2022 рік огляд безпекових інцидентів у Децентралізовані фінанси

Автор: певний експерт з безпеки

Нещодавно досвідчений експерт з безпеки поділився з членами спільноти уроком безпеки DeFi. Він оглянув значні інциденти безпеки, які сталися в індустрії Web3 за останній рік, обговорив причини цих подій та запобіжні заходи, підсумував поширені вразливості смарт-контрактів і надав кілька рекомендацій з безпеки. У цій статті ми виклали його матеріали для ознайомлення шанувальників DeFi.

Згідно зі статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, загальна сума яких склала 4,3 мільярда доларів.

Наступні є детальний аналіз 8 типових випадків, в яких суми втрат переважно перевищують 100 мільйонів доларів.

Міст Роніна

Огляд події:

• 23 березня 2022 року мережа Ronin Network, яка є боковою ланцюгом Axie Infinity, була зламаною, що призвело до крадіжки 173600 ETH та 25500000 USD, що становить приблизно 590 мільйонів доларів.
• Міністерство фінансів США вказало на зв'язок між хакерською організацією Lazarus з Північної Кореї та цим інцидентом.
• За повідомленнями, хакери зв'язалися з працівником компанії Sky Mavis через LinkedIn та обманом отримали доступ до системи.

Цей напад є типовим APT( високим тривалою загрозою ). Хакерська група за допомогою соціальної інженерії та інших методів спочатку контролює один комп'ютер у цільовій організації як трамплін, щоб далі проникнути і зрештою досягти мети атаки.

Подія виявила слабку обізнаність співробітників компанії щодо безпеки, а також наявність проблем у внутрішній системі безпеки.

Червоточина

Огляд події:

• У коді перевірки підпису основного контракту Wormhole на Solana виявлено помилку, що дозволяє зловмисникам підробляти повідомлення "опікунів" для випуску Wormhole упакованого ETH, що призвело до втрати приблизно 120 000 ETH.
• Jump Crypto вклала 120000 ETH для компенсації збитків.

Основна проблема Wormhole полягає в кодовому рівні, оскільки використовувалися деякі застарілі функції. Рекомендується розробникам використовувати останню версію, щоб уникнути подібних проблем.

Міст кочівників

Огляд події:

• Під час ініціалізації контракту Replica моста Nomad довірений корінь був встановлений на 0x0, і старий корінь не був своєчасно анульований, що дозволило зловмисникам створювати будь-які повідомлення для крадіжки коштів, завдавши збитків понад 190 мільйонів доларів.
• Кілька адрес беруть участь в атаці, зокрема MEV-роботи, хакери та білий хакер тощо.

Це типовий випадок. Проблема з ініціалізацією налаштувань призвела до того, що дійсні угоди можуть бути виконані повторно. Після виявлення MEV-роботами та іншими, були масово розіслані атаки на угоди, що призвело до випадків пограбування.

Відкритий характер екосистеми смарт-контрактів полегшує хакерам аналіз і виявлення вразливостей. Як тільки проект зазнає вразливості, він фактично оголошується проваленим.

Стебло квасолі

Огляд події:

• Beanstalk Farms зазнав атаки з використанням швидкого кредиту, збитки становлять близько 1,82 мільярда доларів.
• Зловмисники отримали понад 80 мільйонів доларів, включаючи близько 24830 ETH та 36000000 BEAN.
• Причина атаки полягає в тому, що між голосуванням за пропозицію та її виконанням немає часової затримки, що дозволяє зловмисникам безпосередньо виконувати зловмисні пропозиції.

Процес атаки:

1. Попередня покупка токенів для отримання кваліфікації для пропозиції, створення шкідливого контракту пропозиції
2. Отримання великої кількості токенів для голосування через блискавичний кредит
3. Зловмисний контракт виконується безпосередньо, завершуючи арбітраж

Цей випадок виявив потенційні ризики чисто децентралізованих механізмів управління. Рекомендується, щоб проекти встановлювали механізм перевірки пропозицій, пороги голосування та часові замки як заходи безпеки.

Зимовий німий

Огляд подій:

21 вересня 2022 року Wintermute підтвердив, що зазнав хакерської атаки. Вони використовували інструмент Profanity для створення красивих адрес гаманців з метою оптимізації комісій. Хоча після виявлення вразливості в Profanity вони прискорили відмову від старих ключів, через внутрішню помилку не були повністю видалені права підпису з уражених адрес, що призвело до крадіжки коштів.

При використанні інструментів з відкритим кодом слід ретельно оцінювати ризики безпеки. Особливо це стосується інструментів, що стосуються управління ключами, до яких потрібно ставитися з особливою обережністю.

Міст Гармонії

Огляд подій:

• Збитки Horizon крос-чейн моста перевищують 100 мільйонів доларів, включаючи понад 13 тисяч ETH і 5000 BNB.
• Засновник Harmony заявив, що атака сталася через витік приватного ключа.
• Компанія з аналізу блокчейн вважає, що північнокорейська хакерська організація Lazarus Group може бути за цим стоїть.

Якщо це справді справа північнокорейської хакерської організації, метод атаки може бути схожим на інцидент з Ronin Bridge. В останні роки північнокорейські хакерські організації активно здійснюють атаки на криптовалютну галузь.

Анкр

Огляд події:

• Після оновлення контракту Ankr, зловмисник за допомогою методу карбування створив 100 трильйонів aBNBc.
• Зловмисник обміняв частину aBNBc на 5 мільйонів USDC, що призвело до обвалу ціни aBNBc.
• Арбітражники використовували механізм затримки цін кредитного протоколу Helio для отримання прибутку понад 17 мільйонів доларів.
• Ankr обіцяє компенсувати 15 мільйонів доларів.

Подальше розслідування показало, що інцидент стався через зловмисні дії одного з колишніх працівників. Виявлені проблеми включають:

• Ключові контракти контролюються EOA рахунками, а не мультипідписами
• Ключові співробітники можуть контролювати приватний ключ Deployer
• Є недоліки в управлінні внутрішньою безпекою

Манго

Огляд подій:

• Зловмисник використав 10 мільйонів USDT на платформі Mango для одночасного відкриття довгих і коротких позицій, одночасно підвищуючи ціну MNGO на інших платформах.
• Ціна MNGO зросла з 0,0382 долара до 0,91 долара, злочинець отримав прибуток у 420 мільйонів доларів.
• Зловмисник врешті-решт позичив активи на суму майже 1,15 мільярда доларів.
• Зловмисники запропонували повернути проблемні борги угоди за рахунок державних коштів за умови, що не буде проведено кримінальне розслідування.
• У грудні 2022 року самопроголошений нападник Авраам Ейзенберг був заарештований у Пуерто-Ріко.

Це можна розглядати як безпекову подію або як арбітражну діяльність. Основна проблема полягає у вразливостях бізнес-моделі, ціни на дрібні монети легко маніпулюються, що ускладнює управління позиціями платформи.

Команда проекту повинна ретельно врахувати різні екстремальні сценарії для тестування. Користувачі, беручи участь у проекті, також повинні всебічно оцінити ризики, не зосереджуючись лише на прибутку.