Огляд та аналіз значних інцидентів безпеки в сфері Децентралізовані фінанси 2022 року
У 2022 році індустрія Web3 пережила низку серйозних інцидентів безпеки, загальні збитки яких склали $4,3 млрд. У цій статті буде надано детальний аналіз восьми з цих типових випадків, більшість з яких пов'язані зі збитками на суму понад 100 мільйонів доларів США, що має важливе попереджувальне значення.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала нападу, внаслідок чого було втрачено близько 590 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали довіру внутрішніх співробітників, внаслідок чого контролювали кілька верифікаційних вузлів, що в кінцевому підсумку призвело до атаки. Цей інцидент виявив серйозні недоліки в безпеці співробітників і внутрішній системі безпеки проекту.
Подія моста Wormhole
Міст Wormhole через використання деяких застарілих функцій має вразливість, яку використали хакери, що призвело до втрати близько 120 тисяч ETH. Це нагадує розробникам, що їм слід своєчасно оновлювати використання останньої версії кодової бази, щоб уникнути безпекових інцидентів через історичні проблеми.
Інцидент на мосту Кочівників
Проблеми з ініціалізацією Nomad Bridge дозволяють зловмисникам витягувати заблоковані кошти через повторне виконання дійсних транзакцій. Ця подія переросла в "драму грабунку", де багато учасників намагалися повторити атакуючі транзакції для отримання прибутку. Це підкреслює безпекові виклики, з якими стикаються відкриті проекти, оскільки будь-яка уразливість може призвести до катастрофічних наслідків.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки за допомогою флеш-кредитів, втративши приблизно 182 мільйони доларів. Зловмисник скористався недоліком у механізмі управління проектом, отримавши велику кількість прав голосу через флеш-кредит, швидко ухваливши та реалізувавши зловмисну пропозицію. Це підкреслює, що якщо механізм децентралізованого управління спроектовано неналежно, його можуть використовувати зловмисники.
Подія Wintermute
Wintermute через використання вразливого інструменту генерації адрес Profanity, втратив приблизно 160 мільйонів доларів США через зламаний приватний ключ. Це нагадує нам про необхідність ретельної оцінки безпеки під час використання відкритих інструментів та підготовки до ризиків.
Подія Harmony Bridge
Кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено понад 100 мільйонів доларів. За повідомленнями, ця атака може бути пов'язана з північнокорейською хакерською групою. Це ще раз підкреслює, що кросчейн мости, як ключова інфраструктура, що з'єднує різні блокчейни, часто стають основними цілями для хакерів.
Подія Ankr
Ankr зіткнувся з внутрішніми шахрайськими діями співробітників, що призвело до масового злого карбування токенів. Це виявило серйозні проблеми в управлінні правами та внутрішньому контролі проекту. Ключові контракти не повинні контролюватися єдиним обліковим записом, а управління ключовими приватними ключами також повинно бути більш суворим.
Події на ринках манго
Mango Markets зазнали атаки на ринку, внаслідок чого втратили приблизно 115 мільйонів доларів. Зловмисники використали проблеми з недостатньою глибиною платформи, маніпулюючи цінами через хеджування з короткими та довгими позиціями. Це підкреслює, що проекти DeFi при проектуванні механізмів торгівлі повинні враховувати всі можливі екстремальні ситуації.
Підсумок
Ці випадки відображають, що у 2022 році безпека DeFi-систем зазнала змін, зокрема, різноманітності методів атак і значних масштабів втрат. Проектам слід посилити аудит коду, вдосконалити механізми управління та підвищити обізнаність працівників щодо безпеки. Користувачі повинні обережно брати участь і ретельно оцінювати ризики проекту. Лише спільними зусиллями всіх сторін можна створити більш безпечну та надійну екосистему DeFi.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
2022 рік Аналіз восьми великих інцидентів безпеки в Децентралізованих фінансах: 4,3 мільярда доларів США втрат як попередження про ризики в галузі
Огляд та аналіз значних інцидентів безпеки в сфері Децентралізовані фінанси 2022 року
У 2022 році індустрія Web3 пережила низку серйозних інцидентів безпеки, загальні збитки яких склали $4,3 млрд. У цій статті буде надано детальний аналіз восьми з цих типових випадків, більшість з яких пов'язані зі збитками на суму понад 100 мільйонів доларів США, що має важливе попереджувальне значення.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала нападу, внаслідок чого було втрачено близько 590 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали довіру внутрішніх співробітників, внаслідок чого контролювали кілька верифікаційних вузлів, що в кінцевому підсумку призвело до атаки. Цей інцидент виявив серйозні недоліки в безпеці співробітників і внутрішній системі безпеки проекту.
Подія моста Wormhole
Міст Wormhole через використання деяких застарілих функцій має вразливість, яку використали хакери, що призвело до втрати близько 120 тисяч ETH. Це нагадує розробникам, що їм слід своєчасно оновлювати використання останньої версії кодової бази, щоб уникнути безпекових інцидентів через історичні проблеми.
Інцидент на мосту Кочівників
Проблеми з ініціалізацією Nomad Bridge дозволяють зловмисникам витягувати заблоковані кошти через повторне виконання дійсних транзакцій. Ця подія переросла в "драму грабунку", де багато учасників намагалися повторити атакуючі транзакції для отримання прибутку. Це підкреслює безпекові виклики, з якими стикаються відкриті проекти, оскільки будь-яка уразливість може призвести до катастрофічних наслідків.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки за допомогою флеш-кредитів, втративши приблизно 182 мільйони доларів. Зловмисник скористався недоліком у механізмі управління проектом, отримавши велику кількість прав голосу через флеш-кредит, швидко ухваливши та реалізувавши зловмисну пропозицію. Це підкреслює, що якщо механізм децентралізованого управління спроектовано неналежно, його можуть використовувати зловмисники.
Подія Wintermute
Wintermute через використання вразливого інструменту генерації адрес Profanity, втратив приблизно 160 мільйонів доларів США через зламаний приватний ключ. Це нагадує нам про необхідність ретельної оцінки безпеки під час використання відкритих інструментів та підготовки до ризиків.
Подія Harmony Bridge
Кросчейн міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено понад 100 мільйонів доларів. За повідомленнями, ця атака може бути пов'язана з північнокорейською хакерською групою. Це ще раз підкреслює, що кросчейн мости, як ключова інфраструктура, що з'єднує різні блокчейни, часто стають основними цілями для хакерів.
Подія Ankr
Ankr зіткнувся з внутрішніми шахрайськими діями співробітників, що призвело до масового злого карбування токенів. Це виявило серйозні проблеми в управлінні правами та внутрішньому контролі проекту. Ключові контракти не повинні контролюватися єдиним обліковим записом, а управління ключовими приватними ключами також повинно бути більш суворим.
Події на ринках манго
Mango Markets зазнали атаки на ринку, внаслідок чого втратили приблизно 115 мільйонів доларів. Зловмисники використали проблеми з недостатньою глибиною платформи, маніпулюючи цінами через хеджування з короткими та довгими позиціями. Це підкреслює, що проекти DeFi при проектуванні механізмів торгівлі повинні враховувати всі можливі екстремальні ситуації.
Підсумок
Ці випадки відображають, що у 2022 році безпека DeFi-систем зазнала змін, зокрема, різноманітності методів атак і значних масштабів втрат. Проектам слід посилити аудит коду, вдосконалити механізми управління та підвищити обізнаність працівників щодо безпеки. Користувачі повинні обережно брати участь і ретельно оцінювати ризики проекту. Лише спільними зусиллями всіх сторін можна створити більш безпечну та надійну екосистему DeFi.