Децентрализованные финансы безопасность Глубина анализа: обзор значительных событий 2022 года

В 2022 году отрасль Web3 столкнулась с несколькими крупными инцидентами безопасности, ущерб от которых составил до 4,3 миллиарда долларов. В данной статье будет проведен глубокий анализ восьми典型 случаев, большинство из которых связано с потерями более 100 миллионов долларов.

Событие Ronin Bridge

В марте 2022 года боковая цепочка Axie Infinity, Ronin Network, была взломана, в результате чего было утеряно 173600 ETH и 25500000 USD, что в общей сложности составило почти 600 миллионов долларов. Согласно расследованию, к этому инциденту причастна северокорейская хакерская группа Lazarus.

Злоумышленник получил доверие внутренних сотрудников с помощью методов социального инжиниринга, что позволило ему проникнуть в систему и контролировать несколько узлов проверки. Эта высокоуровневая постоянная угроза (APT) является распространенной в традиционной области безопасности и теперь начинает появляться и в блокчейн-проектах.

Это событие выявило серьезные недостатки у команды проекта в области безопасности сотрудников и внутренней системы безопасности.

Событие Wormhole

Кросс-чейн мост Wormhole подвергся атаке из-за ошибки в коде проверки подписи контракта на стороне Solana, в результате чего было потеряно около 120000 ETH. Злоумышленник использовал уязвимость неиспользуемой функции.

Это напоминает разработчикам о необходимости использования самой последней версии кодовой базы, избегая использования устаревших функций с известными проблемами.

Событие Nomad Bridge

Кросс-чейн мост Nomad подвергся атаке из-за проблем с инициализацией, ущерб составил около 190 миллионов долларов. Злоумышленники извлекли средства, повторно воспроизводя действительные транзакции.

Это событие превратилось в "битву за деньги", в которой участвует несколько адресов. Хотя часть средств была возвращена, большая их часть все еще не найдена. Это подчеркивает двусторонний эффект, который приносит открытый исходный код смарт-контрактов.

Событие Beanstalk

Проект алгоритмической стабильной монеты Beanstalk подвергся атаке с использованием флеш-кредита, потеряв около 182 миллионов долларов США. Злоумышленники воспользовались уязвимостью в механизме управления проектом, осуществив атаку через злонамеренные предложения.

Это отражает риски, связанные с децентрализованным управлением; команде проекта необходимо более тщательно продумывать дизайн в таких аспектах, как проверка предложений, механизмы голосования и временные замки исполнения.

Событие Wintermute

Маркет-мейкер Wintermute подвергся атаке из-за использования уязвимого инструмента для генерации адресов Profanity. Злоумышленник успешно взломал приватный ключ адреса владельца контракта.

Это напоминает нам о необходимости осторожного использования инструментов с открытым исходным кодом и проведения тщательной оценки безопасности.

Событие Harmony Bridge

Кроссчейн-мост Horizon от Harmony понес убытки более 100 миллионов долларов, предположительно, также по вине северокорейской хакерской группы. Конкретные детали не раскрыты, но методы атаки могут быть похожи на события с Ronin Bridge.

Событие Ankr

Ankr столкнулся с внутренними злоупотреблениями сотрудников, что привело к массовой эмиссии токенов из ниоткуда. Это выявило серьезные недостатки проекта в управлении правами и внутреннем контроле.

Событие Mango

Платформа Mango подверглась атаке рыночного манипулирования, понеся убытки в размере около 115 миллионов долларов. Злоумышленники использовали уязвимости в бизнес-модели платформы, манипулируя ценами на токены с малой капитализацией для получения прибыли.

Это напоминает команде проекта учитывать все возможные экстремальные ситуации, а пользователям следует быть осторожными к потенциальным бизнес-рискам.

В целом, эти события 2022 года показывают, что проекты DeFi все еще имеют недостатки в таких областях, как безопасность кода, управление правами и механизмы управления. Как разработчики, так и пользователи должны повысить свою осведомленность о безопасности и принять более строгие меры предосторожности.