Lästid: 6 minuter
De hackade kryptotillgångarna 2022 kommer sannolikt att överskrida 2021 års 3.2 miljarder dollar i stulna medel, uppger kryptosäkerhetsföretaget Chainalysis.
Bildkälla: Chainalysis.
Säkerhetsintrång och kodexploater är centrum för intresset för angripare som försöker stjäla kryptovaluta. För att inte nämna att DeFi-protokollen gör upp för att vara oemotståndliga mål för överfall.
Speciellt under 2022 skapar tvärkedjebroar scenen för den senaste hacktrenden, som står för 64 % av fondstölderna i år.
Låt oss undersöka vad som gick fel bakom de största kryptohacken 2022 och få ett smakprov på hur man närmar sig webb3-säkerhet.
Utveckling av 2022 års största hacks
Axie Infinity Ronin Bridge
Stulna medel: $62,40,00,000
Datum: 23 mars 22
Ronins nätverk arbetade på Proof-of-Authority-modellen med nio validatornoder. Av nio måste fem noder godkänna för att passera transaktionerna i bryggan. Fyra valideringsnoder är Sky Mavis interna teammedlemmar, och det krävs bara en signatur till för att validera en transaktion.
I Ronin-exploatet lyckades hackaren få tillgång till den femte valideringsnoden genom att utnyttja RPC-noden. Gasfri RPC-nod etablerades ett år tidigare för att minska kostnaderna för användare under tung nätverkstrafik.
Således gjorde hackaren uttag i två transaktioner genom att bestå av noderna. 173,600 25.5 ETH dränerades i den första transaktionen och XNUMX miljoner USDC i den andra från Ronin-brokontraktet. Den största fondstölden i kryptohistorien identifierades bara sex dagar senare hacket inträffade.
BNB Bridge
Stulna medel: $58,60,00,000
Datum: 6 oktober 22
BNB-bron förbinder den gamla Binance Beacon-kedjan och Binance Smart-kedjan. Hackaren utnyttjade en sårbarhet och kunde skapa två batcher av 1M BNB vardera - totalt 2M BNB värda cirka 586 miljoner USD vid tidpunkten för hacket.
Här är attackplanen.
Angriparen visade falska bevis för insättningar i Binance Beacon-kedjan. Binance-bryggan använde en sårbar IAVL-verifiering för att verifiera bevis på att hackaren lyckades förfalska och fortsätta med uttaget.
Hackaren dirigerade sedan medlen till sin plånbok genom att sätta in dem på Venus-protokollet, en BSC-utlåningsplattform, som säkerhet istället för att dumpa BNB direkt.
Maskhål
Stulna medel: $32,60,00,000
Datum: 2 februari 22
Wormhole, bron mellan Ethereum och Solana, drabbades av en förlust på 120,000 321 inslagna Ether som uppgick till XNUMX miljoner dollar vid den tiden på grund av en kodexploat.
Hacket ägde rum i Solana genom att manipulera bron med information som visar att 120k ETH skickas in på Ethereum-kedjan. Som ett resultat av detta kunde hackaren skapa motsvarande 120k i WETH från Solana.
Angriparen använde "SignatureSet" för den tidigare transaktionen för att hindra verifieringsmekanismen för Wormhole-bryggan och utnyttjade funktionen "Verify-signatures" i huvudbryggkontraktet. Avvikelserna i 'solana_program::sysvar::instruktioner' och 'solana_program' utnyttjades av användaren för att verifiera en adress som endast innehöll 0.1 ETH.
Efter detta och genom efterföljande kodexploatering, slog hackaren bedrägligt 120k whETH på Solana.
Nomadbron
Stulna medel: $19,00,00,000
Datum: 1 augusti 22
Nomad bridge fick ett dödligt slag genom att bli ett saftigt mål för vem som helst att gå med i truppen av hackare.
Under brons rutinmässiga uppgradering initierades Replica-kontraktet med ett kodningsfel som allvarligt påverkade tillgångarna. I kontraktet sattes adressen 0x00 som betrodd rot, vilket innebar att alla meddelanden var giltiga som standard.
Hackarens exploateringstransaktion misslyckades i första försöket. Tx-adressen kopierades dock av efterföljande hackare som anropade process()-funktionen direkt eftersom giltigheten är markerad som "bevisad".
Uppgraderingen läste "meddelanden"-värdet på 0 (ogiltigt) som 0x00 och klarade därmed valideringen som "bevisat". Detta innebar att alla process()-funktioner skickades för att vara giltiga.
Så hackarna kunde tvätta pengar genom att kopiera/klistra in samma process()-funktion och ersätta den tidigare exploatörsadressen med deras.
Detta kaos ledde till ett tapp på 190 miljoner dollar i likviditet från brons protokoll.
beanstalken
Stulna medel: $18,10,00,000
Datum: 17 april 22
Det var i grunden en förvaltningsattack som fick hackaren att piska $181 miljoner.
Hackaren kunde ta ett flashlån tillräckligt för att rösta och driva ett skadligt förslag.
Attackflödet är som följer.
Angriparna skaffade rösträtt genom att ta ett snabblån och agerade omedelbart för att genomföra ett illvilligt nödlägesförslag. Frånvaron av förseningen i genomförandet av förslaget stod för attacken.
Hackaren kom med två förslag. Det första är att överföra pengarna i kontraktet till sig själva, och nästa förslag är att överföra $BEAN till ett värde av $250 XNUMX till Ukrainas donationsadress.
De stulna medlen användes sedan för att återbetala lånet och riktade resterande till Tornado kontanter.
vinterstum
Stulna medel: $16,23,00,000
Datum: 20 september 22
Den heta plånbokkompromissen resulterade i en förlust på $160 miljoner för Wintermute.
Det svordomsverktyg som användes för att skapa fåfängaadresser hade en sårbarhet. Wintermutes heta plånbok och DeFi-valvkontrakt hade båda fåfängaadresser. Svagheten i svordomsverktyget ledde till att den heta plånbokens privata nycklar kompromissades, följt av fondstöld.
Mangomarknader
Stulna medel: $11,50,00,000
Datum: 11 oktober 22
Mangomarknaderna föll för en prismanipulationsattack och tappade nio siffror på språng.
Hur hände det?
Angriparen satte in över 5 miljoner dollar på Mango Markets och mottrade från ett annat konto mot sin position. Detta resulterade i en massiv ökning av priset på MNGO-tokens från $0.03 till $0.91.
Angriparen använde sedan sin position som säkerhet och dränerade medel från likviditetspoolerna. I korthet, manipulering och pumpning av tokenpriset ledde till kollapsen av protokollet.
Harmony Bridge
Stulna medel: $10,00,00,000
Datum: 23 juni 22
Harmony bridge föll för greppet om en kompromiss med privat nyckel, följt av en förlust på 100 miljoner dollar. Låt oss följa attackflödet.
Harmony bridge använde 2 av 5 multisig-adresser för att skicka transaktioner. Angriparen lyckades få kontroll över dessa adresser genom att äventyra privata nycklar. Efter att ha fått kontroll över två adresser kunde hackaren utföra transaktioner som dränerade 100 miljoner dollar.
Fei Rari
Stulna medel: $8,00,00,000
Datum: 1 maj 22
Rari använder en sammansatt gaffelkod som inte följer check-effect-interaction-mönstret. Att inte kontrollera mönstret leder till återinträdesattacker.
I detta återinträdesmönster lekte angriparen med koden med hjälp av "call.value" och "exitMarket" funktioner. Angriparen tog ett flashlån för att låna ETH, gick in igen genom "call.value" och ringde "exitMarket" att ta ut de medel som ställts som säkerhet.
Således fick hackaren pengarna genom ett snabblån och behöll de säkerheter som ställts för lån.
Qubit Finance
Stulna medel: $8,00,00,000
Datum: 28 januari 22
Qubit tillåter att låsa medel i Ethereum och låna motsvarande på BSC. Kontraktet är 'tokenAddress.safeTransferFrom()' funktionen utnyttjades i Qubit-hacket.
Det gjorde det möjligt för hackaren att låna 77,162 80 qXETH från BSC utan att göra några ETH-insättningar på Ethereum. Och sedan, med det som säkerhet för att låna WETH, BTC-B, USD stablecoins, etc., tjänade hackaren ~XNUMX miljoner dollar i vinst.
Hur man spelar smart med Web3 Security?
TVL i DeFi nådde sin rekordnivå på 303 miljoner USD 2021. Men de ständigt ökande bedrifterna i DeFi-utrymmet orsakar en nedgång i TVL-värdet 2022. Detta skickar ut ett varnande larm för att ta Web3-säkerhet på allvar.
Den största stölden av DeFi-protokoll berodde på felaktig kod. Lyckligtvis kan ett mer rigoröst tillvägagångssätt för att testa koden innan den distribueras stävja dessa typer av attacker i stor utsträckning.
Med många nya projekt som byggs i web3-utrymmet, QuillAudits avser att säkerställa maximal säkerhet för projektet och arbeta i bästa intresse för att säkra och stärka web3 som helhet. På det sättet har vi framgångsrikt säkrat omkring 700+ Web3-projekt och fortsätter att utöka omfattningen av att skydda Web3-utrymmet genom ett brett utbud av tjänsteerbjudanden.
11 Visningar
- Bitcoin
- blockchain
- blockchain-efterlevnad
- blockchain konferens
- coinbase
- coingenius
- Konsensus
- kryptokonferens
- crypto mining
- kryptovaluta
- decentraliserad
- Defi
- Digitala tillgångar
- ethereum
- maskininlärning
- icke fungibelt symbol
- plato
- plato ai
- Platon Data Intelligence
- Platonblockchain
- PlatonData
- platogaming
- Polygon
- bevis på spel
- Pilbåt
- trending
- W3
- web3-hack
- zephyrnet
