на сумму 130 миллионов долларов, доступный залог в размере около 1 миллиарда долларов может занять гораздо больше этой суммы.
Атаки с использованием флэш-кредитов становятся все более распространенными, и сообществу следует задавать вопросы о том, как они могут предотвратить дальнейшие нарушения безопасности в будущем.
Токен-хаб BSC — 127 млн долларов.
В октябре 2022 года хакеры, воспользовавшись критической уязвимостью в коде кросс-моста BSC Beacon, похитили криптоактивы на общую сумму 570 миллионов долларов.
Цепочка маяков BSc, также известная как Token Hub, представляет собой мост между цепочками, соединяющий цепь маяков BNB (BEP2) и цепь BNB (BEP20/BSC).
Хакер подделал криптографические доказательства, называемые доказательствами Меркла, предназначенными для подтверждения достоверности данных, таких как транзакции. В свою очередь, они использовали эти ложные доказательства Меркла для перевода средств с перекрестного моста BSC Beacon в другие сети.
Как только Tether заблокировал адрес злоумышленников, последовали быстрые действия: более 7 миллионов долларов, переведенных из сети BNB, были заморожены, что привело к конфискации большей части их незаконно полученных средств.
Гармония Горизонт – 100 миллионов долларов
В июне 2022 года проект Harmony Horizon Bridge был скомпрометирован, когда хакеры украли два из пяти закрытых ключей валидатора, что позволило мошенникам перевести токены на сумму 100 миллионов долларов.
Эта проблема безопасности возникла из-за того, как был настроен мост со схемой проверки 2 из 5. В результате злоумышленнику требовалось всего два утверждения для проверки любой вредоносной транзакции. Чтобы замести следы, злоумышленники использовали Tornado Cash для отмывания части своих доходов, полученных нечестным путем.
Хотя изначально эта установка могла казаться безопасной, она оказалась прибыльной целью для злоумышленников и дорогим уроком безопасности блокчейна для тех, кто был пойман.
Рари - 91 млн долларов
Атаки с повторным входом существуют с первых дней существования Ethereum. Они использовали уязвимости контрактов для неоднократного вывода средств до того, как первоначальная транзакция будет одобрена или отклонена.
В мае 2022 года таким образом были скомпрометированы две децентрализованные финансовые платформы, хакеры украли 90 миллионов долларов. Джек Лонгарзо из Rari Capital сказал, что злоумышленник воспользовался услугами компании, и Fei Protocol, которая объединилась с Rari Capital, предложила хакеру вознаграждение в размере 10 миллионов долларов.
Компания по безопасности блокчейна BlockSec объяснила, что хакеры использовали уязвимость повторного входа.
Разработчики могут предотвратить эти типы атак, должным образом тестируя и проверяя контракты перед развертыванием в блокчейне Ethereum.
Как защитить себя от эксплойтов DeFi
Протоколы DeFi становятся все более популярными и сложными, что делает их привлекательными для хакеров. Ниже приведены семь советов, которые помогут вам защитить себя от эксплойтов DeFi:
- Проведите тщательную проверку любого проекта, прежде чем инвестировать. Проверьте код платформы, веб-сайт, членов команды и социальные каналы на наличие красных флажков.
- Убедитесь, что надежный источник проверяет контракты, с которыми вы взаимодействуете, и что результаты аудита общедоступны.
- Не храните большие суммы средств в одном контракте DeFi, что делает его более уязвимым для атак.
- Будьте в курсе последних новостей безопасности, чтобы узнавать о новых эксплойтах.
- Внедрите надлежащие процедуры аутентификации и авторизации для всех учетных записей, которые взаимодействуют с протоколами DeFi.
- Убедитесь, что ваш кошелек защищен, и по возможности используйте двухфакторную аутентификацию.
- Регулярно отслеживайте свои средства и транзакции в блокчейне, чтобы обнаруживать любые подозрительные действия или несанкционированные снятия средств.
Следование этим советам может помочь защитить вас от эксплойтов DeFi и обеспечить безопасность ваших средств при взаимодействии с протоколами децентрализованных финансов. Однако также важно помнить, что ни одна система не может быть безошибочной, поэтому всегда рекомендуется проявлять особую осторожность при работе с цифровыми активами.
Заключение
В целом, безопасность является одним из наиболее важных соображений при работе с криптовалютами и протоколами DeFi. К сожалению, по мере того, как отрасль продолжает расти, растут и риски злонамеренной деятельности. Хотя невозможно гарантировать полную безопасность, следуя этим советам, вы сможете защитить себя от эксплойтов DeFi и сохранить свои средства в безопасности.
Следя за последними разработками в области безопасности блокчейна и обеспечивая надлежащие процедуры аутентификации для всех учетных записей, вы можете гарантировать, что ваши цифровые активы останутся в безопасности.
Источник: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/