Lukeaika: 6 pöytäkirja
Hakkeroitu kryptovarallisuus vuonna 2022 todennäköisesti ylittää vuoden 2021 3.2 miljardin dollarin varastetut varat, toteaa kryptoturvayritys Chainalysis.
Kuvan lähde: Chainalysis.
Tietoturvarikkomukset ja koodin hyväksikäytöt ovat kryptovaluuttoja varastaa yrittävien hyökkääjien kiinnostuksen kohteena. Puhumattakaan siitä, että DeFi-protokollat muodostavat vastustamattomia hyökkäyskohteita.
Etenkin vuonna 2022 ketjujen väliset sillat ovat perustamassa uusinta hakkerointitrendiä, joiden osuus rahastovarkauksista tänä vuonna on 64 prosenttia.
Tutkitaan, mikä meni pieleen vuoden 2022 suurimpien kryptohakkerointien takana, ja maistetaan, miten web3-turvallisuutta lähestytään.
Vuoden 2022 suurimmat hakkerit
Axie Infinity Ronin Bridge
Varastetut varat: 62,40,00,000 dollaria
Päivämäärä: 23. maaliskuuta 22
Ronin-verkko työskenteli Proof-of-Authority-mallilla yhdeksällä validaattorisolmulla. Yhdeksästä solmusta viiden tulee hyväksyä tapahtumien läpivienti sillalla. Neljä validointisolmua ovat Sky Mavisin sisäisen tiimin jäseniä, ja tapahtuman vahvistamiseen tarvitaan vain yksi allekirjoitus lisää.
Roninin hyväksikäytössä hakkeri onnistui pääsemään viidenteen validointisolmuun hyödyntämällä RPC-solmua. Kaasuton RPC-solmu perustettiin vuosi aiemmin vähentämään käyttäjien kustannuksia raskaan verkkoliikenteen aikana.
Siten hakkeri teki nostoja kahdessa tapahtumassa sisältäen solmut. Ensimmäisessä kaupassa 173,600 25.5 ETH ja toisessa XNUMX miljoonaa USDC Roninin siltasopimuksesta. Kryptohistorian suurin rahastovarkaus tunnistettiin vasta kuusi päivää myöhemmin hakkerointi tapahtui.
BNB silta
Varastetut varat: 58,60,00,000 dollaria
Päivämäärä: 6
BNB-silta yhdistää vanhan Binance Beacon -ketjun ja Binance Smart -ketjun. Hakkeri käytti hyväkseen haavoittuvuutta ja pystyi lyömään kaksi 1 miljoonan BNB:n erää – yhteensä 2 miljoonan BNB:n arvoltaan noin 586 miljoonaa dollaria hakkerointihetkellä.
Tässä on hyökkäyssuunnitelma.
Hyökkääjä näytti vääriä todisteita talletuksista Binance Beacon -ketjussa. Binance-silta käytti haavoittuvaa IAVL-varmennusta varmistaakseen todisteet siitä, että hakkeri onnistui väärentämään ja jatkamaan vetäytymistä.
Hakkeri ohjasi varat sitten lompakkoonsa tallettamalla ne Venus-protokollalle, BSC:n lainausalustalle, vakuudeksi sen sijaan, että he olisivat luovuttaneet BNB:tä suoraan.
madonreikä
Varastetut varat: 32,60,00,000 dollaria
Päivämäärä: 2
Wormhole, Ethereumin ja Solanan välinen silta, kärsi 120,000 321 käärityn eetterin tappiota, joka oli tuolloin XNUMX miljoonaa dollaria koodin hyväksikäytön vuoksi.
Hakkerointi tapahtui Solanassa manipuloimalla siltaa tiedoilla, jotka osoittavat, että Ethereum-ketjussa on lähetetty 120k ETH. Tämän seurauksena hakkeri saattoi lyödä Solanalta 120 XNUMX WETH:tä.
Hyökkääjä käytti edellisen tapahtuman "SignatureSet" estääkseen Wormhole-sillan varmennusmekanismin ja hyödynsi "Verify-signatures" -toimintoa pääsiltasopimuksessa. Erot 'solana_program::sysvar::ohjeet' ja "solana_program" käytti käyttäjä vahvistaakseen osoitteen, joka sisälsi vain 0.1 ETH.
Tämän ja myöhemmän koodin hyväksikäytön jälkeen hakkeri lyöi vilpillisesti 120 XNUMX whETH:ta Solanalla.
Nomadin silta
Varastetut varat: 19,00,00,000 dollaria
Päivämäärä: 1
Nomad Bridge koki kohtalokkaan iskun, kun siitä tuli mehukas kohde kenelle tahansa liittyä hakkereiden joukkoon.
Sillan rutiininomaisen päivityksen aikana Replica-sopimus alustettiin koodausvirheellä, joka vaikutti vakavasti omaisuuteen. Sopimuksessa osoite 0x00 oli asetettu luotetuksi juuriksi, mikä tarkoitti, että kaikki viestit olivat oletuksena kelvollisia.
Hakkerin hyväksikäyttötapahtuma epäonnistui ensimmäisellä yrityksellä. Myöhemmät hakkerit kuitenkin kopioivat Tx-osoitteen, joka kutsui process()-funktiota suoraan, koska kelvollisuus on merkitty todistetuksi.
Päivitys luki "viestit"-arvon 0 (virheellinen) 0x00:ksi ja läpäisi siten vahvistuksen "todistettuna". Tämä tarkoitti, että mikä tahansa prosessi()-funktio välitettiin kelvollisiksi.
Joten hakkerit onnistuivat pestä varoja kopioimalla/liitämällä samasta prosessista () ja korvaamalla aiemman hyödyntäjän osoitteen omallaan.
Tämä kaaos johti 190 miljoonan dollarin likviditeettien poistoon sillan protokollasta.
Pavunvarsi
Varastetut varat: 18,10,00,000 dollaria
Päivämäärä: 17
Se oli pohjimmiltaan hallintohyökkäys, joka sai hakkerin piiskaamaan 181 miljoonaa dollaria.
Hakkeri pystyi ottamaan pikalainan, joka oli riittävä äänestääkseen ja ajaakseen haitallisen ehdotuksen.
Hyökkäyskulku on seuraava.
Hyökkääjät hankkivat äänivallan ottamalla pikalainan ja ryhtyivät välittömästi toteuttamaan haitallisen hallintoehdotuksen. Se, että ehdotuksen toteuttaminen ei viivästynyt, tuki hyökkäystä.
Hakkeri teki kaksi ehdotusta. Ensimmäinen on siirtää sopimuksessa olevat varat itselleen, ja seuraava ehdotus on siirtää 250 XNUMX dollaria BEANia Ukrainan lahjoitusosoitteeseen.
Sen jälkeen varastetut varat käytettiin lainan takaisinmaksuun ja loput ohjattiin Tornado-käteinen.
talvimykistys
Varastetut varat: 16,23,00,000 dollaria
Päivämäärä: 20
Kuuma lompakkokompromissi johti Wintermutelle 160 miljoonan dollarin tappioon.
Turhamaisten osoitteiden luomiseen käytetyssä kiroilutyökalussa oli haavoittuvuus. Wintermuten hot lompakossa ja DeFi-holvisopimuksessa oli molemmat turhamaiset osoitteet. Profanity-työkalun heikkous johti hot lompakon yksityisten avainten kompromissiin, jota seurasi rahastovarkaus.
Mango-markkinat
Varastetut varat: 11,50,00,000 dollaria
Päivämäärä: 11
Mangomarkkinat putosivat hintamanipulaatiohyökkäyksen vuoksi ja menettivät yhdeksän lukua liikkeellä ollessaan.
Miten se tapahtui?
Hyökkääjä talletti yli 5 miljoonaa dollaria Mango Marketsiin ja teki vastakauppaa toiselta tililtä asemaansa vastaan. Tämä johti MNGO-rahakkeiden hinnan valtavaan nousuun 0.03 dollarista 0.91 dollariin.
Hyökkääjä käytti sitten asemaansa vakuudeksi ja tyhjensi varoja likviditeettipoolista. Lyhyesti sanottuna merkkihinnan manipulointi ja pumppaus johti protokollan romahtamiseen.
Harmony Bridge
Varastetut varat: 10,00,00,000 dollaria
Päivämäärä: 23
Harmony Bridge joutui käsiksi yksityisen avaimen kompromissiin, jota seurasi 100 miljoonan dollarin tappio. Seurataan hyökkäyskulkua.
Harmony Bridge käytti kahta viidestä multisig-osoitteesta tapahtumien välittämiseen. Hyökkääjä onnistui saamaan nämä osoitteet hallintaansa vaarantamalla yksityiset avaimet. Saatuaan hallintaansa kaksi osoitetta hakkeri pystyi suorittamaan tapahtuman, joka kulutti 2 miljoonaa dollaria.
Fei Rari
Varastetut varat: 8,00,00,000 dollaria
Päivämäärä: 1
Rari käyttää yhdistelmähaarukkakoodia, joka ei noudata tarkistus-vaikutus-vuorovaikutusmallia. Mallin tarkistamatta jättäminen johtaa paluuhyökkäyksiin.
Tässä paluumallissa hyökkääjä leikki koodilla käyttämällä 'call.value' ja 'exitMarket' toimintoja. Hyökkääjä otti flash-lainan lainatakseen ETH:ta, tuli uudelleen läpi 'call.value' ja soitti 'exitMarket' nostaa vakuudeksi asetetut varat.
Näin hakkeri sai varat flash-lainan kautta ja piti lainaksi asetettavat vakuudet.
Qubit Finance
Varastetut varat: 8,00,00,000 dollaria
Päivämäärä: 28
Qubit mahdollistaa varojen lukitsemisen Ethereumiin ja vastaavan lainaamisen BSC:ltä. Sopimus ontokenAddress.safeTransferFrom()' toimintoa hyödynnettiin Qubitin hakkeroinnissa.
Se antoi hakkerille mahdollisuuden lainata 77,162 80 qXETH:ta BSC:ltä tekemättä ETH-talletuksia Ethereumiin. Ja sitten käyttämällä sitä vakuudeksi lainatakseen WETH-, BTC-B-, USD-stabiileja kolikoita jne., hakkeri tienasi ~XNUMX miljoonaa dollaria.
Kuinka pelata älykkäästi Web3 Securityn avulla?
DeFin TVL saavutti kaikkien aikojen ennätyksensä, 303 miljoonaa dollaria vuonna 2021. Mutta jatkuvasti kasvavat DeFi-tilan hyödyntämiset aiheuttavat TVL:n arvon laskua vuonna 2022. Tämä lähettää varoitushälytyksen Web3-turvallisuuden ottamisesta vakavasti.
Suurin DeFi-protokollien varkaus johtui virheellisestä koodista. Onneksi tiukempi lähestymistapa koodin testaamiseen ennen käyttöönottoa voi hillitä tämäntyyppisiä hyökkäyksiä suuressa määrin.
Web3-tilaan rakennetaan monia uusia projekteja, QuillAudits aikovat varmistaa projektin maksimaalisen turvallisuuden ja työskennellä koko web3:n turvaamiseksi ja vahvistamiseksi. Tällä tavalla olemme onnistuneesti varmistaneet yli 700 Web3-projektia ja jatkamme Web3-tilan suojaamisen laajentamista laajan palveluvalikoiman avulla.
11 Näyttökerrat
- Bitcoin
- blockchain
- lohkoketjun noudattaminen
- blockchain-konferenssi
- coinbase
- coingenius
- Yhteisymmärrys
- salauskonferenssi
- kryptointi
- kryptovaluutta
- hajautettu
- defi
- Digitaaliset varat
- ethereum
- koneoppiminen
- ei korvattava tunnus
- Platon
- plato ai
- Platonin tietotieto
- Platoblockchain
- PlatonData
- platopeliä
- Monikulmio
- todiste panoksesta
- Quillhash
- nousussa
- W3
- web3 hakkerit
- zephyrnet
