Olvasási idő: 6 jegyzőkönyv
A feltört kriptoeszközök 2022-ben valószínűleg túlszárnyalják a 2021-es 3.2 milliárd dolláros ellopott vagyont – állítja a Chainalysis kriptobiztonsági cég.
Kép forrása: Chainalysis.
A kriptovalutát ellopni próbáló támadók érdeklődésének középpontjában a biztonsági rések és a kódexploitások állnak. Arról nem is beszélve, hogy a DeFi protokollok ellenállhatatlan célpontokká válnak a támadásokhoz.
Különösen 2022-ben a láncokon átívelő hidak a legújabb hack-trend színterét teszik lehetővé, idén az alaplopások 64%-át teszik ki.
Vizsgáljuk meg, mi rontott el 2022 legnagyobb kriptográfiai hackjei mögött, és lássuk, hogyan közelítsük meg a web3 biztonságát.
A 2022-es év legnagyobb hackjainak kibontakozása
Axie Infinity Ronin híd
Ellopott pénzeszközök: 62,40,00,000 USD
Időpont: március 23. 22
A Ronin hálózat a Proof-of-Authority modellen dolgozott kilenc érvényesítő csomóponttal. Kilencből öt csomópontnak jóvá kell hagynia a tranzakciókat a hídon. Négy érvényesítő csomópont a Sky Mavis belső csapatának tagja, és csak egy további aláírásra van szükség a tranzakció érvényesítéséhez.
A Ronin kizsákmányolás során a hackernek sikerült hozzáférnie az ötödik validátor csomóponthoz az RPC csomópont kihasználásával. A gázmentes RPC csomópontot egy évvel korábban hozták létre, hogy csökkentsék a felhasználók költségeit a nagy hálózati forgalom során.
Így a hacker két tranzakcióban hajtott végre pénzt a csomópontok bevonásával. Az első tranzakcióban 173,600 25.5 ETH, a másodikban pedig XNUMX millió USDC fogyott el a Ronin hídszerződésből. A kriptográfia történetének legnagyobb alaplopását csak hat nappal később azonosították a feltörésre.
BNB híd
Ellopott pénzeszközök: 58,60,00,000 USD
Időpont: október 6. 22
A BNB híd köti össze a régi Binance Beacon láncot és a Binance Smart láncot. A hacker kihasznált egy sebezhetőséget, és két tételenként 1 millió BNB-t tudott verni, összesen 2 millió BNB-t, összesen körülbelül 586 millió dollár értékben a feltörés idején.
Íme a támadási terv.
A támadó hamis bizonyítékot mutatott be a Binance Beacon lánc lerakódásaira vonatkozóan. A Binance-híd egy sebezhető IAVL-ellenőrzést használt annak ellenőrzésére, hogy a hackernek sikerült hamisítania és folytatni a visszavonást.
A hacker ezután a pénzeszközöket a pénztárcájába irányította úgy, hogy a BNB közvetlen dömpingje helyett a Venus protokollon, a BSC hitelezési platformján helyezte el fedezetként.
szú járat
Ellopott pénzeszközök: 32,60,00,000 USD
Időpont: február 2
A Wormhole, az Ethereum és Solana közötti híd 120,000 321 becsomagolt Ether veszteséget szenvedett el, ami akkoriban XNUMX millió dollár volt egy kódexploit miatt.
A feltörésre Solanában került sor, a hidat manipulálva olyan információkkal, amelyek szerint 120 ezer ETH került az Ethereum láncra. Ennek eredményeként a hacker 120 XNUMX WETH-nak megfelelő mennyiséget tudott verni Solanából.
A támadó az előző tranzakció "SignatureSet"-jét használta a Féreglyuk-híd ellenőrzési mechanizmusának akadályozására, és a fő hídszerződésben a "Verify-signatures" funkciót használta. Az eltérések a 'solana_program::sysvar::instructions' és a 'solana_program'-ot a felhasználó egy olyan cím ellenőrzésére használta ki, amely csak 0.1 ETH-t tartalmazott.
Ezt követően és az azt követő kódkizsákmányolás során a hacker csalárd módon 120 XNUMX whETH-t verett Solanán.
Nomád híd
Ellopott pénzeszközök: 19,00,00,000 USD
Időpont: augusztus 1. 22
A Nomád Bridge végzetes csapást mért azáltal, hogy lédús célponttá vált bárki számára, aki csatlakozhat a hackerek csapatához.
A híd rutinszerű frissítése során a Replica szerződést kódolási hibával inicializálták, amely súlyosan érintette az eszközöket. A szerződésben a 0x00 cím megbízható gyökérként volt beállítva, ami azt jelentette, hogy alapértelmezés szerint minden üzenet érvényes volt.
A hacker kihasználó tranzakciója az első kísérletben meghiúsult. A Tx-címet azonban a következő hackerek másolták le, akik közvetlenül hívták a process() függvényt, mivel az érvényesség „bizonyítottnak” van jelölve.
A frissítés az „üzenetek” 0 (érvénytelen) értékét 0x00-nak olvasta, így az ellenőrzést „bizonyítottként” teljesítette. Ez azt jelentette, hogy bármely process() függvényt érvényesnek adtak át.
Így a hackerek úgy tudtak pénzeket tisztára mosni, hogy ugyanazt a process() függvényt másolták/beillesztették, és a korábbi kihasználó címet a sajátjukra cserélték.
Ez a káosz a híd protokolljából 190 millió dolláros likviditás elszívásához vezetett.
Beanstalk
Ellopott pénzeszközök: 18,10,00,000 USD
Időpont: április 17. 22
Ez alapvetően egy kormányzási támadás volt, amely arra késztette a hackert, hogy 181 millió dollárt korbácsoljon.
A hacker képes volt felvenni egy gyorskölcsönt, amely elegendő volt ahhoz, hogy szavazzon, és egy rosszindulatú javaslatot előterjeszthessen.
A támadás folyamata a következő.
A támadók gyorskölcsön felvételével szerezték meg a szavazati jogot, és azonnal végrehajtották a sürgős, rosszindulatú kormányzási javaslatot. A támadás mellett szólt a javaslat végrehajtásának késedelmes hiánya.
A hacker két javaslatot tett. Az első az, hogy a szerződésben szereplő pénzeszközöket átutalják maguknak, a következő javaslat pedig az, hogy 250 XNUMX USD értékű BEAN-t utaljanak át az ukrajnai adományozási címre.
Az ellopott pénzeszközöket ezután a kölcsön visszafizetésére használták fel, a fennmaradó összeget pedig erre irányították Tornado készpénz.
téli néma
Ellopott pénzeszközök: 16,23,00,000 USD
Időpont: szeptember 20. 22
A forró pénztárca kompromisszum 160 millió dolláros veszteséget eredményezett a Wintermute számára.
A hiú címek létrehozásához használt káromkodási eszköznek volt egy sebezhetősége. Wintermute pénztárcájának és a DeFi trezorszerződésének egyaránt volt hiúsági címe. A Profanity eszköz gyengesége a forró pénztárca privát kulcsainak kompromittálásához vezetett, majd az alapok ellopásához.
Mangó piacok
Ellopott pénzeszközök: 11,50,00,000 USD
Időpont: október 11. 22
A mangópiacok estek egy ármanipulációs támadás miatt, és menet közben kilenc számjegyet veszítettek.
Hogy történt?
A támadó több mint 5 millió dollárt helyezett el a Mango Marketsben, és egy másik számláról ellenkereskedik a pozíciója ellen. Ennek eredményeképpen az MNGO tokenek ára 0.03 dollárról 0.91 dollárra ugrott.
A támadó ezt követően a pozícióját fedezetként használta fel, és kiszívta a pénzeszközöket a likviditási alapokból. Röviden, a token árának manipulálása és pumpálása a protokoll összeomlásához vezetett.
Harmónia híd
Ellopott pénzeszközök: 10,00,00,000 USD
Időpont: június 23. 22
A Harmony Bridge megragadta a privát kulcs kompromisszumát, amit 100 millió dolláros veszteség követett. Kövessük a támadás menetét.
A Harmony Bridge 2 multisig címből kettőt használt a tranzakciók átadására. A támadónak a privát kulcsok feltörésével sikerült megszereznie az irányítást ezeken a címeken. Miután megszerezte az irányítást két cím felett, a hacker képes volt végrehajtani a 5 millió dolláros tranzakciót.
Fei Rari
Ellopott pénzeszközök: 8,00,00,000 USD
Időpont: május 1. 22
A Rari olyan összetett fork kódot használ, amely nem követi a check-effect-interaction mintát. A minta ellenőrzésének elmulasztása visszatérési támadásokhoz vezet.
Ebben a visszatérési mintában a támadó eljátszotta a kódot 'call.value' és a "exitMarket" funkciókat. A támadó villámkölcsönt vett fel, hogy ETH-t kölcsönözzen, és ismét belépett 'call.value' és felhívta "exitMarket" a fedezetként elhelyezett pénzeszközök visszavonására.
Így a hacker egy gyorshitel útján szerezte meg a felvett pénzeszközöket, és megtartotta a hitelfelvételre helyezett fedezetet.
Qubit Finance
Ellopott pénzeszközök: 8,00,00,000 USD
Időpont: január 28. 22
A Qubit lehetővé teszi a pénzeszközök zárolását az Ethereumban és a megfelelő kölcsön felvételét a BSC-n. A szerződéstokenAddress.safeTransferFrom()' funkciót kihasználták a Qubit hackben.
Lehetővé tette a hacker számára, hogy 77,162 80 qXETH-t kölcsönözzen a BSC-től anélkül, hogy ETH-befizetést tett volna az Ethereumon. Aztán fedezetként használva WETH, BTC-B, USD stablecoin stb. kölcsönkérésére, a hacker ~XNUMX millió dollár nyereségre tett szert.
Hogyan játssz okosan a Web3 biztonsággal?
A DeFi-ben szereplő TVL 303-ben elérte minden idők csúcsát, 2021 millió dollárt. A DeFi térben folyamatosan növekvő kihasználások azonban a TVL-érték csökkenését okozzák 2022-ben. Ez figyelmeztető jelzést küld a Web3 biztonságának komolyan vételére.
A DeFi protokollok legnagyobb ellopása a hibás kód miatt történt. Szerencsére a kód telepítés előtti tesztelésének szigorúbb megközelítése nagymértékben visszaszoríthatja az ilyen típusú támadásokat.
Mivel sok új projekt épül a web3 térben, QuillAudits a projekt maximális biztonságát kívánják biztosítani, és a web3 egészének biztonsága és megerősítése érdekében dolgoznak. Ily módon több mint 700 Web3-projektet sikerült sikeresen biztosítanunk, és továbbra is bővítjük a Web3-terület védelmének körét a szolgáltatások széles skálájával.
11 Nézetek
- Bitcoin
- blockchain
- blokklánc megfelelőség
- blockchain konferencia
- coinbase
- coingenius
- megegyezés
- kriptokonferencia
- kriptikus bányászat
- cryptocurrency
- decentralizált
- Defi
- Digitális eszközök
- Ethereum
- gépi tanulás
- nem helyettesíthető token
- Plató
- plato ai
- Platón adatintelligencia
- Platoblockchain
- PlatoData
- platogaming
- Poligon
- a tét igazolása
- Quillhash
- trend
- W3
- web3 hackek
- zephyrnet
