2022 рік Огляд та аналіз інцидентів безпеки Децентралізовані фінанси
Протягом минулого року індустрія Web3 зазнала кількох значних інцидентів безпеки, що призвели до величезних фінансових втрат. За статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, сукупна сума яких становила до 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких призвела до втрат понад 100 мільйонів доларів, що має важливу референтну цінність.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала атаки, в результаті якої було викрадено 17,36 мільйонів ETH і 25,5 мільйонів доларів, загальна вартість яких становила близько 625 мільйонів доларів. Хакери через соціальну інженерію отримали інформацію про співробітників, в результаті чого контролювали кілька верифікаційних вузлів, що врешті-решт призвело до атаки. Ця подія виявила недостатню обізнаність співробітників щодо безпеки, а також наявність вразливостей у внутрішній системі безпеки компанії.
Подія Wormhole
Міст Wormhole між мережами через помилку в коді перевірки підпису контракту на стороні Solana дозволив зловмисникам підробити повідомлення та випустити близько 120 тисяч ETH. Ця проблема в основному виникла через використання деяких застарілих функцій, що нагадує розробникам про необхідність своєчасно оновлювати використання останніх версій, щоб уникнути подібних проблем.
Інцидент з мостом Nomad
Неправильне налаштування довіреного кореня при ініціалізації кросчейн-мосту Nomad та несвоєчасне анулювання старого кореня призвели до того, що зловмисники змогли створити будь-яке повідомлення для викрадення коштів, завдавши збитків на понад 190 мільйонів доларів. Ця подія перетворилася на хаос із боротьбою багатьох сторін за кошти, що виявило безпекові виклики, з якими стикаються проєкти з відкритим вихідним кодом.
Подія Beanstalk
Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через флеш-кредит, втративши приблизно 182 мільйони доларів. Зловмисник скористався вразливістю механізму управління проектом, отримавши велику кількість голосів через флеш-кредит, швидко прийнявши та реалізувавши шкідливу пропозицію. Ця подія виявила потенційні ризики, що існують у децентралізованому управлінні.
Подія Wintermute
Маркет-мейкер Wintermute був зламаний через використання уразливого інструменту генерації адрес Profanity, що призвело до компрометації приватного ключа та крадіжки коштів. Це нагадує нам про необхідність обережності при використанні відкритих інструментів та проведення належної оцінки безпеки.
Подія Harmony Bridge
Міст Horizon від Harmony зазнав атаки, збитки перевищують 100 мільйонів доларів. Повідомляється, що це сталося через витік приватного ключа, ймовірно, пов'язано з північнокорейською хакерською організацією. Це ще раз підкреслює безпекові виклики, з якими стикаються крос-лінкові мости як популярні цілі атак.
Подія Ankr
Проект Ankr зазнав атаки, внаслідок чого було незаконно випущено велику кількість aBNBc. Ця подія виявила серйозні проблеми з управлінням правами доступу в проекті, такі як неналежне управління ключовими приватними ключами, відсутність механізму багатопідпису тощо.
Інцидент Mango
Децентралізована торгова платформа Mango зазнала атаки ринкового маніпулятора, який через маніпуляцію цінами малокапіталізованих токенів отримав прибуток з безстрокових контрактів і позичив велику кількість коштів. Ця подія виявила потенційні вразливості в дизайні бізнес-моделей проектів DeFi.
Ці випадки надали цінні уроки для безпечного дизайну проектів Децентралізовані фінанси та участі користувачів. Проектам слід всебічно враховувати різні екстремальні ситуації та посилити тестування безпеки; користувачі, у свою чергу, повинні, звертаючи увагу на прибуток, також повністю оцінити безпеку проекту та потенційні ризики.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
2022 рік огляд подій безпеки в Децентралізовані фінанси: аналіз 8 великих випадків втрат та висновки
2022 рік Огляд та аналіз інцидентів безпеки Децентралізовані фінанси
Протягом минулого року індустрія Web3 зазнала кількох значних інцидентів безпеки, що призвели до величезних фінансових втрат. За статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, сукупна сума яких становила до 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких призвела до втрат понад 100 мільйонів доларів, що має важливу референтну цінність.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала атаки, в результаті якої було викрадено 17,36 мільйонів ETH і 25,5 мільйонів доларів, загальна вартість яких становила близько 625 мільйонів доларів. Хакери через соціальну інженерію отримали інформацію про співробітників, в результаті чого контролювали кілька верифікаційних вузлів, що врешті-решт призвело до атаки. Ця подія виявила недостатню обізнаність співробітників щодо безпеки, а також наявність вразливостей у внутрішній системі безпеки компанії.
Подія Wormhole
Міст Wormhole між мережами через помилку в коді перевірки підпису контракту на стороні Solana дозволив зловмисникам підробити повідомлення та випустити близько 120 тисяч ETH. Ця проблема в основному виникла через використання деяких застарілих функцій, що нагадує розробникам про необхідність своєчасно оновлювати використання останніх версій, щоб уникнути подібних проблем.
Інцидент з мостом Nomad
Неправильне налаштування довіреного кореня при ініціалізації кросчейн-мосту Nomad та несвоєчасне анулювання старого кореня призвели до того, що зловмисники змогли створити будь-яке повідомлення для викрадення коштів, завдавши збитків на понад 190 мільйонів доларів. Ця подія перетворилася на хаос із боротьбою багатьох сторін за кошти, що виявило безпекові виклики, з якими стикаються проєкти з відкритим вихідним кодом.
Подія Beanstalk
Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через флеш-кредит, втративши приблизно 182 мільйони доларів. Зловмисник скористався вразливістю механізму управління проектом, отримавши велику кількість голосів через флеш-кредит, швидко прийнявши та реалізувавши шкідливу пропозицію. Ця подія виявила потенційні ризики, що існують у децентралізованому управлінні.
Подія Wintermute
Маркет-мейкер Wintermute був зламаний через використання уразливого інструменту генерації адрес Profanity, що призвело до компрометації приватного ключа та крадіжки коштів. Це нагадує нам про необхідність обережності при використанні відкритих інструментів та проведення належної оцінки безпеки.
Подія Harmony Bridge
Міст Horizon від Harmony зазнав атаки, збитки перевищують 100 мільйонів доларів. Повідомляється, що це сталося через витік приватного ключа, ймовірно, пов'язано з північнокорейською хакерською організацією. Це ще раз підкреслює безпекові виклики, з якими стикаються крос-лінкові мости як популярні цілі атак.
Подія Ankr
Проект Ankr зазнав атаки, внаслідок чого було незаконно випущено велику кількість aBNBc. Ця подія виявила серйозні проблеми з управлінням правами доступу в проекті, такі як неналежне управління ключовими приватними ключами, відсутність механізму багатопідпису тощо.
Інцидент Mango
Децентралізована торгова платформа Mango зазнала атаки ринкового маніпулятора, який через маніпуляцію цінами малокапіталізованих токенів отримав прибуток з безстрокових контрактів і позичив велику кількість коштів. Ця подія виявила потенційні вразливості в дизайні бізнес-моделей проектів DeFi.
Ці випадки надали цінні уроки для безпечного дизайну проектів Децентралізовані фінанси та участі користувачів. Проектам слід всебічно враховувати різні екстремальні ситуації та посилити тестування безпеки; користувачі, у свою чергу, повинні, звертаючи увагу на прибуток, також повністю оцінити безпеку проекту та потенційні ризики.