Lukeaika: 5 pöytäkirja
Tutkitaan hakkereita, jotka johtavat miljoonan dollarin tappioihin.
Ketjujen väliset sillat eivät esittelyjä kaipaa. Niitä on käytetty jonkin aikaa ja ne ovat mahtava tapa siirtää varoja ketjusta toiseen. Sillat parantavat kokemustamme Web3:ssa, sillä QuillAudits auttaa parantamaan protokollien turvallisuutta. Koska sillat käsittelevät paljon varoja, on vain järkevää varmistaa niiden turvallisuus, ja turvallisuus on usein etusijalla tällaisissa protokollissa. Silti vuosi 2022 oli täynnä ketjujen välisiä hakkereita.
- Tammikuu: Qubit – 80 miljoonaa dollaria
- Helmikuu: Madonreikä – 375 miljoonaa dollaria
- Maaliskuu: Ronin Bridge – 624 miljoonaa dollaria
- Kesäkuu: Harmony – 97 miljoonaa dollaria
- Elokuu: Nomad Bridge – 190 miljoonaa dollaria
Mitä tapahtui?
Puhutaan erikseen jokaisesta edellä mainitusta ketjujen välisestä hakkeroinnista, jotta voimme selvittää, mikä niissä meni pieleen, ja kouluttaa itseämme tekemään parempia päätöksiä.
qubit
27. tammikuuta 2022 Qubit, esimerkki a
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>ketjujen välinen silta, hakkeroitiin. Tapahtumasarja oli seuraava: saatuaan 77,162 15,688 qxETH:ta hyväksikäytön kautta, hyökkääjä lainasi sitä 767 80 WETH:ksi ja muunsi sen sitten XNUMX BTC-B:ksi ja käytti näitä varoja saadakseen haltuunsa stabiileja kolikoita ja laittamaan joitain protokollia. Tämä johti XNUMX miljoonan dollarin kokonaisarvon menetyksiin.
Yllättäen tämä hyväksikäyttö johtui loogisesta virheestä Qubit Financen koodi. Tämän virheen ansiosta hyökkääjät saattoivat lähettää haitallisia syötteitä sopimustoimintoihin, mikä johti tokenien poistamiseen BSC:stä, vaikka talletusta ei tehty Ethereumiin.
Qubit sopimuskoodi
Tämän hyödynnetyn haavoittuvuuden ydin oli Qubit Financen koodin tokenAddress.safeTransferFrom()-funktio. Hyökkääjä ymmärsi, että tämä toiminto ei palaudu, kun tokenAddress on tyhjä.
madonreikä
Madonreikä, yksi suosituista ketjujen välisiä liiketoimia mahdollistavista silloista, jotka yhdistävät Solanan ja ethereumin lohkoketjut, menetti noin 320 miljoonaa dollaria ja sijoittui toiseksi Ronin-sillan jälkeen (tästä lisää myöhemmin) vuonna 2022.
2. helmikuuta 2022 hyökkääjä yritti ohittaa Solanan Wormhole-sillan varmistusprosessin. Hyökkääjä ohitti vahvistusvaiheen ja lisäsi onnistuneesti väärennetyn sysvar-tilin ja lyötiin tunnetusti 120,000 3 WETH:tä. Twiitti 320. helmikuuta ilmoitti heidän protokollansa hyväksikäytöstä 10 miljoonan dollarin arvosta. Tilanteen korjaamiseksi Wormholen emoyhtiö ilmoitti toimittavansa eetteriä varastetun korvaamiseksi, kun hän ei saanut vastausta XNUMX miljoonan dollarin palkkioon vastineeksi hyökkääjälle varastetuista varoista.
Yllättyisit, kun tietäisit, että tämä kaikki oli mahdollista vain yhden vanhentuneen toiminnon ansiosta. KYLLÄ!!, tämän hyväksikäytön juuri oli vanhentunut toiminto "load_current_index" kohdassa "verify_signatures", joka käsittelee vahvistusprosessia. Ongelma vanhentuneen funktion "load_current_index" kanssa oli, että se ei vahvistanut syötetyn "sysvar-tilin" aitoutta olevan "järjestelmän sysvar", mikä loi tilaa hyökkääjälle.
Lähde:- Linkki
Roninin silta
Hiljainen hakkerointi, jota ei edes huomattu seuraavien 6 päivän aikana, ennen kuin käyttäjä ilmoitti tiimille, ettei hän pystynyt nostamaan noin 5k ETH:ta sillalta, mikä johti varastettujen varojen paljastamiseen.
Tämän hakkeroinnin väitetään olevan pohjoiskorealaisen Lazarus-ryhmän hyökkäys, ja se johti noin 600 miljoonan dollarin tappioon. Tämä oli hakkerointi, joka perustui validointisolmujen yksityisten avainten vaarantumiseen, ja keihään tietojenkalasteluhyökkäykset olivat pääasiallinen syy hyväksikäytölle.
Ronin-verkko käyttää yhdeksän validaattorisolmun joukkoa sillalla tapahtuvan tapahtuman hyväksymiseen, ja talletus tai nosto tarvitsee enemmistön, eli viiden näistä solmuista, hyväksynnän. Marraskuussa 2021 Axie DAO antoi tilapäisesti Sky Mavisin allekirjoittaa transaktiot puolestaan, mutta arvatkaa mitä? Avustusta ei koskaan peruutettu.
Tämä tarkoittaa, että Sky Mavis voi silti luoda allekirjoituksia. Hyökkääjä käytti tätä hyväkseen ja vaaransi ensin Sky Mavis -järjestelmät ja hyödynsi näitä allekirjoituksia luodakseen allekirjoituksen Axie DAO:n ohjaamasta kolmannen osapuolen validaattorista. Lyhyesti sanottuna, päästäkseen Sky Mavis -järjestelmiin hyökkääjä voisi luoda kelvollisia allekirjoituksia viidelle ronin-verkon validaattorille ja sitten onnistuneesti tyhjentää varat.
Harmonia
23. kesäkuuta 2022 Harmony-silta vaarantui, ja sillalle verkottiin erilaisia tokeneita, mukaan lukien ETH, WETH, WBTC, USDT, USDC jne. Harmony-silta joutui ristin uhriksi noin 97 miljoonan dollarin tappiolla. -ketjun hakkerointi samanlainen kuin Ronin.
Tapahtuman suorittamiseksi käyttäjä tarvitsee vähintään 2 avainta viidestä MultiSigistä, mikä tarkoittaa, että tapahtuman vahvistamiseen vaadittiin 5 avainta yhteensä viidestä avaimesta. Mutta hyökkääjät vaaransivat 2 avainta tyhjentääkseen rahat. Tämä kaikki oli mahdollista, koska hyökkääjät pystyivät käyttämään ja purkaa riittävän määrän näitä avaimia.
Nomadin silta
Oli 1. elokuuta 2022, kun Nomad Bridged joutui hyväksikäyttöön, joka johti 190 miljoonan dollarin tappioon. Se oli
” data-gt-translate-attributes=”[{"attribuutti":"data-cmtooltip", "format":"html"}]”>ketjujen välinen silta Ethereumin, Moonbeamin, Avalanchen, Evmosin ja Mikomedan välillä.
Kolmannella sijalla 190 miljoonan dollarin tappiolla silta vaarantui alustusprosessin haavoittuvuuden vuoksi, jolloin hyökkääjät saattoivat ohittaa varmennusprosessin ja tyhjentää varat siltasopimuksesta.
Hyökkääjä saattoi kutsua suoraan "process()"-funktiota, joka otti parametrin "_message". Hyökkääjä, jolla oli mielivaltainen "_message", pystyi ohittamaan vahvistuksen. Myöhemmin sopimuksen täytyi varmistaa, että sanoman hajautus oli todistettu hyväksytylläRoot()-funktiolla. Sitten kaikki tiivistyy "todista()"-funktioon, jolla on vaadittu lause, joka on täytettävä. Hyökkääjä saattoi suorittaa hyökkäyksen onnistuneesti vain siksi, että nolla kelvollisena vahvistettuna juurina voisi ohittaa vaaditun tarkistuksen.
Yhteenveto
Vuoden 2022 tilastojen mukaan on selvää, että sillat ovat olleet miljoonien tappioiden kohteena. Ketjujen välisten protokollien 5 hyväksikäyttöä muodostivat noin 56 % koko Web3:sta. Vaikka siltojen turvallisuus on yksi hyödyllisimmistä työkaluista, se on puutteellinen ja joutuu hyökkäysten uhriksi.
Näemme todennäköisesti lisää tällaisia hyökkäyksiä siltoihin pian. Näissä olosuhteissa on äärimmäisen tärkeää, että sillat turvaavat itsensä ja käyttäjiensä. Tulevassa blogissa palaamme tarkastusohjeeseen, joka auttaa sinua ymmärtämään muutamia tärkeitä tarkastuksia, joita tarvitsemme protokollan turvallisuuden varmistamiseksi.
Sillä välin muista, että auditointiin menemiselle ei ole vaihtoehtoa. Auditoinnin avulla voit olla varma turvallisuudesta. Paitsi että käyttäjät epäröivät luottaa protokollaan. Auditoinnin saaminen hyödyttää kaikkia, joten auditoi projektisi ja auta tekemään Web3 turvallisempi paikka. Ja kuka olisi parempi auditoija kuin QuillAudits? Vieraile verkkosivuillamme tänään ja katso lisää tällaisia blogeja.
23 Näyttökerrat
- SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
- Platoblockchain. Web3 Metaverse Intelligence. Tietoa laajennettu. Pääsy tästä.
- Lähde: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- :On
- $ 10 euroa
- 000
- 1
- 2021
- 2022
- 27.
- 77
- a
- pystyy
- Meistä
- edellä
- pääsy
- Tili
- saavutettu
- todella
- Etu
- Jälkeen
- Kaikki
- väitetään
- Salliminen
- vaihtoehto
- ja
- ilmoitti
- Toinen
- hyväksyminen
- hyväksyä
- OVAT
- noin
- AS
- At
- hyökkäys
- Hyökkäykset
- yritettiin
- tilintarkastus
- tarkastettu
- Elokuu
- Lumivyöry
- palkinto
- akseliohjaus
- takaisin
- perustua
- BE
- koska
- ovat
- Paremmin
- välillä
- blockchain
- blockchains
- Blogi
- blogit
- lainata
- SILTA
- silloittuneet
- sillat
- siltana
- BSC
- by
- soittaa
- CAN
- Aiheuttaa
- ketju
- tarkastaa
- Tarkastukset
- olosuhteet
- selkeä
- koodi
- yritys
- Vaarantunut
- CONFIRMED
- sopimus
- hallinnassa
- muuntaa
- Ydin
- voisi
- luotu
- Ylittää
- Rajat Chain
- ratkaiseva
- DAO
- päivää
- sopimus
- Tarjoukset
- päätökset
- Pura
- syvä
- syväsukellus
- tallettaa
- Huolimatta
- määränpää
- DID
- suoraan
- Dont
- alas
- kukin
- kouluttaa
- varmistaa
- Vastaava
- virhe
- jne.
- ETH
- Eetteri
- ethereum
- Jopa
- jokainen
- evmos
- esimerkki
- suorittaa
- experience
- Käyttää hyväkseen
- hyväksikäyttö
- hyödynnetään
- hyödyntää
- kohtasi
- helpottaminen
- väärennös
- Falling
- helmikuu
- harvat
- Etunimi
- virhe
- seuraa
- varten
- alkaen
- koko
- toiminto
- tehtävät
- varat
- tuottaa
- saada
- saada
- menee
- Ryhmä
- hakata
- hakkeroitu
- hakata
- tapahtui
- Harmonia
- hasis
- Olla
- auttaa
- auttaa
- pitää
- HTTPS
- merkitys
- in
- kykenemättömyys
- Mukaan lukien
- Erikseen
- Infrastruktuuri
- esittely
- kysymys
- IT
- SEN
- tammikuu
- avaimet
- Tietää
- Korean
- Lazarus
- Lasarus-ryhmä
- johtaa
- OPPIA
- Led
- Todennäköisesti
- yhdistää
- looginen
- pois
- tappiot
- Erä
- tehty
- tärkein
- Enemmistö
- tehdä
- max-width
- välineet
- mainitsi
- viesti
- miljoona
- miljoonia
- lyöty
- lyömisestä
- raha
- Kuunsäde
- lisää
- eniten
- liikkua
- Multisig
- Tarve
- tarpeet
- verkko
- seuraava
- solmut
- NOMAD
- Pohjoiseen
- marraskuu
- marraskuu 2021
- numero
- of
- on
- ONE
- parametri
- emoyhtiö
- osa
- Phishing
- tietojenkalasteluhyökkäykset
- Paikka
- Platon
- Platonin tietotieto
- PlatonData
- Suosittu
- sijainti
- mahdollinen
- prioriteetti
- yksityinen
- Yksityiset avaimet
- prosessi
- projekti
- protokolla
- protokollat
- todistettu
- tarjoaa
- laittaa
- qubit
- Quillhash
- kohtuullinen
- ennätys
- muistaa
- korvata
- tarvitaan
- vastaus
- Saatu ja
- palata
- palautua
- RONIN
- Ronin verkko
- Huone
- juuri
- turvallisempaa
- Turvallisuus
- Toinen
- turvallinen
- turvallisuus
- Sarjat
- setti
- Lyhyt
- merkki
- allekirjoitukset
- samankaltainen
- tilanne
- Taivas
- taivas mavis
- fiksu
- älykäs sopimus
- So
- Solana
- jonkin verran
- lähde
- Keihäshuijaus
- Stablecoins
- Lausunto
- tilastot
- Vaihe
- Yhä
- varastettu
- varastetut varat
- Onnistuneesti
- niin
- riittävä
- toimittaa
- yllättynyt
- järjestelmät
- Puhua
- Kohde
- joukkue-
- että
- -
- Lähde
- heidän
- Niitä
- itse
- Nämä
- kolmas
- kolmannen osapuolen
- Kautta
- aika
- että
- tänään
- tokens
- työkalut
- ylin
- Yhteensä
- kauppa
- Liiketoimet
- siirtää
- Luottamus
- piipittää
- varten
- ymmärtää
- avata
- tuleva
- USDC
- USDT
- käyttäjä
- Käyttäjät
- VAHVISTA
- validator
- validointisolmut
- validoijat
- arvo
- eri
- Vahvistus
- todentaa
- Uhri
- Vierailla
- alttius
- Tapa..
- wBTC
- Web3
- Verkkosivu
- KOSTEUS
- Mitä
- joka
- vaikka
- KUKA
- koko
- tulee
- with
- peruuttaa
- vetäytyminen
- madonreikä
- arvoinen
- olisi
- Väärä
- Voit
- Sinun
- zephyrnet
- nolla-