Financije

Kako spriječiti slične sigurnosne provale – Cryptopolitan

02/28/2023
Bitcoin Ethereum vijesti

Decentralizirane financije (defi) protokoli nude decentralizirane financijske usluge korisnicima, omogućujući im obavljanje transakcija i sklapanje ugovora s drugim sudionicima. Iako DeFi protokoli imaju za cilj pružiti sigurnu i pouzdanu platformu za svoje korisnike, nekoliko iskorištavanja u posljednjih nekoliko godina uzrokovalo je značajne gubitke sredstava. U ovom će se članku raspravljati o nekim od najopsežnijih iskorištavanja DeFi-ja koja su se nedavno dogodila.

Evo 8 najboljih kripto DeFi eksploatacija u Web3 nakon odbitka vraćenih sredstava:

Lanac Ronin – 600 milijuna dolara

Ožujak 2023. bio je mjesec pun događaja za prostor kriptovaluta, s Axie Infinity Ronin bridge hackom koji je bio na vrhu popisa sa 612 milijuna dolara.

Roninov most je Ethereum bočni lanac koji se koristi u popularnoj play-to-earn igri Axie Infinity.

Skupina za kibernetički kriminal Lazarus, za koju se sumnja da ima veze sa Sjevernom Korejom, uspjela je dobiti pristup privatnim ključevima devet validatora transakcija, što im je omogućilo da odobre dvije velike transakcije i premjeste sredstva s adrese svog novčanika. Srećom, suradnja između vlasti, sigurnosnih tvrtki i mjenjačnica kriptovaluta uspjela je pomoći u pronalaženju nekih od tih sredstava nakon što su ih hakeri prebacili u Tornado cash – kripto mjenjač otvorenog koda – i druge mjenjačnice.

Most crvotočine – 323 milijuna dolara

U veljači 2022. dogodio se nesretni incident kada su kripto hakeri iskoristili kod crvotočine kako bi uzeli kriptovalutu vrijednu 326 milijuna dolara.

Crvotočina je simbolični most između Solane i Ethereuma, koji nažalost nije uspio spriječiti napad. Omogućila ga je zastarjela/mrtva nesigurna funkcija koja je zaobišla provjeru potpisa i omogućila lanac delegiranja potpisa.

Stručnjaci za cyber sigurnosti sugeriraju da su programeri mogli spriječiti napad da su prakticirali 'prakse sigurnog kodiranja' gdje su morali provjeriti sve parametre. Provjera je mogla osigurati autentifikaciju valjanih adresa i tako isključiti nelegitimne izvore od pristupa imovini u lancu.

Slika

Stabljika graha – 181 milijun dolara

Kobnog vikenda u travnju 2022., haker je izveo napad koji je uzdrmao kripto zajednicu. Koristeći flash zajam – značajku protokola za decentralizirano financiranje (DeFi) – uspjeli su ukrasti 182 milijuna dolara u ETH, BEAN stablecoinu i drugoj imovini iz Beanstalk stablecoin protokola.

Hakeri su predstavili dva zlonamjerna prijedloga Beanstalk DAO-u putem njegove funkcije hitne predaje, koja zahtijeva ⅔ glasa prije implementacije nakon 24 sata. Napadač je upotrijebio tehnologiju flash posudbe kako bi stekao kontrolu nad 79% tokena kako bi prošao oba prijedloga i uspješno izvršio svoj plan.

Sredstva su poslana unutar protokola za otplatu brzog zajma, a ostatak je otišao na adresu povezanu s hitnim fondom sa sjedištem u Ukrajini. Ukupno je pojedinac odgovoran za ovaj hrabri čin uzeo do 76 milijuna dolara.

Nomad – 155 milijuna dolara

Zbunjujuće hakiranje Nomad bridgea dospjelo je na naslovnice kada se dogodilo 1. kolovoza 2022. Šokiralo je mnoge blockchain entuzijasti kao napadači iskoristili su ranjivost za iscrpljivanje imovine temeljene na Ethereumu u vrijednosti od preko 190 milijuna dolara pohranjene u višelančanom križnom mostu.

Hakeri su djelovali brzo i žestoko, sa stotinama novčanika uključenih u 960 transakcija što je rezultiralo 1,175 pojedinačnih povlačenja s Total Value Locked (TVL) mosta. Sve u roku od nekoliko sati.

Zbunjujući aspekt ovog hakiranja bio je taj da je sve što su korisnici morali učiniti da bi hakirali sredstva za premošćivanje bilo kopirati-zalijepiti izvorne podatke o pozivu transakcije hakera, zamijeniti originalnu adresu osobnom i transakcija bi se dovršila.

Hakiranje je izazvalo šok u zajednici decentraliziranih financija (DeFi), dokazujući da hakeri ostaju korak ispred kada iskorištavaju rupe u kodu. Nomad bridge daje ilustrativan primjer koji pokazuje važnost sigurne prakse kodiranja i potvrđuje zašto sigurnost ostaje stalni izazov za blockchain projekte danas.

CREAM Finance – 130.8 milijuna dolara

Iako je napad na CREAM u listopadu 2021. bio jedna od najvećih pljački brzih kredita, to sigurno nije bio izolirani incident. Napadi na brzi zajam uključuju korištenje 'brzog zajma' likvidnosti, posuđivanje i neplaćanje ovog brzog financiranja, sve unutar jedne transakcije.

Iskorištavanjem pogrešaka u izračunu cijena hakeri mogu brzo profitirati od svojih posudbi. Na primjer, u slučaju CREAM-a, dvije različite adrese komunicirale su s njegovim yUSDVaultom kako bi iskovale veliki broj crYUSD tokena. Iskoristili su ranjivost koja bi udvostručila vrijednost ovih dionica. Iako su uspješno osigurali sredstva u vrijednosti od 130 milijuna dolara, ~1 milijarda dolara dostupnog kolaterala mogla bi potrajati mnogo više od ovog iznosa. 

Napadi na brze zajmove postaju sve češći i zajednica bi trebala postaviti pitanja o tome kako spriječiti daljnja kršenja sigurnosti u budućnosti.

BSC token hub – 127 milijuna dolara

U listopadu 2022. hakeri koji su iskoristili kritičnu ranjivost u BSC Beacon cross-bridge kodu odnijeli su kripto imovinu u ukupnom iznosu od 570 milijuna dolara.

BSc Beacon lanac, poznat i kao Token Hub, međulanac je most koji povezuje BNB Beacon lanac (BEP2) i BNB lanac (BEP20/BSC).

Haker je krivotvorio kriptografske dokaze nazvane Merkle dokazi koji su trebali potvrditi valjanost podataka kao što su transakcije. Zauzvrat su koristili te lažne Merkleove dokaze za prijenos sredstava s BSC Beacon prijelaznog mosta na druge lance.

Čim je Tether stavio adresu napadača na popis za blokiranje, uslijedila je brza akcija sa zamrzavanjem preko 7 milijuna dolara iz lanca BNB-a, konfisciranjem većine njihovih nezakonito stečenih sredstava.

Harmony Horizon – 100 milijuna dolara

U lipnju 2022. projekt Harmony Horizon Bridge bio je ugrožen kada su hakeri ukrali dva od njegovih pet privatnih ključeva validatora, omogućivši prevarantima prijenos tokena u vrijednosti od 100 milijuna dolara.

Ovaj sigurnosni problem nastao je zbog načina na koji je most postavljen, sa shemom provjere valjanosti 2 od 5. Kao rezultat toga, napadaču su bila potrebna samo dva odobrenja za provjeru bilo koje zlonamjerne transakcije. Kako bi prikrili tragove, napadači su koristili Tornado Cash kako bi oprali dio svoje nezakonito stečene dobiti. 

Iako se ova postavka možda u početku činila sigurnom, pokazala se unosnom metom za loše aktere i skupom lekcijom o sigurnosti blockchaina za one koji su uhvaćeni.

Rari - 91 milijun dolara

Napadi ponovnog ulaska prisutni su od ranih dana Ethereuma. Iskoristili su ranjivosti ugovora za opetovano povlačenje sredstava prije nego što je izvorna transakcija odobrena ili odbijena.

U svibnju 2022. dvije decentralizirane financijske platforme bile su kompromitirane na ovaj način, a hakeri su ukrali 90 milijuna dolara. Jack Longarzo iz Rari Capitala rekao je da je napadač iskoristio tvrtku, a Fei Protocol, koji se spojio s Rari Capitalom, ponudio je hakeru nagradu od 10 milijuna dolara.

Sigurnosna tvrtka Blockchain BlockSec objasnila je da su hakeri koristili ranjivost ponovnog ulaska. 

Programeri mogu spriječiti ove vrste napada pravilnim testiranjem i revizijom ugovora prije postavljanja na Ethereum blockchain.

Kako se zaštititi od DeFi exploita

DeFi protokoli postali su sve popularniji i složeniji, što ih čini atraktivnim metama za hakere. Slijedi sedam savjeta koji će vam pomoći da se zaštitite od iskorištavanja DeFi-ja:

  1. Provedite temeljitu dubinsku analizu bilo kojeg projekta prije ulaganja. Provjerite kod platforme, web mjesto, članove tima i društvene kanale za crvene zastavice.
  2. Osigurajte da pouzdani izvor revidira ugovore s kojima komunicirate i da su rezultati revizije javno dostupni.
  3. Nemojte pohranjivati ​​velike količine sredstava u jedan DeFi ugovor, čineći ga ranjivijim na napade.
  4. Ostanite u tijeku s najnovijim vijestima o sigurnosti kako biste saznali više o novim eksploatacijama.
  5. Implementirajte odgovarajuće postupke autentifikacije i autorizacije za sve račune koji su u interakciji s DeFi protokolima.
  6. Provjerite je li vaš novčanik siguran i koristite dvofaktorsku autentifikaciju kad god je to moguće.
  7. Redovito nadzirite svoja sredstva i transakcije na blockchainu kako biste otkrili sve sumnjive aktivnosti ili neovlaštena povlačenja.

Slijeđenje ovih savjeta može vam pomoći u zaštiti od iskorištavanja DeFi-ja i osigurati sigurnost vaših sredstava u interakciji s decentraliziranim financijskim protokolima. Međutim, također je važno upamtiti da niti jedan sustav nije nepogrešiv, stoga je uvijek najbolje biti dodatno oprezan kada radite s digitalnom imovinom.

Zaključak

Općenito, sigurnost je jedno od najvažnijih razmatranja kada se radi o kriptovalutama i DeFi protokolima. Nažalost, kako industrija nastavlja rasti, tako rastu i rizici zlonamjernih aktivnosti. Iako je nemoguće jamčiti potpunu sigurnost, pridržavanje ovih savjeta može vam pomoći da se zaštitite od iskorištavanja DeFi-ja i zaštitite svoja sredstva. 

Prateći najnovija dostignuća u sigurnosti blockchaina i osiguravajući odgovarajuće postupke provjere autentičnosti za sve račune, možete osigurati da vaša digitalna imovina ostane sigurna.

Izvor: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/