Обзор инцидентов безопасности в Децентрализованных финансах: Анализ основных случаев 2022 года

В 2022 году в блокчейн-индустрии произошло более 300 инцидентов безопасности, общие потери составили 4,3 миллиарда долларов. В этой статье будет подробно проанализировано 8 типичных случаев, большинство из которых связано с потерями более 100 миллионов долларов.

Событие Ronin Bridge

В марте 2022 года сайдчейн Axie Infinity, Ronin Network, был взломан, в результате чего потеряно 173600 ETH и 25500000 USD, общая стоимость около 625 миллионов долларов. По отчетам, северокорейская хакерская группа Lazarus с помощью социальной инженерии взломала систему компании Sky Mavis и в конечном итоге контролировала 5 из 9 узлов проверки, завершив атаку.

Этот инцидент выявил серьезные проблемы у команды проекта в области осведомленности сотрудников о безопасности и внутренней безопасности. Также это отражает, что традиционные хакерские группы и государственные структуры начинают переключать свои атакующие цели на проекты блокчейна, чтобы напрямую получать экономическую выгоду.

Событие Wormhole

Кросс-чейн мост Wormhole из-за ошибки в коде проверки подписи основного контракта на стороне Solana позволил злоумышленникам подделывать сообщения "опекунов" для выпуска упакованного ETH Wormhole, что привело к потере около 120000 ETH.

Эта проблема в основном связана с использованием устаревшей функции. Рекомендуется разработчикам использовать последнюю версию инструментов разработки, чтобы избежать подобных проблем.

Событие Nomad Bridge

Кросс-чейн мост Nomad из-за проблем с инициализацией позволил злоумышленникам повторно использовать действительные транзакции для извлечения средств, что привело к потере около 190 миллионов долларов. Некоторые MEV-боты также участвовали в этом "ограблении".

Этот случай показывает, что открытые проекты легко могут быть использованы, если в них обнаружатся уязвимости. Командам проектов необходимо тщательно учитывать различные аномальные сценарии и провести полное тестирование.

Событие Beanstalk

Проект алгоритмической стабильной монеты Beanstalk подвергся атаке с использованием кредитов за мгновение, в результате чего потеряно около 182 миллионов долларов. Злоумышленник воспользовался уязвимостью в механизме управления проекта, получив большое количество голосов через кредит за мгновение и украдя средства через злонамеренное предложение.

Это отражает потенциальные риски децентрализованного механизма управления. Рекомендуется установить механизмы проверки предложений, сроки блокировки голосования и временные замки в качестве мер безопасности.

Событие Wintermute

Маркет-мейкер Wintermute потерял около 160 миллионов долларов из-за использования уязвимого инструмента для генерации адресов Profanity, что привело к компрометации приватного ключа важного контракта.

Это напоминает нам о необходимости тщательно оценивать риски безопасности при использовании открытых инструментов и не слишком полагаться на один инструмент.

Событие Harmony Bridge

Кроссчейн-мост Horizon от Harmony подвергся атаке, убытки составили более 100 миллионов долларов, предположительно, это также работа северокорейской хакерской группы. Конкретные детали не раскрыты, но методы атаки могут быть похожи на инцидент с Ronin Bridge.

Событие Ankr

Проект Ankr столкнулся с внутренними злоупотреблениями, что привело к массовому злонамеренному созданию и продаже токенов, что, в свою очередь, вызвало цепную реакцию.

Это отражает уязвимость экосистемы Децентрализованных финансов и важность внутреннего управления доступом. Рекомендуется использовать механизмы, такие как мультиподпись, для повышения безопасности.

Событие Mango

Некоторый трейдер использовал бессрочные контракты и спотовый рынок для манипуляции ценой токенов MNGO на платформе Mango, что привело к получению значительных заимствований и убыткам платформы примерно в 115 миллионов долларов.

Это показывает, что у проектов в области Децентрализованные финансы также есть недостатки в дизайне бизнес-моделей, и необходимо учитывать различные экстремальные ситуации. Пользователи также должны осторожно участвовать в торговле маломонетными активами.