Revisión de los eventos de seguridad en Finanzas descentralizadas de 2022

Autor: un experto en seguridad Web3

Recientemente, un experto en seguridad de renombre compartió una clase de seguridad de Finanzas descentralizadas con los miembros de la comunidad. El experto revisó los eventos de seguridad importantes que enfrentó la industria Web3 en 2022, exploró las causas y medidas de prevención de estos eventos, resumió las vulnerabilidades comunes de los contratos inteligentes y proporcionó recomendaciones de seguridad para los proyectos y los usuarios.

Según estadísticas, en 2022 ocurrieron más de 300 incidentes de seguridad en blockchain, con un monto involucrado de hasta 4.3 mil millones de dólares.

Este artículo presentará 8 casos típicos en detalle, la mayoría de los cuales han perdido más de 100 millones de dólares. Aunque Ankr tuvo una pérdida relativamente menor, sigue siendo muy representativo.

Evento Ronin Bridge

En marzo de 2022, la cadena lateral Ronin Network de Axie Infinity fue hackeada, perdiendo 173,600 ETH y 25.5 millones de dólares.

Los atacantes obtuvieron la confianza de los empleados a través de técnicas de ingeniería social, instalaron malware y finalmente controlaron 4 de los 5 nodos de validación, llevando a cabo el ataque. Esto expone problemas en la conciencia de seguridad y gestión interna de la empresa.

Evento Wormhole

El código de verificación del contrato del puente跨链 Wormhole en Solana presenta una vulnerabilidad, lo que permite a los atacantes falsificar mensajes de “guardianes” para acuñar 120,000 ETH.

Esto se debe principalmente al uso de algunas funciones que han sido descontinuadas. Se recomienda a los desarrolladores que utilicen la versión más reciente para evitar problemas similares.

Evento del Puente Nomad

En la inicialización del contrato Replica del puente cruzado Nomad, la raíz de confianza se estableció en 0x0 y no se invalidó la raíz anterior, lo que permitió a los atacantes construir mensajes arbitrarios para robar fondos, con una pérdida de aproximadamente 190 millones de dólares.

Este caso típico muestra que los problemas en la configuración inicial pueden tener consecuencias graves. Cuando se descubre que las transacciones válidas se pueden ejecutar repetidamente, muchos participantes vienen a robar los fondos, lo que finalmente se convierte en una “guerra por el dinero”.

Evento Beanstalk

El proyecto de stablecoin algorítmico Beanstalk sufrió un ataque de préstamo relámpago, con pérdidas de aproximadamente 182 millones de dólares.

Los atacantes aprovecharon las vulnerabilidades del mecanismo del proyecto, obteniendo grandes cantidades de tokens a través de préstamos relámpago para votar a favor de propuestas maliciosas y ejecutarlas de inmediato. Esto expone algunos problemas de la gobernanza puramente descentralizada, como la revisión de propuestas, los mecanismos de votación y los bloqueos temporales, que necesitan un diseño cuidadoso.

Evento Wintermute

El creador de mercado Wintermute utilizó la herramienta de generación de números atractivos Profanity con vulnerabilidades, lo que llevó a que la clave privada del propietario del contrato fuera comprometida y los fondos fueran transferidos.

Esto nos recuerda que al utilizar herramientas de código abierto, debemos evaluar adecuadamente los riesgos de seguridad.

Evento del Puente de Harmony

El puente entre cadenas Harmony Horizon ha perdido más de 100 millones de dólares, supuestamente a manos de un grupo de hackers norcoreanos. El método de ataque podría ser similar al del incidente del Ronin Bridge.

Evento Ankr

Ankr sufrió una mala conducta interna de empleados, lo que llevó a la acuñación y venta masiva de tokens, desencadenando así una reacción en cadena.

Esto expone problemas graves en la gestión de permisos internos del proyecto y en el sistema de seguridad.

Evento Mango

Los atacantes manipulan el precio de la pequeña moneda MNGO, obtienen ganancias en la plataforma de contratos perpetuos y prestan grandes cantidades de dinero.

Esto refleja que algunos proyectos de Finanzas descentralizadas tienen fallas en su modelo de negocio. Los promotores del proyecto necesitan probar a fondo varios escenarios extremos, y los usuarios también deben prestar atención a la seguridad del capital en lugar de solo mirar las ganancias.