Revisión de seguridad de Finanzas descentralizadas: Análisis de eventos importantes de 2022 y sus implicaciones

En 2022, los incidentes de seguridad en blockchain fueron frecuentes, con un total de más de 300 ocurrencias, involucrando una cantidad que alcanza los 4.3 mil millones de dólares. Este artículo analizará detalladamente ocho casos típicos, los cuales en su mayoría superaron los 100 millones de dólares en pérdidas, teniendo un importante valor como referencia.

Evento del Puente Ronin

El 23 de marzo de 2022, la cadena lateral de Axie Infinity, Ronin Network, fue atacada, perdiendo 173,600 ETH y 25.5 millones de USD, un total de aproximadamente 590 millones de dólares. Se sospecha que los atacantes pertenecen al grupo de hackers norcoreano Lazarus.

Los atacantes contactaron a empleados de la empresa Sky Mavis a través de métodos de ingeniería social, implantaron malware y controlaron 5 nodos de validación, completando así el ataque. Esto expone la débil conciencia de seguridad de los empleados de la empresa y las vulnerabilidades en el sistema de seguridad interno.

Este evento pertenece a una típica amenaza persistente avanzada APT( ataque ). Los grupos de hackers tradicionales y las fuerzas a nivel estatal han comenzado a atacar proyectos de blockchain para obtener beneficios económicos directamente.

Evento Wormhole

El puente跨链 Wormhole fue atacado, con una pérdida de aproximadamente 120,000 ETH. La causa fundamental es un defecto en el código de verificación de firma del contrato central en Solana, que permite a los atacantes falsificar mensajes de "guardianes" para acuñar ETH empaquetado.

Este es principalmente un problema a nivel de código, ya que se han utilizado algunas funciones obsoletas. Los desarrolladores deben actualizarse a la última versión a tiempo para evitar problemas similares.

Evento del Puente Nomad

El contrato del puente Nomad del protocolo de cadena cruzada se inicializó con una raíz de confianza configurada incorrectamente, y al modificarla no se invalidó la raíz antigua, lo que permitió a los atacantes construir mensajes arbitrarios para extraer fondos, con pérdidas superiores a 190 millones de dólares.

Este es un caso típico de error en la inicialización de contratos. Una vez descubierto, cualquiera puede repetir transacciones válidas para obtener ganancias. Muchos robots de MEV participan en la competencia, convirtiéndolo en una "guerra por el dinero".

Aunque el código abierto es transparente, también facilita que los atacantes encuentren vulnerabilidades. El equipo del proyecto debe fortalecer la auditoría del código para garantizar la corrección de etapas clave como la inicialización.

Evento Beanstalk

El proyecto de stablecoin algorítmica Beanstalk sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares. La razón principal es que no hay un intervalo de tiempo entre la votación de la propuesta y su ejecución, lo que permite al atacante ejecutar inmediatamente la propuesta maliciosa.

Los atacantes compran tokens anticipadamente para obtener derechos de propuesta, obtienen una gran cantidad de derechos de voto a través de préstamos relámpago y completan arbitrajes mediante propuestas maliciosas. Esto expone los riesgos de la gobernanza completamente descentralizada.

El proyecto debe establecer un mecanismo de revisión de propuestas, un período de bloqueo de votación, un bloqueo de tiempo de ejecución y otras medidas para prevenir riesgos similares.

Evento Wintermute

El creador de mercado Wintermute utilizó herramientas de código abierto para generar direcciones atractivas, lo que llevó a que la clave privada del propietario del contrato fuera comprometida, resultando en una pérdida de aproximadamente 160 millones de dólares.

Al utilizar herramientas de código abierto, se deben evaluar adecuadamente los riesgos potenciales. Para las direcciones clave, se debe emplear un método de generación más seguro y evitar el uso de herramientas de terceros no confiables.

Evento de Harmony Bridge

El puente跨链桥Horizon de Harmony fue atacado, con pérdidas superiores a 100 millones de dólares. Según el análisis, podría ser obra de un grupo de hackers norcoreanos, ya que la técnica de ataque es similar a la del Ronin Bridge.

Los puentes entre cadenas, como infraestructura clave que conecta diferentes cadenas, han sido un objetivo principal de ataque para hackers. Los proyectos deben fortalecer la protección de seguridad y aumentar el umbral de ataque.

Evento Ankr

La clave privada del propietario del contrato de Ankr se filtró, lo que permitió a los hackers acuñar una gran cantidad de tokens y retirar 5 millones de USDC. Luego, aparecieron los arbitrajistas que utilizaron la demora del oráculo para arbitrar 17 millones de dólares.

Esto expone serios problemas en la gestión de seguridad interna de Ankr: las claves privadas clave están bajo el control de individuos y pueden seguir siendo utilizadas por empleados después de su salida. El proyecto debería establecer un sistema de gestión de claves completo y adoptar mecanismos más seguros como la firma múltiple.

Evento Mango

El atacante aprovechó la vulnerabilidad de la falta de liquidez de las criptomonedas en la plataforma Mango, obteniendo una ganancia de 115 millones de dólares mediante la manipulación de precios. Esto se debe más a una falla en el modelo de negocio que a una falla de seguridad.

El equipo del proyecto debe considerar adecuadamente diversos escenarios extremos y mejorar las medidas de control de riesgos. Los usuarios que participen en el proyecto también deben evaluar exhaustivamente los riesgos, sin centrarse únicamente en las ganancias y descuidar la seguridad.

En conclusión, a medida que el ecosistema Web3 se vuelve cada vez más complejo, las amenazas a la seguridad también se diversifican. Los proyectos deben establecer un sistema de seguridad completo, y los usuarios también deben aumentar su conciencia de seguridad para mantener conjuntamente el desarrollo saludable de la industria.