Tiempo de lectura: 6 minutos
Es probable que los criptoactivos pirateados en 2022 superen los 2021 millones de dólares en fondos robados de 3.2, afirma la empresa de criptoseguridad Chainalysis.
Fuente de la imagen: Chainalysis.
Las brechas de seguridad y las vulnerabilidades de código son el centro de interés para los atacantes que intentan robar criptomonedas. Sin mencionar que los protocolos DeFi se están convirtiendo en objetivos irresistibles para el asalto.
Especialmente en 2022, los puentes entre cadenas están preparando el escenario para la tendencia de hackeo más reciente, que representa el 64 % de los robos de fondos este año.
Examinemos qué salió mal detrás de los hacks criptográficos más grandes de 2022 y tengamos una idea de cómo abordar la seguridad web3.
Revelando los trucos más grandes de 2022
Puente Axie Infinity Ronin
Fondos Robados: $62,40,00,000
Fecha: 23 de marzo de 22
La red Ronin trabajó en el modelo de prueba de autoridad con nueve nodos de validación. De nueve, cinco nodos deben aprobarse para pasar las transacciones en el puente. Cuatro nodos de validación son los miembros internos del equipo de Sky Mavis y solo se requiere una firma más para validar una transacción.
En el exploit de Ronin, el hacker logró acceder al quinto nodo de validación aprovechando el nodo RPC. El nodo RPC sin gas se estableció un año antes para reducir el costo para los usuarios durante el tráfico pesado de la red.
Por lo tanto, el pirata informático realizó retiros en dos transacciones al comprender los nodos. 173,600 ETH drenados en la primera transacción y 25.5 millones de USDC en la segunda del contrato del puente Ronin. El mayor robo de fondos en la historia de las criptomonedas se identificó solo seis días después de que ocurriera el hackeo.
Puente BNB
Fondos Robados: $58,60,00,000
Fecha: 6 de octubre de 22
El puente BNB conecta la antigua cadena Binance Beacon y la cadena Binance Smart. El pirata informático aprovechó una vulnerabilidad y pudo acuñar dos lotes de 1 millón de BNB cada uno, un total de 2 millones de BNB con un valor de alrededor de $ 586 millones en el momento del ataque.
Aquí está el plan de ataque.
El atacante mostró pruebas falsas de depósitos en la cadena Binance Beacon. El puente Binance usó una verificación IAVL vulnerable para verificar las pruebas que el pirata informático logró falsificar y proceder con el retiro.
Luego, el pirata informático enrutó los fondos a su billetera depositándolos en el protocolo Venus, una plataforma de préstamos de BSC, como garantía en lugar de deshacerse de BNB directamente.
Wormhole
Fondos Robados: $32,60,00,000
Fecha: 2 de febrero de 22
Wormhole, el puente entre Ethereum y Solana, sufrió una pérdida de 120,000 321 Ether envueltos que sumaron un total de $XNUMX millones en ese momento debido a una vulnerabilidad de código.
El hackeo tuvo lugar en Solana mediante la manipulación del puente con información que muestra que se envían 120k ETH en la cadena Ethereum. Como resultado, el hacker podría acuñar un equivalente a 120k en wETH de Solana.
El atacante usó el 'SignatureSet' de la transacción anterior para obstaculizar el mecanismo de verificación del puente Wormhole y aprovechó la función 'Verificar firmas' en el contrato del puente principal. Las discrepancias en la 'solana_program::sysvar::instrucciones' y 'solana_program' fue explotado por el usuario para verificar una dirección que contenía solo 0.1 ETH.
Después de esto y a través de la subsiguiente explotación del código, el hacker acuñó de manera fraudulenta 120k whETH en Solana.
Puente nómada
Fondos Robados: $19,00,00,000
Fecha: 1 de agosto de 22
Nomad Bridge experimentó un golpe fatal al convertirse en un objetivo jugoso para cualquiera que se uniera al escuadrón de piratas informáticos.
Durante la actualización de rutina del puente, el contrato de réplica se inicializó con una falla de codificación que afectó gravemente a los activos. En el contrato, la dirección 0x00 se estableció como raíz de confianza, lo que significaba que todos los mensajes eran válidos de forma predeterminada.
La transacción de explotación por parte del hacker falló en el primer intento. Sin embargo, la dirección Tx fue copiada por piratas informáticos posteriores que llamaron a la función process() directamente, ya que la validez está marcada como 'probada'.
La actualización leyó el valor de "mensajes" de 0 (no válido) como 0x00 y, por lo tanto, pasó la validación como "probado". Esto significaba que cualquier función de proceso () se pasaba para ser válida.
Entonces, los piratas informáticos pudieron lavar fondos haciendo la función copiar/pegar de la misma función de proceso () y reemplazar la dirección del explotador anterior con la suya.
Este caos provocó una fuga de $190 millones en liquidez del protocolo del puente.
Beanstalk
Fondos Robados: $18,10,00,000
Fecha: 17 de abril de 22
Básicamente fue un ataque de gobierno que llevó al pirata informático a obtener $ 181 millones.
El pirata informático pudo tomar un préstamo rápido lo suficiente como para votar e impulsar una propuesta maliciosa.
El flujo de ataque es el siguiente.
Los atacantes adquirieron el poder de voto al tomar un préstamo rápido e inmediatamente actuaron para ejecutar una propuesta de gobierno malicioso de emergencia. La ausencia del retraso en la ejecución de la propuesta se inclinó a favor del ataque.
El hacker hizo dos propuestas. La primera es transferir los fondos del contrato a ellos mismos, y la siguiente propuesta es transferir $250k en $BEAN a la dirección de donación de Ucrania.
Luego, los fondos robados se usaron para pagar el préstamo y el resto se dirigió a Tornado efectivo.
Invierno mudo
Fondos Robados: $16,23,00,000
Fecha: 20 de septiembre de 22
El compromiso de la billetera caliente resultó en una pérdida de $ 160 millones para Wintermute.
La herramienta de blasfemias utilizada para crear direcciones personalizadas tenía una vulnerabilidad. La billetera caliente de Wintermute y el contrato de bóveda de DeFi tenían direcciones de vanidad. La debilidad de la herramienta Blasfemia condujo al compromiso de las claves privadas de la billetera caliente, seguido del robo de fondos.
Mercados del mango
Fondos Robados: $11,50,00,000
Fecha: 11 de octubre de 22
Los mercados de mango cayeron por un ataque de manipulación de precios perdiendo nueve cifras sobre la marcha.
¿Como paso?
El atacante depositó más de 5 millones de dólares en Mango Markets y contraatacó desde otra cuenta contra su posición. Esto resultó en un aumento masivo en el precio de los tokens MNGO de $0.03 a $0.91.
Luego, el atacante usó su posición como garantía y drenó fondos de los fondos de liquidez. En resumen, manipular y bombear el precio del token condujo al colapso del protocolo.
Puente de la armonía
Fondos Robados: $10,00,00,000
Fecha: 23 de junio de 22
El puente Harmony cayó en manos de un compromiso de clave privada, seguido de una pérdida de 100 millones de dólares. Sigamos el flujo del ataque.
El puente Harmony usó 2 de 5 direcciones multisig para pasar transacciones. El atacante logró hacerse con el control de estas direcciones comprometiendo las claves privadas. Después de obtener el control de dos direcciones, el pirata informático pudo ejecutar una transacción que drenó $ 100 millones.
fei rari
Fondos Robados: $8,00,00,000
Fecha: 1 de mayo de 22
Rari usa un código de bifurcación compuesto que no sigue el patrón de interacción de efecto de verificación. No verificar el patrón conduce a ataques de reingreso.
En este patrón de reingreso, el atacante jugó con el código usando 'llamada.valor' y 'salir del mercado' funciones El atacante tomó un préstamo flash para tomar prestado ETH, ingresó nuevamente a través de 'llamada.valor' y llamado 'salir del mercado' retirar los fondos colocados como garantía.
Por lo tanto, el pirata informático obtuvo los fondos tomados a través de un préstamo rápido y retuvo la garantía colocada para el préstamo.
Finanzas Qubit
Fondos Robados: $8,00,00,000
Fecha: 28 de enero de 22
Qubit permite bloquear fondos en Ethereum y pedir prestado el equivalente en BSC. El contrato es 'tokenAddress.safeTransferFrom()' La función fue explotada en el hackeo de Qubit.
Permitió que el pirata informático tomara prestados 77,162 qXETH del BSC sin realizar ningún depósito de ETH en Ethereum. Y luego, usándolo como garantía para pedir prestadas monedas estables de WETH, BTC-B, USD, etc., el pirata informático obtuvo ~ $ 80 millones en ganancias.
¿Cómo jugar de forma inteligente con Web3 Security?
El TVL en DeFi alcanzó su máximo histórico de 303 millones de dólares en 2021. Pero las explotaciones cada vez mayores en el espacio DeFi están causando una disminución en el valor de TVL en 2022. Esto envía una alarma de advertencia para tomar en serio la seguridad de Web3.
El mayor robo de protocolos DeFi se debió a un código defectuoso. Afortunadamente, un enfoque más riguroso para probar el código antes de implementarlo puede frenar en gran medida este tipo de ataques.
Con muchos proyectos nuevos que se construyen en el espacio web3, QuillAuditorias tiene la intención de garantizar la máxima seguridad para el proyecto y el trabajo en el mejor interés de asegurar y fortalecer web3 en su conjunto. De esa manera, hemos asegurado con éxito más de 700 proyectos Web3 y continuamos ampliando el alcance de la protección del espacio Web3 a través de una amplia gama de ofertas de servicios.
11 Vistas
- Bitcoin
- blockchain
- cumplimiento de blockchain
- conferencia de la cadena de bloque
- coinbase
- Coingenius
- Consenso
- conferencia criptográfica
- minería criptográfica
- criptomoneda
- Descentralizado
- DeFi
- Acciones digitales
- Etereum
- máquina de aprendizaje
- token no fungible
- Platón
- platón ai
- Inteligencia de datos de Platón
- platoblockchain
- PlatónDatos
- juego de platos
- Polígono
- prueba de participación
- hachís
- tendencias
- W3
- trucos web3
- zephyrnet
