Обзор и анализ крупных инцидентов безопасности в области Децентрализованные финансы 2022 года

В 2022 году произошло множество инцидентов с безопасностью в блокчейне, по статистике в течение года произошло более 300 случаев, общая сумма потерь составила 4,3 миллиарда долларов. В этой статье будет подробно проанализировано 8典型案例, большинство из которых привели к потерям свыше 100 миллионов долларов и являются очень показательными.

Мост Ронин

В марте 2022 года боковая сеть NFT игры Axie Infinity, Ronin Network, была взломана, в результате чего было потеряно 173,6 тысячи ETH и 25,5 миллиона долларов, общая стоимость составила около 625 миллионов долларов. Согласно расследованию, к этому инциденту причастна северокорейская хакерская группа Lazarus.

Атакующий с помощью социальной инженерии обманул сотрудника компании Sky Mavis, заставив его скачать поддельное уведомление о приеме, содержащее вредоносное ПО, что позволило проникнуть в систему и контролировать 5 узлов проверки, в итоге осуществив атаку.

Этот инцидент выявил недостатки проекта в отношении безопасности сотрудников и внутренней системы безопасности. Также это показывает, что традиционные хакерские группы постепенно начинают ориентироваться на блокчейн-проекты.

Червоточина

Wormhole кросс-чейн мост подвергся атаке, потери составили около 120000 ETH. Проблема заключается в ошибке кода проверки подписи в основном контракте на стороне Solana, которая позволила злоумышленникам подделывать сообщения "стражей" для создания упакованного ETH.

Уязвимость в основном была вызвана использованием некоторых устаревших функций. Рекомендуется разработчикам всегда использовать последнюю версию языков программирования и инструментов, чтобы избежать подобных проблем.

Мост кочевников

Кросс-чейновый протокол мост Nomad подвергся атаке, убытки составили более 190 миллионов долларов. Причиной стало неправильное настроение доверенной корневой точки при инициализации и отсутствие деактивации старого корня, что позволило злоумышленникам создавать произвольные сообщения для вывода средств.

Хакеры использовали уязвимость для многократной отправки сконструированных данных о транзакциях, опустошив почти все заблокированные средства. Около 41 адреса получили прибыль в 152 миллиона долларов, включая MEV-роботов, других хакеров и некоторых белых хакеров.

Этот случай подчеркивает важность настройки инициализации смарт-контрактов, а также сложность различных участников в экосистеме публичного блокчейна.

Бобовый стебель

Проект алгоритмических стабильных монет Beanstalk Farms подвергся атаке с использованием флеш-кредита, потеряв около 182 миллионов долларов. Атакующий получил более 80 миллионов долларов.

Атака использовала уязвимость механизма управления проектом - между голосованием за предложения и их выполнением не было временного интервала. Злоумышленники получили большое количество прав голоса через флеш-займы и напрямую выполнили арбитражные операции через злонамеренные предложения.

Это событие выявило риски, которые могут существовать в чисто децентрализованной механизме управления, такие как проверка предложений, вес голосования, таймлок и другие аспекты, которые требуют тщательной проработки.

Зимний немый

Маркет-мейкер Wintermute потерял около 160 миллионов долларов из-за использования уязвимого инструмента генерации адресов Profanity, что привело к взлому частного ключа.

Этот случай предупреждает нас о необходимости осторожного использования открытых инструментов и о том, что лучше провести полную оценку их безопасности. В то же время это также отражает то, что стремление к "красивым" адресам может привести к угрозам безопасности.

Мост Гармонии

Кроссчейновый мост Horizon от Harmony был атакован, убытки составили более 100 миллионов долларов. По анализу, это, вероятно, было сделано хакерской группировкой Lazarus Group из Северной Кореи.

Методы атак аналогичны инциденту с Ronin Bridge, что вновь подчеркивает нарастающую угрозу национального уровня для криптовалютной отрасли.

Анкр

Ankr столкнулся с внутренними злоумышленниками, что привело к безосновательной эмиссии 10 триллионов aBNBc. Злоумышленники вывели 5 миллионов USDC, а также арбитражники заработали 17 миллионов долларов.

Это событие выявило серьезные недостатки проекта в управлении правами доступа, хранении приватных ключей и подчеркнуло важность совершенствования внутренней системы безопасности.

Манго

Децентрализованная торговая платформа Mango Markets подверглась атаке манипуляции на рынке, понесши убытки в размере около 115 миллионов долларов. Нападающие использовали бессрочные контракты платформы и оракулы, чтобы извлечь прибыль, поднимая цену на токены с малой капитализацией MNGO.

Этот случай демонстрирует, что проекты Децентрализованных финансов должны учитывать различные экстремальные ситуации при разработке бизнес-моделей, особенно в отношении контроля рисков для токенов с низкой капитализацией.

В целом, в 2022 году события безопасности в области Децентрализованных финансов происходили часто, выявляя множество проблем безопасности в таких областях, как смарт-контракты, кросс-чейн мосты и механизмы управления. Проектам необходимо повысить осведомленность о безопасности и улучшить систему управления рисками; пользователи же должны осторожно участвовать и полностью осознавать риски.