2022 рік огляд подій безпеки Децентралізовані фінанси

Автор: експерт з безпеки Web3

Нещодавно один досвідчений фахівець з безпеки поділився з членами спільноти уроком з безпеки DeFi. Цей експерт оглянув значні інциденти безпеки, з якими стикнулася індустрія Web3 у 2022 році, обговорив причини цих подій та заходи запобігання, підсумував поширені вразливості безпеки смарт-контрактів і надав проєктам та користувачам рекомендації щодо безпеки.

За статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, загальна сума яких досягла 4,3 мільярда доларів.

У цій статті буде детально розглянуто 8 типовими випадками, більшість з яких зазнали збитків понад 100 мільйонів доларів, серед яких Ankr, хоча і зазнав відносно менших збитків, але також є дуже репрезентативним.

Інцидент на мосту Ронін

У березні 2022 року бічна мережа Axie Infinity Ronin Network була зламано, внаслідок чого було втрачено 173600 ETH і 2550 мільйонів доларів.

Зловмисники отримали довіру співробітників за допомогою соціальної інженерії, встановили шкідливе ПЗ та зрештою контролювали 4 з 5 верифікаційних вузлів, здійснивши атаку. Це виявило проблеми з усвідомленням безпеки та управлінням в компанії.

Подія Wormhole

У Wormhole крос-ланцюговому мосту на стороні Solana є вразливість у коді перевірки контракту, що дозволило зловмисникам підробити повідомлення “опікуна” та випустити 120000 ETH.

Це в основному пов’язано з використанням деяких застарілих функцій. Рекомендується розробникам використовувати останню версію, щоб уникнути подібних проблем.

Інцидент на мосту Кочівників

При ініціалізації контракту Replica крос-чейн моста Nomad, довірений корінь був встановлений на 0x0, а старий корінь не був анульований, що дозволило зловмиснику конструювати будь-яке повідомлення для викрадення коштів, що призвело до збитків близько 190 мільйонів доларів.

Цей типовий випадок показує, що проблеми з ініціалізацією можуть призвести до серйозних наслідків. Коли виявляється, що ефективні угоди можуть бути виконані повторно, багато учасників починають боротися за кошти, що в кінцевому підсумку перетворюється на “битву за гроші”.

Подія Beanstalk

Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через миттєвий кредит, втративши приблизно 182 мільйони доларів.

Зловмисники використовують вразливість механізму проєкту, отримуючи велику кількість токенів через миттєвий кредит, щоб проголосувати за шкідливі пропозиції та негайно їх виконати. Це виявляє деякі проблеми чисто децентралізованого управління, такі як перевірка пропозицій, механізм голосування, таймлоки тощо, які потребують обережного проектування.

Інцидент Wintermute

Маркет-мейкер Wintermute використовував вразливий генератор красивих номерів Profanity, що призвело до зламу приватного ключа власника контракту та викрадення коштів.

Це нагадує нам про необхідність ретельної оцінки ризиків безпеки при використанні інструментів з відкритим вихідним кодом.

Подія Harmony Bridge

Міст між блокчейнами Harmony Horizon зазнав збитків понад 100 мільйонів доларів, ймовірно, через атаки з боку північнокорейської хакерської організації. Метод атаки може бути схожий на події з Ronin Bridge.

Подія Ankr

Ankr зіткнувся з внутрішніми зловживаннями працівників, що призвело до масового випуску та продажу токенів, внаслідок чого виникла ланцюгова реакція.

Це виявляє серйозні проблеми в управлінні правами доступу та системі безпеки всередині проєкту.

Подія Mango

Зловмисники отримують прибуток на платформі постійних контрактів, маніпулюючи ціною малих монет MNGO та позичаючи великі суми.

Це відображає наявність вад у бізнес-моделях деяких Децентралізовані фінанси проектів. Команди проектів повинні ретельно тестувати різні екстремальні сценарії, а користувачі також повинні звертати увагу на безпеку основної суми, а не лише на прибуток.