Finansēt

Kā novērst līdzīgus drošības pārkāpumus – Cryptopolitan

02/28/2023
Bitcoin Ethereum ziņas

Decentralizētas finanses (DEFI) protokoli piedāvā lietotājiem decentralizētus finanšu pakalpojumus, ļaujot tiem veikt darījumus un slēgt līgumus ar citiem dalībniekiem. Lai gan DeFi protokolu mērķis ir nodrošināt drošu un uzticamu platformu saviem lietotājiem, vairāki pēdējo gadu ekspluatācijas gadījumi ir radījuši ievērojamus līdzekļu zaudējumus. Šajā rakstā tiks apspriesti daži no plašākajiem DeFi ekspluatācijas gadījumiem, kas nesen notikuši.

Šeit ir 8 populārākie kriptovalūtu DeFi ekspluatācijas veidi pakalpojumā Web3 pēc atgriezto līdzekļu atskaitīšanas:

Ronina ķēde - 600 miljoni USD

2023. gada marts bija notikumiem bagāts mēnesis kriptovalūtu jomā, un Axie Infinity Ronin tilta uzlaušana topa augšgalā sasniedza 612 miljonus USD.

Roninas tilts ir Ethereum sānu ķēde, ko izmanto populārajā spēlē, lai nopelnītu Axie Infinity.

Kibernoziegumu grupējumam Lazarus, kuram ir aizdomas par Ziemeļkorejas sakariem, izdevies piekļūt deviņu darījumu pārbaudītāju privātajām atslēgām, ļaujot tiem apstiprināt divus lielus darījumus un pārvietot līdzekļus no sava maka adreses. Par laimi, sadarbība starp iestādēm, drošības firmām un kriptovalūtu biržām varēja palīdzēt izsekot dažiem no šiem līdzekļiem pēc tam, kad hakeri tos novirzīja uz Tornado skaidru naudu — atvērtā koda kriptovalūtu krūzi — un citām biržām.

Wormhole tilts - 323 miljoni USD

2022. gada februārī notika neveiksmīgs incidents, kad kriptovalūtu hakeri izmantoja tārpa cauruma kodu, lai paceltos ar kriptovalūtu 326 miljonu dolāru vērtībā.

Tārpu caurums ir simbolisks tilts starp Solanu un Ethereum, kas diemžēl nespēja novērst uzbrukumu. To padarīja iespējamu novecojuša/beigusi nedroša funkcija, kas apieta parakstu pārbaudi un iespējoja parakstu deleģēšanas ķēdi.

Eksperti kiberdrošība liecina, ka izstrādātāji būtu varējuši novērst uzbrukumu, ja viņi būtu izmantojuši "drošas kodēšanas praksi", kurā viņiem jāpārbauda visi parametri. Pārbaude varēja nodrošināt derīgu adrešu autentifikāciju un tādējādi izslēgt neleģitīmu avotu piekļuvi ķēdes aktīviem.

Pupiņu kātiņš – 181 miljons dolāru

Liktenīgajā 2022. gada aprīļa nedēļas nogalē hakeris izvērsa uzbrukumu, kas satricināja kriptogrāfijas kopienu. Izmantojot zibatmiņas aizdevumu, kas ir decentralizēto finanšu (DeFi) protokolu iezīme, viņiem izdevās nozagt 182 miljonus USD ETH, BEAN stablecoin un citus aktīvus no Beanstalk stablecoin protokola.

Hakeri iesniedza divus ļaunprātīgus priekšlikumus Beanstalk DAO, izmantojot tās ārkārtas apņemšanās funkciju, kas prasa ⅔ balsojumu pirms ieviešanas pēc 24 stundām. Uzbrucējs izmantoja zibatmiņas aizdevuma tehnoloģiju, lai iegūtu kontroli pār 79% žetonu, lai izturētu abus priekšlikumus un veiksmīgi izpildītu savu plānu.

Līdzekļi tika nosūtīti no protokola, lai nomaksātu ātro kredītu, bet atlikusī summa tika nosūtīta uz adresi, kas saistīta ar Ukrainā bāzētu ārkārtas fondu. Kopumā par šo drosmīgo rīcību atbildīgā persona ir paņēmusi līdz pat 76 miljoniem dolāru.

Nomad - 155 miljoni USD

Samulsinošais nomadu tilta uzlauzums nokļuva ziņu virsrakstos, kad tas notika 1. gada 2022. augustā. Tas šokēja daudzus blockchain entuziasti kā uzbrucēji izmantoja ievainojamību, lai iztukšotu vairāk nekā 190 miljonus dolāru vērtus Ethereum aktīvus, kas glabāti vairāku ķēžu šķērstiltā.

Hakeri pārvietojās ātri un nikni, simtiem maku iesaistot 960 darījumos, kā rezultātā tika veiktas 1,175 atsevišķas izņemšanas no tilta kopējās bloķētās vērtības (TVL). Viss stundu laikā.

Samulsinošais šī uzlaušanas aspekts bija tas, ka visiem lietotājiem, lai uzlauztu pārejas līdzekļus, bija jākopē un jāielīmē sākotnējā hakera darījuma zvana dati, jāaizstāj sākotnējā adrese ar personīgo, un darījums tika pabeigts.

Uzlaušana izraisīja triecienviļņus visā decentralizētās finanšu (DeFi) kopienā, pierādot, ka hakeri joprojām ir soli priekšā, izmantojot koda nepilnības. Nomad tilts ir ilustratīvs piemērs, kas parāda drošas kodēšanas prakses nozīmi un pastiprina, kāpēc drošība joprojām ir pastāvīgs izaicinājums blokķēdes projektiem.

CREAM finansējums – 130.8 miljoni USD

Lai gan uzbrukums CREAM 2021. gada oktobrī bija viens no lielākajiem ātro kredītu aplaupīšanas gadījumiem, tas noteikti nebija atsevišķs gadījums. Zibspuldzes aizdevuma uzbrukumi ietver likviditātes “ātrās aizdevuma” izmantošanu, aizņemšanos un šī ātrā finansējuma saistību nepildīšanu, un tas viss notiek viena darījuma ietvaros.

Izmantojot cenu aprēķināšanas kļūdas, hakeri var ātri gūt peļņu no saviem aizņēmumiem. Piemēram, CREAM gadījumā divas dažādas adreses mijiedarbojās ar tā yUSDVault, lai izveidotu lielu skaitu cYUSD marķieru. Viņi izmantoja ievainojamību, kas dubultotu šo akciju vērtību. Lai gan viņi veiksmīgi nodrošināja līdzekļus 130 miljonu USD vērtībā, pieejamais nodrošinājums aptuveni USD 1 miljarda apmērā varētu aizņemt daudz vairāk par šo summu. 

Flash aizdevumu uzbrukumi kļūst arvien izplatītāki, un sabiedrībai būtu jāuzdod jautājumi par to, kā viņi var novērst turpmākus drošības pārkāpumus nākotnē.

BSC marķieru centrs – 127 miljoni USD

2022. gada oktobrī hakeri, kas izmantoja kritisko ievainojamību BSC Beacon pārrobežu tilta kodā, atņēma kriptovalūtu aktīvus 570 miljonu USD vērtībā.

BSc Beacon ķēde, kas pazīstama arī kā Token Hub, ir starpķēžu tilts, kas savieno BNB Beacon ķēdi (BEP2) un BNB ķēdi (BEP20/BSC).

Hakeris viltoja kriptogrāfiskos pierādījumus, ko sauc par Merkles pierādījumiem, kuru mērķis bija apstiprināt datu, piemēram, darījumu, derīgumu. Savukārt viņi izmantoja šos viltus Merkles pierādījumus, lai pārskaitītu līdzekļus no BSC Beacon šķērstilta uz citām ķēdēm.

Tiklīdz Tether bloķēja uzbrucēju adresi, sekoja ātra rīcība, no BNB ķēdes iesaldējot vairāk nekā 7 miljonus USD, konfiscējot lielāko daļu viņu nelikumīgi iegūto līdzekļu.

Harmony Horizon - 100 miljoni USD

2022. gada jūnijā Harmony Horizon Bridge projekts tika apdraudēts, kad hakeri nozaga divas no piecām validatora privātajām atslēgām, ļaujot krāpniekiem pārsūtīt žetonus 100 miljonu USD vērtībā.

Šo drošības problēmu izraisīja tilta uzstādīšanas veids, izmantojot 2 no 5 validācijas shēmu. Rezultātā uzbrucējam bija nepieciešami tikai divi apstiprinājumi, lai varētu apstiprināt jebkuru ļaunprātīgu darījumu. Lai segtu pēdas, uzbrucēji izmantoja Tornado Cash, lai atmazgātu daļu no nelikumīgi iegūtajiem ienākumiem. 

Lai gan sākotnēji šis uzstādījums varēja šķist drošs, tas izrādījās ienesīgs mērķis sliktajiem aktieriem un dārga nodarbība blokķēdes drošības jomā pieķertajiem.

Rari - $ 91 miljons

Atkārtošanās uzbrukumi ir bijuši kopš Ethereum pirmsākumiem. Viņi ir izmantojuši līguma ievainojamības, lai atkārtoti izņemtu līdzekļus, pirms sākotnējais darījums ir apstiprināts vai noraidīts.

2022. gada maijā šādā veidā tika apdraudētas divas decentralizētas finanšu platformas, hakeriem nozagot 90 miljonus ASV dolāru. Džeks Longarzo no Rari Capital sacīja, ka uzbrucējs izmantoja uzņēmumu, un Fei Protocol, kas apvienojās ar Rari Capital, piedāvāja hakeram 10 miljonu dolāru atlīdzību.

Blockchain drošības uzņēmums BlockSec paskaidroja, ka hakeri izmantoja atkārtotas piekļuves ievainojamību. 

Izstrādātāji var novērst šāda veida uzbrukumus, pareizi pārbaudot un auditējot līgumus pirms izvietošanas Ethereum blokķēdē.

Kā pasargāt sevi no DeFi varoņdarbiem

DeFi protokoli ir kļuvuši arvien populārāki un sarežģītāki, padarot tos par pievilcīgiem hakeriem. Tālāk ir sniegti septiņi padomi, kas palīdzēs jums pasargāt sevi no DeFi ļaunprātīgas izmantošanas.

  1. Pirms ieguldīšanas veiciet jebkura projekta rūpīgu pārbaudi. Pārbaudiet, vai platformas kodā, vietnē, komandas biedros un sociālajos kanālos nav sarkano karodziņu.
  2. Nodrošiniet, lai uzticams avots pārbauda līgumus, ar kuriem jūs mijiedarbojaties, un ka audita rezultāti ir publiski pieejami.
  3. Neglabājiet lielas naudas summas vienā DeFi līgumā, padarot to neaizsargātāku pret uzbrukumiem.
  4. Esiet informēts par jaunākajām drošības ziņām, lai uzzinātu par jauniem izmantošanas veidiem.
  5. Ieviesiet pareizas autentifikācijas un autorizācijas procedūras visiem kontiem, kas mijiedarbojas ar DeFi protokoliem.
  6. Pārliecinieties, vai maciņš ir drošs, un, kad vien iespējams, izmantojiet divu faktoru autentifikāciju.
  7. Regulāri pārraugiet savus līdzekļus un darījumus blokķēdē, lai atklātu jebkādas aizdomīgas darbības vai nesankcionētu izņemšanu.

Šo padomu ievērošana var palīdzēt aizsargāt jūs no DeFi ļaunprātīgas izmantošanas un nodrošināt jūsu līdzekļu drošību, mijiedarbojoties ar decentralizētiem finanšu protokoliem. Tomēr ir svarīgi arī atcerēties, ka neviena sistēma nav nekļūdīga, tāpēc vienmēr ir ievērot īpašu piesardzību, strādājot ar digitālajiem līdzekļiem.

Secinājumi

Kopumā drošība ir viens no svarīgākajiem apsvērumiem, strādājot ar kriptovalūtām un DeFi protokoliem. Diemžēl, nozarei turpinot augt, pieaug arī ļaunprātīgas darbības riski. Lai gan nav iespējams garantēt pilnīgu drošību, šo padomu ievērošana var palīdzēt pasargāt sevi no DeFi ļaunprātīgas izmantošanas un nodrošināt savu līdzekļu drošību. 

Sekojot jaunākajiem sasniegumiem blokķēdes drošības jomā un nodrošinot pareizas autentifikācijas procedūras visiem kontiem, jūs varat palīdzēt nodrošināt savu digitālo līdzekļu drošību.

Avots: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/