Finanzas descentralizadas 安全事件回顾:2022年重大案例分析

En 2022, la industria de blockchain experimentó más de 300 incidentes de seguridad, con una pérdida total que alcanzó los 4.3 mil millones de dólares. Este artículo analizará en detalle 8 casos típicos, la mayoría de los cuales involucran pérdidas superiores a 100 millones de dólares.

Evento del Puente Ronin

En marzo de 2022, la cadena lateral de Axie Infinity, Ronin Network, fue atacada, perdiendo 173,600 ETH y 25.5 millones de USD, con un valor total de aproximadamente 625 millones de dólares. Según se informa, el grupo de hackers norcoreano Lazarus infiltró el sistema de la compañía Sky Mavis a través de técnicas de ingeniería social, logrando finalmente controlar 5 de los 9 nodos de validación y completando el ataque.

Este evento expone problemas graves en la conciencia de seguridad de los empleados y en el sistema de seguridad interno del equipo del proyecto. También refleja que los grupos de hackers tradicionales y las fuerzas estatales están cambiando su objetivo de ataque hacia los proyectos de blockchain, obteniendo beneficios económicos directamente.

Evento Wormhole

El puente跨链 Wormhole sufrió un error en el código de verificación de firma del contrato principal en la red de Solana, lo que permitió a los atacantes falsificar mensajes de "guardianes" y acuñar ETH envuelto en Wormhole, con una pérdida de aproximadamente 120,000 ETH.

Este problema se debe principalmente al uso de funciones obsoletas. Se recomienda a los desarrolladores que utilicen la versión más reciente de las herramientas de desarrollo para evitar problemas similares.

Evento del Puente Nomad

El puente跨链 Nomad experimentó una pérdida de aproximadamente 190 millones de dólares debido a problemas de configuración inicial que permitieron a los atacantes reproducir transacciones válidas para extraer fondos. Algunos robots MEV también participaron en este evento de "robo".

Este caso refleja que, una vez que un proyecto de código abierto presenta una vulnerabilidad, es muy fácil de explotar. El equipo del proyecto debe considerar exhaustivamente varios escenarios anómalos y realizar pruebas completas.

Evento Beanstalk

El proyecto de stablecoin algorítmica Beanstalk sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares. El atacante aprovechó una vulnerabilidad en el mecanismo de gobernanza del proyecto para obtener una gran cantidad de derechos de voto a través de un préstamo relámpago y robar fondos mediante propuestas maliciosas.

Esto refleja los riesgos potenciales del mecanismo de gobernanza descentralizada. Se recomienda que el proyecto establezca medidas de seguridad como un mecanismo de revisión de propuestas, un período de bloqueo de votación y un bloqueo temporal.

Evento Wintermute

El creador de mercado Wintermute perdió aproximadamente 160 millones de dólares debido a la utilización de la herramienta de generación de direcciones con vulnerabilidades, Profanity, lo que llevó a que se rompiera la clave privada de un contrato importante.

Esto nos recuerda que al usar herramientas de código abierto, debemos evaluar adecuadamente los riesgos de seguridad y no depender demasiado de una sola herramienta.

Evento del Puente Harmony

El puente entre cadenas Horizon de Harmony fue atacado, con pérdidas superiores a 100 millones de dólares, y se sospecha que también fue obra de un grupo de hackers norcoreanos. Los detalles específicos no han sido divulgados, pero el método de ataque podría ser similar al incidente del Ronin Bridge.

Evento de Ankr

El proyecto Ankr ha sufrido malfeasancia interna, lo que ha llevado a la acuñación y venta maliciosa de una gran cantidad de tokens, provocando así una reacción en cadena.

Esto refleja la vulnerabilidad del ecosistema de Finanzas descentralizadas y la importancia de la gestión de permisos internos. Se recomienda adoptar mecanismos como la firma múltiple para fortalecer la seguridad.

Evento Mango

Un comerciante manipuló el precio del token MNGO en la plataforma Mango utilizando contratos perpetuos y el mercado spot, lo que le permitió obtener grandes préstamos y causó una pérdida de aproximadamente 115 millones de dólares en la plataforma.

Esto refleja que los proyectos de Finanzas descentralizadas también tienen fallos en el diseño de sus modelos de negocio, y es necesario considerar diversas situaciones extremas. Como usuarios, también deben participar con precaución en el comercio de criptomonedas menores.