Turundus

Sarnaste turvarikkumiste ennetamine – Cryptopolitan

02/28/2023
Bitcoin Ethereumi uudised

Detsentraliseeritud rahandus (Defi) protokollid pakuvad kasutajatele detsentraliseeritud finantsteenuseid, võimaldades neil teha tehinguid ja sõlmida lepinguid teiste osalejatega. Kuigi DeFi protokollide eesmärk on pakkuda oma kasutajatele turvalist ja usaldusväärset platvormi, on mitmed viimaste aastate ärakasutused põhjustanud märkimisväärset rahakaotust. See artikkel käsitleb mõnda kõige ulatuslikumat DeFi ärakasutamist, mis hiljuti on toimunud.

Siin on 8 parimat krüpto DeFi ärakasutamist Web3-s pärast tagastatud vahendite mahaarvamist:

Ronini kett – 600 miljonit dollarit

Märts 2023 oli krüptovaluutaruumi jaoks sündmusterohke kuu, Axie Infinity Ronini silla häkkimine oli edetabelis 612 miljoni dollariga.

Ronini sild on an Ethereum külgkett, mida kasutatakse populaarses teenimismängus Axie Infinity.

Küberkuritegude rühmitus Lazarus, kellel kahtlustatakse seoseid Põhja-Koreaga, pääses ligi üheksa tehinguvalidaatori privaatvõtmele, võimaldades neil kinnitada kaks suurt tehingut ja raha oma rahakoti aadressilt teisaldada. Õnneks suutis ametiasutuste, turvafirmade ja krüptovaluutabörside vaheline koostöö aidata mõnel neist vahenditest jälile saada pärast seda, kui häkkerid suunasid need Tornado sularahale – avatud lähtekoodiga krüptokummile – ja teistele börsidele.

Ussiaugu sild – 323 miljonit dollarit

2022. aasta veebruaris juhtus kahetsusväärne juhtum, kui krüptohäkkerid kasutasid ussiaugu koodi, et saada krüpto 326 miljoni dollari väärtuses.

Ussiauk on sümboolne sild Solana ja Ethereumi vahel, mis kahjuks ei suutnud rünnakut ära hoida. See sai võimalikuks tänu aegunud/surnud ebaturvalisele funktsioonile, mis möödus allkirjade kontrollimisest ja võimaldas allkirjade delegeerimise ahelat.

Eksperdid aastal küberturvalisus viitavad sellele, et arendajad oleksid võinud rünnaku ära hoida, kui nad oleksid kasutanud "turvalist kodeerimispraktikat", kus nad peavad kontrollima kõiki parameetreid. Kontroll oleks võinud tagada kehtivate aadresside autentimise ja seega välistada ebaseaduslike allikate juurdepääsu ahelas olevatele varadele.

Oavars – 181 miljonit dollarit

2022. aasta aprilli saatuslikul nädalavahetusel vallandas häkker rünnaku, mis raputas krüptokogukonda. Detsentraliseeritud finantseerimisprotokollide (DeFi) funktsiooniga kiirlaenu abil õnnestus neil varastada 182 miljonit dollarit ETH-d, BEAN-i stabiilset münti ja muid Beanstalki stablecoini protokolli varasid.

Häkkerid esitasid Beanstalk DAO-le kaks pahatahtlikku ettepanekut selle hädaolukorra täitmisfunktsiooni kaudu, mis nõuab enne 24 tunni möödumist rakendamist ⅔ häält. Ründaja kasutas kiirlaenutehnoloogiat, et saavutada kontroll 79% žetoonide üle, et mõlemad ettepanekud läbida ja nende plaan edukalt ellu viia.

Vahendid saadeti protokollist kiirlaenu tasumiseks, ülejäänud summa suunati aadressile, mis oli seotud Ukrainas asuva hädaabifondiga. Kokku on selle vapra teo eest vastutav isik võtnud kuni 76 miljonit dollarit.

Nomad – 155 miljonit dollarit

Hämmastav Nomadi silla häkkimine jõudis 1. augustil 2022 pähe. See šokeeris paljusid blockchain Entusiastid ründajatena kasutasid ära haavatavust, et tühjendada enam kui 190 miljoni dollari väärtuses Ethereumil põhinevaid varasid, mis on salvestatud mitmeahelalises sillas.

Häkkerid liikusid kiiresti ja raevukalt, sajad rahakotid olid seotud 960 tehinguga, mille tulemuseks oli 1,175 individuaalset väljavõtmist silla lukustatud koguväärtusest (TVL). Kõik tundide jooksul.

Hämmastav aspekt selle häkkimise juures oli see, et kõik kasutajad pidid sildfondide häkkimiseks tegema, kopeerima ja kleepima algse häkkeri tehingukõne andmed, asendama algse aadressi isikliku aadressiga ja tehing oleks lõpule viidud.

Häkk saatis lööklaineid kogu detsentraliseeritud rahanduse (DeFi) kogukonnas, tõestades, et häkkerid jäävad koodilünkade ärakasutamisel sammu võrra ette. Nomadi sild on illustreeriv näide, mis näitab turvaliste kodeerimistavade tähtsust ja kinnitab, miks turvalisus on tänapäeval plokiahela projektide jaoks pidev väljakutse.

CREAM Finance – 130.8 miljonit dollarit

Kuigi rünnak CREAM-ile 2021. aasta oktoobris oli üks suurimaid kiirlaenu vargusi, ei olnud see kindlasti üksikjuhtum. Kiirlaenu rünnakud hõlmavad likviidsuse kiirlaenu kasutamist, laenu võtmist ja selle kiirrahastamise maksejõuetuse jätmist ning seda kõike ühe tehinguga.

Hinna arvutamise vigu ära kasutades saavad häkkerid oma laenudest kiiresti kasu saada. Näiteks CREAM-i puhul suhtlesid kaks erinevat aadressi selle yUSDVaultiga, et vermida suur hulk crYUSD-märke. Nad kasutasid ära haavatavust, mis kahekordistaks nende aktsiate väärtuse. Kuigi nad kindlustasid edukalt 130 miljoni dollari väärtuses vahendeid, võib ~1 miljard dollarit saadaolevat tagatist võtta palju rohkem kui see summa. 

Välklaenurünnakud muutuvad üha levinumaks ja kogukond peaks esitama küsimusi selle kohta, kuidas nad saaksid tulevikus edasisi turvarikkumisi ära hoida.

BSC token hub – 127 miljonit dollarit

2022. aasta oktoobris tegid häkkerid, kes kasutasid ära BSC Beaconi ristsilla koodi kriitilist haavatavust, krüptovarasid kokku 570 miljoni dollari väärtuses.

BSc Beacon kett, tuntud ka kui Token Hub, on ahelatevaheline sild, mis ühendab BNB Beacon Chain (BEP2) ja BNB Chain (BEP20/BSC).

Häkker võltsis krüptograafilisi tõendeid, mida nimetatakse Merkle'i tõenditeks, mille eesmärk oli kinnitada andmete, näiteks tehingute kehtivust. Nad omakorda kasutasid neid valesid Merkle'i tõendeid BSC Beaconi ristsillalt raha ülekandmiseks teistele kettidele.

Niipea kui Tether ründajate aadressi blokeeris, järgnes kiire tegutsemine ja BNB ketist külmutati üle 7 miljoni dollari, konfiskeerides enamiku nende ebaseaduslikult hangitud vahenditest.

Harmony Horizon – 100 miljonit dollarit

2022. aasta juunis sattus projekt Harmony Horizon Bridge ohtu, kui häkkerid varastasid kaks selle viiest validaatori privaatvõtmest, võimaldades petturitel üle kanda 100 miljoni dollari väärtuses märke.

See turvaprobleem oli tingitud silla ülespanekust, mille valideerimisskeem oli 2/5. Selle tulemusena vajas ründaja pahatahtliku tehingu kinnitamiseks vaid kahte kinnitust. Oma jälgede varjamiseks kasutasid ründajad Tornado Cashi, et pesta osa oma ebaseaduslikult saadud tulu. 

Kuigi see seadistus võis alguses tunduda turvaline, osutus see halbade näitlejate jaoks tulusaks sihtmärgiks ja tabatutele kulukaks õppetunniks plokiahela ohutuse alal.

Rari - 91 miljonit dollarit

Taassisenemise rünnakud on olnud Ethereumi algusaegadest saadik. Nad on kasutanud lepingute haavatavust, et korduvalt raha välja võtta, enne kui algne tehing on heaks kiidetud või tagasi lükatud.

2022. aasta mais sattus sel viisil ohtu kaks detsentraliseeritud finantsplatvormi, kus häkkerid varastasid 90 miljonit dollarit. Rari Capitali Jack Longarzo sõnul kasutas ründaja ettevõtet ära ning Rari Capitaliga ühinenud Fei Protocol pakkus häkkerile 10 miljoni dollari suurust preemiat.

Blockchaini turvafirma BlockSec selgitas, et häkkerid kasutasid taassisenemise haavatavust. 

Arendajad saavad seda tüüpi rünnakuid ära hoida, testides ja kontrollides korralikult lepinguid enne Ethereumi plokiahelas kasutuselevõttu.

Kuidas kaitsta end DeFi ärakasutamise eest

DeFi-protokollid on muutunud üha populaarsemaks ja keerukamaks, muutes need häkkerite jaoks atraktiivseks sihtmärgiks. Järgmised on seitse näpunäidet, mis aitavad teil end DeFi ärakasutamise eest kaitsta.

  1. Enne investeerimist viige läbi iga projekti põhjalik hoolsusanalüüs. Kontrollige platvormi koodi, veebisaiti, meeskonnaliikmeid ja suhtluskanaleid punaste lippude jaoks.
  2. Veenduge, et usaldusväärne allikas kontrolliks lepinguid, millega te suhtlete, ja et auditi tulemused oleksid avalikult kättesaadavad.
  3. Ärge hoidke suuri summasid ühes DeFi lepingus, muutes selle rünnakute suhtes haavatavamaks.
  4. Olge kursis viimaste turvauudistega, et saada teavet uute rünnakute kohta.
  5. Rakendage kõigi DeFi protokollidega suhtlevate kontode jaoks õigeid autentimis- ja autoriseerimisprotseduure.
  6. Veenduge, et teie rahakott on turvaline, ja kasutage võimalusel kahefaktorilist autentimist.
  7. Jälgige regulaarselt oma rahalisi vahendeid ja tehinguid plokiahelas, et tuvastada kahtlane tegevus või volitamata väljamaksed.

Nende näpunäidete järgimine aitab teid kaitsta DeFi ärakasutamise eest ja tagada, et teie vahendid on detsentraliseeritud finantsprotokollidega suhtlemisel turvalised. Siiski on oluline ka meeles pidada, et ükski süsteem pole eksimatu, seega on alati parim tava olla digitaalsete varade käsitlemisel eriti ettevaatlik.

Järeldus

Üldiselt on turvalisus krüptovaluutade ja DeFi protokollidega tegelemisel üks olulisemaid kaalutlusi. Kahjuks kasvavad tööstusharu jätkuvalt kasvades ka pahatahtliku tegevuse riskid. Kuigi täielikku turvalisust on võimatu tagada, võib nende näpunäidete järgimine aidata teil end DeFi ärakasutamise eest kaitsta ja oma rahalisi vahendeid turvalisena hoida. 

Olles kursis plokiahela turvalisuse viimaste arengutega ja tagades, et kõigi kontode jaoks on paigas õiged autentimisprotseduurid, saate aidata tagada oma digitaalsete varade turvalisuse.

Allikas: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/