finansije

Kako spriječiti slične povrede sigurnosti – Cryptopolitan

02/28/2023
Bitcoin Ethereum vijesti

Decentralizovane finansije (Defi) protokoli nude decentralizovane finansijske usluge korisnicima, omogućavajući im da vrše transakcije i sklapaju ugovore sa drugim učesnicima. Dok DeFi protokoli imaju za cilj da obezbede sigurnu i pouzdanu platformu za svoje korisnike, nekoliko eksploatacija u poslednjih nekoliko godina izazvalo je značajne gubitke sredstava. Ovaj članak će raspravljati o nekim od najopsežnijih DeFi eksploata koji su se nedavno dogodili.

Evo 8 najboljih kripto DeFi eksploata u Web3 nakon odbitka vraćenih sredstava:

Ronin lanac – 600 miliona dolara

Mart 2023. je bio mjesec pun događaja za prostor kriptovaluta, a hak na Axie Infinity Ronin bridge bio je na vrhu liste sa 612 miliona dolara.

Ronin most je an Ethereum bočni lanac koji se koristi u popularnoj igri za zaradu Axie Infinity.

Grupa sajber kriminala Lazarus, za koju se sumnja da ima veze sa Sjevernom Korejom, uspjela je dobiti pristup privatnim ključevima devet validatora transakcija, što im je omogućilo da odobre dvije velike transakcije i prebace sredstva sa adrese svog novčanika. Srećom, suradnja između vlasti, sigurnosnih firmi i berzi kriptovaluta uspjela je pomoći u pronalaženju nekih od ovih sredstava nakon što su ih hakeri prebacili u Tornado cash – kriptovalutu otvorenog koda – i druge berze.

Most crvotočine – 323 miliona dolara

U februaru 2022. dogodio se nesretan incident kada su kripto hakeri iskoristili kod crvotočine kako bi uzeli kripto vrijednu 326 miliona dolara.

Crvotočina je simbolični most između Solane i Ethereuma, koji nažalost nije uspio spriječiti napad. To je omogućeno zastarjelom/mrtvom nesigurnom funkcijom koja je zaobišla verifikaciju potpisa i omogućila lanac delegiranja potpisa.

Stručnjaci u cyber sigurnost sugeriraju da su programeri mogli spriječiti napad da su prakticirali 'sigurne prakse kodiranja' gdje moraju provjeriti sve parametre. Provjera je mogla osigurati autentifikaciju valjanih adresa i tako isključiti nelegitimne izvore da pristupe imovini u lancu.

Beanstalk – 181 milion dolara

Kobnog vikenda u aprilu 2022., haker je pokrenuo napad koji je potresao kripto zajednicu. Koristeći fleš zajam – što je karakteristika protokola decentralizovanih finansija (DeFi) – uspjeli su ukrasti 182 miliona dolara u ETH, BEAN stabilnoj valuti i drugoj imovini iz Beanstalk stablecoin protokola.

Hakeri su predstavili dva zlonamjerna prijedloga Beanstalk DAO-u putem njegove funkcije hitnog obaveštavanja, koja zahtijeva ⅔ glasova prije implementacije nakon 24 sata. Napadač je koristio tehnologiju flash pozajmljivanja kako bi preuzeo kontrolu nad 79% tokena kako bi prošao oba prijedloga i uspješno izvršio svoj plan.

Sredstva su poslana iz protokola za otplatu brzog zajma, a ostatak je otišao na adresu povezanu s fondom za hitne slučajeve sa sjedištem u Ukrajini. Pojedinac odgovoran za ovaj hrabri čin ukupno je uzeo do 76 miliona dolara.

Nomad – 155 miliona dolara

Zbunjujući hak na Nomad bridge dospeo je na naslovne strane kada se dogodio 1. avgusta 2022. Šokirao je mnoge blockchain entuzijasti kao napadači iskoristili su ranjivost da isprazne preko 190 miliona dolara vrijedne imovine bazirane na Ethereum-u pohranjene u višelančanom mostu.

Hakeri su se kretali brzo i žestoko, sa stotinama novčanika uključenih u 960 transakcija što je rezultiralo sa 1,175 pojedinačnih povlačenja sa Total Value Locked (TVL) mosta. Sve u roku od nekoliko sati.

Zbunjujući aspekt ovog hakovanja bio je da je sve što su korisnici morali da urade da bi hakirali sredstva bila kopiranje i zalepljivanje originalnih podataka o transakcijama hakera, zamena originalne adrese ličnom, i transakcija bi bila završena.

Hak je izazvao šokove širom zajednice decentralizovanih finansija (DeFi), dokazujući da hakeri ostaju korak ispred kada iskorištavaju rupe u kodu. Nomad most pruža ilustrativan primjer koji pokazuje važnost sigurnih praksi kodiranja i jača zašto sigurnost ostaje stalni izazov za blockchain projekte danas.

CREAM Finance – 130.8 miliona dolara

Iako je napad na CREAM u oktobru 2021. bio jedna od najvećih pljački zajmova, to svakako nije bio izolovan incident. Napadi na brzi zajam uključuju korištenje 'flash kredita' likvidnosti, zaduživanje i neizvršenje ovog brzog finansiranja, sve u okviru jedne transakcije.

Koristeći greške u izračunavanju cijena, hakeri mogu brzo profitirati od svojih pozajmica. Na primjer, u slučaju CREAM-a, dvije različite adrese su stupile u interakciju s njegovim yUSDVaultom kako bi iskovale veliki broj crYUSD tokena. Iskoristili su ranjivost koja bi udvostručila vrijednost ovih dionica. Iako su uspješno osigurali sredstva u vrijednosti od 130 miliona dolara, za ~1 milijardu dolara dostupnog kolaterala moglo bi biti potrebno mnogo više od ovog iznosa. 

Napadi na flash kredite postaju sve prisutniji, a zajednica bi trebala postaviti pitanja o tome kako mogu spriječiti daljnja kršenja sigurnosti u budućnosti.

BSC token čvorište – 127 miliona dolara

U oktobru 2022., hakeri koji su iskoristili kritičnu ranjivost u kodu BSC Beacon cross-bridge oduzeli su kripto imovinu ukupne vrijednosti 570 miliona dolara.

BSc Beacon lanac, također poznat kao Token Hub, je međulančani most koji povezuje BNB Beacon lanac (BEP2) i BNB lanac (BEP20/BSC).

Haker je krivotvorio kriptografske dokaze zvane Merkle dokazi koji su trebali potvrditi valjanost podataka kao što su transakcije. Zauzvrat, oni su koristili ove lažne Merkleove dokaze za prijenos sredstava sa BSC Beacon cross-bridgea na druge lance.

Čim je Tether blokirao adresu napadača, uslijedila je brza akcija sa zamrznutim preko 7 miliona dolara iz lanca BNB-a, zaplijenivši većinu njihovih nezakonito stečenih sredstava.

Harmony Horizon – 100 miliona dolara

U junu 2022. projekat Harmony Horizon Bridge je kompromitovan kada su hakeri ukrali dva od njegovih pet privatnih ključeva validatora, omogućavajući prevarantima da prenesu tokene u vrijednosti od 100 miliona dolara.

Ovaj sigurnosni problem nastao je zbog načina na koji je most postavljen, sa šemom validacije 2 od 5. Kao rezultat toga, napadaču su bila potrebna samo dva odobrenja za provjeru valjanosti bilo koje zlonamjerne transakcije. Da bi prikrili svoje tragove, napadači su koristili Tornado Cash da operu neke od svojih nezakonito stečenih prihoda. 

Iako se ova postavka možda u početku činila sigurnom, pokazala se unosnom metom za loše aktere i skupom lekcijom o sigurnosti blockchaina za one koji su uhvaćeni.

Rari - 91 milion dolara

Reentlancy napadi su prisutni od ranih dana Ethereuma. Koristili su ranjivosti ugovora da više puta povlače sredstva prije nego što je originalna transakcija odobrena ili odbijena.

U maju 2022. dvije decentralizirane finansijske platforme kompromitirane su na ovaj način, a hakeri su ukrali 90 miliona dolara. Jack Longarzo iz Rari Capitala rekao je da je napadač iskoristio kompaniju, a Fei Protocol, koji se spojio sa Rari Capital, ponudio je hakeru nagradu od 10 miliona dolara.

Blockchain sigurnosna kompanija BlockSec objasnila je da su hakeri koristili ranjivost ponovnog ulaska. 

Programeri mogu spriječiti ove vrste napada pravilnim testiranjem i revizijom ugovora prije implementacije na Ethereum blockchain.

Kako se zaštititi od DeFi eksploata

DeFi protokoli su postali sve popularniji i složeniji, što ih čini privlačnim metama za hakere. Slijede sedam savjeta koji će vam pomoći da se zaštitite od DeFi eksploatacije:

  1. Izvršite temeljitu dubinsku analizu bilo kojeg projekta prije ulaganja. Provjerite kod platforme, web stranicu, članove tima i društvene kanale za crvene zastavice.
  2. Osigurajte da pouzdani izvor vrši reviziju ugovora s kojima komunicirate i da su rezultati revizije javno dostupni.
  3. Nemojte skladištiti velike količine sredstava u jednom DeFi ugovoru, što ga čini ranjivijim na napade.
  4. Budite u toku s najnovijim sigurnosnim vijestima kako biste saznali više o novim podvizima.
  5. Implementirajte ispravne procedure autentifikacije i autorizacije za sve račune koji su u interakciji sa DeFi protokolima.
  6. Provjerite je li vaš novčanik siguran i koristite dvofaktorsku autentifikaciju kad god je to moguće.
  7. Redovno pratite svoja sredstva i transakcije na blockchainu kako biste otkrili bilo kakvu sumnjivu aktivnost ili neovlaštena povlačenja.

Slijeđenje ovih savjeta može vam pomoći da se zaštitite od DeFi eksploatacije i osigurate da su vaša sredstva sigurna u interakciji s decentraliziranim finansijskim protokolima. Međutim, takođe je važno zapamtiti da nijedan sistem nije nepogrešiv, tako da je uvek najbolja praksa da budete posebno oprezni kada radite sa digitalnom imovinom.

zaključak

Sve u svemu, sigurnost je jedno od najvažnijih razmatranja kada se radi o kriptovalutama i DeFi protokolima. Nažalost, kako industrija nastavlja da raste, rastu i rizici od zlonamjernih aktivnosti. Iako je nemoguće garantirati potpunu sigurnost, slijedeći ove savjete mogu vam pomoći da se zaštitite od DeFi eksploatacije i zaštitite svoja sredstva. 

Ako budete u toku s najnovijim razvojem u sigurnosti blockchain-a i osiguravajući da su na snazi ​​odgovarajuće procedure autentifikacije za sve račune, možete pomoći da vaša digitalna imovina ostane sigurna.

Izvor: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/