10 найпопулярніших хаків Web3 2022 року

Час читання: 6 протокол

Зламані криптоактиви у 2022 році, ймовірно, перевищать 2021 мільярда доларів у 3.2 році, стверджує компанія з криптобезпеки Chainalysis. 

Джерело зображення: Chainalysis.

Зловмисники, які намагаються вкрасти криптовалюту, є центром інтересу до порушень безпеки та використання коду. Не кажучи вже про те, що протоколи DeFi стають непереборними мішенями для нападу. 

Особливо у 2022 році крос-ланцюгові мости створюють основу для новітньої тенденції злому, на яку припадає 64% крадіжок коштів цього року. 
Давайте розглянемо, що пішло не так за найбільшими криптозломами 2022 року, і спробуємо підійти до безпеки web3.

Розкриваємо найбільші хаки 2022 року

Axie Infinity Ronin Bridge

Викрадені кошти: $62,40,00,000
Дата: 23 березня 22 р

Мережа Ronin працювала на моделі Proof-of-Authority з дев'ятьма вузлами валідації. З дев’яти п’ять вузлів потребують схвалення для проходження транзакцій у мосту. Чотири вузли перевірки є внутрішніми членами команди Sky Mavis, і для підтвердження транзакції потрібен лише ще один підпис. 

У експлойті Ronin хакеру вдалося отримати доступ до п’ятого вузла перевірки, використовуючи вузол RPC. Безгазовий вузол RPC був встановлений роком раніше, щоб зменшити витрати для користувачів під час інтенсивного мережевого трафіку.

Таким чином, хакер здійснив виведення коштів у двох транзакціях, використовуючи вузли. 173,600 25.5 ETH було вичерпано під час першої транзакції та XNUMX млн доларів США під час другої з контракту мосту Ronin. Найбільшу крадіжку коштів в історії криптографії було виявлено лише через шість днів після злому.

Міст БНБ 

Викрадені кошти: $58,60,00,000
Дата: 6 жовтня 22 р

Міст BNB з’єднує стару мережу Binance Beacon і мережу Binance Smart. Хакер скористався вразливістю та зміг викарбувати дві партії 1M BNB кожна — загалом 2M BNB вартістю близько 586 мільйонів доларів на момент злому. 

Ось сценарій нападу. 

Зловмисник показав фальшиві докази депозитів у мережі Binance Beacon. Міст Binance використовував вразливу перевірку IAVL, щоб перевірити докази того, що хакеру вдалося підробити, і продовжити виведення коштів. 
Потім хакер перевів кошти на свій гаманець, поклавши їх на протокол Venus, кредитну платформу BSC, як заставу, замість того, щоб скинути BNB безпосередньо.  

Червоточина

Викрадені кошти: $32,60,00,000
Дата: 2 лютого 22 р

Червоточина, міст між Ethereum і Solana, зазнала втрати 120,000 321 загорнутих ефірів, що на той час становило XNUMX мільйон доларів через експлойт коду. 

Злом стався в Solana шляхом маніпулювання мостом з інформацією про те, що 120 тис. ETH надсилається в ланцюг Ethereum. У результаті хакер міг викарбувати еквівалент 120 тисяч wETH із Solana. 

Зловмисник використовував «SignatureSet» попередньої транзакції, щоб перешкодити механізму перевірки мосту Wormhole, і використав функцію «Verify-signatures» в основному контракті мосту. Розбіжності в 'solana_program::sysvar::instructions' і «solana_program» використовувався користувачем для перевірки адреси, яка містила лише 0.1 ETH. 

Після цього та за допомогою подальшого використання коду хакер шахрайським шляхом викарбував 120 тис. whETH на Solana. 

Кочовий міст

Викрадені кошти: $19,00,00,000
Дата: 1 серпня 22 р

Nomad bridge зазнав фатального удару, ставши гострою мішенню для всіх, хто приєднався до загону хакерів. 

Під час планової модернізації мосту контракт із копією було ініціалізовано з помилкою кодування, яка серйозно вплинула на активи. У контракті адреса 0x00 була встановлена ​​як надійний кореневий, що означало, що всі повідомлення були дійсними за замовчуванням. 

Експлойтна транзакція хакера не вдалася з першої спроби. Однак адреса Tx була скопійована наступними хакерами, які безпосередньо викликали функцію process(), оскільки дійсність позначена як «підтверджена».

Оновлення прочитало значення «повідомлення» 0 (недійсне) як 0x00 і, отже, пройшло перевірку як «перевірено». Це означало, що будь-яка функція process() передавалася як дійсна. 

Тож хакери змогли відмити кошти, виконавши копіювання/вставлення тієї самої функції process() і замінивши попередню адресу експлойтера на свою. 

Цей хаос призвів до витоку 190 мільйонів доларів ліквідності з протоколу мосту. 

Бобове стебло

Викрадені кошти: $18,10,00,000
Дата: 17 квітня 22 р

По суті це була атака на управління, яка змусила хакера отримати 181 мільйон доларів. 

Хакер зміг взяти флеш-позику, достатню для голосування та просування зловмисної пропозиції. 

Послідовність атаки виглядає наступним чином. 

Зловмисники отримали право голосу, взявши миттєву позику, і негайно почали діяти, щоб виконати екстрену зловмисну ​​пропозицію щодо управління. На користь атаки свідчила відсутність затримки у виконанні пропозиції. 

Хакер зробив дві пропозиції. Перша – перерахувати кошти в контракті собі, а наступна пропозиція – перерахувати $250 тис. $BEAN на українську адресу пожертв. 

Викрадені кошти потім використали для погашення кредиту, а решту направили на Торнадо готівкою.

Вінтермут

Викрадені кошти: $16,23,00,000
Дата: 20 вересня 22 р

Гарячий компроміс гаманця призвів до збитків Wintermute у 160 мільйонів доларів. 

Інструмент нецензурної лексики, який використовувався для створення марнославних адрес, мав уразливість. Гарячий гаманець Wintermute і контракт на сховище DeFi мали приватні адреси. Слабкість інструменту Profanity призвела до зламу особистих ключів гарячого гаманця з подальшою крадіжкою коштів. 

Ринки манго

Викрадені кошти: $11,50,00,000
Дата: 11 жовтня 22 р

Ринки Mango впали через атаку маніпуляції цінами, втративши дев’ятизначну суму на ходу. 

Як це відбулося?

Зловмисник вніс понад 5 мільйонів доларів США на Mango Markets і здійснив зустрічну торгівлю з іншого рахунку проти своєї позиції. Це призвело до різкого стрибка ціни на токени MNGO з 0.03 до 0.91 долара. 

Потім зловмисник використовував своє становище як заставу та виводив кошти з пулів ліквідності. Коротше кажучи, маніпуляції та нагнітання ціни токена призвели до краху протоколу.

Міст Гармонії

Викрадені кошти: $10,00,00,000
Дата: 23 червня 22 р

Компанія Harmony bridge потрапила в руки компрометації приватного ключа, після чого втратила 100 мільйонів доларів. Слідкуємо за ходом атаки. 

Harmony bridge використовував 2 із 5 адрес multisig для передачі транзакцій. Зловмиснику вдалося отримати контроль над цими адресами шляхом зламу закритих ключів. Отримавши контроль над двома адресами, хакер зміг здійснити транзакцію, яка вичерпала 100 мільйонів доларів. 

Фей Рарі

Викрадені кошти: $8,00,00,000 
Дата: 1 травня 22 р

Rari використовує складений форк-код, який не відповідає шаблону перевірка-ефект-взаємодія. Неможливість перевірити шаблон призводить до атак повторного входу. 

У цьому шаблоні повторного входу зловмисник погрався з кодом, використовуючи 'call.value' та 'exitMarket' функції. Зловмисник взяв флеш-кредит, щоб позичити ETH, увійшов знову через 'call.value' і подзвонив 'exitMarket' вилучити кошти, надані під заставу. 

Таким чином хакер отримав кошти, взяті за допомогою флеш-кредиту, і залишив собі заставне майно, надане під позику. 

Qubit Finance

Викрадені кошти: $8,00,00,000
Дата: 28 січня 22 р

Qubit дозволяє блокувати кошти в Ethereum і позичати еквівалент на BSC. договірtokenAddress.safeTransferFrom()'  функція була використана в хаку Qubit.

Це дозволило хакеру позичити 77,162 80 qXETH у BSC, не вносячи депозитів ETH на Ethereum. А потім, використовуючи його як заставу для запозичення WETH, BTC-B, стейблкойнів USD тощо, хакер заробив приблизно XNUMX мільйонів доларів США. 

Як грати розумно з Web3 Security?

У 303 році TVL у DeFi досяг свого історичного максимуму в 2021 мільйони доларів. Але постійно зростаюча кількість експлойтів у просторі DeFi спричиняє зниження вартості TVL у 2022 році. Це викликає застереження серйозно поставитися до безпеки Web3. 

Найбільша крадіжка протоколів DeFi сталася через несправний код. На щастя, більш суворий підхід до тестування коду перед розгортанням може значною мірою стримати ці типи атак. 
Оскільки в просторі web3 створюється багато нових проектів, QuillAudits мають намір забезпечити максимальну безпеку для проекту та працювати в інтересах захисту та зміцнення web3 в цілому. Таким чином ми успішно захистили понад 700 проектів Web3 і продовжуємо розширювати сферу захисту простору Web3 за допомогою широкого спектру пропозицій послуг.

11 думки