Огляд та аналіз значних подій безпеки в сфері Децентралізовані фінанси 2022 року

У 2022 році сталося багато інцидентів з безпекою блокчейна, за статистикою протягом року сталося понад 300 випадків, загальна сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких призвела до втрат понад 100 мільйонів доларів і є дуже репрезентативними.

Міст Роніна

У березні 2022 року бічна мережа NFT-ігри Axie Infinity Ronin Network зазнала атаки, внаслідок чого було втрачено 173,6 тисяч ефірів (ETH) та 25,5 мільйонів доларів США, загальна вартість становила близько 625 мільйонів доларів. За даними розслідування, до цього інциденту причетна північнокорейська хакерська група Lazarus.

Зловмисники за допомогою соціальної інженерії змусили співробітників компанії Sky Mavis завантажити підроблений лист про приймання з шкідливим програмним забезпеченням, що дозволило їм проникнути в систему та контролювати 5 верифікаційних вузлів, в результаті чого атака була завершена.

Ця подія виявила недоліки проекту в усвідомленні безпеки співробітників та внутрішній системі безпеки. Одночасно це показує, що традиційні хакерські групи поступово змінюють свої цілі на проекти блокчейну.

Червоточина

Wormhole кросчейн міст був атакований, збитки складають приблизно 120000 монет ETH. Проблема полягала в тому, що в коді перевірки підпису основного контракту на стороні Solana була помилка, яка дозволяла зловмисникам підробляти повідомлення "опікуна" для карбування упакованого ETH.

Ця вразливість викликана використанням деяких застарілих функцій. Рекомендується розробникам завжди використовувати найновіші версії мов програмування та інструментів, щоб уникнути подібних проблем.

Міст кочівників

Кросчейн-протокол Nomad зазнав атаки, внаслідок якої було втрачено понад 190 мільйонів доларів. Причина полягає в тому, що під час ініціалізації довірений корінь було неправильно налаштовано, і старий корінь не було анульовано, що дозволило зловмисникам створювати будь-які повідомлення для виведення коштів.

Хакери скористалися цією вразливістю, щоб повторно надсилати сконструйовані дані про транзакції, виводячи майже всі заблоковані кошти. Приблизно 41 адреса отримала прибуток у 1,52 мільярда доларів, включаючи MEV-роботів, інших хакерів та деяких білих хакерів.

Цей випадок підкреслює важливість налаштування ініціалізації смарт-контрактів, а також складність різних учасників у екосистемі публічного блокчейну.

Стебло квасолі

Проект алгоритмічної стабільної монети Beanstalk Farms зазнав атаки з використанням блискавичних кредитів, з потерями приблизно 182 мільйона доларів. Зловмисник отримав прибуток понад 80 мільйонів доларів.

Атака використала вразливість механізму управління проєктом - між голосуванням за пропозицію та її виконанням немає часової затримки. Зловмисник отримав значну кількість голосів через闪电贷, шляхом зловмисної пропозиції, він безпосередньо виконав арбітражну операцію.

Ця подія виявила ризики, які можуть існувати в чистих механізмах децентралізованого управління, такі як перевірка пропозицій, вага голосування, тайм-локи тощо, які потребують ретельного дизайну.

Зимовий німий

Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через використання інструменту генерації адрес Profanity, в якому існують вразливості, що призвело до зламу приватного ключа.

Цей випадок застерігає нас бути обережними при використанні інструментів з відкритим кодом, краще провести їх ретельну оцінку безпеки. Водночас це також відображає, що прагнення до "красивих номерів" адрес може нести в собі загрози безпеці.

Міст Гармонії

Кросчейн-міст Horizon від Harmony зазнав атаки, внаслідок чого було втрачено понад 100 мільйонів доларів. За аналізом, ймовірно, це справа північнокорейської хакерської групи Lazarus Group.

Методи атаки подібні до події з Ronin Bridge, ще раз підкреслюючи зростаючу загрозу національного рівня для індустрії криптовалют.

Анкр

Ankr зазнав атаки з боку внутрішніх працівників, що призвело до безпідставного створення 100 трильйонів aBNBc. Зловмисники вивели 5 мільйонів USDC, а також арбітражники отримали прибуток у 17 мільйонів доларів США.

Ця подія виявила серйозні недоліки проєкту в управлінні правами доступу, зберіганні приватних ключів тощо, підкресливши важливість вдосконалення внутрішньої системи безпеки.

Манго

Децентралізована торгова платформа Mango Markets зазнала атаки маніпуляції ринком, втративши приблизно 115 мільйонів доларів. Зловмисники використовували безстрокові контракти платформи та оракул, підвищуючи ціну малоринкової монети MNGO для отримання прибутку.

Цей випадок демонструє, що проєкти Децентралізовані фінанси повинні враховувати різні крайні ситуації при розробці бізнес-моделей, особливо щодо контролю ризиків для токенів з невеликою капіталізацією.

В цілому, у 2022 році безпекові інциденти в Децентралізованих фінансах (DeFi) були частими, що виявило багатогранні ризики безпеки, такі як смарт-контракти, міжланцюгові мости, механізми управління тощо. Командам проектів потрібно посилити обізнаність про безпеку та вдосконалити систему управління ризиками; користувачам слід обережно брати участь і повністю усвідомлювати ризики.