Децентралізовані фінанси безпеки Глибина аналізу: огляд значних подій 2022 року

У 2022 році індустрія Web3 зазнала кількох значних інцидентів безпеки, які охоплювали суми до 4,3 мільярда доларів. У цій статті буде детально проаналізовано вісім典型案例, які в основному пов'язані з втратами понад 100 мільйонів доларів.

Інцидент на мосту Ронін

У березні 2022 року бічна мережа Axie Infinity Ronin Network була зламано, в результаті чого було втрачено 173600 ETH і 25500000 USD, загальна вартість яких становила майже 600 мільйонів доларів. За результатами розслідування, до цієї події причетна північнокорейська хакерська група Lazarus.

Зловмисник отримав довіру внутрішніх співробітників за допомогою соціальної інженерії, тим самим проникнувши в систему та контролюючи кілька вузлів перевірки. Ця висококваліфікована постійна загроза (APT) є поширеним методом атаки в традиційній сфері безпеки, а тепер також починає з'являтися в проектах блокчейн.

Ця подія виявила серйозні недоліки у свідомості безпеки працівників та внутрішній системі безпеки з боку команди проекту.

Подія Wormhole

Крос-чейн міст Wormhole зазнав атаки через помилку в коді перевірки підпису контракту на стороні Solana, в результаті чого було втрачено близько 120 тисяч ETH. Зловмисники скористалися вразливістю застарілої функції.

Це нагадує розробникам використовувати останню версію кодової бази, щоб уникнути використання старих версій функцій з відомими проблемами.

Подія моста Nomad

Міст Nomad був атакований через проблеми з початковими налаштуваннями, внаслідок чого було втрачено близько 1,9 мільярда доларів. Зловмисники витягли кошти, повторюючи дійсні транзакції.

Ця подія перетворилася на "битву за гроші", в якій взяло участь кілька адрес. Хоча частину коштів вдалося повернути, більшість все ще не знайдено. Це підкреслює двосічний ефект, який приносить відкритий код смарт-контрактів.

Подія Beanstalk

Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через швидкий кредит, внаслідок чого було втрачено близько 182 мільйонів доларів. Зловмисник скористався вразливістю механізму управління проектом і здійснив атаку через зловмисну пропозицію.

Це відображає ризики, що існують у децентралізованому управлінні, команди проекту повинні більш обережно розробляти механізми перевірки пропозицій, голосування та час виконання.

Подія Wintermute

Маркет-мейкер Wintermute був атакований через використання вразливого інструменту для генерації адрес Profanity. Зловмисник успішно зламав приватний ключ адреси власника контракту.

Це нагадує нам про необхідність обережності під час використання відкритих інструментів і проведення достатньої оцінки безпеки.

Події Harmony Bridge

Кросчейн-міст Horizon від Harmony зазнав збитків понад 100 мільйонів доларів, ймовірно, також через північнокорейську хакерську організацію. Конкретні деталі не були опубліковані, але метод атаки може бути схожим на інцидент з Ronin Bridge.

Подія Ankr

Ankr зазнав внутрішньої зради співробітників, що призвело до масового створення токенів з нічого. Це виявило серйозні недоліки проекту в управлінні правами та внутрішньому контролі.

Подія Mango

Платформа Mango зазнала атаки маніпуляцій на ринку, втративши близько 1,15 мільярда доларів. Зловмисники використали вразливість бізнес-моделі платформи, маніпулюючи цінами на токени з малими капіталізаціями для отримання прибутку.

Це нагадує команді проекту про необхідність всебічно розглянути різні екстремальні ситуації, а користувачам слід бути обережними щодо потенційних бізнес-ризиків.

Загалом, події 2022 року відображають, що проекти DeFi все ще мають недоліки в багатьох аспектах, таких як безпека коду, управління правами, механізми управління тощо. Як команди проектів, так і користувачі повинні підвищити обізнаність про безпеку та вжити більш суворих запобіжних заходів.