Аналіз великих інцидентів безпеки Децентралізованих фінансів: огляд подій 2022 року

У 2022 році індустрія Web3 зазнала кількох значних інцидентів безпеки, загальна сума яких досягла 4,3 мільярда доларів США. У цій статті буде глибоко проаналізовано вісім典型них випадків, більшість з яких пов'язана з втратами понад 100 мільйонів доларів.

Інцидент на мосту Ронін

У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала атаки, внаслідок якої було втрачено 173600 ETH та 25500000 USD, загальна вартість яких становила близько 625 мільйонів доларів. Атакуючий проник у систему компанії Sky Mavis за допомогою соціальної інженерії, в результаті чого контролював 5 з 9 верифікаційних вузлів, що дозволило реалізувати атаку. Цей інцидент виявив низький рівень обізнаності співробітників компанії щодо безпеки, а також наявність уразливостей в внутрішній системі безпеки.

Подія Wormhole

Wormhole кросчейн міст через помилку в коді перевірки підпису основного контракту на Solana, дозволив зловмиснику підробити повідомлення "опікуна" для випуску упакованого ETH, що призвело до втрати приблизно 120 000 ETH. Ця проблема виникла через використання застарілої функції, що нагадує розробникам про необхідність своєчасно оновлювати використання останніх версій, щоб уникнути подібних проблем.

Інцидент на мосту Кочівників

Міст Nomad зазнав збитків у розмірі близько 190 мільйонів доларів через проблеми з налаштуваннями ініціалізації, що дозволило зловмисникам конструювати будь-які повідомлення для вилучення заблокованих коштів. Ця подія перетворилася на "битву за гроші", в якій близько 41 адреса отримали прибуток у розмірі 152 мільйони доларів, серед яких були MEV-роботи, хакери та білий капелюх хакери. Це підкреслює виклики безпеки, з якими стикаються проекти з відкритим кодом, оскільки будь-яка вразливість може призвести до провалу проекту.

Подія Beanstalk

Проект алгоритмічних стабільних монет Beanstalk зазнав атаки з використанням миттєвих позик, втративши близько 182 мільйонів доларів. Зловмисник скористався вразливістю механізму пропозицій проекту, отримавши велику кількість голосів через миттєву позику, щоб просунути зловмисну пропозицію та негайно її виконати. Це відображає ризики, які можуть існувати в чисто децентралізованих механізмах управління, і нагадує сторонам проекту про необхідність серйозно розглянути механізми перевірки пропозицій, розподіл ваги голосування та безпекові заходи, такі як часові замки.

Подія Wintermute

Маркет-мейкер Wintermute зазнав великих фінансових втрат через використання вразливого інструменту для генерування адрес Profanity, що призвело до компрометації приватного ключа власника контракту. Це нагадує проектам про необхідність проведення належної оцінки безпеки при використанні відкритих інструментів.

Подія Harmony Bridge

Міст Horizon втратив понад 100 мільйонів доларів, ймовірно, через витік приватного ключа. Аналіз показує, що цей інцидент може бути пов'язаний з північнокорейською хакерською групою Lazarus Group, чий метод атаки схожий на інцидент з Ronin Bridge.

Подія Ankr

Ankr зазнала внутрішніх зловживань, що призвело до масового випуску та продажу токенів, що, своєю чергою, викликало ланцюгову реакцію, що вплинула на інші пов'язані проекти. Це виявило серйозні недоліки проекту в управлінні правами, мультипідпису та внутрішній системі безпеки.

Подія Mango

Трейдер скористався вразливістю платформи Mango, пов'язаною з нестачею ліквідності для малих монет, маніпулюючи ціною монет з метою отримання прибутку та завдаючи величезних збитків платформі. Ця подія знаходиться між вразливістю безпеки та арбітражною діяльністю, що відображає необхідність врахування різних екстремальних ситуацій під час проектування бізнес-моделі.

Ці випадки попереджають нас, що проекти Web3 стикаються з багатьма безпековими викликами. Розробники проектів повинні посилити захист безпеки на кількох рівнях, таких як аудит коду, управління доступом, бізнес-логіка тощо. Водночас користувачі, беручи участь у проектах, також повинні бути насторожі та всебічно оцінювати потенційні ризики.