Обзор инцидентов безопасности в Децентрализованных финансах: Анализ крупных аварий 2022 года
В 2022 году отрасль Web3 столкнулась с несколькими крупными инцидентами безопасности, общая сумма которых составила 4,3 миллиарда долларов. В этой статье будет подробно проанализировано восемь типичных случаев, большинство из которых связано с потерями более 100 миллионов долларов.
Событие Ronin Bridge
В марте 2022 года сайдчейн Axie Infinity Ronin Network был взломан, в результате чего было потеряно 173600 ETH и 25500000 USD, общая стоимость около 625 миллионов долларов. Злоумышленники проникли в систему компании Sky Mavis с помощью социальных инженерных методов и в конечном итоге контролировали 5 из 9 узлов проверки, что позволило им осуществить атаку. Этот инцидент выявил проблемы, связанные с низким уровнем безопасности среди сотрудников компании и наличием уязвимостей в внутренней системе безопасности.
Событие Wormhole
Кросс-чейн мост Wormhole пострадал из-за ошибки в коде проверки подписи основного контракта на Solana, что позволило злоумышленникам подделать сообщения "опекунов" и создать обернутый ETH, что привело к потере около 120 000 ETH. Эта проблема возникла из-за использования устаревшей функции, что напоминает разработчикам о необходимости своевременно обновлять свои проекты, чтобы избежать подобных проблем.
Событие Nomad Bridge
Мост Nomad потерпел убытки в размере около 190 миллионов долларов из-за проблем с инициализацией, что позволило злоумышленникам создать произвольные сообщения для извлечения заблокированных средств. Это событие стало "битвой за деньги", в которой около 41 адреса получили прибыль в 152 миллиона долларов, включая MEV-роботов, хакеров и белых хакеров. Это подчеркивает проблемы безопасности, с которыми сталкиваются проекты с открытым исходным кодом; появление уязвимости может привести к провалу проекта.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-кредита, в результате чего убытки составили около 182 миллионов долларов. Злоумышленник воспользовался уязвимостью механизма предложений проекта, получив с помощью флеш-кредита значительное количество голосов для принятия злонамеренного предложения и его немедленного выполнения. Это отражает риски, которые могут существовать в чисто децентрализованной системе управления, и подчеркивает необходимость тщательного рассмотрения механизмов проверки предложений, распределения веса голосов и мер безопасности, таких как временные замки.
Событие Wintermute
Маркет-мейкер Wintermute потерял большие суммы из-за того, что использовал инструмент генерации адресов Profanity с уязвимостями, что привело к компрометации закрытого ключа владельца контракта. Это напоминает проектам о необходимости проводить тщательную оценку безопасности при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Хоризонтальный кросс-чейн мост потерял более 100 миллионов долларов, вероятно, из-за утечки приватного ключа. Анализ показывает, что это событие может быть связано с северокорейской хакерской группой Lazarus Group, чьи методы атаки похожи на инцидент с Ronin Bridge.
Событие Ankr
Ankr столкнулся с внутренними злоупотреблениями, что привело к массовому мошенническому созданию и распродаже токенов, что, в свою очередь, вызвало цепную реакцию, затрагивающую другие связанные проекты. Это выявило серьезные недостатки проекта в области управления правами, многоподписей и внутренней безопасности.
Событие Mango
Трейдер воспользовался уязвимостью недостаточной ликвидности мелких монет на платформе Mango, манипулируя ценами на монеты для получения прибыли и нанося платформе огромные убытки. Этот инцидент находится на грани между уязвимостью безопасности и арбитражными действиями, что подчеркивает необходимость учета различных экстремальных ситуаций при проектировании бизнес-моделей.
Эти примеры предупреждают нас о том, что проекты Web3 сталкиваются с многообразными проблемами безопасности. Команды проектов должны усиливать защиту на нескольких уровнях, таких как аудит кода, управление правами и бизнес-логика. В то же время пользователи, участвуя в проектах, должны сохранять бдительность и всесторонне оценивать потенциальные риски.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
22 Лайков
Награда
22
5
Репост
Поделиться
комментарий
0/400
GhostInTheChain
· 07-09 19:33
Все те же ловушки, которые не удается украсть.
Посмотреть ОригиналОтветить0
GateUser-bd883c58
· 07-09 15:42
一年被 разыгрывайте людей как лохов 43个亿 裂开了
Посмотреть ОригиналОтветить0
RugpullTherapist
· 07-06 22:07
Не хочу говорить, без слов.
Посмотреть ОригиналОтветить0
TooScaredToSell
· 07-06 22:05
Снова видим, как проект разыгрывают людей как лохов
Обзор крупных инцидентов безопасности DeFi в 2022 году: глубокий анализ 8 типичных случаев
Обзор инцидентов безопасности в Децентрализованных финансах: Анализ крупных аварий 2022 года
В 2022 году отрасль Web3 столкнулась с несколькими крупными инцидентами безопасности, общая сумма которых составила 4,3 миллиарда долларов. В этой статье будет подробно проанализировано восемь типичных случаев, большинство из которых связано с потерями более 100 миллионов долларов.
Событие Ronin Bridge
В марте 2022 года сайдчейн Axie Infinity Ronin Network был взломан, в результате чего было потеряно 173600 ETH и 25500000 USD, общая стоимость около 625 миллионов долларов. Злоумышленники проникли в систему компании Sky Mavis с помощью социальных инженерных методов и в конечном итоге контролировали 5 из 9 узлов проверки, что позволило им осуществить атаку. Этот инцидент выявил проблемы, связанные с низким уровнем безопасности среди сотрудников компании и наличием уязвимостей в внутренней системе безопасности.
Событие Wormhole
Кросс-чейн мост Wormhole пострадал из-за ошибки в коде проверки подписи основного контракта на Solana, что позволило злоумышленникам подделать сообщения "опекунов" и создать обернутый ETH, что привело к потере около 120 000 ETH. Эта проблема возникла из-за использования устаревшей функции, что напоминает разработчикам о необходимости своевременно обновлять свои проекты, чтобы избежать подобных проблем.
Событие Nomad Bridge
Мост Nomad потерпел убытки в размере около 190 миллионов долларов из-за проблем с инициализацией, что позволило злоумышленникам создать произвольные сообщения для извлечения заблокированных средств. Это событие стало "битвой за деньги", в которой около 41 адреса получили прибыль в 152 миллиона долларов, включая MEV-роботов, хакеров и белых хакеров. Это подчеркивает проблемы безопасности, с которыми сталкиваются проекты с открытым исходным кодом; появление уязвимости может привести к провалу проекта.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-кредита, в результате чего убытки составили около 182 миллионов долларов. Злоумышленник воспользовался уязвимостью механизма предложений проекта, получив с помощью флеш-кредита значительное количество голосов для принятия злонамеренного предложения и его немедленного выполнения. Это отражает риски, которые могут существовать в чисто децентрализованной системе управления, и подчеркивает необходимость тщательного рассмотрения механизмов проверки предложений, распределения веса голосов и мер безопасности, таких как временные замки.
Событие Wintermute
Маркет-мейкер Wintermute потерял большие суммы из-за того, что использовал инструмент генерации адресов Profanity с уязвимостями, что привело к компрометации закрытого ключа владельца контракта. Это напоминает проектам о необходимости проводить тщательную оценку безопасности при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Хоризонтальный кросс-чейн мост потерял более 100 миллионов долларов, вероятно, из-за утечки приватного ключа. Анализ показывает, что это событие может быть связано с северокорейской хакерской группой Lazarus Group, чьи методы атаки похожи на инцидент с Ronin Bridge.
Событие Ankr
Ankr столкнулся с внутренними злоупотреблениями, что привело к массовому мошенническому созданию и распродаже токенов, что, в свою очередь, вызвало цепную реакцию, затрагивающую другие связанные проекты. Это выявило серьезные недостатки проекта в области управления правами, многоподписей и внутренней безопасности.
Событие Mango
Трейдер воспользовался уязвимостью недостаточной ликвидности мелких монет на платформе Mango, манипулируя ценами на монеты для получения прибыли и нанося платформе огромные убытки. Этот инцидент находится на грани между уязвимостью безопасности и арбитражными действиями, что подчеркивает необходимость учета различных экстремальных ситуаций при проектировании бизнес-моделей.
Эти примеры предупреждают нас о том, что проекты Web3 сталкиваются с многообразными проблемами безопасности. Команды проектов должны усиливать защиту на нескольких уровнях, таких как аудит кода, управление правами и бизнес-логика. В то же время пользователи, участвуя в проектах, должны сохранять бдительность и всесторонне оценивать потенциальные риски.