Revisión de los eventos de seguridad en Finanzas descentralizadas de 2022
Autor: un experto en seguridad Web3
Recientemente, un experto en seguridad de renombre compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad. El experto revisó los eventos de seguridad importantes que enfrentó la industria Web3 en 2022, exploró las causas y medidas de prevención de estos eventos, resumió las vulnerabilidades comunes de los contratos inteligentes y proporcionó recomendaciones de seguridad para los proyectos y los usuarios.
Según estadísticas, en 2022 ocurrieron más de 300 incidentes de seguridad en blockchain, con un monto involucrado de hasta 4.3 mil millones de dólares.
Este artículo presentará 8 casos típicos en detalle, la mayoría de los cuales han perdido más de 100 millones de dólares. Aunque Ankr tuvo una pérdida relativamente menor, sigue siendo muy representativo.
Evento Ronin Bridge
En marzo de 2022, la cadena lateral Ronin Network de Axie Infinity fue hackeada, perdiendo 173,600 ETH y 25.5 millones de dólares.
Los atacantes obtuvieron la confianza de los empleados a través de técnicas de ingeniería social, instalaron malware y finalmente controlaron 4 de los 5 nodos de validación, llevando a cabo el ataque. Esto expone problemas en la conciencia de seguridad y gestión interna de la empresa.
Evento Wormhole
El código de verificación del contrato del puente跨链 Wormhole en Solana presenta una vulnerabilidad, lo que permite a los atacantes falsificar mensajes de "guardianes" para acuñar 120,000 ETH.
Esto se debe principalmente al uso de algunas funciones que han sido descontinuadas. Se recomienda a los desarrolladores que utilicen la versión más reciente para evitar problemas similares.
Evento del Puente Nomad
En la inicialización del contrato Replica del puente cruzado Nomad, la raíz de confianza se estableció en 0x0 y no se invalidó la raíz anterior, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos, con una pérdida de aproximadamente 190 millones de dólares.
Este caso típico muestra que los problemas en la configuración inicial pueden tener consecuencias graves. Cuando se descubre que las transacciones válidas se pueden ejecutar repetidamente, muchos participantes vienen a robar los fondos, lo que finalmente se convierte en una "guerra por el dinero".
Evento Beanstalk
El proyecto de stablecoin algorítmico Beanstalk sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares.
Los atacantes aprovecharon las vulnerabilidades del mecanismo del proyecto, obteniendo grandes cantidades de tokens a través de préstamos relámpago para votar a favor de propuestas maliciosas y ejecutarlas de inmediato. Esto expone algunos problemas de la gobernanza puramente descentralizada, como la revisión de propuestas, los mecanismos de votación y los bloqueos temporales, que necesitan un diseño cuidadoso.
Evento Wintermute
El creador de mercado Wintermute utilizó la herramienta de generación de números atractivos Profanity con vulnerabilidades, lo que llevó a que la clave privada del propietario del contrato fuera comprometida y los fondos fueran transferidos.
Esto nos recuerda que al utilizar herramientas de código abierto, debemos evaluar adecuadamente los riesgos de seguridad.
Evento del Puente de Harmony
El puente entre cadenas Harmony Horizon ha perdido más de 100 millones de dólares, supuestamente a manos de un grupo de hackers norcoreanos. El método de ataque podría ser similar al del incidente del Ronin Bridge.
Evento Ankr
Ankr sufrió una mala conducta interna de empleados, lo que llevó a la acuñación y venta masiva de tokens, desencadenando así una reacción en cadena.
Esto expone problemas graves en la gestión de permisos internos del proyecto y en el sistema de seguridad.
Evento Mango
Los atacantes manipulan el precio de la pequeña moneda MNGO, obtienen ganancias en la plataforma de contratos perpetuos y prestan grandes cantidades de dinero.
Esto refleja que algunos proyectos de Finanzas descentralizadas tienen fallas en su modelo de negocio. Los promotores del proyecto necesitan probar a fondo varios escenarios extremos, y los usuarios también deben prestar atención a la seguridad del capital en lugar de solo mirar las ganancias.
Esta página puede contener contenido de terceros, que se proporciona únicamente con fines informativos (sin garantías ni declaraciones) y no debe considerarse como un respaldo por parte de Gate a las opiniones expresadas ni como asesoramiento financiero o profesional. Consulte el Descargo de responsabilidad para obtener más detalles.
Revisión de las enormes pérdidas en DeFi en 2022: Análisis de 8 eventos de seguridad y recomendaciones de prevención
Revisión de los eventos de seguridad en Finanzas descentralizadas de 2022
Autor: un experto en seguridad Web3
Recientemente, un experto en seguridad de renombre compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad. El experto revisó los eventos de seguridad importantes que enfrentó la industria Web3 en 2022, exploró las causas y medidas de prevención de estos eventos, resumió las vulnerabilidades comunes de los contratos inteligentes y proporcionó recomendaciones de seguridad para los proyectos y los usuarios.
Según estadísticas, en 2022 ocurrieron más de 300 incidentes de seguridad en blockchain, con un monto involucrado de hasta 4.3 mil millones de dólares.
Este artículo presentará 8 casos típicos en detalle, la mayoría de los cuales han perdido más de 100 millones de dólares. Aunque Ankr tuvo una pérdida relativamente menor, sigue siendo muy representativo.
Evento Ronin Bridge
En marzo de 2022, la cadena lateral Ronin Network de Axie Infinity fue hackeada, perdiendo 173,600 ETH y 25.5 millones de dólares.
Los atacantes obtuvieron la confianza de los empleados a través de técnicas de ingeniería social, instalaron malware y finalmente controlaron 4 de los 5 nodos de validación, llevando a cabo el ataque. Esto expone problemas en la conciencia de seguridad y gestión interna de la empresa.
Evento Wormhole
El código de verificación del contrato del puente跨链 Wormhole en Solana presenta una vulnerabilidad, lo que permite a los atacantes falsificar mensajes de "guardianes" para acuñar 120,000 ETH.
Esto se debe principalmente al uso de algunas funciones que han sido descontinuadas. Se recomienda a los desarrolladores que utilicen la versión más reciente para evitar problemas similares.
Evento del Puente Nomad
En la inicialización del contrato Replica del puente cruzado Nomad, la raíz de confianza se estableció en 0x0 y no se invalidó la raíz anterior, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos, con una pérdida de aproximadamente 190 millones de dólares.
Este caso típico muestra que los problemas en la configuración inicial pueden tener consecuencias graves. Cuando se descubre que las transacciones válidas se pueden ejecutar repetidamente, muchos participantes vienen a robar los fondos, lo que finalmente se convierte en una "guerra por el dinero".
Evento Beanstalk
El proyecto de stablecoin algorítmico Beanstalk sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares.
Los atacantes aprovecharon las vulnerabilidades del mecanismo del proyecto, obteniendo grandes cantidades de tokens a través de préstamos relámpago para votar a favor de propuestas maliciosas y ejecutarlas de inmediato. Esto expone algunos problemas de la gobernanza puramente descentralizada, como la revisión de propuestas, los mecanismos de votación y los bloqueos temporales, que necesitan un diseño cuidadoso.
Evento Wintermute
El creador de mercado Wintermute utilizó la herramienta de generación de números atractivos Profanity con vulnerabilidades, lo que llevó a que la clave privada del propietario del contrato fuera comprometida y los fondos fueran transferidos.
Esto nos recuerda que al utilizar herramientas de código abierto, debemos evaluar adecuadamente los riesgos de seguridad.
Evento del Puente de Harmony
El puente entre cadenas Harmony Horizon ha perdido más de 100 millones de dólares, supuestamente a manos de un grupo de hackers norcoreanos. El método de ataque podría ser similar al del incidente del Ronin Bridge.
Evento Ankr
Ankr sufrió una mala conducta interna de empleados, lo que llevó a la acuñación y venta masiva de tokens, desencadenando así una reacción en cadena.
Esto expone problemas graves en la gestión de permisos internos del proyecto y en el sistema de seguridad.
Evento Mango
Los atacantes manipulan el precio de la pequeña moneda MNGO, obtienen ganancias en la plataforma de contratos perpetuos y prestan grandes cantidades de dinero.
Esto refleja que algunos proyectos de Finanzas descentralizadas tienen fallas en su modelo de negocio. Los promotores del proyecto necesitan probar a fondo varios escenarios extremos, y los usuarios también deben prestar atención a la seguridad del capital en lugar de solo mirar las ganancias.