Обзор и анализ событий безопасности в Децентрализованных финансах 2022 года
Автор: Некоторый опытный эксперт по безопасности Web3
Недавно известный специалист по безопасности в отрасли провел урок по безопасности DeFi для членов сообщества. Этот эксперт рассмотрел серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, и углубленно обсудил причины этих событий и меры предосторожности, подвел итоги распространенных уязвимостей смарт-контрактов, а также предложил некоторые рекомендации по безопасности для проектных команд и обычных пользователей.
Согласно статистике, в 2022 году произошло более 300 инцидентов безопасности в блокчейне, общая сумма которых составила 4,3 миллиарда долларов США. В данной статье будет подробно проанализировано восемь типичных случаев, большинство из которых привели к потерям свыше 100 миллионов долларов.
Событие Ronin Bridge
В марте 2022 года сайдчейн Axie Infinity, Ronin Network, был взломан, в результате чего был потерян около 600 миллионов долларов. Хакеры с помощью социальных инженерных методов завоевали доверие сотрудников, что позволило им проникнуть в систему и контролировать большинство узлов верификации. Это выявило проблемы во внутреннем управлении безопасностью компании и слабую осведомленность сотрудников о безопасности. Это событие считается связанным с северокорейской хакерской организацией и отражает то, что хакерские силы государственного уровня начали нацеливаться на блокчейн-проекты.
Событие Wormhole
Кроссчейн-мост Wormhole подвергся атаке из-за уязвимости в коде, в результате чего было потеряно около 120 000 ETH. Корень проблемы заключался в использовании некоторых устаревших функций. Это напоминает разработчикам о необходимости своевременно обновлять используемые версии библиотек кода, чтобы избежать подобных проблем.
Событие Nomad Bridge
Кросс-чейн мост Nomad пострадал из-за проблем с настройкой инициализации, что позволило злоумышленникам повторно использовать действительные транзакции и вывести средства, что привело к убыткам примерно в 190 миллионов долларов. В этом случае наблюдалось большое количество роботов MEV, участвующих в захвате средств. Открытые проекты подвержены анализу атак, и в случае обнаружения уязвимости могут понести разрушительный удар.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-кредита, убытки составили около 182 миллионов долларов. Злоумышленник использовал уязвимость в механизме управления проектом, получив большое количество голосов через флеш-кредит, и перевел средства с помощью злонамеренного предложения. Это показывает, что если механизмы децентрализованного управления спроектированы неудачно, это также может привести к угрозам безопасности.
Событие Wintermute
Маркетмейкер Wintermute потерял около 160 миллионов долларов из-за использования инструмента для генерации адресов с уязвимостями, что привело к компрометации частного ключа. Это напоминает нам о необходимости тщательно оценивать безопасность при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Кросс-чейн мост Harmony Horizon был украден на сумму более 100 миллионов долларов. Анализ показывает, что это также может быть работа северокорейской хакерской группы, методы которой похожи на инцидент с Ronin. Это вновь подчеркивает угрозу со стороны государственных хакеров для криптовалютной отрасли.
Событие Ankr
Проект Ankr понес финансовые потери из-за злоупотреблений со стороны внутренних сотрудников. Основная проблема заключается в ненадлежащем контроле за правами собственности на контракт, а также в наличии уязвимостей в внутреннем управлении безопасностью. Это подчеркивает важность внутреннего управления безопасностью для команды проекта.
Событие Mango
Платформа Mango подверглась атаке манипуляции на рынке, в результате чего она понесла убытки в размере около 115 миллионов долларов. Злоумышленники использовали проблемы с ликвидностью малых токенов на платформе для манипуляции ценами и получения прибыли. Это напоминает нам о необходимости учитывать риски в различных экстремальных ситуациях.
В заключение, проекты Web3 сталкиваются с многообразными угрозами безопасности и нуждаются в усилении защиты на различных уровнях, таких как код, механизмы управления и внутреннее управление. Пользователи, участвуя в проектах, также должны тщательно оценивать риски и не сосредотачиваться только на доходах, игнорируя безопасность.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Децентрализованные финансы безопасность: восемь событий раскрывают убытки Web3 проектов в 4,3 миллиарда долларов
Обзор и анализ событий безопасности в Децентрализованных финансах 2022 года
Автор: Некоторый опытный эксперт по безопасности Web3
Недавно известный специалист по безопасности в отрасли провел урок по безопасности DeFi для членов сообщества. Этот эксперт рассмотрел серьезные инциденты безопасности, с которыми столкнулась индустрия Web3 за последний год, и углубленно обсудил причины этих событий и меры предосторожности, подвел итоги распространенных уязвимостей смарт-контрактов, а также предложил некоторые рекомендации по безопасности для проектных команд и обычных пользователей.
Согласно статистике, в 2022 году произошло более 300 инцидентов безопасности в блокчейне, общая сумма которых составила 4,3 миллиарда долларов США. В данной статье будет подробно проанализировано восемь типичных случаев, большинство из которых привели к потерям свыше 100 миллионов долларов.
Событие Ronin Bridge
В марте 2022 года сайдчейн Axie Infinity, Ronin Network, был взломан, в результате чего был потерян около 600 миллионов долларов. Хакеры с помощью социальных инженерных методов завоевали доверие сотрудников, что позволило им проникнуть в систему и контролировать большинство узлов верификации. Это выявило проблемы во внутреннем управлении безопасностью компании и слабую осведомленность сотрудников о безопасности. Это событие считается связанным с северокорейской хакерской организацией и отражает то, что хакерские силы государственного уровня начали нацеливаться на блокчейн-проекты.
Событие Wormhole
Кроссчейн-мост Wormhole подвергся атаке из-за уязвимости в коде, в результате чего было потеряно около 120 000 ETH. Корень проблемы заключался в использовании некоторых устаревших функций. Это напоминает разработчикам о необходимости своевременно обновлять используемые версии библиотек кода, чтобы избежать подобных проблем.
Событие Nomad Bridge
Кросс-чейн мост Nomad пострадал из-за проблем с настройкой инициализации, что позволило злоумышленникам повторно использовать действительные транзакции и вывести средства, что привело к убыткам примерно в 190 миллионов долларов. В этом случае наблюдалось большое количество роботов MEV, участвующих в захвате средств. Открытые проекты подвержены анализу атак, и в случае обнаружения уязвимости могут понести разрушительный удар.
Событие Beanstalk
Проект алгоритмических стабильных монет Beanstalk подвергся атаке с использованием флеш-кредита, убытки составили около 182 миллионов долларов. Злоумышленник использовал уязвимость в механизме управления проектом, получив большое количество голосов через флеш-кредит, и перевел средства с помощью злонамеренного предложения. Это показывает, что если механизмы децентрализованного управления спроектированы неудачно, это также может привести к угрозам безопасности.
Событие Wintermute
Маркетмейкер Wintermute потерял около 160 миллионов долларов из-за использования инструмента для генерации адресов с уязвимостями, что привело к компрометации частного ключа. Это напоминает нам о необходимости тщательно оценивать безопасность при использовании инструментов с открытым исходным кодом.
Событие Harmony Bridge
Кросс-чейн мост Harmony Horizon был украден на сумму более 100 миллионов долларов. Анализ показывает, что это также может быть работа северокорейской хакерской группы, методы которой похожи на инцидент с Ronin. Это вновь подчеркивает угрозу со стороны государственных хакеров для криптовалютной отрасли.
Событие Ankr
Проект Ankr понес финансовые потери из-за злоупотреблений со стороны внутренних сотрудников. Основная проблема заключается в ненадлежащем контроле за правами собственности на контракт, а также в наличии уязвимостей в внутреннем управлении безопасностью. Это подчеркивает важность внутреннего управления безопасностью для команды проекта.
Событие Mango
Платформа Mango подверглась атаке манипуляции на рынке, в результате чего она понесла убытки в размере около 115 миллионов долларов. Злоумышленники использовали проблемы с ликвидностью малых токенов на платформе для манипуляции ценами и получения прибыли. Это напоминает нам о необходимости учитывать риски в различных экстремальных ситуациях.
В заключение, проекты Web3 сталкиваются с многообразными угрозами безопасности и нуждаются в усилении защиты на различных уровнях, таких как код, механизмы управления и внутреннее управление. Пользователи, участвуя в проектах, также должны тщательно оценивать риски и не сосредотачиваться только на доходах, игнорируя безопасность.