Обзор событий безопасности в Децентрализованных финансах 2022 года

Автор: определенный эксперт по безопасности

В последнее время опытный специалист по безопасности поделился с членами сообщества уроком по безопасности в Децентрализованных финансах. Он рассмотрел значимые инциденты безопасности в индустрии Web3 за последний год, обсудил причины этих событий и меры предосторожности, обобщил распространенные уязвимости смарт-контрактов и предложил несколько советов по безопасности. В этой статье представлены основные моменты его выступления для любителей Децентрализованных финансов.

Согласно статистике, в 2022 году произошло более 300 инцидентов безопасности в блокчейне, общая сумма которых составила 4,3 миллиарда долларов.

Ниже приведен подробный анализ 8 типичных случаев, в которых сумма убытков в большинстве случаев превышает 100 миллионов долларов.

Мост Ронин

Обзор события:

• 23 марта 2022 года боковая цепь Axie Infinity Ronin Network была взломана, в результате чего было похищено 173600 ETH и 25500000 USD, что составляет около 590 миллионов долларов.
• Министерство финансов США указало на связь между хакерской группировкой Северной Кореи Lazarus и данным инцидентом.
• По сообщениям, хакеры связались с сотрудником компании Sky Mavis через LinkedIn и обманом получили доступ к системе.

此次 атака относится к типичному APT( высокому постоянному угрозе ). Хакерская группа использует методы социальной инженерии и т.д., чтобы сначала контролировать один компьютер в целевой организации в качестве трамплина, затем проникать дальше, в конечном итоге достигая цели атаки.

Событие выявило слабую безопасность сотрудников компании и наличие проблем в внутренней системе безопасности.

Червоточина

Обзор события:

• В коде проверки подписи основного контракта Wormhole на Solana существует ошибка, позволяющая злоумышленникам подделывать сообщения "опекуна" для выпуска упакованных ETH через Wormhole, что привело к потере около 120000 ETH.
• Jump Crypto вложила 120000 ETH для компенсации убытков.

Основная проблема Wormhole заключается в коде, используются некоторые устаревшие функции. Рекомендуется разработчикам использовать последнюю версию, чтобы избежать подобных проблем.

Мост Номад

Обзор события:

• При инициализации контракта Replica моста Nomad доверенный корень был установлен на 0x0, и старая корневая запись не была вовремя аннулирована, что позволило злоумышленнику создавать любые сообщения для кражи средств, что привело к убыткам более 190 миллионов долларов.
• Несколько адресов участвуют в атаке, включая MEV-роботов, хакеров и белых хакеров.

Это типичный случай. Существует проблема с настройками инициализации, в результате чего действительные транзакции выполняются повторно. После обнаружения боты MEV и другие транслируют большое количество атак на транзакции, что приводит к инцидентам с захватом денег.

Открытые характеристики экосистемы смарт-контрактов облегчают хакерам анализ и обнаружение уязвимостей. Как только в проекте обнаруживается уязвимость, это практически означает его провал.

Бобовый стебель

Обзор события:

• Beanstalk Farms подвергся атаке через флеш-кредиты, убытки составили около 182 миллионов долларов.
• Атакующий получил прибыль более 80 миллионов долларов, включая около 24830 ETH и 36000000 BEAN.
• Причина атаки заключается в отсутствии временного интервала между голосованием по предложению и его выполнением, что позволяет злоумышленнику напрямую исполнять вредоносные предложения.

Процесс атаки:

1. Предварительная покупка токенов для получения права на предложение, создание злонамеренного контракта предложения
2. Получение большого количества токенов для голосования через флеш-кредит
3. Злонамеренный контракт выполняется напрямую, завершая арбитраж.

Этот случай выявил потенциальные риски чисто децентрализованной механики управления. Рекомендуется, чтобы проект установил механизмы проверки предложений, пороги голосования и временные замки в качестве мер безопасности.

Зимний немый

Обзор события:

21 сентября 2022 года Wintermute подтвердил, что подвергся хакерской атаке. Они использовали инструмент Profanity для создания красивых адресов кошельков с целью оптимизации комиссии. Хотя они ускорили отказ от старых ключей после того, как узнали о уязвимости Profanity, внутренние ошибки не позволили полностью удалить права подписи затронутых адресов, что привело к краже средств.

При использовании инструментов с открытым исходным кодом необходимо тщательно оценивать риски безопасности. Особенно осторожно следует относиться к инструментам, связанным с управлением ключами.

Мост Гармонии

Обзор события:

• Убытки Horizon跨链桥 составили более 100 миллионов долларов, включая более 13 тысяч ETH и 5000 BNB.
• Основатель Harmony заявил, что атака была вызвана утечкой приватного ключа.
• Аналитическая компания в области блокчейна считает, что северокорейская хакерская группа Lazarus Group может быть скрытым злоумышленником.

Если это действительно было сделано северокорейской хакерской группировкой, методы атаки могут быть похожи на события с Ronin Bridge. В последние годы северокорейские хакеры активно атакуют криптовалютную отрасль.

Анкр

Обзор события:

• После обновления контракта Ankr злоумышленник с помощью метода чеканки создал 100 триллионов aBNBc.
• Злоумышленник обменял часть aBNBc на 5 миллионов USDC, что привело к обрушению цены aBNBc.
• Арбитражники используют механизм задержки цен в кредитном соглашении Helio для арбитража более 17 миллионов долларов.
• Ankr обещает компенсацию в 15 миллионов долларов.

Последующие расследования показали, что инцидент был вызван действиями уволенного сотрудника. Обнаруженные проблемы включают:

• Ключевые контракты контролируются EOA-аккаунтом, а не мультиподпиской.
• Ключевые сотрудники могут контролировать приватный ключ Deployer
• Внутренняя безопасность управления имеет недостатки

Манго

Обзор события:

• Атакующий использовал 10 миллионов USDT для манипуляций с длинными и короткими позициями на платформе Mango, одновременно поднимая цену MNGO на других платформах.
• Цена MNGO выросла с 0,0382 доллара до 0,91 доллара, злоумышленники получили прибыль в 420 миллионов долларов.
• Злоумышленник в конечном итоге одолжил активы на сумму почти 1,15 миллиарда долларов.
• Нападающий предложил использовать средства государственного бюджета для погашения плохих долгов соглашения при условии, что не будет уголовного расследования.
• В декабре 2022 года самопровозглашенный атакующий Авраам Эйзенберг был арестован в Пуэрто-Рико.

Это можно рассматривать как как событие безопасности, так и как арбитражные действия. Основная проблема заключается в уязвимости бизнес-модели, из-за которой цены на мелкие монеты легко манипулировать, что приводит к трудностям в управлении позициями платформы.

Команда проекта должна тщательно учитывать различные экстремальные сценарии для тестирования. Пользователи, участвуя в проекте, также должны всесторонне оценивать риски и не должны сосредотачиваться только на доходах.