Lesetid: 6 minutter
De hackede kryptomidlene i 2022 vil sannsynligvis overskride 2021s 3.2 milliarder dollar i stjålne midler, opplyser kryptosikkerhetsfirmaet Chainalysis.
Bildekilde: Chainalysis.
Sikkerhetsbrudd og kodeutnyttelse er sentrum av interesse for angripere som prøver å stjele kryptovaluta. For ikke å nevne at DeFi-protokoller gjør opp for å være uimotståelige mål for angrep.
Spesielt i 2022 setter krysskjedebroer scenen for den nyeste hacktrenden, og står for 64 % av fondstyveriene i år.
La oss undersøke hva som gikk galt bak de største kryptohakkene i 2022 og få en smakebit på hvordan du kan nærme oss web3-sikkerhet.
Utfolder 2022s største hacks
Axie Infinity Ronin Bridge
Stjålne midler: $62,40,00,000
Dato: 23. mars 22
Ronin-nettverket jobbet med Proof-of-Authority-modellen med ni validatornoder. Av ni må fem noder godkjenne for å sende transaksjonene i broen. Fire validatornoder er Sky Mavis sine interne teammedlemmer, og det krever bare en signatur til for å validere en transaksjon.
I Ronin-utnyttelsen klarte hackeren å få tilgang til den femte validatornoden ved å utnytte RPC-noden. Gassfri RPC-node ble etablert et år før for å redusere kostnadene for brukere under tung nettverkstrafikk.
Dermed foretok hackeren uttak i to transaksjoner ved å bestå av nodene. 173,600 25.5 ETH tappet i den første transaksjonen og XNUMX millioner USDC i den andre fra Ronin-brokontrakten. Det største fondstyveriet i kryptohistorien ble identifisert bare seks dager senere hacket skjedde.
BNB-broen
Stjålne midler: $58,60,00,000
Dato: 6. oktober 22
BNB-broen forbinder den gamle Binance Beacon-kjeden og Binance Smart-kjeden. Hackeren utnyttet en sårbarhet og var i stand til å lage to partier med 1M BNB hver - totalt 2M BNB verdt rundt $586M på tidspunktet for hacket.
Her er angrepsplanen.
Angriperen viste falske bevis for innskudd i Binance Beacon-kjeden. Binance-broen brukte en sårbar IAVL-verifisering for å bekrefte bevis på at hackeren klarte å forfalske og fortsette med uttaket.
Hackeren rutet deretter midlene til lommeboken sin ved å sette dem inn på Venus-protokollen, en BSC-utlånsplattform, som sikkerhet i stedet for å dumpe BNB direkte.
ormehull
Stjålne midler: $32,60,00,000
Dato: 2. februar 22
Wormhole, broen mellom Ethereum og Solana, led et tap på 120,000 321 innpakket Ether som utgjorde XNUMX millioner dollar på det tidspunktet på grunn av en kodeutnyttelse.
Hacket fant sted i Solana ved å manipulere broen med informasjon som viser at 120k ETH er sendt inn på Ethereum-kjeden. Som et resultat, kunne hackeren prege tilsvarende 120k i WETH fra Solana.
Angriperen brukte 'SignatureSet' fra forrige transaksjon for å hindre verifiseringsmekanismen til Wormhole-broen og utnyttet 'Verify-signatures'-funksjonen i hovedbrokontrakten. Avvikene i 'solana_program::sysvar::instructions' og 'solana_program' ble utnyttet av brukeren for å bekrefte en adresse som bare inneholdt 0.1 ETH.
Etter dette og gjennom påfølgende kodeutnyttelse, slo hackeren uredelig 120k whETH på Solana.
Nomadebroen
Stjålne midler: $19,00,00,000
Dato: 1.aug'22
Nomad bridge opplevde et dødelig slag ved å bli et saftig mål for alle å bli med i troppen av hackere.
Under broens rutineoppgradering ble Replica-kontrakten initialisert med en kodefeil som påvirket eiendelene alvorlig. I kontrakten ble adressen 0x00 satt som pålitelig rot, noe som betydde at alle meldinger var gyldige som standard.
Utnyttelsestransaksjonen til hackeren mislyktes i første forsøk. Imidlertid ble Tx-adressen kopiert av påfølgende hackere som kalte prosess()-funksjonen direkte ettersom gyldigheten er merket som "bevist".
Oppgraderingen leste 'meldinger'-verdien på 0 (ugyldig) som 0x00 og bestod derfor valideringen som 'bevist'. Dette betydde at enhver prosess()-funksjon ble sendt for å være gyldig.
Så hackerne var i stand til å hvitvaske midler ved å kopiere/lime inn den samme prosess()-funksjonen og erstatte den forrige utnytteradressen med deres.
Dette kaoset førte til et tap på 190 millioner dollar i likviditet fra broens protokoll.
Beanstalk
Stjålne midler: $18,10,00,000
Dato: 17.apr'22
Det var i bunn og grunn et styringsangrep som førte til at hackeren pisket 181 millioner dollar.
Hackeren var i stand til å ta et flashlån tilstrekkelig nok til å stemme og presse et ondsinnet forslag.
Angrepsflyten er som følger.
Angriperne skaffet seg stemmerett ved å ta et flashlån og handlet umiddelbart for å gjennomføre et ondsinnet styringsforslag. Fraværet av forsinkelsen i utførelse av forslag sto til fordel for angrepet.
Hackeren kom med to forslag. Det første er å overføre midlene i kontrakten til seg selv, og det neste forslaget er å overføre $BEAN verdt 250 XNUMX USD til Ukrainas donasjonsadresse.
De stjålne midlene ble deretter brukt til å tilbakebetale lånet og rettet resten til Tornado kontanter.
vinterstum
Stjålne midler: $16,23,00,000
Dato: 20. september 22
Det varme lommebokkompromisset resulterte i et tap på $160 millioner for Wintermute.
Banningsverktøyet som ble brukt til å lage forfengelighetsadresser hadde en sårbarhet. Wintermutes hete lommebok og DeFi-hvelv-kontrakten hadde begge forfengelighetsadresser. Svakheten til Profanity-verktøyet førte til kompromittering av hot wallets private nøkler, etterfulgt av fondstyveri.
Mangomarkeder
Stjålne midler: $11,50,00,000
Dato: 11. oktober 22
Mangomarkedene falt for et prismanipulasjonsangrep og tapte ni sifre på farten.
Hvordan skjedde det?
Angriperen satte inn over $5 millioner i Mango Markets og handlet fra en annen konto mot deres posisjon. Dette resulterte i en massiv økning i prisen på MNGO-tokens fra $0.03 til $0.91.
Angriperen brukte deretter sin posisjon som sikkerhet og tappet midler fra likviditetspoolene. Kort sagt, manipulering og pumping av tokenprisen førte til kollapsen av protokollen.
Harmonibroen
Stjålne midler: $10,00,00,000
Dato: 23. juni 22
Harmony bridge falt for grepet om et kompromiss med privat nøkkel, etterfulgt av et tap på 100 millioner dollar. La oss følge angrepsstrømmen.
Harmony bridge brukte 2 av 5 multisig-adresser for å sende transaksjoner. Angriperen klarte å få kontroll over disse adressene ved å kompromittere private nøkler. Etter å ha fått kontroll over to adresser, var hackeren i stand til å utføre en transaksjon som tappet 100 millioner dollar.
Fei Rari
Stjålne midler: $8,00,00,000
Dato: 1. mai 22
Rari bruker en sammensatt gaffelkode som ikke følger sjekk-effekt-interaksjonsmønsteret. Unnlatelse av å sjekke mønsteret fører til angrep på nytt.
I dette reentrancy-mønsteret lekte angriperen seg med koden ved hjelp av 'call.value' og 'exitMarket' funksjoner. Angriperen tok et flashlån for å låne ETH, gikk inn igjen gjennom 'call.value' og ringte 'exitMarket' å ta ut midlene som er plassert som sikkerhet.
Dermed fikk hackeren midlene tatt gjennom et flashlån og beholdt sikkerheten som ble stilt for lån.
Qubit Finance
Stjålne midler: $8,00,00,000
Dato: 28. januar 22
Qubit tillater å låse midler i Ethereum og låne tilsvarende på BSC. Kontrakten er 'tokenAddress.safeTransferFrom()' funksjonen ble utnyttet i Qubit-hacket.
Det tillot hackeren å låne 77,162 80 qXETH fra BSC uten å gjøre noen ETH-innskudd på Ethereum. Og så, ved å bruke det som sikkerhet for å låne WETH, BTC-B, USD stablecoins, etc., tjente hackeren ~$XNUMXM i fortjeneste.
Hvordan spille smart med Web3 Security?
TVL i DeFi nådde sin all-time high på $303 millioner i 2021. Men de stadig økende utnyttelsene i DeFi-området forårsaker en nedgang i TVL-verdien i 2022. Dette sender ut en advarende alarm for å ta Web3-sikkerhet på alvor.
Det største tyveriet av DeFi-protokoller skyldtes feil kode. Heldigvis kan en strengere tilnærming til å teste koden før distribusjon i stor grad dempe denne typen angrep.
Med mange nye prosjekter som bygges i web3-området, QuillAudits har til hensikt å sikre maksimal sikkerhet for prosjektet og arbeide til beste for å sikre og styrke web3 som helhet. På den måten har vi sikret rundt 700+ Web3-prosjekter og fortsetter å utvide omfanget av skjerming av Web3-plass gjennom et bredt spekter av tjenestetilbud.
11 Visninger
- Bitcoin
- blockchain
- blockchain-overholdelse
- blockchain konferanse
- coinbase
- coingenius
- Konsensus
- kryptokonferanse
- krypto gruvedrift
- cryptocurrency
- desentralisert
- Defi
- Digitale eiendeler
- ethereum
- maskinlæring
- ikke soppbart token
- plato
- plato ai
- Platon Data Intelligence
- Platoblokkjede
- PlatonData
- platogaming
- polygon
- bevis på innsatsen
- Quillhash
- trender
- W3
- web3 hacks
- zephyrnet
