Децентралізовані фінанси безпеки огляд: аналіз і уроки важливих подій 2022 року

У 2022 році безпекові інциденти в блокчейні відбувалися дуже часто, за статистикою їх сталося понад 300, а залучена сума досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано вісім типових випадків, в яких суми втрат переважно перевищують 100 мільйонів доларів, що має важливе значення для навчань.

Інцидент на мосту Ронін

23 березня 2022 року бічна мережа Axie Infinity Ronin Network була зламана, втративши 173,6 тисячі ETH і 25,5 мільйонів USD, що в сумі становить приблизно 590 мільйонів доларів. Нападниками, ймовірно, є північнокорейська хакерська організація Lazarus.

Зловмисник через методи соціальної інженерії зв’язався з працівниками компанії Sky Mavis, після чого впровадив шкідливе програмне забезпечення та контролював 5 верифікаційних вузлів, в результаті чого завершив атаку. Це виявило слабкість усвідомлення безпеки працівників компанії та наявність вразливостей у внутрішній системі безпеки.

Ця подія є типовою APT( високою стійкою загрозою ) атаки. Традиційні хакерські групи та державні сили почали переходити до атак на блокчейн-проекти, безпосередньо отримуючи економічну вигоду.

Подія Wormhole

Wormhole крос-чейн міст був атакований, збитки склали близько 120000 ETH. Основною причиною є дефект у коді перевірки підписів основного контракту на стороні Solana, що дозволяє зловмисникам підробляти повідомлення "опікунів" для емісії упакованого ETH.

Це в основному проблема на рівні коду, використано деякі застарілі функції. Розробники повинні вчасно оновлюватися до останньої версії, щоб уникнути подібних проблем.

Подія мосту Nomad

При ініціалізації контракту мосту Nomad помилково було встановлено довірений корінь, а при зміні не було зроблено старий корінь недійсним, що дозволило зловмисникам створювати будь-які повідомлення для витягнення коштів, збитки перевищили 190 мільйонів доларів.

Це типовий випадок помилки ініціалізації контракту. Як тільки вона буде виявлена, будь-хто може повторити дійсну транзакцію для отримання прибутку. Велика кількість MEV-роботів бере участь у захопленні, перетворюючи це на "битву за гроші".

Хоча вихідний код є прозорим, він також полегшує зловмисникам виявлення вразливостей. Команда проєкту повинна посилити аудит коду, щоб забезпечити правильність критичних етапів, таких як ініціалізація.

Подія Beanstalk

Проект алгоритмічних стабільних монет Beanstalk зазнав атаки за допомогою кредиту на блискавку, внаслідок чого було втрачено близько 182 мільйонів доларів. Основною причиною є те, що між голосуванням за пропозицію та її виконанням немає часової затримки, що дозволяє зловмисникам негайно реалізувати шкідливі пропозиції.

Зловмисники заздалегідь купують токени для отримання права на пропозицію, отримують велику кількість голосів через кредит на мить, завершують арбітраж через зловмисні пропозиції. Це виявляє ризики чисто децентралізованого управління.

Проект має встановити механізм перевірки пропозицій, терміни блокування голосування, заморожування часу виконання та інші заходи для запобігання подібним ризикам.

Подія Wintermute

Маркет-мейкер Wintermute використовував відкриті інструменти для створення красивих адрес, що призвело до зламу приватного ключа власника контракту, внаслідок чого було втрачено близько 160 мільйонів доларів.

При використанні відкритих інструментів слід повністю оцінити потенційні ризики. Для критичних адрес слід застосовувати більш безпечний спосіб генерації, уникаючи використання ненадійних сторонніх інструментів.

Подія Harmony Bridge

Кросчейн міст Horizon від Harmony зазнав атаки, збитки перевищують 100 мільйонів доларів. За аналізом, можливо, це також справа північнокорейської хакерської організації, методи атаки схожі на Ronin Bridge.

Кросчейн-мости, як ключова інфраструктура, що з'єднує різні ланцюги, завжди були основними цілями атак хакерів. Команди проектів повинні посилити захист безпеки та підвищити поріг атак.

Подія Ankr

Витік приватного ключа власника контракту Ankr призвів до того, що хакер створив велику кількість токенів і зняв 5000000 USDC. Потім з'явилися арбітражники, які скористалися затримкою оракула для арбітражу на 17000000 доларів.

Це виявляє серйозні проблеми в управлінні безпекою всередині Ankr: ключові приватні ключі контролюються особами, які можуть їх використовувати навіть після звільнення. Проект повинен створити вдосконалену систему управління ключами, використовуючи багатопідпис та інші більш безпечні механізми.

Подія Mango

Зловмисники використали вразливість недостатньої ліквідності малих токенів на платформі Mango, маніпулюючи цінами, щоб отримати прибуток у 115 мільйонів доларів. Це більше пов'язано з вразливістю бізнес-моделі, а не з вразливістю безпеки.

Команда проекту повинна повністю врахувати різні екстремальні сценарії та вдосконалити заходи управління ризиками. Користувачі, беручи участь у проекті, також повинні всебічно оцінювати ризики, не можна зосереджуватися лише на прибутках і ігнорувати безпеку.

У підсумку, з ускладненням екосистеми Web3 загрози безпеці стають дедалі різноманітнішими. Проектам потрібно створити досконалу систему безпеки, а користувачам слід підвищити обізнаність про безпеку, щоб спільно підтримувати здоровий розвиток галузі.