Децентралізовані фінанси безпекові події огляд: аналіз основних випадків 2022 року

У 2022 році в індустрії блокчейн сталося більше 300 інцидентів безпеки, загальні збитки склали 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких пов'язані з втратами понад 100 мільйонів доларів.

Інцидент на мосту Ронін

У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала атаки, внаслідок чого було втрачено 173600 ETH та 25500000 USD, загальна вартість яких становила близько 625 мільйонів доларів. За повідомленнями, північнокорейська хакерська група Lazarus за допомогою соціальної інженерії отримала доступ до системи компанії Sky Mavis і в підсумку контролювала 5 з 9 валідаторів, завершивши атаку.

Ця подія виявила серйозні проблеми з безпекою співробітників та внутрішньою безпечною системою у команди проекту. Водночас це також відображає, що традиційні хакерські групи та державні сили починають націлювати свої атаки на блокчейн-проекти, безпосередньо отримуючи економічні вигоди.

Подія Wormhole

Крос-чейн міст Wormhole через помилку в коді перевірки підпису основного контракту на стороні Solana, що дозволило зловмисникам підробляти повідомлення "опікуна" для емісії запакованого ETH Wormhole, завдав збитків приблизно на 120000 ETH.

Ця проблема в основному виникає через використання застарілої функції. Рекомендується розробникам використовувати останню версію інструментів розробки, щоб уникнути подібних проблем.

Інцидент на мосту Кочівників

Nomad кросчейн міст через проблеми з ініціалізацією налаштувань дозволив зловмисникам повторно використовувати дійсні транзакції для витягнення коштів, що призвело до збитків близько 190 мільйонів доларів США. Деякі MEV роботи також брали участь у цій "грабіжницькій" події.

Цей випадок відображає те, що відкриті проекти дуже легко можуть бути використані, якщо в них виникають вразливості. Команда проекту повинна ретельно враховувати різні аномальні сценарії та проводити всебічне тестування.

Подія Beanstalk

Проект стейблкоїнів на основі алгоритмів Beanstalk зазнав атаки через миттєвий кредит, втративши близько 182 мільйонів доларів. Зловмисник скористався вразливістю механізму управління проектом, отримавши велику кількість голосів через миттєвий кредит, щоб вкрасти кошти через зловмисну пропозицію.

Це відображає потенційні ризики механізму децентралізованого управління. Рекомендується, щоб проекти налаштували механізм перевірки пропозицій, період блокування голосування та часовий замок та інші заходи безпеки.

Подія Wintermute

Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через те, що використовував вразливий інструмент для генерації адрес Profanity, що призвело до зламу приватного ключа важливого контракту.

Це нагадує нам про необхідність ретельної оцінки ризиків безпеки при використанні відкритих інструментів і не покладатися надто сильно на один інструмент.

Події Harmony Bridge

Крос-чейн міст Horizon від Harmony зазнав атаки, внаслідок чого було втрачено понад 100 мільйонів доларів, ймовірно, це також справа північнокорейського хакерського угруповання. Конкретні деталі не були оприлюднені, але методи атаки можуть бути схожими на інцидент з Ronin Bridge.

Подія Ankr

Проект Ankr зазнав внутрішніх зловживань, що призвело до масового злого карбування та продажу токенів, що, в свою чергу, викликало ланцюгову реакцію.

Це відображає вразливість екосистеми Децентралізованих фінансів та важливість управління внутрішніми правами. Рекомендується використовувати механізми, такі як мультипідпис, для посилення безпеки.

Подія Mango

Деякий трейдер використав безстрокові контракти та спотовий ринок для маніпуляції ціною токена MNGO на платформі Mango, внаслідок чого отримав значний кредит, завдавши втрат платформі приблизно в 115 мільйонів доларів.

Це відображає те, що в проєктах Децентралізовані фінанси також є вразливості в дизайні бізнес-моделей, які потребують врахування різних екстремальних ситуацій. Як користувачам, також слід обережно брати участь у торгівлі малими монетами.