Olvasási idő: 5 jegyzőkönyv
Feltárja azokat a hackeket, amelyek millió dolláros veszteségekhez vezetnek.
A keresztláncú hidak nem igényelnek bemutatást. Egy ideje használják őket, és nagyszerű módja annak, hogy pénzeszközöket mozgassanak egyik láncból a másikba. A hidak javítják a Web3-ban szerzett tapasztalatainkat, mivel a QuillAudits javítja a protokollok biztonságát. Mivel a hidak sok pénzeszközzel foglalkoznak, csak ésszerű a biztonságuk biztosítása, és az ilyen protokollokban gyakran a biztonság a legfontosabb. Ennek ellenére 2022 tele volt láncokon átívelő hackekkel.
- Január: Qubit – 80 millió dollár
- Február: Féreglyuk – 375 millió dollár
- Március: Ronin híd – 624 millió dollár
- Június: Harmony – 97 millió dollár
- Augusztus: Nomád híd – 190 millió dollár
Mi történt?
Beszéljünk külön-külön a fent említett, láncokon átívelő feltörésekről, hogy megtudjuk, mi hibázott velük, és jobb döntések meghozatalára oktatjuk magunkat.
qubit
27. január 2022-én a Qubit, egy példa a
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>cross-chain bridge, feltörték. A tranzakciók sorozata a következő volt: miután egy exploit révén 77,162 15,688 qxETH-t kapott, a támadó 767 80 WETH kölcsönkérésére használta, majd XNUMX BTC-B-re konvertálta, majd ezeket az alapokat használta stabil érmék megszerzésére és néhány protokoll beiktatására. Ez az egész XNUMX millió dolláros értékvesztést eredményezett.
Meglepő módon ez a kihasználás egy logikai hibából fakadt Qubit Finance kód. Ez a hiba lehetővé tette a támadók számára, hogy rosszindulatú bemeneteket küldjenek a szerződési funkciókhoz, ami a tokenek visszavonását eredményezte a BSC-n, miközben nem történt letétbe helyezés az Ethereumon.
Qubit szerződés kódja
A kihasznált sérülékenység lényege a Qubit Finance kódjában található tokenAddress.safeTransferFrom() függvény volt, a támadó rájött, hogy ez a funkció nem áll vissza, ha a tokenAddress null.
szú járat
A féreglyuk, amely a Solana és az Ethereum blokkláncokat összekötő láncok közötti tranzakciókat elősegítő népszerű híd, mintegy 320 millió dollárt veszített, és a Ronin híd után a második helyen állt 2022-ben (erről később).
2. február 2022-án a támadó megpróbálta megkerülni a solanai Féreglyuk-híd ellenőrzési folyamatát. A támadó megkerülte az ellenőrzési lépést, és sikeresen befecskendezett egy hamis sysvar-számlát, és köztudottan 120,000 3 WETH-t vertek. Egy február 320-i tweet bejelentette, hogy protokolljukon 10 millió dollár értékű kizsákmányolás történt. A helyzet finomítása érdekében a Wormhole anyavállalata bejelentette, hogy étert szállít az ellopottak pótlására, miután nem kapott választ a támadónak XNUMX millió dollárért cserébe.
Meglepődne, ha tudná, hogy mindez csak 1 elavult funkció miatt lehetséges. IGEN!!, ennek a kihasználásnak a gyökere egy elavult „load_current_index” függvény volt a „verify_signatures” alatt, amely az ellenőrzési folyamattal foglalkozik. Az elavult „load_current_index” függvénnyel kapcsolatos probléma az volt, hogy nem ellenőrizte a bevitt „sysvar account” valódiságát, hogy valóban „rendszer sysvar”-e, ami teret biztosított a támadó számára a kihasználáshoz.
Forrás:- Link
Ronin híd
Egy lopakodó feltörés, amelyet a következő 6 napban észre sem vettek, amíg egy felhasználó nem értesítette a csapatot, hogy nem tud körülbelül 5k ETH-t kivenni a hídról, ami az ellopott pénzek feltárásához vezetett.
Ez a feltörés állítólag egy észak-koreai Lazarus csoport támadása, és körülbelül 600 millió dolláros veszteséget okozott. Ez egy olyan feltörés volt, amely az érvényesítő csomópontok privát kulcsainak kompromittálódásán alapult, és a lándzsás adathalász támadások voltak a kizsákmányolás fő oka.
A ronin hálózat kilenc érvényesítő csomópontból álló készletet használ a hídon végrehajtott tranzakció jóváhagyására, és a befizetéshez vagy visszavonáshoz a legtöbb, azaz öt csomópont jóváhagyása szükséges. 2021 novemberében az Axie DAO ideiglenesen engedélyezte a Sky Mavis számára, hogy tranzakciókat írjon alá a nevében, de mit gondol? A juttatást soha nem vonták vissza.
Ez azt jelenti, hogy a Sky Mavis továbbra is generálhat aláírásokat. A támadó kihasználta ezt, és először feltörte a Sky Mavis rendszereket, és ezeket az aláírásokat kihasználva aláírást generált az Axie DAO által vezérelt, harmadik féltől származó validátorból. Röviden, a Sky Mavis rendszerekhez való hozzáféréssel a támadó érvényes aláírást generálhat öt ronin hálózati validátorhoz, majd sikeresen elszívhatja a pénzeszközöket.
Összhang
23. június 2022-án a Harmony híd veszélybe került, és különböző tokeneket helyeztek el a hídon, beleértve az ETH-t, WETH-t, WBTC-t, USDT-t, USDC-t stb. A 97 millió dolláros rekord veszteséggel a Harmony-híd kereszt áldozata lett. -Roninhoz hasonló lánchack.
A tranzakció végrehajtásához a felhasználónak 2 MultiSig-ből legalább 5-re van szüksége, ami azt jelenti, hogy a tranzakció érvényesítéséhez összesen 2 kulcsból 5 kulcsra volt szükség. De a támadók kompromittáltak 2 kulcsot, hogy elszívják a pénzt. Mindez azért volt lehetséges, mert a támadók elegendő számú kulcsot tudtak elérni és visszafejteni.
Nomád híd
1. augusztus 2022-jén volt, amikor a Nomád Bridged egy 190 millió dolláros veszteséget eredményező kizsákmányolással szembesült. Ez volt a
” data-gt-translate-attributes=”[{"attribute":"data-cmtooltip", "format":"html"}]”>láncokon átívelő híd az Ethereum, a Moonbeam, az Avalanche, az Evmos és a Mikomeda között.
A 190 millió dolláros veszteséggel a harmadik helyen álló híd az inicializálási folyamat sérülékenysége miatt veszélybe került, így a támadók megkerülhették az ellenőrzési folyamatot, és elszívhatták a hídszerződésből származó pénzeket.
A támadó közvetlenül meghívhatta a „process()” függvényt, amely egy „_message” paramétert vett fel. A támadó egy tetszőleges „_message”-vel képes volt megkerülni az ellenőrzést. Később a szerződésnek biztosítania kellett, hogy az üzenetkivonat az elfogadhatóRoot() függvény segítségével bizonyított legyen. Ezután az egész a „prove()” függvényre csapódik le, amelynek egy kötelező állítást kell teljesítenie. A támadó csak azért tudta sikeresen végrehajtani a támadást, mert a nulla érvényes megerősített gyökérként megkerülheti a szükséges ellenőrzést.
Következtetés
A 2022-es statisztikák szerint egyértelmű, hogy a hidak voltak a célpontok, amelyek milliós veszteséget okoztak. A láncok közötti protokollok 5 kihasználása a teljes Web56 körülbelül 3%-át tette ki. Annak ellenére, hogy az egyik leghasznosabb eszköz, a hidak biztonsága hiányzik és a támadások áldozatává válik.
Valószínűleg hamarosan több ilyen támadást fogunk látni a hidak ellen. Ilyen körülmények között kiemelten fontos, hogy a hidak biztosítsák magukat és használóikat. A következő blogunkban visszatérünk egy auditálási útmutatóval, amely segít megérteni néhány alapvető ellenőrzést, amelyekre a protokoll biztonsága érdekében szükségünk van.
Eközben ne feledje, hogy az auditálásnak nincs alternatívája. Egy audittal biztos lehetsz a biztonságban. Nem csak ez, a felhasználók haboznak megbízni a protokollban. Az auditálás mindenkinek kedvez, ezért ellenőriztesse projektjét, és segítsen elkészíteni A Web3 egy biztonságosabb hely. És ki jobban auditálhat, mint a QuillAudits? Látogassa meg webhelyünket még ma, és nézzen meg további ilyen blogokat.
23 Nézetek
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
- Forrás: https://blog.quillhash.com/2023/03/23/part-1-bridging-the-blockchain-a-deep-dive-into-cross-chain-hacks-and-failures/
- :is
- 10 millió $
- 000
- 1
- 2021
- 2022
- 27th
- 77
- a
- Képes
- Rólunk
- felett
- hozzáférés
- Fiók
- elért
- tulajdonképpen
- Előny
- Után
- Minden termék
- állítólag
- lehetővé téve
- alternatív
- és a
- bejelentés
- Másik
- jóváhagyás
- jóváhagy
- VANNAK
- körül
- AS
- At
- támadás
- Támadások
- megkísérelt
- könyvvizsgálat
- ellenőrzött
- Augusztus
- Lavina
- díj
- Tengely
- vissza
- alapján
- BE
- mert
- hogy
- Jobb
- között
- blockchain
- blockchains
- Blog
- blogok
- kölcsönkér
- HÍD
- áthidalt
- hidak
- áthidaló
- BSC
- by
- hívás
- TUD
- Okoz
- lánc
- ellenőrizze
- Ellenőrzések
- körülmények
- világos
- kód
- vállalat
- Veszélyeztetett
- MEGERŐSÍTETT
- szerződés
- vezérelt
- megtérít
- Mag
- tudott
- készítette
- Kereszt
- Kereszt-lánc
- kritikus
- DAO
- Nap
- üzlet
- Ajánlatok
- határozatok
- visszafejtése
- mély
- mély merülést
- letét
- Ellenére
- rendeltetési hely
- DID
- közvetlenül
- ne
- le-
- minden
- oktat
- biztosítására
- Egyenértékű
- hiba
- stb.
- ETH
- Éter
- Ethereum
- Még
- mindenki
- evmos
- példa
- kivégez
- tapasztalat
- Exploit
- kizsákmányolás
- Hasznosított
- hasznosítja
- szembe
- megkönnyítését
- hamisítvány
- Eső
- február
- kevés
- vezetéknév
- hibája
- következik
- A
- ból ből
- Tele
- funkció
- funkciók
- alapok
- generál
- kap
- szerzés
- megy
- Csoport
- csapkod
- csapkodott
- hack
- történt
- Összhang
- hash
- Legyen
- segít
- segít
- tart
- HTTPS
- fontosság
- in
- képtelenség
- Beleértve
- Egyénileg
- Infrastruktúra
- Bevezetés
- kérdés
- IT
- ITS
- január
- kulcsok
- Ismer
- koreai
- Lázár
- Lazarus csoport
- vezet
- TANUL
- Led
- Valószínű
- Összekapcsolása
- logikus
- le
- veszteség
- Sok
- készült
- Fő
- Többség
- csinál
- max-width
- eszközök
- említett
- üzenet
- millió
- Több millió
- Minted
- verése
- pénz
- Holdfény
- több
- a legtöbb
- mozog
- multisig
- Szükség
- igények
- hálózat
- következő
- csomópontok
- NOMAD
- Északi
- november
- november 2021
- szám
- of
- on
- ONE
- paraméter
- anyavállalat
- rész
- Adathalászat
- adathalász támadások
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- Népszerű
- pozíció
- lehetséges
- prioritás
- magán
- Saját kulcsok
- folyamat
- program
- protokoll
- protokollok
- igazolt
- biztosít
- tesz
- qubit
- Quillhash
- ésszerű
- rekord
- eszébe jut
- cserélni
- kötelező
- válasz
- kapott
- visszatérés
- visszaszáll
- RONIN
- Ronin hálózat
- Szoba
- gyökér
- biztonságosabb
- Biztonság
- Második
- biztonság
- biztonság
- Series of
- készlet
- rövid
- <p></p>
- aláírások
- hasonló
- helyzet
- Ég
- ég mavis
- okos
- okos szerződés
- So
- Solana
- néhány
- forrás
- Lándzsa adathalászat
- Stablecoins
- nyilatkozat
- statisztika
- Lépés
- Még mindig
- lopott
- ellopott pénzeszközök
- sikeresen
- ilyen
- elegendő
- kínálat
- meglepődött
- Systems
- Beszél
- cél
- csapat
- hogy
- A
- The Source
- azok
- Őket
- maguk
- Ezek
- Harmadik
- harmadik fél
- Keresztül
- idő
- nak nek
- Ma
- tokenek
- szerszámok
- felső
- Végösszeg
- tranzakció
- Tranzakciók
- átruházás
- Bízzon
- csipog
- alatt
- megért
- kinyit
- közelgő
- USDC
- USDT
- használó
- Felhasználók
- ÉRVÉNYESÍT
- érvényesítő
- érvényesítő csomópontok
- érvényesítő
- érték
- különféle
- Igazolás
- ellenőrzése
- Áldozat
- Látogat
- sebezhetőség
- Út..
- WBTC
- Web3
- weboldal
- WETH
- Mit
- ami
- míg
- WHO
- egész
- lesz
- val vel
- visszavonul
- visszavonás
- szú járat
- érdemes
- lenne
- Rossz
- te
- A te
- zephyrnet
- nulla