Revisión y análisis de los importantes eventos de seguridad en el campo de las Finanzas descentralizadas en 2022

En 2022, los incidentes de seguridad en blockchain fueron frecuentes. Según estadísticas, ocurrieron más de 300 incidentes durante todo el año, con un monto involucrado que alcanzó los 4.3 mil millones de dólares. Este artículo se centrará en analizar 8 casos típicos, la mayoría de los cuales sufrió pérdidas superiores a 100 millones de dólares, lo que los hace muy representativos.

Ronin Bridge

En marzo de 2022, la cadena lateral Ronin Network del juego NFT Axie Infinity fue hackeada, perdiendo 173,600 ETH y 25.5 millones de dólares, con un valor total de aproximadamente 625 millones de dólares. Según las investigaciones, el grupo de hackers de Corea del Norte, Lazarus, está relacionado con este incidente.

Los atacantes engañaron a los empleados de Sky Mavis mediante técnicas de ingeniería social, haciéndolos descargar una carta de admisión falsa que contenía malware, lo que les permitió infiltrar el sistema y controlar 5 nodos de validación, completando así el ataque.

Este incidente expone la falta de conciencia de seguridad entre los empleados y el sistema de seguridad interno del equipo del proyecto. Al mismo tiempo, también muestra que los grupos de hackers tradicionales están gradualmente dirigiendo sus objetivos hacia los proyectos de blockchain.

Wormhole

El puente跨链 Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH. El problema radica en un error en el código de verificación de firmas del contrato central en Solana, que permite a los atacantes falsificar mensajes de "guardianes" para acuñar ETH envuelto.

Esta vulnerabilidad se debe principalmente al uso de algunas funciones obsoletas. Se recomienda a los desarrolladores que siempre utilicen la versión más reciente del lenguaje de programación y las herramientas para evitar problemas similares.

Puente Nomad

El protocolo de cadena cruzada Nomad Bridge fue atacado, con pérdidas que superan los 190 millones de dólares. La razón es que la raíz de confianza fue configurada incorrectamente durante la inicialización y no se invalidó la raíz antigua, lo que permitió a los atacantes construir mensajes arbitrarios para extraer fondos.

Los hackers aprovecharon esta vulnerabilidad para enviar repetidamente datos de transacciones construidos, vaciando casi todos los fondos bloqueados. Aproximadamente 41 direcciones se beneficiaron con 152 millones de dólares, incluyendo robots MEV, otros hackers y algunos hackers de sombrero blanco.

Este caso destaca la importancia de la configuración de inicialización de los contratos inteligentes, así como la complejidad de los diversos participantes en el ecosistema de blockchain pública.

Beanstalk

El proyecto de moneda estable algorítmica Beanstalk Farms sufrió un ataque de préstamo relámpago, con una pérdida de aproximadamente 182 millones de dólares. El atacante obtuvo más de 80 millones de dólares.

El ataque aprovechó una vulnerabilidad en el mecanismo de gobernanza del proyecto: no hay intervalo de tiempo entre la votación y la ejecución de propuestas. El atacante obtuvo un gran poder de voto a través de un préstamo relámpago y, mediante una propuesta maliciosa, ejecutó directamente una operación de arbitraje.

Este evento revela los riesgos que pueden existir en un mecanismo de gobernanza completamente descentralizado, como la revisión de propuestas, el peso de los votos y los bloqueos temporales, que necesitan ser diseñados con cuidado.

Wintermute

El creador de mercado Wintermute perdió alrededor de 160 millones de dólares debido al uso de la herramienta de generación de direcciones con vulnerabilidades, Profanity, que permitió la ruptura de su clave privada.

Este caso nos advierte que debemos ser cautelosos al usar herramientas de código abierto y es mejor realizar una evaluación de seguridad adecuada. Al mismo tiempo, también refleja que la búsqueda de direcciones "bonitas" puede conllevar riesgos de seguridad.

Puente de Harmony

El puente跨链 de Harmony, Horizon, fue atacado, con pérdidas superiores a 100 millones de dólares. Según análisis, se sospecha que fue obra del grupo de hackers norcoreano Lazarus Group.

Las técnicas de ataque son similares al incidente de Ronin Bridge, lo que destaca una vez más la creciente amenaza de hackers a nivel nacional contra la industria de las criptomonedas.

Ankr

Ankr sufrió un acto malicioso por parte de un empleado, lo que llevó a la acuñación de 100 billones de aBNBc. El atacante retiró 5 millones de USDC, y además, otros arbitrajistas obtuvieron ganancias de 17 millones de dólares.

Este evento expuso las graves deficiencias del proyecto en la gestión de permisos, el almacenamiento de claves privadas, y destacó la importancia de mejorar el sistema de seguridad interno.

Mango

La plataforma de intercambio descentralizado Mango Markets sufrió un ataque de manipulación del mercado, con pérdidas de aproximadamente 115 millones de dólares. Los atacantes aprovecharon los contratos perpetuos y oráculos de la plataforma para beneficiarse al impulsar el precio del token de baja capitalización MNGO.

Este caso muestra que los proyectos de Finanzas descentralizadas deben considerar diversas situaciones extremas al diseñar su modelo de negocio, especialmente en lo que respecta al control de riesgos de los tokens de baja capitalización.

En general, en 2022 ocurrieron frecuentes eventos de seguridad en las Finanzas descentralizadas, exponiendo riesgos de seguridad en múltiples aspectos como contratos inteligentes, puentes entre cadenas y mecanismos de gobernanza. Los equipos de proyectos necesitan fortalecer la conciencia de seguridad y mejorar el sistema de gestión de riesgos; los usuarios, por su parte, deben participar con precaución y comprender plenamente los riesgos.