10 лучших хаков Web3 2022 года

Время Читать: 6 минут

Взломанные криптоактивы в 2022 году, вероятно, превысят 2021 миллиарда долларов украденных средств в 3.2 году, заявляет компания по безопасности криптовалюты Chainalysis. 

Источник изображения: Цепной анализ.

Нарушения безопасности и эксплойты кода являются центром внимания злоумышленников, пытающихся украсть криптовалюту. Не говоря уже о том, что протоколы DeFi становятся непреодолимыми целями для атак. 

Особенно в 2022 году межсетевые мосты создают основу для новейшей тенденции взлома, на которую приходится 64% краж средств в этом году. 
Давайте рассмотрим, что пошло не так в результате крупнейших крипто-взломов 2022 года, и попробуем понять, как подойти к безопасности веб-3.

Раскрытие крупнейших взломов 2022 года

Акси Инфинити Ронин Мост

Украденные средства: $62,40,00,000
Дата: 23 марта 22 г.

Сеть Ronin работала по модели Proof-of-Authority с девятью узлами-валидаторами. Из девяти узлов пять должны быть одобрены для прохождения транзакций в мосту. Четыре ноды-валидатора являются членами внутренней команды Sky Mavis, и для проверки транзакции требуется только еще одна подпись. 

В эксплойте Ronin хакеру удалось получить доступ к пятому узлу валидатора, используя узел RPC. Узел безгазового RPC был создан за год до этого, чтобы снизить затраты для пользователей при интенсивном сетевом трафике.

Таким образом, хакер произвел вывод средств двумя транзакциями, включив узлы. 173,600 25.5 ETH были слиты в первой транзакции и XNUMX млн долларов США во второй из бридж-контракта Ronin. Крупнейшая кража средств в истории криптовалют была выявлена ​​только через шесть дней после взлома.

БНБ Мост 

Украденные средства: $58,60,00,000
Дата: 6 октября 22 г.

Мост BNB соединяет старую сеть Binance Beacon и сеть Binance Smart. Хакер воспользовался уязвимостью и смог отчеканить две партии по 1 млн BNB каждая — всего 2 млн BNB на сумму около 586 млн долларов на момент взлома. 

Вот сюжет нападения. 

Злоумышленник показал ложные доказательства депозитов в сети Binance Beacon. Мост Binance использовал уязвимую проверку IAVL для проверки доказательств, которые хакеру удалось подделать, и продолжить вывод средств. 
Затем хакер перенаправил средства в свой кошелек, разместив их на протоколе Venus, кредитной платформе BSC, в качестве залога вместо того, чтобы сбрасывать BNB напрямую.  

Wormhole

Украденные средства: $32,60,00,000
Дата: 2 февраля 22 г.

Червоточина, мост между Эфириумом и Соланой, потеряла 120,000 321 обернутых эфиров, что на тот момент составило XNUMX миллион долларов из-за эксплойта кода. 

Взлом произошел в Солане путем манипулирования мостом с информацией, показывающей, что 120 120 ETH отправлены в цепочку Ethereum. В результате хакер смог получить от Соланы эквивалент XNUMX XNUMX в wETH. 

Злоумышленник использовал «SignatureSet» предыдущей транзакции, чтобы помешать механизму проверки моста Wormhole, и использовал функцию «Verify-signatures» в основном контракте моста. Расхождения в 'solana_program::sysvar::инструкции' и «solana_program» была использована пользователем для проверки адреса, который содержал только 0.1 ETH. 

После этого и с помощью последующего эксплойта кода хакер мошенническим путем отчеканил 120 XNUMX whETH на Солане. 

Кочевой мост

Украденные средства: $19,00,00,000
Дата: 1 августа 22 г.

Мост Nomad пережил смертельный удар, став лакомой мишенью для любого, кто присоединится к отряду хакеров. 

Во время обычного обновления моста контракт реплики был инициализирован с ошибкой в ​​коде, которая серьезно повлияла на активы. В контракте адрес 0x00 был указан как доверенный корень, что означало, что все сообщения по умолчанию действительны. 

Транзакция эксплойта хакера не удалась с первой попытки. Однако адрес Tx был скопирован последующими хакерами, которые вызвали функцию process() напрямую, поскольку достоверность помечена как «доказанная».

Обновление прочитало значение «сообщения» 0 (недействительное) как 0x00 и, следовательно, прошло проверку как «проверенное». Это означало, что любая функция process() была передана как допустимая. 

Таким образом, хакеры смогли отмыть средства, скопировав/вставив ту же функцию process() и заменив предыдущий адрес эксплуататора своим. 

Этот хаос привел к утечке 190 миллионов долларов ликвидности из протокола моста. 

бобовое дерево

Украденные средства: $18,10,00,000
Дата: 17 апреля 22 г.

По сути, это была атака на управление, которая привела хакера к краже 181 миллиона долларов. 

Хакер смог взять флэш-кредит, достаточный для того, чтобы проголосовать и выдвинуть вредоносное предложение. 

Ход атаки следующий. 

Злоумышленники получили право голоса, взяв мгновенный кредит, и сразу же начали действовать, чтобы выполнить экстренное злонамеренное предложение по управлению. Отсутствие задержки в исполнении предложения говорило в пользу атаки. 

Хакер сделал два предложения. Первый - перевести средства по контракту себе, а следующее предложение - перевести $BEAN на сумму 250 тысяч долларов на адрес для пожертвований в Украине. 

Затем украденные средства были использованы для погашения кредита, а оставшаяся часть была направлена Торнадо наличными.

Зимнее Безмолвие

Украденные средства: $16,23,00,000
Дата: 20 сентября 22 г.

Компрометация горячего кошелька привела к убыткам Wintermute в размере 160 миллионов долларов. 

Инструмент ненормативной лексики, используемый для создания тщеславных адресов, имел уязвимость. У горячего кошелька Wintermute и контракта с хранилищем DeFi были тщеславные адреса. Слабость инструмента Profanity привела к компрометации закрытых ключей горячего кошелька с последующей кражей средств. 

Рынки Mango

Украденные средства: $11,50,00,000
Дата: 11 октября 22 г.

Рынки манго пали жертвой манипулирования ценами, потеряв на ходу девятизначную сумму. 

Как это произошло?

Злоумышленник вложил более 5 миллионов долларов в Mango Markets и совершил встречную торговлю с другого счета против своей позиции. Это привело к резкому скачку цен на токены MNGO с 0.03 до 0.91 доллара. 

Затем злоумышленник использовал свое положение в качестве залога и выкачивал средства из пулов ликвидности. Короче говоря, манипуляции и накачка цены токена привели к краху протокола.

Мост Гармонии

Украденные средства: $10,00,00,000
Дата: 23 июня 22 г.

Harmony Bridge попался на удочку компрометации закрытого ключа, что привело к убыткам в размере 100 миллионов долларов. Проследим за ходом атаки. 

Harmony bridge использовал 2 из 5 мультиподписных адресов для передачи транзакций. Злоумышленнику удалось получить контроль над этими адресами, скомпрометировав приватные ключи. Получив контроль над двумя адресами, хакер смог выполнить транзакцию, в результате которой было потрачено 100 миллионов долларов. 

Фей Рари

Украденные средства: $8,00,00,000 
Дата: 1 мая 22 года

Rari использует составной форк-код, который не соответствует шаблону проверки-эффекта-взаимодействия. Отсутствие проверки шаблона приводит к повторным атакам. 

В этом шаблоне повторного входа злоумышленник играл с кодом, используя 'вызов.значение' и выход из рынка функции. Злоумышленник взял флэш-кредит, чтобы одолжить ETH, снова вошел через 'вызов.значение' и называется выход из рынка изъять денежные средства, внесенные в качестве залога. 

Таким образом, хакер получил средства, взятые через экспресс-кредит, и сохранил залог, предоставленный для заимствования. 

Кубит Финанс

Украденные средства: $8,00,00,000
Дата: 28 января 22 г.

Qubit позволяет блокировать средства в Ethereum и брать эквивалент в BSC. КонтрактtokenAddress.safeTransferFrom()'  функция использовалась при взломе Qubit.

Это позволило хакеру занять 77,162 80 qXETH у BSC, не делая никаких депозитов ETH в Ethereum. А затем, используя его в качестве залога для заимствования WETH, BTC-B, стейблкоинов в долларах США и т. д., хакер получил около XNUMX миллионов долларов прибыли. 

Как играть с умом с Web3 Security?

TVL в DeFi достигла своего исторического максимума в 303 миллиона долларов в 2021 году. Но постоянно растущие эксплойты в пространстве DeFi вызывают снижение стоимости TVL в 2022 году. Это предупреждает о необходимости серьезно относиться к безопасности Web3. 

Самая крупная кража протоколов DeFi произошла из-за ошибочного кода. К счастью, более строгий подход к тестированию кода перед развертыванием может в значительной степени обуздать атаки такого типа. 
В связи со многими новыми проектами, созданными в пространстве web3, QuillAudits намерены обеспечить максимальную безопасность проекта и работать в интересах защиты и укрепления web3 в целом. Таким образом, мы успешно защитили более 700 проектов Web3 и продолжаем расширять сферу защиты пространства Web3 с помощью широкого спектра предложений услуг.

11 Просмотры