Обзор безопасности Децентрализованных финансов: Анализ и выводы основных событий 2022 года

В 2022 году произошло множество инцидентов с безопасностью блокчейна, по статистике зафиксировано более 300 случаев, общая сумма которых достигла 4,3 миллиарда долларов. В данной статье будет подробно проанализировано восемь典型案例, в которых потери составили более 100 миллионов долларов, что имеет важное значение для дальнейшего изучения.

Событие Ronin Bridge

23 марта 2022 года послужная цепочка Axie Infinity, Ronin Network, была взломана, в результате чего было потеряно 173,6 тысячи ETH и 25,5 миллиона USD, что в общей сложности составляет около 590 миллионов долларов. Подозреваемыми в атаке являются северокорейская хакерская группа Lazarus.

Атакующий связался с сотрудниками компании Sky Mavis с помощью социальных инженерных методов, внедрил вредоносное ПО и в итоге контролировал 5 проверочных узлов, завершив атаку. Это выявило слабую осведомленность сотрудников компании в вопросах безопасности и наличие уязвимостей в внутренней системе безопасности.

Это событие является типичной атакой APT( (высокая устойчивость угрозы) ). Традиционные хакерские группы и государственные силы начали переходить к атакам на блокчейн-проекты, чтобы напрямую получить экономическую выгоду.

Событие Wormhole

Мост Wormhole между цепями подвергся атаке, убытки составили около 120000 ETH. Основной причиной является наличие недостатка в коде проверки подписи основного контракта на стороне Solana, что позволяет злоумышленникам подделывать сообщения "опекунов" для выпуска обернутого ETH.

Это в основном проблема на уровне кода, использовались некоторые устаревшие функции. Разработчики должны своевременно обновлять и использовать последнюю версию, чтобы избежать подобных проблем.

Событие Nomad Bridge

При инициализации контракта моста Nomad в кросс-цепочном протоколе доверенный корень был ошибочно установлен, и при его изменении старый корень не был аннулирован, что позволило злоумышленникам конструировать произвольные сообщения для извлечения средств, убытки составили более 190 миллионов долларов.

Это типичный случай ошибки инициализации контракта. После обнаружения любой может повторить действующую сделку, чтобы получить прибыль. В захвате задействовано большое количество роботов MEV, что делает его «захватом денег».

Хотя открытый код прозрачен, он также упрощает злоумышленникам обнаружение уязвимостей. Команда проекта должна усилить аудит кода, чтобы гарантировать правильность таких ключевых этапов, как инициализация.

Событие Beanstalk

Проект алгоритмической стабильной монеты Beanstalk подвергся атаке с использованием флеш-кредита, в результате чего был нанесен ущерб около 182 миллионов долларов. Основная причина заключается в том, что между голосованием по предложению и его выполнением нет временного интервала, что позволяет злоумышленникам немедленно исполнять злонамеренные предложения.

Атакующие заранее покупают токены для получения права на предложение, получают большое количество голосов через флеш-кредиты и завершают арбитраж через злонамеренные предложения. Это выявляет риски чисто децентрализованного управления.

Проект должен установить механизмы проверки предложений, период блокировки голосования, временные замки исполнения и другие меры для предотвращения подобных рисков.

Событие Wintermute

Маркет-мейкер Wintermute использовал инструменты с открытым исходным кодом для генерации красивых адресов, что привело к взлому приватного ключа владельца контракта и потере около 160 миллионов долларов.

При использовании инструментов с открытым исходным кодом необходимо тщательно оценивать потенциальные риски. Для ключевых адресов следует использовать более безопасные методы генерации, избегая ненадежных сторонних инструментов.

Событие Harmony Bridge

Кросс-чейн мост Harmony Horizon подвергся атаке, убытки составили более 100 миллионов долларов. По анализу, возможно, это дело рук хакерской группы из Северной Кореи, методы атаки схожи с Ronin Bridge.

Кросс-чейн мосты, как ключевая инфраструктура, соединяющая разные цепи, всегда были основной целью атак хакеров. Проектам следует усилить защиту безопасности и повысить порог атаки.

Событие Ankr

Утечка приватного ключа владельца контракта Ankr привела к тому, что хакеры выпустили большое количество токенов и обналичили 5 миллионов USDC. Затем появились арбитражники, использующие задержку оракула для арбитража в 17 миллионов долларов.

Это выявляет серьезные проблемы в управлении внутренней безопасностью Ankr: ключевые приватные ключи находятся под контролем отдельных лиц, и бывшие сотрудники все еще могут их использовать. Проект должен разработать эффективную систему управления ключами и использовать более безопасные механизмы, такие как мультиподпись.

Событие Mango

Атакующие использовали уязвимость недостаточной ликвидности мелких токенов на платформе Mango, манипулируя ценами и получив прибыль в 115 миллионов долларов. Это больше относится к уязвимости бизнес-модели, а не к уязвимости безопасности.

Проектная команда должна тщательно учитывать различные экстремальные сценарии и улучшать меры управления рисками. Пользователи, участвуя в проекте, также должны полностью оценивать риски и не должны сосредотачиваться только на доходах, игнорируя безопасность.

В общем, с усложнением экосистемы Web3, угрозы безопасности становятся все более разнообразными. Проектам необходимо создать полноценную систему безопасности, а пользователям следует повысить свою осведомленность о безопасности, чтобы совместно поддерживать здоровое развитие отрасли.