Revisión de los eventos de seguridad de Finanzas descentralizadas de 2022

Autor: un experto en seguridad

Recientemente, un experto en seguridad experimentado compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad. Repasó los importantes incidentes de seguridad que ha enfrentado la industria Web3 en el último año, exploró las causas y las medidas de prevención de estos eventos, resumió las vulnerabilidades de seguridad comunes en los contratos inteligentes y dio algunos consejos de seguridad. A continuación, se presenta un resumen de su contenido compartido para la referencia de los entusiastas de Finanzas descentralizadas.

Según estadísticas, en 2022 ocurrieron más de 300 incidentes de seguridad en blockchain, con un monto total involucrado de 4.3 mil millones de dólares.

A continuación se presenta un análisis detallado de 8 casos típicos, en los que la mayoría de las pérdidas superan los 100 millones de dólares.

Puente Ronin

Revisión del evento:

• El 23 de marzo de 2022, la cadena lateral de Axie Infinity, Ronin Network, fue hackeada, lo que resultó en el robo de 173,600 ETH y 25.5 millones de USD, con un valor de aproximadamente 590 millones de dólares.
• El Departamento del Tesoro de EE. UU. señaló que el grupo de hackers norcoreano Lazarus está relacionado con este incidente.
• Según informes, un hacker contactó y engañó a un empleado de Sky Mavis a través de LinkedIn para obtener acceso al sistema.

Este ataque pertenece a una típica amenaza persistente avanzada APT(. El grupo de hackers utiliza métodos como la ingeniería social para controlar primero una computadora dentro de la organización objetivo como un trampolín, para infiltrarse más a fondo y, en última instancia, alcanzar el objetivo del ataque.

El evento expuso la débil conciencia de seguridad de los empleados de la empresa y los problemas en el sistema de seguridad interno.

Wormhole

Revisión del evento:

• El código de verificación de firma del contrato central de Wormhole en Solana tiene un error que permite a los atacantes falsificar el mensaje de "guardianes" para acuñar ETH envuelto en Wormhole, lo que resulta en una pérdida de aproximadamente 120,000 ETH.
• Jump Crypto invirtió 120,000 ETH para cubrir pérdidas.

Wormhole se enfrenta principalmente a problemas a nivel de código, utilizando algunas funciones obsoletas. Se recomienda a los desarrolladores usar la versión más reciente para evitar problemas similares.

Puente Nomad

Revisión del evento:

• En la inicialización del contrato Replica del puente Nomad, la raíz de confianza se estableció en 0x0 y no se invalidó a tiempo la raíz antigua, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos, causando pérdidas de más de 190 millones de dólares.
• Varios direcciones participan en el ataque, incluyendo robots MEV, hackers y hackers de sombrero blanco, entre otros.

Este es un caso típico. Existen problemas en la configuración de inicialización, lo que permite que las transacciones válidas se ejecuten repetidamente. Después de que los bots MEV lo descubrieron, comenzaron a transmitir en masa transacciones de ataque, causando un incidente de robo.

Las características de código abierto del ecosistema de contratos inteligentes facilitan a los hackers analizar y descubrir vulnerabilidades. Una vez que un proyecto presenta una vulnerabilidad, básicamente se declara fallido.

Beanstalk

Revisión de eventos:

• Beanstalk Farms sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares.
• Los atacantes obtuvieron más de 80 millones de dólares, incluyendo aproximadamente 24830 ETH y 36000000 BEAN.
• La razón del ataque es que no hay intervalo de tiempo entre la votación de la propuesta y su ejecución, lo que permite al atacante ejecutar directamente propuestas maliciosas.

Proceso de ataque:

1. Comprar tokens por adelantado para calificar para propuestas, crear contratos de propuestas maliciosas.
2. Obtener una gran cantidad de tokens para votar a través de un préstamo relámpago
3. Ejecución directa de contratos maliciosos, completando la arbitraje

Este caso expone los riesgos potenciales de un mecanismo de gobernanza completamente descentralizado. Se recomienda que el proyecto establezca mecanismos de revisión de propuestas, umbrales de votación y medidas de seguridad como el bloqueo temporal.

Wintermute

Revisión del evento:

El 21 de septiembre de 2022, Wintermute confirmó que había sido víctima de un ataque hacker. Habían utilizado la herramienta Profanity para crear direcciones de billetera atractivas con el fin de optimizar las tarifas de transacción. A pesar de que aceleraron la eliminación de las claves antiguas tras conocer la vulnerabilidad de Profanity, un error interno impidió la eliminación completa de los permisos de firma de las direcciones afectadas, lo que resultó en el robo de fondos.

Al usar herramientas de código abierto, se deben evaluar adecuadamente los riesgos de seguridad. Especialmente con respecto a las herramientas relacionadas con la gestión de claves, se debe tener aún más precaución.

Puente de Harmony

Revisión del evento:

• La pérdida del puente entre cadenas Horizon supera los 100 millones de dólares, incluidos más de 13,000 ETH y 5,000 BNB.
• El fundador de Harmony afirma que el ataque fue causado por la filtración de la clave privada.
• Las empresas de análisis de blockchain creen que el grupo de hackers de Corea del Norte, Lazarus Group, podría ser el autor intelectual.

Si realmente es obra de un grupo de hackers norcoreanos, el método de ataque podría ser similar al incidente de Ronin Bridge. En los últimos años, los grupos de hackers norcoreanos han estado muy activos en ataques contra la industria de las criptomonedas.

Ankr

Revisión del evento:

• Después de que se actualizó el contrato de Ankr, el atacante acuñó 100 billones de aBNBc mediante el método de acuñación.
• El atacante intercambió parte de aBNBc por 5 millones de USDC, lo que provocó una caída drástica en el precio de aBNBc.
• Los arbitrajistas aprovecharon el mecanismo de retraso de precios del protocolo de préstamos Helio para obtener ganancias de más de 17 millones de dólares.
• Ankr se compromete a compensar 15 millones de dólares.

La investigación posterior mostró que el incidente fue causado por un ex empleado. Los problemas expuestos incluyen:

• Los contratos clave son controlados por cuentas EOA en lugar de ser controlados por múltiples firmas.
• Los empleados clave pueden controlar la clave privada de Deployer
• Existen deficiencias en la gestión de seguridad interna

![Cobo Finanzas descentralizadas seguridad clase (parte 1): repaso de los grandes eventos de seguridad de Finanzas descentralizadas 2022])https://img-cdn.gateio.im/webp-social/moments-646b3144d462a0e5ced17444071f9d00.webp(

Mango

Revisión del evento:

• Los atacantes utilizaron 10 millones de USDT para hacer operaciones de arbitraje en la plataforma Mango, mientras aumentaban el precio de MNGO en otras plataformas.
• El precio de MNGO subió de 0.0382 dólares a 0.91 dólares, el atacante obtuvo 420 millones de dólares.
• El atacante finalmente prestó cerca de 115 millones de dólares en activos.
• El atacante propuso utilizar los fondos del tesoro para reembolsar las deudas incobrables del acuerdo, con la condición de no llevar a cabo una investigación penal.
• En diciembre de 2022, Avraham Eisenberg, que se decía atacante, fue arrestado en Puerto Rico.

Esto puede verse tanto como un evento de seguridad, como una conducta de arbitraje. El problema principal radica en la vulnerabilidad del modelo de negocio, ya que el precio de las pequeñas criptomonedas es fácil de manipular, lo que dificulta la gestión de posiciones en la plataforma.

El equipo del proyecto debe considerar a fondo diversas situaciones extremas para realizar pruebas. Los usuarios que participen en el proyecto también deben evaluar completamente los riesgos y no solo centrarse en las ganancias.

![Cobo Finanzas descentralizadas Seguridad Clase (Parte 1): Revisión de los grandes eventos de seguridad DeFi de 2022])https://img-cdn.gateio.im/webp-social/moments-bb42708a0810f2b5c37b48aeaa2d22d0.webp(