10 najlepszych hacków Web3 w 2022 roku

Czas czytania: 6 minuty

Zhakowane aktywa kryptograficzne w 2022 roku prawdopodobnie przekroczą 2021 miliarda dolarów skradzionych funduszy z 3.2 roku, twierdzi firma Chainalysis zajmująca się bezpieczeństwem kryptograficznym. 

Źródło obrazu: Chainalysis.

Naruszenia bezpieczeństwa i exploity kodu są w centrum zainteresowania atakujących próbujących ukraść kryptowalutę. Nie wspominając o tym, że protokoły DeFi stają się nieodpartymi celami ataku. 

Zwłaszcza w 2022 r. mosty międzyłańcuchowe przygotowują scenę dla najnowszego trendu hakerskiego, odpowiadając za 64% kradzieży funduszy w tym roku. 
Przyjrzyjmy się, co poszło nie tak za największymi włamaniami kryptograficznymi w 2022 roku i spróbujmy, jak podejść do bezpieczeństwa web3.

Przedstawiamy największe hacki 2022 roku

Mostek Axie Infinity Ronin

Skradzione fundusze: 62,40,00,000 XNUMX XNUMX $
Data: 23 marca 22

Sieć Ronin pracowała na modelu Proof-of-Authority z dziewięcioma węzłami walidatora. Z dziewięciu węzłów pięć musi zatwierdzić przekazywanie transakcji w moście. Cztery węzły walidacyjne są wewnętrznymi członkami zespołu Sky Mavis i do zatwierdzenia transakcji potrzebny jest tylko jeszcze jeden podpis. 

W exploicie Ronina hakerowi udało się uzyskać dostęp do piątego węzła walidatora, wykorzystując węzeł RPC. Bezgazowy węzeł RPC powstał rok wcześniej, aby obniżyć koszty dla użytkowników podczas dużego ruchu w sieci.

W ten sposób haker dokonał wypłat w dwóch transakcjach, obejmując węzły. 173,600 25.5 ETH wypłynęło w pierwszej transakcji i XNUMX mln USDC w drugiej z kontraktu mostowego Ronin. Największa kradzież funduszy w historii kryptowalut została zidentyfikowana zaledwie sześć dni później.

Most BNB 

Skradzione fundusze: 58,60,00,000 XNUMX XNUMX $
Data: 6 października'22

Most BNB łączy stary łańcuch Binance Beacon i łańcuch Binance Smart. Haker wykorzystał lukę w zabezpieczeniach i był w stanie wybić dwie partie 1M BNB każda – łącznie 2M BNB o wartości około 586 mln USD w momencie włamania. 

Oto plan ataku. 

Atakujący przedstawił fałszywy dowód wpłat w łańcuchu Binance Beacon. Most Binance wykorzystał wrażliwą weryfikację IAVL, aby zweryfikować dowody, które hakerowi udało się sfałszować i kontynuować wypłatę. 
Następnie haker skierował środki do swojego portfela, deponując je na protokole Venus, platformie pożyczkowej BSC, jako zabezpieczenie zamiast bezpośredniego zrzucania BNB.  

Tunel czasoprzestrzenny

Skradzione fundusze: 32,60,00,000 XNUMX XNUMX $
Data: 2 lutego 22

Wormhole, pomost między Ethereum i Solaną, poniósł stratę w wysokości 120,000 321 owiniętych Etherów, co w tamtym czasie wyniosło XNUMX milionów dolarów z powodu exploita kodu. 

Włamanie miało miejsce w Solanie poprzez manipulację mostem z informacjami pokazującymi, że w łańcuchu Ethereum przesłano 120 120 ETH. W rezultacie haker mógł wybić ekwiwalent XNUMX XNUMX w wETH od Solany. 

Atakujący wykorzystał „SignatureSet” z poprzedniej transakcji, aby utrudnić mechanizm weryfikacji mostu wormholowego i wykorzystał funkcję „Verify-signatures” w głównym kontrakcie mostu. Rozbieżności w „solana_program::sysvar::instrukcje” a „solana_program” został wykorzystany przez użytkownika do zweryfikowania adresu, który zawierał tylko 0.1 ETH. 

W następstwie tego i poprzez późniejsze wykorzystanie kodu haker oszukańczo wybił 120 XNUMX whETH na Solanie. 

Most Nomadów

Skradzione fundusze: 19,00,00,000 XNUMX XNUMX $
Data: 1 sierpnia'22

Nomad Bridge doznał śmiertelnego ciosu, stając się soczystym celem dla każdego, kto dołączy do drużyny hakerów. 

Podczas rutynowej aktualizacji mostu umowa repliki została zainicjowana z błędem w kodzie, który poważnie wpłynął na zasoby. W umowie adres 0x00 został ustawiony jako zaufany root, co oznaczało, że wszystkie wiadomości były domyślnie ważne. 

Transakcja exploita dokonana przez hakera nie powiodła się przy pierwszej próbie. Jednak adres Tx został skopiowany przez kolejnych hakerów, którzy wywołali funkcję process() bezpośrednio, gdy ważność jest oznaczona jako „udowodniona”.

Aktualizacja odczytała wartość „wiadomości” równą 0 (nieprawidłowa) jako 0x00, a zatem przeszła weryfikację jako „sprawdzona”. Oznaczało to, że każda funkcja process() została przekazana jako poprawna. 

Tak więc hakerzy byli w stanie wyprać fundusze, kopiując/wklejając tę ​​samą funkcję process() i zastępując poprzedni adres exploita swoim własnym. 

Ten chaos doprowadził do utraty płynności w wysokości 190 milionów dolarów z protokołu mostu. 

beanstalk

Skradzione fundusze: 18,10,00,000 XNUMX XNUMX $
Data: 17 kwietnia 22

Zasadniczo był to atak na rząd, który doprowadził hakera do wyłudzenia 181 milionów dolarów. 

Haker był w stanie wziąć pożyczkę błyskawiczną wystarczającą na głosowanie i przepchnięcie złośliwej propozycji. 

Przebieg ataku jest następujący. 

Osoby atakujące uzyskały prawo głosu, biorąc pożyczkę błyskawiczną i natychmiast podjęły działania w celu wykonania awaryjnej propozycji złośliwego zarządzania. Brak opóźnienia w wykonaniu propozycji przemawiał za atakiem. 

Haker złożył dwie propozycje. Pierwszym z nich jest przekazanie środków z umowy na siebie, a następną propozycją jest przekazanie wartości 250 XNUMX $ BEAN na ukraiński adres darowizny. 

Skradzione środki zostały następnie wykorzystane na spłatę pożyczki, a resztę skierowano do Gotówka Tornado.

zimamute

Skradzione fundusze: 16,23,00,000 XNUMX XNUMX $
Data: 20 września'22

Kompromis dotyczący gorącego portfela spowodował stratę 160 milionów dolarów dla Wintermute. 

Narzędzie do wulgaryzmów używane do tworzenia adresów próżnych miało lukę. Zarówno gorący portfel Wintermute, jak i umowa ze skarbcem DeFi miały adresy próżności. Słabość narzędzia Profanity doprowadziła do naruszenia kluczy prywatnych gorącego portfela, a następnie do kradzieży funduszy. 

Rynki Mango

Skradzione fundusze: 11,50,00,000 XNUMX XNUMX $
Data: 11 października'22

Rynki mango uległy atakowi manipulacji cenowej, tracąc dziewięć cyfr w biegu. 

Jak to się stało?

Atakujący zdeponował ponad 5 milionów dolarów w Mango Markets i dokonał transakcji przeciwnej z innego konta w stosunku do swojej pozycji. Spowodowało to ogromny wzrost ceny tokenów MNGO z 0.03 USD do 0.91 USD. 

Atakujący następnie wykorzystał swoją pozycję jako zabezpieczenie i drenował środki z pul płynności. Krótko mówiąc, manipulowanie i pompowanie ceny tokena doprowadziło do upadku protokołu.

Most Harmonii

Skradzione fundusze: 10,00,00,000 XNUMX XNUMX $
Data: 23 czerwca'22

Harmony Bridge dał się złapać na kompromis w sprawie klucza prywatnego, po którym nastąpiła strata w wysokości 100 milionów dolarów. Prześledźmy przebieg ataku. 

Most Harmony używał 2 z 5 adresów multisig do przekazywania transakcji. Atakującemu udało się przejąć kontrolę nad tymi adresami, przejmując klucze prywatne. Po przejęciu kontroli nad dwoma adresami haker był w stanie przeprowadzić transakcję, która pochłonęła 100 milionów dolarów. 

Fei Rari

Skradzione fundusze: 8,00,00,000 XNUMX XNUMX $ 
Data: 1 maja'22

Rari używa złożonego kodu rozwidlenia, który nie jest zgodny ze wzorcem interakcji typu sprawdzenie-efekt-efekt. Brak sprawdzenia wzorca prowadzi do ataków ponownego wejścia. 

W tym schemacie ponownego wejścia atakujący bawił się kodem „wartość połączenia” i „wyjdź z rynku” Funkcje. Atakujący wziął pożyczkę błyskawiczną, aby pożyczyć ETH, wszedł ponownie przez „wartość połączenia” i zadzwonił „wyjdź z rynku” wycofać środki złożone jako zabezpieczenie. 

W ten sposób haker otrzymał środki zaciągnięte w ramach pożyczki błyskawicznej i zatrzymał ustanowione zabezpieczenie pożyczki. 

Qubit Finanse

Skradzione fundusze: 8,00,00,000 XNUMX XNUMX $
Data: 28 stycznia'22

Qubit umożliwia blokowanie środków w Ethereum i pożyczanie ekwiwalentu na BSC. umowa 'tokenAddress.safeTransferFrom()'  została wykorzystana w hakowaniu Qubit.

Pozwoliło to hakerowi pożyczyć 77,162 80 qXETH od BSC bez dokonywania jakichkolwiek wpłat ETH na Ethereum. A następnie, używając go jako zabezpieczenia do pożyczenia stabilnych monet WETH, BTC-B, USD itp., haker zarobił około XNUMX milionów dolarów. 

Jak mądrze grać z zabezpieczeniami Web3?

TVL w DeFi osiągnął najwyższy w historii poziom 303 mln USD w 2021 r. Ale stale rosnące exploity w przestrzeni DeFi powodują spadek wartości TVL w 2022 r. To wysyła alarm ostrzegawczy, aby poważnie potraktować bezpieczeństwo Web3. 

Największa kradzież protokołów DeFi była spowodowana wadliwym kodem. Na szczęście bardziej rygorystyczne podejście do testowania kodu przed wdrożeniem może w znacznym stopniu ograniczyć tego typu ataki. 
Ponieważ w przestrzeni web3 powstaje wiele nowych projektów, QuillAudyty zamierzają zapewnić maksymalne bezpieczeństwo projektu i pracować w najlepszym interesie zabezpieczenia i wzmocnienia web3 jako całości. W ten sposób pomyślnie zabezpieczyliśmy ponad 700 projektów Web3 i nadal rozszerzamy zakres ochrony przestrzeni Web3 poprzez szeroki zakres oferowanych usług.

11 odwiedzajacy