Lesezeit: 6 Minuten
Die gehackten Krypto-Assets im Jahr 2022 werden wahrscheinlich die 2021 Milliarden Dollar an gestohlenen Geldern im Jahr 3.2 überschreiten, so die Krypto-Sicherheitsfirma Chainalysis.
Bildquelle: Kettenanalyse.
Sicherheitsverletzungen und Code-Exploits stehen im Mittelpunkt des Interesses von Angreifern, die versuchen, Kryptowährung zu stehlen. Ganz zu schweigen davon, dass DeFi-Protokolle unwiderstehliche Angriffsziele darstellen.
Besonders im Jahr 2022 bereiten Cross-Chain-Bridges die Bühne für den neuesten Hack-Trend, der in diesem Jahr für 64 % der Fondsdiebstähle verantwortlich ist.
Lassen Sie uns untersuchen, was hinter den größten Krypto-Hacks des Jahres 2022 schief gelaufen ist, und einen Vorgeschmack darauf bekommen, wie man sich der Web3-Sicherheit nähert.
Entfaltung der größten Hacks des Jahres 2022
Axie Infinity Ronin-Brücke
Gestohlene Gelder: 62,40,00,000 $
Datum: 23. März 22
Das Ronin-Netzwerk arbeitete am Proof-of-Authority-Modell mit neun Validator-Knoten. Von neun Knoten müssen fünf die Weitergabe der Transaktionen in der Brücke genehmigen. Vier Validierungsknoten sind die internen Teammitglieder von Sky Mavis, und es ist nur eine weitere Unterschrift erforderlich, um eine Transaktion zu validieren.
Beim Ronin-Exploit gelang es dem Hacker, sich Zugriff auf den fünften Validator-Knoten zu verschaffen, indem er den RPC-Knoten nutzte. Ein Jahr zuvor wurde ein gasfreier RPC-Knoten eingerichtet, um die Kosten für Benutzer bei starkem Netzwerkverkehr zu reduzieren.
Somit hat der Hacker Abhebungen in zwei Transaktionen vorgenommen, indem er die Knoten umfasste. 173,600 ETH wurden bei der ersten Transaktion und 25.5 Mio. USDC bei der zweiten aus dem Ronin-Brückenvertrag abgezogen. Der größte Gelddiebstahl in der Kryptogeschichte wurde nur sechs Tage nach dem Hack identifiziert.
BNB-Brücke
Gestohlene Gelder: 58,60,00,000 $
Datum: 6. Okt. 22
Die BNB Bridge verbindet die alte Binance Beacon Chain und die Binance Smart Chain. Der Hacker nutzte eine Schwachstelle aus und konnte zwei Chargen von jeweils 1 Million BNB prägen – insgesamt 2 Millionen BNB im Wert von etwa 586 Millionen Dollar zum Zeitpunkt des Hacks.
Hier ist der Angriffsplan.
Der Angreifer zeigte falsche Beweise für Einlagen in der Kette Binance Beacon. Die Binance-Brücke verwendete eine anfällige IAVL-Verifizierung, um Beweise zu verifizieren, die der Hacker fälschen konnte, und mit der Auszahlung fortzufahren.
Der Hacker leitete die Gelder dann in seine Brieftasche, indem er sie auf dem Venus-Protokoll, einer BSC-Kreditplattform, als Sicherheit hinterlegte, anstatt BNB direkt abzuladen.
Wurmloch
Gestohlene Gelder: 32,60,00,000 $
Datum: 2. Februar 22
Wormhole, die Brücke zwischen Ethereum und Solana, erlitt aufgrund eines Code-Exploits einen Verlust von 120,000 verpackten Ether, was sich damals auf insgesamt 321 Millionen US-Dollar belief.
Der Hack fand in Solana statt, indem die Brücke mit Informationen manipuliert wurde, aus denen hervorgeht, dass 120 ETH an die Ethereum-Kette übermittelt werden. Infolgedessen könnte der Hacker ein Äquivalent von 120 in wETH von Solana prägen.
Der Angreifer nutzte das „SignatureSet“ der vorherigen Transaktion, um den Verifizierungsmechanismus der Wormhole Bridge zu behindern, und nutzte die „Verify-Signatures“-Funktion im Hauptvertrag der Bridge. Die Abweichungen in der 'solana_program::sysvar::instructions' und „solana_program“ wurde vom Benutzer ausgenutzt, um eine Adresse zu verifizieren, die nur 0.1 ETH enthielt.
Im Anschluss daran und durch anschließenden Code-Exploit prägte der Hacker in betrügerischer Absicht 120 WhETH auf Solana.
Nomadenbrücke
Gestohlene Gelder: 19,00,00,000 $
Datum: 1. August 22
Nomad Bridge erlebte einen tödlichen Schlag, indem sie zu einem attraktiven Ziel für jeden wurde, der sich der Hackergruppe anschloss.
Während des routinemäßigen Upgrades der Bridge wurde der Replica-Vertrag mit einem Codierungsfehler initialisiert, der die Assets stark beeinträchtigte. Im Vertrag wurde die Adresse 0x00 als vertrauenswürdiger Stamm festgelegt, was bedeutete, dass alle Nachrichten standardmäßig gültig waren.
Die Exploit-Transaktion des Hackers schlug beim ersten Versuch fehl. Die Tx-Adresse wurde jedoch von nachfolgenden Hackern kopiert, die die Funktion process() direkt aufriefen, da die Gültigkeit als „bewiesen“ gekennzeichnet ist.
Das Upgrade hat den „messages“-Wert von 0 (ungültig) als 0x00 gelesen und die Validierung daher als „proven“ bestanden. Dies bedeutete, dass jede process()-Funktion als gültig übergeben wurde.
Die Hacker waren also in der Lage, Gelder zu waschen, indem sie dieselbe process()-Funktion kopieren/einfügen und die vorherige Exploiter-Adresse durch ihre ersetzten.
Dieses Chaos führte zu einem Abfluss von 190 Millionen Dollar an Liquidität aus dem Protokoll der Brücke.
Beanstalk
Gestohlene Gelder: 18,10,00,000 $
Datum: 17. April 22
Es war im Grunde ein Governance-Angriff, der den Hacker dazu veranlasste, 181 Millionen Dollar zu erbeuten.
Der Hacker konnte einen Flash-Kredit aufnehmen, der ausreichte, um abzustimmen und einen böswilligen Vorschlag voranzutreiben.
Der Angriffsfluss ist wie folgt.
Die Angreifer erwarben das Stimmrecht, indem sie einen Flash-Darlehen nahmen, und handelten sofort, um einen böswilligen Regierungsvorschlag für den Notfall auszuführen. Das Fehlen der Verzögerung bei der Ausführung des Vorschlags sprach für den Angriff.
Der Hacker machte zwei Vorschläge. Der erste ist, die Gelder aus dem Vertrag an sich selbst zu überweisen, und der nächste Vorschlag ist, $ BEAN im Wert von 250 $ an die Spendenadresse in der Ukraine zu überweisen.
Die gestohlenen Gelder wurden dann zur Rückzahlung des Darlehens verwendet und der Rest an sie weitergeleitet Tornado Bargeld.
Winterstumm
Gestohlene Gelder: 16,23,00,000 $
Datum: 20. September 22
Der Hot-Wallet-Kompromiss führte zu einem Verlust von 160 Millionen Dollar für Wintermute.
Das zum Erstellen von Vanity-Adressen verwendete Obszönitäts-Tool wies eine Schwachstelle auf. Wintermutes Hot Wallet und der DeFi-Tresorvertrag hatten beide Vanity-Adressen. Die Schwäche des Profanity-Tools führte zur Kompromittierung der privaten Schlüssel der Hot Wallet, gefolgt von Gelddiebstahl.
Mango-Märkte
Gestohlene Gelder: 11,50,00,000 $
Datum: 11. Okt. 22
Die Mango-Märkte fielen wegen eines Preismanipulationsangriffs und verloren unterwegs einen neunstelligen Betrag.
Wie ist es passiert?
Der Angreifer hat über 5 Millionen US-Dollar in Mango Markets eingezahlt und von einem anderen Konto gegen seine Position gehandelt. Dies führte zu einem massiven Anstieg des Preises von MNGO-Token von 0.03 $ auf 0.91 $.
Der Angreifer nutzte dann seine Position als Sicherheit und entzog Gelder aus den Liquiditätspools. Kurz gesagt, das Manipulieren und Pumpen des Token-Preises führte zum Zusammenbruch des Protokolls.
Harmonie-Brücke
Gestohlene Gelder: 10,00,00,000 $
Datum: 23. Juni 22
Harmony Bridge fiel auf die Ergreifung einer Kompromittierung eines privaten Schlüssels herein, gefolgt von einem Verlust von 100 Millionen Dollar. Folgen wir dem Angriffsfluss.
Harmony Bridge verwendete 2 von 5 Multisig-Adressen, um Transaktionen weiterzuleiten. Dem Angreifer gelang es, die Kontrolle über diese Adressen zu erlangen, indem er private Schlüssel kompromittiert hat. Nachdem der Hacker die Kontrolle über zwei Adressen erlangt hatte, konnte er eine Transaktion ausführen, die 100 Millionen Dollar verschlang.
Fei Rari
Gestohlene Gelder: 8,00,00,000 $
Datum: 1. Mai 22
Rari verwendet einen zusammengesetzten Fork-Code, der nicht dem Check-Effect-Interaction-Muster folgt. Wenn das Muster nicht überprüft wird, führt dies zu Reentrancy-Angriffen.
In diesem Reentrancy-Muster hat der Angreifer mit dem Code herumgespielt 'call.value' und 'exitMarket' Funktionen. Der Angreifer nahm einen Blitzkredit auf, um ETH zu leihen, trat erneut durch 'call.value' und angerufen 'exitMarket' die als Sicherheit gestellten Gelder zurückzuziehen.
So bekam der Hacker die Mittel durch einen Blitzkredit entnommen und behielt die für die Kreditaufnahme hinterlegten Sicherheiten.
Qubit-Finanzen
Gestohlene Gelder: 8,00,00,000 $
Datum: 28. Januar 22
Qubit ermöglicht das Sperren von Geldern in Ethereum und das Ausleihen des Äquivalents bei BSC. Der Vertrag ist 'tokenAddress.safeTransferFrom()' Funktion wurde im Qubit-Hack ausgenutzt.
Es erlaubte dem Hacker, 77,162 qXETH von der BSC zu leihen, ohne ETH-Einlagen auf Ethereum zu tätigen. Und dann, indem er es als Sicherheit verwendete, um WETH, BTC-B, USD-Stablecoins usw. zu leihen, machte der Hacker einen Gewinn von ~80 Millionen Dollar.
Wie spielt man smart mit Web3 Security?
Der TVL in DeFi erreichte 303 sein Allzeithoch von 2021 Millionen US-Dollar. Aber die ständig zunehmenden Exploits im DeFi-Bereich verursachen einen Rückgang des TVL-Werts im Jahr 2022. Dies sendet einen warnenden Alarm aus, um die Sicherheit von Web3 ernst zu nehmen.
Der größte Diebstahl von DeFi-Protokollen war auf fehlerhaften Code zurückzuführen. Glücklicherweise kann ein strengerer Ansatz zum Testen des Codes vor der Bereitstellung diese Art von Angriffen weitgehend eindämmen.
Da viele neue Projekte im Web3-Bereich erstellt werden, QuillAudits beabsichtigen, maximale Sicherheit für das Projekt zu gewährleisten und im besten Interesse daran zu arbeiten, web3 als Ganzes zu sichern und zu stärken. Auf diese Weise haben wir über 700 Web3-Projekte erfolgreich gesichert und erweitern den Umfang der Abschirmung des Web3-Bereichs durch eine breite Palette von Serviceangeboten weiter.
11 Views
- Bitcoin
- Blockchain
- Blockchain-Konformität
- Blockchain Konferenz
- coinbase
- Einfallsreichtum
- Konsens
- Krypto-Konferenz
- Kryptoabbau
- kryptowährung
- dezentralisiert
- DeFi
- Digitale Assets
- Astraleum
- Maschinelles Lernen
- nicht fungibler Token
- Plato
- platon ai
- Datenintelligenz von Plato
- Platoblockkette
- PlatoData
- Platogaming
- Vieleck
- Nachweis der Beteiligung
- Quillhash
- Trending
- W3
- Web3-Hacks
- Zephyrnet
