2022 рік огляд та аналіз подій безпеки Децентралізовані фінанси
Автор: деякий досвідчений експерт з безпеки Web3
Нещодавно відомий експерт з безпеки в галузі поділився з членами спільноти уроком з безпеки DeFi. Цей експерт оглянув значні інциденти безпеки, які сталися в індустрії Web3 за останній рік, і детально розглянув причини цих подій та заходи запобігання, підсумував поширені вразливості безпеки смарт-контрактів, а також надав кілька рекомендацій з безпеки для проектів та звичайних користувачів.
Згідно зі статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, загальна сума яких становила до 4,3 мільярдів доларів США. У цій статті буде детально проаналізовано вісім типових випадків, більшість з яких призвела до збитків понад 100 мільйонів доларів.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network була зламаною, що призвело до збитків близько 600 мільйонів доларів. Хакери отримали довіру працівників через соціальну інженерію, внаслідок чого проникли в систему та контролювали більшість вузлів верифікації. Це виявило проблеми в управлінні внутрішньою безпекою компанії та низький рівень обізнаності працівників про безпеку. Цей інцидент вважається пов'язаним з північнокорейською хакерською організацією, що відображає те, що державні хакерські сили почали націлюватися на блокчейн проекти.
Подія Wormhole
Wormhole кросчейн міст через вразливість у коді зазнав атаки, внаслідок чого було втрачено близько 120000 ETH. Причина полягає у використанні деяких застарілих функцій. Це нагадує розробникам про необхідність своєчасно оновлювати використання останніх версій кодових бібліотек, щоб уникнути подібних проблем.
Подія мосту Nomad
Nomad кросчейн міст因 ініціалізаційних налаштувань проблема, що призвела до того, що зловмисники могли повторно відтворювати дійсні транзакції та вилучати кошти, завдавши збитків приблизно на 190 мільйонів доларів. У цьому випадку виникла велика кількість MEV роботів, які брали участь у захопленні коштів. Відкриті проекти легкі для аналізу атак, і якщо з'являється уразливість, вони можуть зазнати руйнівного удару.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки через швидкі кредити, втративши близько 182 мільйонів доларів. Зловмисник використав уразливість у механізмі управління проектом, отримавши велику кількість голосів через швидкий кредит і перемістивши кошти через злочинну пропозицію. Це свідчить про те, що якщо механізм децентралізованого управління спроектувати неправильно, це також може призвести до проблем з безпекою.
Подія Wintermute
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через використання інструменту для генерування адрес, що містить вразливості, що призвело до зламу приватного ключа. Це нагадує нам про необхідність ретельної оцінки безпеки при використанні інструментів з відкритим кодом.
Подія Harmony Bridge
Мост Horizon Harmony був вкрадений на понад 100 мільйонів доларів. За аналізом, це, можливо, також справа північнокорейської хакерської організації, методи якої схожі на подію з Ronin. Це ще раз підкреслює загрозу національних хакерів для індустрії криптовалют.
Подія Ankr
Проект Ankr зазнав фінансових втрат через зловживання з боку внутрішніх осіб. Основна проблема полягає в неналежному контролі над правами власності на контракт, а також у наявності вразливостей в управлінні внутрішньою безпекою. Це підкреслює важливість управління внутрішньою безпекою для команди проекту.
Подія Mango
Платформа торгівлі Mango зазнала атаки маніпуляції на ринку, внаслідок чого втрати склали приблизно 115 мільйонів доларів. Зловмисники скористалися проблемою недостатньої ліквідності малих монет на платформі, маніпулюючи цінами для отримання прибутку. Це нагадує нам про необхідність враховувати ризики в різних екстремальних ситуаціях.
Отже, проекти Web3 стикаються з багатьма аспектами загроз безпеці, і їм необхідно посилити захист на різних рівнях, таких як код, механізми управління та внутрішнє управління. Користувачі, беручи участь у проектах, також повинні ретельно оцінювати ризики, не зосереджуючись лише на прибутках і ігноруючи безпеку.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
Децентралізовані фінанси безпеки: Вісім подій виявили збитки Web3 проектів у розмірі 4,3 мільярда доларів
2022 рік огляд та аналіз подій безпеки Децентралізовані фінанси
Автор: деякий досвідчений експерт з безпеки Web3
Нещодавно відомий експерт з безпеки в галузі поділився з членами спільноти уроком з безпеки DeFi. Цей експерт оглянув значні інциденти безпеки, які сталися в індустрії Web3 за останній рік, і детально розглянув причини цих подій та заходи запобігання, підсумував поширені вразливості безпеки смарт-контрактів, а також надав кілька рекомендацій з безпеки для проектів та звичайних користувачів.
Згідно зі статистикою, у 2022 році сталося понад 300 інцидентів безпеки в блокчейні, загальна сума яких становила до 4,3 мільярдів доларів США. У цій статті буде детально проаналізовано вісім типових випадків, більшість з яких призвела до збитків понад 100 мільйонів доларів.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network була зламаною, що призвело до збитків близько 600 мільйонів доларів. Хакери отримали довіру працівників через соціальну інженерію, внаслідок чого проникли в систему та контролювали більшість вузлів верифікації. Це виявило проблеми в управлінні внутрішньою безпекою компанії та низький рівень обізнаності працівників про безпеку. Цей інцидент вважається пов'язаним з північнокорейською хакерською організацією, що відображає те, що державні хакерські сили почали націлюватися на блокчейн проекти.
Подія Wormhole
Wormhole кросчейн міст через вразливість у коді зазнав атаки, внаслідок чого було втрачено близько 120000 ETH. Причина полягає у використанні деяких застарілих функцій. Це нагадує розробникам про необхідність своєчасно оновлювати використання останніх версій кодових бібліотек, щоб уникнути подібних проблем.
Подія мосту Nomad
Nomad кросчейн міст因 ініціалізаційних налаштувань проблема, що призвела до того, що зловмисники могли повторно відтворювати дійсні транзакції та вилучати кошти, завдавши збитків приблизно на 190 мільйонів доларів. У цьому випадку виникла велика кількість MEV роботів, які брали участь у захопленні коштів. Відкриті проекти легкі для аналізу атак, і якщо з'являється уразливість, вони можуть зазнати руйнівного удару.
Подія Beanstalk
Проект алгоритмічних стабільних монет Beanstalk зазнав атаки через швидкі кредити, втративши близько 182 мільйонів доларів. Зловмисник використав уразливість у механізмі управління проектом, отримавши велику кількість голосів через швидкий кредит і перемістивши кошти через злочинну пропозицію. Це свідчить про те, що якщо механізм децентралізованого управління спроектувати неправильно, це також може призвести до проблем з безпекою.
Подія Wintermute
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через використання інструменту для генерування адрес, що містить вразливості, що призвело до зламу приватного ключа. Це нагадує нам про необхідність ретельної оцінки безпеки при використанні інструментів з відкритим кодом.
Подія Harmony Bridge
Мост Horizon Harmony був вкрадений на понад 100 мільйонів доларів. За аналізом, це, можливо, також справа північнокорейської хакерської організації, методи якої схожі на подію з Ronin. Це ще раз підкреслює загрозу національних хакерів для індустрії криптовалют.
Подія Ankr
Проект Ankr зазнав фінансових втрат через зловживання з боку внутрішніх осіб. Основна проблема полягає в неналежному контролі над правами власності на контракт, а також у наявності вразливостей в управлінні внутрішньою безпекою. Це підкреслює важливість управління внутрішньою безпекою для команди проекту.
Подія Mango
Платформа торгівлі Mango зазнала атаки маніпуляції на ринку, внаслідок чого втрати склали приблизно 115 мільйонів доларів. Зловмисники скористалися проблемою недостатньої ліквідності малих монет на платформі, маніпулюючи цінами для отримання прибутку. Це нагадує нам про необхідність враховувати ризики в різних екстремальних ситуаціях.
Отже, проекти Web3 стикаються з багатьма аспектами загроз безпеці, і їм необхідно посилити захист на різних рівнях, таких як код, механізми управління та внутрішнє управління. Користувачі, беручи участь у проектах, також повинні ретельно оцінювати ризики, не зосереджуючись лише на прибутках і ігноруючи безпеку.