2022 год обзор событий безопасности Децентрализованные финансы
Автор: веб3 эксперт по безопасности
Недавно опытный эксперт по безопасности провел для членов сообщества урок по безопасности в Децентрализованных финансах. Эксперт обсудил крупные инциденты безопасности, произошедшие в Web3-индустрии в 2022 году, исследовал причины этих событий и меры предосторожности, обобщил распространенные уязвимости смарт-контрактов и предоставил рекомендации по безопасности для проектов и пользователей.
Согласно статистике, в 2022 году произошло более 300 инцидентов с безопасностью блокчейна, общая сумма которых составила 4,3 миллиарда долларов.
В этой статье будет подробно рассмотрено 8 типичных случаев, большинство из которых понесли убытки более 100 миллионов долларов, среди которых Ankr, хотя и понесла относительно небольшие убытки, но также является весьма представительной.
Событие с мостом Ронин
В марте 2022 года боковая цепь Axie Infinity, Ronin Network, была взломана, в результате чего было потеряно 173,6 тысячи ETH и 25,5 миллиона долларов.
Атакующие с помощью социальных инженерных приемов завоевали доверие сотрудников, установили вредоносное ПО и в конечном итоге контролировали 4 из 5 узлов проверки, осуществив атаку. Это выявило проблемы с осведомленностью и управлением внутренней безопасностью компании.
Событие Wormhole
Уязвимость в коде проверки контракта на стороне Solana моста Wormhole позволила злоумышленникам подделать сообщение "опекун" и создать 120000 ETH.
Это в основном связано с использованием некоторых устаревших функций. Рекомендуется разработчикам использовать последнюю версию, чтобы избежать подобных проблем.
Событие Nomad Bridge
При инициализации контракта Replica кросс-цепочного моста Nomad доверенный корень был установлен в 0x0, и старый корень не был аннулирован, что позволило злоумышленникам конструировать произвольные сообщения для кражи средств, что привело к убыткам около 190 миллионов долларов.
Этот типичный случай показывает, что проблемы с настройками инициализации могут привести к серьезным последствиям. Когда становится известно, что эффективные сделки можно повторно выполнять, многие участники начинают бороться за средства, и это в конечном итоге превращается в "битву за деньги".
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке через флеш-кредиты, потеряв около 182 миллионов долларов.
Злоумышленники используют уязвимость механизма проекта, чтобы получить большое количество токенов через флеш-кредиты для голосования за злонамеренные предложения и их немедленного выполнения. Это выявляет некоторые проблемы чисто децентрализованного управления, такие как проверка предложений, механизмы голосования, временные блокировки и т.д., которые требуют тщательного проектирования.
Событие Wintermute
Маркет-мейкер Wintermute использовал уязвимый генератор красивых номеров Profanity, что привело к компрометации приватного ключа владельца контракта и выводу средств.
Это напоминает нам о необходимости тщательно оценивать риски безопасности при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Кросс-цепочный мост Harmony Horizon понес убытки более 100 миллионов долларов, предположительно из-за северокорейской хакерской группы. Метод атаки может быть похож на инцидент с мостом Ronin.
Событие Ankr
Ankr столкнулся с внутренними злоупотреблениями со стороны сотрудников, что привело к массовому выпуску и продаже токенов, что, в свою очередь, вызвало цепную реакцию.
Это выявляет серьезные проблемы в управлении внутренними правами и системе безопасности проекта.
Событие Mango
Злоумышленники манипулируют ценой мелкой криптовалюты MNGO, получая прибыль на платформе бессрочных контрактов и занимая большие суммы денег.
Это отражает наличие уязвимостей в бизнес-моделях некоторых Децентрализованные финансы проектов. Разработчики должны тщательно тестировать различные экстремальные сценарии, а пользователи также должны обращать внимание на безопасность капитала, а не только на доход.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
10 Лайков
Награда
10
4
Поделиться
комментарий
0/400
WhaleWatcher
· 08-03 03:49
Рект教育最深刻
Посмотреть ОригиналОтветить0
MEV_Whisperer
· 08-03 03:47
Заработок на токенах и вывод средств не мешают друг другу
Обзор крупных потерь в DeFi в 2022 году: анализ 8 крупных инцидентов безопасности и рекомендации по предотвращению.
2022 год обзор событий безопасности Децентрализованные финансы
Автор: веб3 эксперт по безопасности
Недавно опытный эксперт по безопасности провел для членов сообщества урок по безопасности в Децентрализованных финансах. Эксперт обсудил крупные инциденты безопасности, произошедшие в Web3-индустрии в 2022 году, исследовал причины этих событий и меры предосторожности, обобщил распространенные уязвимости смарт-контрактов и предоставил рекомендации по безопасности для проектов и пользователей.
Согласно статистике, в 2022 году произошло более 300 инцидентов с безопасностью блокчейна, общая сумма которых составила 4,3 миллиарда долларов.
В этой статье будет подробно рассмотрено 8 типичных случаев, большинство из которых понесли убытки более 100 миллионов долларов, среди которых Ankr, хотя и понесла относительно небольшие убытки, но также является весьма представительной.
Событие с мостом Ронин
В марте 2022 года боковая цепь Axie Infinity, Ronin Network, была взломана, в результате чего было потеряно 173,6 тысячи ETH и 25,5 миллиона долларов.
Атакующие с помощью социальных инженерных приемов завоевали доверие сотрудников, установили вредоносное ПО и в конечном итоге контролировали 4 из 5 узлов проверки, осуществив атаку. Это выявило проблемы с осведомленностью и управлением внутренней безопасностью компании.
Событие Wormhole
Уязвимость в коде проверки контракта на стороне Solana моста Wormhole позволила злоумышленникам подделать сообщение "опекун" и создать 120000 ETH.
Это в основном связано с использованием некоторых устаревших функций. Рекомендуется разработчикам использовать последнюю версию, чтобы избежать подобных проблем.
Событие Nomad Bridge
При инициализации контракта Replica кросс-цепочного моста Nomad доверенный корень был установлен в 0x0, и старый корень не был аннулирован, что позволило злоумышленникам конструировать произвольные сообщения для кражи средств, что привело к убыткам около 190 миллионов долларов.
Этот типичный случай показывает, что проблемы с настройками инициализации могут привести к серьезным последствиям. Когда становится известно, что эффективные сделки можно повторно выполнять, многие участники начинают бороться за средства, и это в конечном итоге превращается в "битву за деньги".
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке через флеш-кредиты, потеряв около 182 миллионов долларов.
Злоумышленники используют уязвимость механизма проекта, чтобы получить большое количество токенов через флеш-кредиты для голосования за злонамеренные предложения и их немедленного выполнения. Это выявляет некоторые проблемы чисто децентрализованного управления, такие как проверка предложений, механизмы голосования, временные блокировки и т.д., которые требуют тщательного проектирования.
Событие Wintermute
Маркет-мейкер Wintermute использовал уязвимый генератор красивых номеров Profanity, что привело к компрометации приватного ключа владельца контракта и выводу средств.
Это напоминает нам о необходимости тщательно оценивать риски безопасности при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Кросс-цепочный мост Harmony Horizon понес убытки более 100 миллионов долларов, предположительно из-за северокорейской хакерской группы. Метод атаки может быть похож на инцидент с мостом Ronin.
Событие Ankr
Ankr столкнулся с внутренними злоупотреблениями со стороны сотрудников, что привело к массовому выпуску и продаже токенов, что, в свою очередь, вызвало цепную реакцию.
Это выявляет серьезные проблемы в управлении внутренними правами и системе безопасности проекта.
Событие Mango
Злоумышленники манипулируют ценой мелкой криптовалюты MNGO, получая прибыль на платформе бессрочных контрактов и занимая большие суммы денег.
Это отражает наличие уязвимостей в бизнес-моделях некоторых Децентрализованные финансы проектов. Разработчики должны тщательно тестировать различные экстремальные сценарии, а пользователи также должны обращать внимание на безопасность капитала, а не только на доход.