Децентрализирани финанси (Актив) протоколите предлагат децентрализирани финансови услуги на потребителите, позволявайки им да извършват транзакции и да сключват споразумения с други участници. Въпреки че DeFi протоколите имат за цел да осигурят сигурна и надеждна платформа за своите потребители, няколко експлойта през последните няколко години причиниха значителни загуби на средства. Тази статия ще обсъди някои от най-мащабните експлойти на DeFi, които се случиха наскоро.
Ето 8-те най-добри експлойта на крипто DeFi в Web3 след приспадане на върнатите средства:
Верига Ronin – 600 милиона долара
Март 2023 г. беше пълен със събития месец за пространството на криптовалутите, като хакът на Axie Infinity Ronin bridge оглави списъка с 612 милиона долара.
Мостът Ронин е Ethereum странична верига, използвана в популярната игра play-to-earn Axie Infinity.
Групата за киберпрестъпност Lazarus, за която се подозира, че има връзки със Северна Корея, успя да получи достъп до девет частни ключа на валидатори на транзакции, което им позволи да одобрят две големи транзакции и да преместят средствата от адреса на портфейла си. За щастие, сътрудничеството между властите, охранителните фирми и борсите за криптовалути успя да помогне за проследяването на някои от тези средства, след като хакерите ги насочиха към Tornado cash – крипто тумблер с отворен код – и други борси.
Wormhole bridge – 323 милиона долара
През февруари 2022 г. се случи нещастен инцидент, когато крипто хакери използваха кода на червеева дупка, за да излетят с крипто на стойност 326 милиона долара.
Червеевата дупка е символичен мост между Solana и Ethereum, който за съжаление не успя да предотврати атаката. Това стана възможно благодарение на остаряла/мъртва несигурна функция, която заобиколи проверката на подписа и активира веригата от делегирани подписи.
Експерти в кибер защита предполагат, че разработчиците биха могли да предотвратят атаката, ако са практикували „сигурни практики за кодиране“, където трябва да проверят всички параметри. Проверката можеше да гарантира удостоверяването на валидни адреси и по този начин да изключи достъпа на нелегитимни източници до активи по веригата.
Beanstalk – 181 милиона долара
В един съдбовен уикенд през април 2022 г. хакер отприщи атака, която разтърси крипто общността. Използвайки бърз заем – характеристика на протоколите за децентрализирано финансиране (DeFi) – те успяха да откраднат $182 милиона в ETH, стабилни монети BEAN и други активи от протокола стабилни монети Beanstalk.
Хакерите представиха две злонамерени предложения на Beanstalk DAO чрез неговата функция за спешно ангажиране, която изисква ⅔ гласуване преди внедряване след 24 часа. Нападателят използва технология за флаш заем, за да получи контрол над 79% от токените, за да премине и двете предложения и да изпълни плана си успешно.
Средствата бяха изпратени от рамките на протокола за изплащане на бързия заем, като остатъкът отиде на адрес, свързан с базиран в Украйна спешен фонд. Общо до 76 милиона долара са взети от лицето, отговорно за този смел акт.
Nomad – 155 милиона долара
Объркващото хакване на Nomad bridge направи заглавия, когато се случи на 1 август 2022 г. То шокира мнозина blockchain ентусиасти като нападатели се възползваха от уязвимостта, за да източат активи, базирани на Ethereum, на стойност над $190 милиона, съхранявани в многоверижния крос-мост.
Хакерите действаха бързо и яростно, със стотици портфейли, ангажирани с 960 транзакции, водещи до 1,175 индивидуални тегления от Total Value Locked (TVL) на моста. Всичко в рамките на часове.
Объркващ аспект на този хак беше, че всичко, което потребителите трябваше да направят, за да хакнат мостови фондове, беше да копират и поставят оригиналните данни за повикване на транзакция на хакера, да заменят оригиналния адрес с личен и транзакцията щеше да завърши.
Хакът предизвика шок в общността на децентрализираните финанси (DeFi), доказвайки, че хакерите остават една крачка напред, когато използват вратички в кода. Мостът Nomad предоставя илюстративен пример, демонстриращ важността на защитените практики за кодиране и потвърждава защо сигурността остава постоянно предизвикателство за блокчейн проектите днес.
CREAM Finance – $130.8 млн
Въпреки че атаката срещу CREAM през октомври 2021 г. беше един от най-големите кражби на бързи заеми, това със сигурност не беше изолиран инцидент. Атаките с бърз заем включват използване на „бърз заем“ на ликвидност, вземане на заеми и неизпълнение на това бързо финансиране, всичко това в рамките на една транзакция.
Използвайки грешки в ценообразуването, хакерите могат бързо да спечелят от своите заеми. Например, в случая на CREAM, два различни адреса взаимодействаха с неговия yUSDVault, за да изсекат голям брой crYUSD токени. Те се възползваха от уязвимост, която би удвоила стойността на тези акции. Въпреки че успешно осигуриха средства на стойност 130 милиона долара, наличното обезпечение от ~ 1 милиард долара може да отнеме много повече от тази сума.
Атаките с флаш заем стават все по-разпространени и общността трябва да задава въпроси за това как може да предотврати по-нататъшни пробиви в сигурността в бъдеще.
BSC център за токени – $127 млн
През октомври 2022 г. хакери, използващи критична уязвимост в кръстосания код на BSC Beacon, измъкнаха крипто активи на обща стойност 570 милиона долара.
Веригата BSc Beacon, известна още като Token Hub, е междуверижен мост, свързващ BNB Beacon Chain (BEP2) и BNB Chain (BEP20/BSC).
Хакерът наистина е фалшифицирал криптографски доказателства, наречени Merkle proofs, предназначени да потвърдят валидността на данни като транзакции. На свой ред те използваха тези фалшиви доказателства на Merkle, за да прехвърлят средства от моста BSC Beacon към други вериги.
Веднага след като Tether блокира адреса на нападателите, последваха бързи действия с над 7 милиона долара, преместени от веригата на BNB, замразени, конфискувайки повечето от техните неправомерно придобити средства.
Harmony Horizon – 100 милиона долара
През юни 2022 г. проектът Harmony Horizon Bridge беше компрометиран, когато хакери откраднаха два от неговите пет частни ключа за валидатор, позволявайки на измамници да прехвърлят токени на стойност 100 милиона долара.
Този проблем със сигурността се дължи на начина, по който мостът е бил настроен, със схема за валидиране 2 от 5. В резултат на това атакуващият се нуждаеше само от две одобрения, за да бъде валидирана всяка злонамерена транзакция. За да прикрият следите си, нападателите са използвали Tornado Cash, за да изперат част от своите неправомерно спечелени печалби.
Въпреки че първоначално тази настройка може да е изглеждала сигурна, тя се оказа доходоносна цел за лоши актьори и скъп урок по безопасност на блокчейн за хванатите.
Rari - 91 милиона долара
Атаките за повторно влизане съществуват от първите дни на Ethereum. Те са използвали уязвимостите на договора, за да теглят многократно средства, преди първоначалната транзакция да бъде одобрена или отхвърлена.
През май 2022 г. две децентрализирани финансови платформи бяха компрометирани по този начин, като хакери откраднаха 90 милиона долара. Джак Лонгарзо от Rari Capital каза, че нападателят е експлоатирал компанията, а Fei Protocol, която се сля с Rari Capital, предложи на хакера награда от 10 милиона долара.
Компанията за сигурност на блокчейн BlockSec обясни, че хакерите са използвали уязвимост при повторно влизане.
Разработчиците могат да предотвратят тези типове атаки чрез правилно тестване и одит на договори преди внедряване в блокчейна на Ethereum.
Как да се предпазите от DeFi подвизи
DeFi протоколите стават все по-популярни и сложни, което ги прави привлекателни цели за хакери. Следват седем съвета, които ще ви помогнат да се предпазите от DeFi подвизи:
- Извършете задълбочена проверка на всеки проект, преди да инвестирате. Проверете кода на платформата, уебсайта, членовете на екипа и социалните канали за червени знамена.
- Уверете се, че доверен източник одитира договорите, с които взаимодействате, и че резултатите от одита са публично достъпни.
- Не съхранявайте големи количества средства в един DeFi договор, което го прави по-уязвим за атаки.
- Бъдете в течение с най-новите новини за сигурността, за да научите за нови експлойти.
- Приложете правилни процедури за удостоверяване и оторизация за всички акаунти, които взаимодействат с DeFi протоколи.
- Уверете се, че портфейлът ви е защитен и използвайте двуфакторно удостоверяване, когато е възможно.
- Редовно наблюдавайте вашите средства и транзакции в блокчейна, за да откриете подозрителна дейност или неразрешени тегления.
Следването на тези съвети може да ви помогне да се предпазите от експлойти на DeFi и да гарантирате, че вашите средства са в безопасност, когато взаимодействате с децентрализирани финансови протоколи. Важно е обаче да запомните, че никоя система не е безпогрешна, така че винаги е най-добрата практика да сте особено внимателни, когато работите с цифрови активи.
Заключение
Като цяло сигурността е едно от най-важните съображения при работа с криптовалути и DeFi протоколи. За съжаление, тъй като индустрията продължава да расте, нарастват и рисковете от злонамерена дейност. Въпреки че е невъзможно да се гарантира пълна безопасност, следването на тези съвети може да ви помогне да се предпазите от DeFi подвизи и да запазите средствата си сигурни.
Като сте в крак с най-новите разработки в сигурността на блокчейн и гарантирате, че са налице правилни процедури за удостоверяване за всички акаунти, можете да помогнете да гарантирате, че вашите цифрови активи остават в безопасност.
Източник: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/