Lugemise aeg: 5 protokoll
Miljoni dollari suuruse kahjuni viivate häkkide uurimine.
Ristahelalised sillad ei vaja tutvustamist. Neid on mõnda aega kasutatud ja need on suurepärane viis raha teisaldamiseks ühest ahelast teise. Sillad aitavad parandada meie kogemust Web3-s, kuna QuillAudits aitab paremini protokolle turvata. Kuna sildadel on palju raha, on mõistlik tagada nende ohutus ja turvalisus on selliste protokollide puhul sageli esmatähtis. Siiski oli 2022. aasta täis ahelatevahelisi häkkimisi.
- Jaanuar: Qubit – 80 miljonit dollarit
- Veebruar: ussiauk – 375 miljonit dollarit
- Märts: Ronini sild – 624 miljonit dollarit
- Juuni: Harmony – 97 miljonit dollarit
- august: Nomad Bridge – 190 miljonit dollarit
Mis juhtus?
Räägime eraldi igast ülalmainitud ahelaülesest häkkimisest, et teada saada, mis neil valesti läks, ja harida end paremaid otsuseid tegema.
qubit
27. jaanuaril 2022, Qubit, näide a
” data-gt-translate-attributes=”[{"atribuut":"data-cmtooltip", "format":"html"}]”>ahelatevaheline sild, häkiti. Tehingute jada oli järgmine: pärast 77,162 15,688 qxETH saamist ärakasutamise kaudu kasutas ründaja seda 767 80 WETH laenamiseks ja seejärel XNUMX BTC-B konverteerimiseks, seejärel kasutas neid vahendeid stabiilsete müntide hankimiseks ja mõne protokolli sisestamiseks. Selle tulemusel kaotati koguväärtus XNUMX miljonit dollarit.
Üllataval kombel tulenes see ärakasutamine loogikaveast Qubit Finance's kood. See viga võimaldas ründajatel saata lepingufunktsioonidele pahatahtlikke sisendeid, mille tulemuseks oli žetoonide eemaldamine BSC-st, samas kui Ethereumi sissemakset ei tehtud.
Qubit lepingu kood
Selle ärakasutatud haavatavuse tuumaks oli Qubit Finance'i koodi funktsioon tokenAddress.safeTransferFrom(), ründaja mõistis, et see funktsioon ei taastu, kui tokenAddress on null.
Ussiauk
Ussiauk, üks populaarsemaid sildu, mis hõlbustab ahelatevahelisi tehinguid, mis ühendavad Solana ja Ethereumi plokiahelaid, kaotas umbes 320 miljonit dollarit, olles 2022. aastal Ronini silla järel (sellest lähemalt hiljem) teisel kohal.
2. veebruaril 2022 üritas ründaja mööda minna Solanas asuva Wormhole'i silla kinnitusprotsessist. Ründaja läks kontrollietapist mööda ja süstis edukalt võltsitud sysvari konto ning vermib kurikuulsalt 120,000 3 WETH-d. 320. veebruari säuts teatas nende protokolli 10 miljoni dollari väärtuses ekspluateerimisest. Olukorra parandamiseks deklareeris Wormhole'i emaettevõte varastatu asendamiseks eetri tarnimise pärast seda, kui ta ei saanud vastust XNUMX miljoni dollari suuruse preemia eest ründajale varastatud raha eest.
Oleksite üllatunud, kui teaksite, et see kõik oli võimalik tänu ühele aegunud funktsioonile. JAH!!, selle ärakasutamise juur oli aegunud funktsioon "load_current_index" jaotises "verify_signatures", mis käsitleb kontrollimisprotsessi. Aegunud funktsiooni "load_current_index" probleem seisnes selles, et see ei kontrollinud, kas sisestatud "sysvar konto" ehtsus on tegelikult "süsteemi sysvar", mis tekitas ründajale ruumi ärakasutamiseks.
Allikas: - on siin
Ronini sild
Varjatud häkkimine, mida ei märgatud isegi järgmise 6 päeva jooksul, kuni kasutaja teatas meeskonnale, et ta ei suutnud sillalt umbes 5k ETH-d välja võtta, mis viis varastatud raha avastamiseni.
See häkkimine on väidetavalt Põhja-Korea Lazaruse grupi rünnak ja põhjustas umbes 600 miljoni dollari suuruse kahju. See oli häkkimine, mis põhines validaatori sõlmede privaatvõtmete kahjustamisel, mille ärakasutamise peamiseks põhjuseks olid andmepüügirünnakud.
Ronini võrk kasutab silla tehingu kinnitamiseks üheksa validaatori sõlme komplekti ja sissemakse või väljamakse jaoks on vaja enamuse, st viie sõlme heakskiitu. Novembris 2021 lubas Axie DAO ajutiselt Sky Mavisel enda nimel tehinguid allkirjastada, kuid arvake ära, mida? Toetust ei tühistatud kunagi.
See tähendab, et Sky Mavis võiks siiski allkirju genereerida. Ründaja kasutas seda ära ja ohustas esmalt Sky Mavise süsteeme ning kasutas neid allkirju, et luua allkiri kolmanda osapoole validaatorist, mida juhib Axie DAO. Lühidalt, juurdepääsuga Sky Mavise süsteemidele võib ründaja luua kehtivad allkirjad viiele Ronini võrgu validaatorile ja seejärel raha edukalt kurnata.
Harmoonia
23. juunil 2022 sattus Harmony sild ohtu ja sillale lisati erinevad märgid, sealhulgas ETH, WETH, WBTC, USDT, USDC jne. Rekordilise ligikaudu 97 miljoni dollari suuruse kahjuga Harmony sild langes risti ohvriks. - Ronini sarnane keti häkkimine.
Tehingu tegemiseks oleks kasutajal vaja vähemalt 2 võtit 5-st MultiSigist, mis tähendab, et tehingu kinnitamiseks oli vaja 2 võtit kokku 5 võtmest. Ründajad aga kompromiteerisid raha väljavooluks 2 võtit. See kõik oli võimalik, kuna ründajad pääsesid ligi ja dekrüpteerisid piisavale hulgale võtmetele.
Nomadi sild
See oli 1. august 2022, kui Nomad Bridged seisis silmitsi ärakasutamisega, mille tulemuseks oli 190 miljoni dollari suurune kahju. See oli a
” data-gt-translate-attributes=”[{"atribuut":"data-cmtooltip", "format":"html"}]”>ahelaülene sild Ethereumi, Moonbeami, Avalanche'i, Evmose ja Mikomeda vahel.
Kolmandal positsioonil 190 miljoni dollari suuruse kahjuga sild sattus initsialiseerimisprotsessi haavatavuse tõttu ohtu, võimaldades ründajatel kontrolliprotsessist mööda minna ja sillalepingust raha kulutada.
Ründaja võis otse kutsuda funktsiooni "process()", mis võttis parameetri "_message". Suvalise „_message”-ga ründaja suutis kinnitusest mööda minna. Hiljem pidi leping tagama, et sõnumi räsi on tõestatud, kasutades funktsiooni elfogadhatóRoot(). Seejärel taandub kõik funktsioonile "tõesta()", mille täitmiseks on nõutav väide. Ründaja sai ründe edukalt läbi viia lihtsalt seetõttu, et null kui kehtiv kinnitatud juur võis nõutavast kontrollist mööda minna.
Järeldus
2022. aasta statistika järgi on selge, et sillad on olnud sihtmärgiks, mis on toonud kaasa miljonite väärtuses kahjusid. Ketiüleste protokollide viis ärakasutamist moodustasid umbes 5% kogu Web56-st. Vaatamata sellele, et sildade turvalisus on üks kõige kasulikumaid tööriistu, on see puudulik ja langeb rünnakute ohvriks.
Tõenäoliselt näeme varsti rohkem selliseid rünnakuid sildadele. Sellises olukorras on ülimalt oluline, et sillad kindlustaksid ennast ja oma kasutajaid. Tulevases ajaveebis tuleme tagasi auditi juhistega, mis aitavad teil mõista mõnda olulist kontrolli, mida me protokolli ohutuse tagamiseks vajame.
Samal ajal pidage meeles, et auditile minekule pole alternatiivi. Auditiga saate turvalisuses kindel olla. Vähe sellest, kasutajad kõhklevad protokolli usaldamast. Auditi saamine on kõigi kasuks, nii et kontrollige oma projekti ja aidake seda teha Web3 turvalisem koht. Ja kes oleks parem auditeerida kui QuillAudits? Külastage meie veebisaiti juba täna ja vaadake rohkem selliseid ajaveebe.
23 views
- SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. Juurdepääs siia.
- Allikas: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- :on
- $ 10 miljonit
- 000
- 1
- 2021
- 2022
- 27.
- 77
- a
- Võimalik
- MEIST
- üle
- juurdepääs
- konto
- saavutada
- tegelikult
- ADEelis
- pärast
- Materjal: BPA ja flataatide vaba plastik
- väidetavalt
- Lubades
- alternatiiv
- ja
- teatas
- Teine
- heakskiit
- heaks kiitma
- OLEME
- ümber
- AS
- At
- rünnak
- Reageerib
- üritasin
- audit
- auditeeritud
- AUGUST
- Laviin
- auhind
- Telg
- tagasi
- põhineb
- BE
- sest
- on
- Parem
- vahel
- blockchain
- plokiahelad
- Blogi
- blogid
- laenama
- BRIDGE
- sillatud
- sillad
- ühendamine
- BSC
- by
- helistama
- CAN
- Põhjus
- kett
- kontrollima
- Kontroll
- asjaolusid
- selge
- kood
- ettevõte
- Kompromissitud
- KINNITATUD
- leping
- kontrollitud
- muutma
- tuum
- võiks
- loodud
- Rist
- Cross-Chain
- otsustav
- DAO
- Päeva
- tegelema
- Pakkumised
- otsused
- Avaldage lahti
- sügav
- sügav sukeldumine
- hoius
- Vaatamata
- sihtkoht
- DID
- otse
- Ära
- alla
- iga
- harima
- tagama
- Samaväärne
- viga
- jms
- ETH
- Eeter
- ethereum
- Isegi
- igaüks
- evmos
- näide
- täitma
- kogemus
- Ekspluateeri
- kasutamine
- Exploited
- ärakasutamine
- silmitsi seisnud
- hõlbustades
- võlts
- Langev
- Veebruar
- vähe
- esimene
- viga
- järgneb
- eest
- Alates
- täis
- funktsioon
- funktsioonid
- raha
- tekitama
- saama
- saamine
- läheb
- Grupp
- näksima
- häkkinud
- hacks
- juhtus
- Harmoonia
- hash
- Olema
- aitama
- aitab
- hoidma
- HTTPS
- tähtsus
- in
- võimetus
- Kaasa arvatud
- Üksikult
- Infrastruktuur
- Sissejuhatus
- probleem
- IT
- ITS
- Jaanuar
- võtmed
- Teadma
- korea
- Lazarus
- Laatsaruse rühm
- viima
- Õppida
- Led
- Tõenäoliselt
- sidumine
- loogiline
- kaotus
- kaod
- Partii
- tehtud
- põhiline
- Enamus
- tegema
- max laiuse
- vahendid
- mainitud
- sõnum
- miljon
- miljonid
- vermitud
- vermimine
- raha
- Kuukiir
- rohkem
- kõige
- liikuma
- multisign
- Vajadus
- vajadustele
- võrk
- järgmine
- sõlmed
- NOMAD
- põhja-
- November
- november 2021
- number
- of
- on
- ONE
- parameeter
- emafirma
- osa
- Phishing
- andmepüügirünnakud
- Koht
- Platon
- Platoni andmete intelligentsus
- PlatoData
- populaarne
- positsioon
- võimalik
- prioriteet
- era-
- Privaatvõtmed
- protsess
- projekt
- protokoll
- protokollid
- tõestatud
- annab
- panema
- qubit
- Quillhash
- mõistlik
- rekord
- meeles pidama
- asendama
- nõutav
- vastus
- tulemuseks
- tagasipöördumine
- naasma
- RONIN
- Ronini võrk
- ruum
- juur
- ohutum
- ohutus
- Teine
- kindlustama
- turvalisus
- Seeria
- komplekt
- Lühike
- kirjutama
- Allkirjad
- sarnane
- olukord
- Sky
- taevas mavis
- nutikas
- arukas leping
- So
- Solana
- mõned
- allikas
- Oda õngitsemine
- Stabiilkiinid
- väljavõte
- stats
- Samm
- Veel
- varastatud
- varastatud raha
- Edukalt
- selline
- piisav
- varustama
- üllatunud
- süsteemid
- rääkima
- sihtmärk
- meeskond
- et
- .
- Allikas
- oma
- Neile
- ennast
- Need
- Kolmas
- kolmanda osapoole
- Läbi
- aeg
- et
- täna
- märgid
- töövahendid
- ülemine
- Summa
- tehing
- Tehingud
- üle
- Usalda
- piiksuma
- all
- mõistma
- avamine
- tulemas
- USDC
- USDT
- Kasutaja
- Kasutajad
- KINNITAGE
- Validator
- valideerimissõlmed
- valideerijad
- väärtus
- eri
- Kontrollimine
- kontrollima
- Ohver
- visiit
- haavatavus
- Tee..
- wBTC
- Web3
- veebisait
- WETH
- M
- mis
- kuigi
- WHO
- kogu
- will
- koos
- tagasi võtma
- tagasivõtmine
- ussiaugu
- väärt
- oleks
- Vale
- sa
- Sinu
- sephyrnet
- null