Tempo de leitura: 6 minutos
Os ativos criptográficos hackeados em 2022 provavelmente ultrapassarão os US$ 2021 bilhões em fundos roubados de 3.2, afirma a empresa de segurança criptográfica Chainalysis.
Fonte da imagem: Chainalysis.
Violações de segurança e exploits de código são o centro de interesse dos invasores que tentam roubar criptomoedas. Sem falar que os protocolos DeFi estão se tornando alvos irresistíveis de ataque.
Especialmente em 2022, as pontes entre cadeias estão preparando o cenário para a mais nova tendência de hackers, respondendo por 64% dos roubos de fundos este ano.
Vamos examinar o que deu errado por trás dos maiores hacks de criptografia de 2022 e ter uma ideia de como abordar a segurança da web3.
Revelando os maiores hacks de 2022
Ponte Axie Infinity Ronin
Fundos roubados: $ 62,40,00,000
Data: 23 de março de 22
A rede Ronin trabalhou no modelo de prova de autoridade com nove nós validadores. De nove, cinco nós precisam aprovar para passar as transações na ponte. Quatro nós validadores são membros da equipe interna da Sky Mavis e requer apenas mais uma assinatura para validar uma transação.
No exploit Ronin, o hacker conseguiu obter acesso ao quinto nó validador aproveitando o nó RPC. O nó RPC sem gás foi estabelecido um ano antes para reduzir o custo para os usuários durante o tráfego pesado da rede.
Dessa forma, o hacker realizou saques em duas transações por meio da composição dos nós. 173,600 ETH drenados na primeira transação e 25.5M USDC na segunda do contrato de ponte Ronin. O maior roubo de fundos na história das criptomoedas foi identificado apenas seis dias depois que o hack ocorreu.
Ponte BNB
Fundos roubados: $ 58,60,00,000
Data: 6 de outubro de 22
A ponte BNB conecta a antiga cadeia Binance Beacon e a cadeia Binance Smart. O hacker explorou uma vulnerabilidade e conseguiu cunhar dois lotes de 1 milhão de BNB cada - um total de 2 milhões de BNB no valor de cerca de $ 586 milhões no momento do hack.
Aqui está o plano de ataque.
O invasor apresentou provas falsas para depósitos na cadeia Binance Beacon. A ponte da Binance usou uma verificação IAVL vulnerável para verificar as provas de que o hacker conseguiu forjar e prosseguir com a retirada.
O hacker então direcionou os fundos para sua carteira, depositando-os no protocolo Venus, uma plataforma de empréstimo do BSC, como garantia, em vez de despejar o BNB diretamente.
Wormhole
Fundos roubados: $ 32,60,00,000
Data: 2 de fevereiro de 22
Wormhole, a ponte entre Ethereum e Solana, sofreu uma perda de 120,000 Ether embrulhados, totalizando US$ 321 milhões na época devido a uma exploração de código.
O hack ocorreu em Solana manipulando a ponte com informações mostrando que 120k ETH são enviados na cadeia Ethereum. Como resultado, o hacker poderia cunhar o equivalente a 120k em wETH de Solana.
O invasor usou o 'SignatureSet' da transação anterior para impedir o mecanismo de verificação da ponte Wormhole e aproveitou a função 'Verificar assinaturas' no contrato da ponte principal. As discrepâncias no 'solana_program::sysvar::instructions' e 'solana_program' foi explorado pelo usuário para verificar um endereço que continha apenas 0.1 ETH.
Após isso e através da exploração de código subsequente, o hacker cunhou fraudulentamente 120k whETH em Solana.
Ponte Nômade
Fundos roubados: $ 19,00,00,000
Data: 1º de agosto de 22
A Nomad Bridge sofreu um golpe fatal ao se tornar um alvo suculento para qualquer um que se juntasse ao esquadrão de hackers.
Durante a atualização de rotina da ponte, o contrato da réplica foi inicializado com uma falha de codificação que afetou gravemente os ativos. No contrato, o endereço 0x00 foi definido como root confiável, o que significava que todas as mensagens eram válidas por padrão.
A transação de exploração pelo hacker falhou na primeira tentativa. No entanto, o endereço Tx foi copiado por hackers subsequentes que chamaram a função process() diretamente, pois a validade está marcada como 'comprovada'.
A atualização leu o valor 'messages' de 0 (inválido) como 0x00 e, portanto, passou na validação como 'comprovado'. Isso significava que qualquer função process() foi passada para ser válida.
Assim, os hackers foram capazes de lavar fundos copiando/colando a mesma função process() e substituindo o endereço do explorador anterior pelo deles.
Esse caos levou a uma perda de $ 190 milhões em liquidez do protocolo da ponte.
Pé de Feijão
Fundos roubados: $ 18,10,00,000
Data: 17 de abril de 22
Foi basicamente um ataque de governança que levou o hacker a arrecadar US$ 181 milhões.
O hacker conseguiu um empréstimo instantâneo suficiente para votar e enviar uma proposta maliciosa.
O fluxo de ataque é o seguinte.
Os invasores adquiriram o poder de voto fazendo um empréstimo rápido e imediatamente agiram para executar uma proposta de governança maliciosa de emergência. A ausência do atraso na execução da proposta favoreceu o ataque.
O hacker fez duas propostas. A primeira é transferir os fundos do contrato para eles mesmos, e a próxima proposta é transferir $ 250 em $ BEAN para o endereço de doação da Ucrânia.
Os fundos roubados foram usados para pagar o empréstimo e o restante foi direcionado para Dinheiro do tornado.
inverno mudo
Fundos roubados: $ 16,23,00,000
Data: 20 de setembro de 22
O comprometimento da carteira quente resultou em uma perda de US$ 160 milhões para Wintermute.
A ferramenta de palavrões usada para criar endereços personalizados tinha uma vulnerabilidade. A carteira quente de Wintermute e o contrato de cofre DeFi tinham endereços falsos. A fraqueza da ferramenta Profanity levou ao comprometimento das chaves privadas da carteira quente, seguido pelo roubo de fundos.
Mercados de manga
Fundos roubados: $ 11,50,00,000
Data: 11 de outubro de 22
Os mercados de manga caíram em um ataque de manipulação de preços, perdendo nove dígitos em movimento.
Como isso aconteceu?
O invasor depositou mais de US$ 5 milhões na Mango Markets e negociou de outra conta contra sua posição. Isso resultou em um aumento maciço no preço dos tokens MNGO de US$ 0.03 para US$ 0.91.
O invasor então usou sua posição como garantia e drenou fundos dos pools de liquidez. Em resumo, manipular e aumentar o preço do token levou ao colapso do protocolo.
Ponte da Harmonia
Fundos roubados: $ 10,00,00,000
Data: 23 de junho de 22
A ponte Harmony caiu nas garras de um compromisso de chave privada, seguido por uma perda de US$ 100 milhões. Vamos seguir o fluxo de ataque.
A ponte Harmony usou 2 de 5 endereços multisig para passar transações. O invasor conseguiu obter o controle desses endereços comprometendo as chaves privadas. Depois de obter o controle de dois endereços, o hacker conseguiu executar uma transação que consumiu US$ 100 milhões.
Fei Rari
Fundos roubados: $ 8,00,00,000
Data: 1º de maio de 22
Rari usa um código fork composto que não segue o padrão verificação-efeito-interação. Deixar de verificar o padrão leva a ataques de reentrância.
Nesse padrão de reentrada, o invasor brincava com o código usando 'chamada.valor' e 'exitMarket' funções. O invasor fez um empréstimo rápido para emprestar ETH, entrou novamente por meio de 'chamada.valor' e chamou 'exitMarket' retirar os fundos colocados em garantia.
Assim, o hacker obteve os fundos por meio de um empréstimo rápido e reteve a garantia colocada para o empréstimo.
Qubit Finanças
Fundos roubados: $ 8,00,00,000
Data: 28 de janeiro de 22
O Qubit permite bloquear fundos no Ethereum e emprestar o equivalente no BSC. O contrato 'tokenAddress.safeTransferFrom()' função foi explorada no hack Qubit.
Isso permitiu que o hacker pegasse emprestado 77,162 qXETH do BSC sem fazer nenhum depósito de ETH no Ethereum. E então, usando-o como garantia para emprestar WETH, BTC-B, stablecoins USD, etc., o hacker obteve ~ $ 80 milhões em lucros.
Como jogar de forma inteligente com o Web3 Security?
O TVL em DeFi atingiu seu recorde histórico de $ 303 milhões em 2021. Mas as explorações cada vez maiores no espaço DeFi estão causando um declínio no valor de TVL em 2022. Isso envia um alarme de advertência para levar a segurança Web3 a sério.
O maior roubo de protocolos DeFi foi devido a código defeituoso. Felizmente, uma abordagem mais rigorosa para testar o código antes da implantação pode reduzir bastante esses tipos de ataques.
Com muitos novos projetos sendo construídos no espaço web3, QuillAuditorias pretende garantir a máxima segurança para o projeto e trabalhar no melhor interesse de proteger e fortalecer o web3 como um todo. Dessa forma, garantimos com sucesso mais de 700 projetos Web3 e continuamos a ampliar o escopo da proteção do espaço Web3 por meio de uma ampla gama de ofertas de serviços.
11 Visualizações
- Bitcoin
- blockchain
- conformidade do blockchain
- conferência blockchain
- coinbase
- Coingenius
- Consenso
- conferência de criptografia
- crypto mining
- criptomoedas
- Descentralizada
- DeFi
- Ativos Digitais
- ethereum
- aprendizado de máquina
- token não fungível
- platão
- platão ai
- Inteligência de Dados Platão
- Platoblockchain
- PlatãoData
- jogo de platô
- Polygon
- prova de participação
- Quilhash
- trending
- W3
- hacks da web3
- zefirnet
