Decentralizované financování (DeFi) protokoly nabízejí uživatelům decentralizované finanční služby, které jim umožňují provádět transakce a uzavírat dohody s ostatními účastníky. Zatímco protokoly DeFi mají za cíl poskytovat svým uživatelům bezpečnou a spolehlivou platformu, několik exploitů v posledních několika letech způsobilo značné ztráty finančních prostředků. Tento článek se bude zabývat některými z nejrozsáhlejších exploitů DeFi, ke kterým v poslední době došlo.
Zde je 8 nejlepších zneužití krypto DeFi ve Web3 po odečtení vrácených prostředků:
Roninův řetěz – 600 milionů dolarů
Březen 2023 byl pro kryptoměnový prostor bohatý na události, přičemž hack na mostě Axie Infinity Ronin se umístil na vrcholu seznamu s 612 miliony dolarů.
Roninův most je an Ethereum postranní řetězec používaný v populární hře Axie Infinity, kde si můžete vydělat.
Skupině kyberzločinců Lazarus, podezřelé z napojení na Severní Koreu, se podařilo získat přístup k devíti soukromým klíčům ověřovatelů transakcí, což jim umožnilo schválit dvě velké transakce a přesunout prostředky z adresy jejich peněženky. Naštěstí spolupráce mezi úřady, bezpečnostními firmami a kryptoměnovými burzami dokázala pomoci vystopovat některé z těchto finančních prostředků poté, co je hackeři nasměrovali na Tornado cash – open source kryptoměnič – a další burzy.
Most červí díry – 323 milionů dolarů
V únoru 2022 došlo k nešťastnému incidentu, když krypto hackeři zneužili kód červí díry, aby vzlétli s kryptoměnou v hodnotě 326 milionů dolarů.
Červí díra je symbolický most mezi Solanou a Ethereem, který bohužel nedokázal zabránit útoku. Umožnila to zastaralá/mrtvá nezabezpečená funkce, která obešla ověřování podpisů a umožnila řetězec delegování podpisů.
Odborníci v kybernetická bezpečnost naznačují, že vývojáři mohli útoku zabránit, kdyby praktikovali 'bezpečné kódovací praktiky', kde musí kontrolovat všechny parametry. Kontrola mohla zajistit ověření platných adres a vyloučit tak nelegitimní zdroje z přístupu k aktivům v řetězci.
Fazolová stopka – 181 milionů dolarů
O osudném víkendu v dubnu 2022 spustil hacker útok, který otřásl kryptokomunitou. Pomocí flash půjčky – funkce protokolů decentralizovaných financí (DeFi) – se jim podařilo ukrást 182 milionů $ v ETH, BEAN stablecoinech a dalších aktivech z Beanstalk stablecoinového protokolu.
Hackeři předložili Beanstalk DAO dva škodlivé návrhy prostřednictvím funkce nouzového potvrzení, která vyžaduje ⅔ hlasů před implementací po 24 hodinách. Útočník použil technologii flash půjčky, aby získal kontrolu nad 79 % tokenů, aby prošel oběma návrhy a úspěšně provedl svůj plán.
Prostředky byly zaslány z protokolu na splacení bleskové půjčky, přičemž zbytek šel na adresu spojenou s ukrajinským nouzovým fondem. Celkově si osoba odpovědná za tento odvážný čin odnesla až 76 milionů dolarů.
Nomad – 155 milionů dolarů
Matoucí hackování mostu Nomad se stalo titulky, když se to stalo 1. srpna 2022. Mnoho šokovalo blockchain nadšenci jako útočníci využili zranitelnosti k odčerpání aktiv na bázi Etherea v hodnotě více než 190 milionů dolarů uložených ve víceřetězcovém křížovém mostu.
Hackeři postupovali rychle a zběsile, se stovkami peněženek zapojených do 960 transakcí, které vedly k 1,175 XNUMX individuálním výběrům z Total Value Locked (TVL) mostu. Vše během hodin.
Matoucím aspektem tohoto hacku bylo, že všichni uživatelé, kteří museli pro hacknutí překlenovacích prostředků udělat, bylo zkopírovat a vložit původní data o volání hackera o transakci, nahradit původní adresu osobní a transakce byla dokončena.
Hack vyvolal šok v celé komunitě decentralizovaných financí (DeFi), což dokazuje, že hackeři zůstávají o krok napřed, když využívají mezery v kódu. Nomad bridge poskytuje názorný příklad demonstrující důležitost bezpečných kódovacích postupů a posiluje, proč bezpečnost zůstává pro blockchainové projekty i dnes pokračující výzvou.
CREAM Finance – 130.8 milionů dolarů
Ačkoli útok na CREAM v říjnu 2021 byl jednou z největších loupeží flashových půjček, rozhodně to nebyl ojedinělý incident. Útoky na bleskové půjčky zahrnují použití „bleskové půjčky“ likvidity, půjček a nesplácení tohoto rychlého financování, vše v rámci jediné transakce.
Využitím chyb ve výpočtu ceny mohou hackeři rychle profitovat ze svých půjček. Například v případě CREAM interagovaly dvě různé adresy s jeho yUSDVault za účelem ražení velkého počtu tokenů crYUSD. Využili zranitelnosti, která by zdvojnásobila hodnotu těchto akcií. Přestože úspěšně zajistili finanční prostředky v hodnotě 130 milionů dolarů, přibližně 1 miliarda dolarů v dostupném zajištění by mohla trvat mnohem více než tato částka.
Útoky na flash půjčky jsou stále rozšířenější a komunita by si měla klást otázky, jak mohou v budoucnu zabránit dalšímu narušení bezpečnosti.
BSC token hub – 127 milionů dolarů
V říjnu 2022 hackeři zneužili kritickou zranitelnost v křížovém kódu BSC Beacon a ukradli krypto aktiva v celkové výši 570 milionů dolarů.
Řetěz BSc Beacon, také známý jako Token Hub, je meziřetězový most spojující BNB Beacon Chain (BEP2) a BNB Chain (BEP20/BSC).
Hacker skutečně zfalšoval kryptografické důkazy zvané Merkle důkazy, které měly potvrdit platnost dat, jako jsou transakce. Na druhé straně použili tyto falešné důkazy Merkle k převodu finančních prostředků z křížového můstku BSC Beacon do jiných řetězců.
Jakmile Tether zablokoval adresu útočníků, následovala rychlá akce a z řetězce BNB bylo zmraženo přes 7 milionů dolarů, čímž byla zabavena většina jejich neoprávněně získaných prostředků.
Harmony Horizon – 100 milionů dolarů
V červnu 2022 byl projekt Harmony Horizon Bridge ohrožen, když hackeři ukradli dva z jeho pěti soukromých klíčů validátoru, což podvodníkům umožnilo převést tokeny v hodnotě 100 milionů dolarů.
Tento bezpečnostní problém byl způsoben způsobem, jakým byl most nastaven, se schématem ověření 2 z 5. Výsledkem bylo, že útočníkovi stačila pouze dvě schválení k ověření jakékoli škodlivé transakce. Aby zahladili stopy, útočníci použili Tornado Cash k praní části svých neoprávněně získaných zisků.
Ačkoli se toto nastavení mohlo zpočátku zdát bezpečné, ukázalo se, že je lukrativním cílem pro špatné herce a drahou lekcí bezpečnosti blockchainu pro chycené.
Rari – 91 milionů dolarů
Reentrancy útoky jsou tu od počátků Etherea. Využili zranitelnosti smluv k opakovanému výběru prostředků před schválením nebo zamítnutím původní transakce.
V květnu 2022 byly tímto způsobem kompromitovány dvě decentralizované finanční platformy, přičemž hackeři ukradli 90 milionů dolarů. Jack Longarzo ze společnosti Rari Capital uvedl, že útočník zneužil společnost a protokol Fei, který se spojil s Rari Capital, nabídl hackerovi odměnu 10 milionů dolarů.
Blockchain bezpečnostní společnost BlockSec vysvětlila, že hackeři použili zranitelnost reentrancy.
Vývojáři mohou těmto typům útoků předcházet řádným testováním a auditováním smluv před nasazením na blockchain Ethereum.
Jak se chránit před zneužitím DeFi
Protokoly DeFi jsou stále populárnější a složitější, což z nich dělá atraktivní cíle pro hackery. Následuje sedm tipů, které vám pomohou chránit se před zneužitím DeFi:
- Před investicí proveďte důkladnou due diligence u jakéhokoli projektu. Zkontrolujte kód platformy, web, členy týmu a sociální kanály, zda neobsahují varovné signály.
- Zajistěte, aby důvěryhodný zdroj auditoval smlouvy, se kterými komunikujete, a že výsledky auditu jsou veřejně dostupné.
- Neskladujte velké množství finančních prostředků v jedné smlouvě DeFi, takže je zranitelnější vůči útoku.
- Zůstaňte informováni o nejnovějších zprávách o zabezpečení, abyste se dozvěděli o nových exploitech.
- Implementujte správné postupy ověřování a autorizace pro všechny účty, které komunikují s protokoly DeFi.
- Ujistěte se, že je vaše peněženka bezpečná, a kdykoli je to možné, používejte dvoufaktorové ověření.
- Pravidelně sledujte své finanční prostředky a transakce na blockchainu, abyste odhalili jakoukoli podezřelou aktivitu nebo neoprávněné výběry.
Dodržování těchto tipů vám může pomoci ochránit vás před zneužitím DeFi a zajistit, aby vaše prostředky byly v bezpečí při interakci s decentralizovanými finančními protokoly. Je však také důležité pamatovat na to, že žádný systém není neomylný, takže je vždy nejlepší dbát zvýšené opatrnosti při zacházení s digitálními aktivy.
Proč investovat do čističky vzduchu?
Celkově je bezpečnost jedním z nejdůležitějších aspektů při jednání s kryptoměnami a protokoly DeFi. Bohužel, jak se toto odvětví neustále rozrůstá, rostou i rizika škodlivé činnosti. I když není možné zaručit úplnou bezpečnost, dodržování těchto tipů vám může pomoci chránit se před zneužitím DeFi a udržet své finanční prostředky v bezpečí.
Tím, že budete mít aktuální informace o nejnovějším vývoji v zabezpečení blockchainu a zajistíte, aby byly pro všechny účty zavedeny správné postupy ověřování, můžete pomoci zajistit, že vaše digitální aktiva zůstanou v bezpečí.
Zdroj: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/