Финансирати

Како спречити сличне повреде безбедности – Цриптополитан

02/28/2023
Битцоин Етхереум Невс

Децентрализоване финансије (дефи) протоколи нуде децентрализоване финансијске услуге корисницима, омогућавајући им да врше трансакције и склапају уговоре са другим учесницима. Док ДеФи протоколи имају за циљ да обезбеде сигурну и поуздану платформу за своје кориснике, неколико експлоатација у последњих неколико година изазвало је значајне губитке средстава. Овај чланак ће расправљати о неким од најобимнијих ДеФи експлоата који су се недавно догодили.

Ево 8 најбољих крипто ДеФи експлоата у Веб3 након одбитка враћених средстава:

Ронин ланац - 600 милиона долара

Март 2023. је био месец пун догађаја за простор криптовалута, а хак на Акие Инфинити Ронин мост је био на врху листе са 612 милиона долара.

Ронин мост је ан Ethereum бочни ланац који се користи у популарној игри за зараду Акие Инфинити.

Група сајбер криминала Лазарус, за коју се сумња да има везе са Северном Корејом, успела је да добије приступ приватним кључевима девет валидатора трансакција, што им је омогућило да одобре две велике трансакције и преместе средства са адресе свог новчаника. На срећу, сарадња између власти, безбедносних фирми и берзи криптовалута успела је да помогне у проналажењу неких од ових средстава након што су их хакери пребацили у Торнадо кеш – криптовалуту отвореног кода – и друге размене.

Мост црвоточина – 323 милиона долара

У фебруару 2022. догодио се несрећни инцидент када су крипто хакери искористили код црвоточине да би узели крипто вредну 326 милиона долара.

Црвоточина је симболични мост између Солане и Етхереума, који нажалост није успео да спречи напад. То је омогућила застарела/мртва несигурна функција која је заобишла верификацију потписа и омогућила ланац делегирања потписа.

Стручњаци за Цибер Сецурити сугеришу да су програмери могли да спрече напад да су практиковали 'безбедно кодирање' где морају да провере све параметре. Провера је могла да обезбеди аутентификацију важећих адреса и на тај начин искључи нелегитимне изворе да приступе имовини у ланцу.

Стабљика пасуља – 181 милион долара

Судбоносног викенда у априлу 2022., хакер је покренуо напад који је потресао крипто заједницу. Користећи флеш зајам – што је карактеристика протокола децентрализованих финансија (ДеФи) – успели су да украду 182 милиона долара у ЕТХ, БЕАН стабилној валути и другој имовини из Беансталк стабилкоина.

Хакери су представили два злонамерна предлога Беансталк ДАО-у преко његове функције хитног обавештавања, која захтева ⅔ гласа пре имплементације након 24 сата. Нападач је користио технологију флеш позајмице да би преузео контролу над 79% токена да би прошао оба предлога и успешно извршио свој план.

Средства су послата у оквиру протокола за отплату брзог зајма, а остатак је отишао на адресу повезану са фондом за хитне случајеве са седиштем у Украјини. Појединац одговоран за овај храбри чин укупно је узео до 76 милиона долара.

Номад - 155 милиона долара

Збуњујући хак на Номад бридге доспео је на насловне стране када се догодио 1. августа 2022. Шокирао је многе блоцкцхаин ентузијасти као нападачи искористили су рањивост да испразне средства заснована на Етхереум-у у вредности од преко 190 милиона долара ускладиштених у вишеланчаном унакрсном мосту.

Хакери су се кретали брзо и жестоко, са стотинама новчаника укључених у 960 трансакција, што је резултирало 1,175 појединачних повлачења са Тотал Валуе Лоцкед (ТВЛ) моста. Све у року од неколико сати.

Збуњујући аспект овог хаковања био је да је све што су корисници морали да ураде да би хаковали средства за премошћивање било да копирају и залепе оригиналне податке о трансакцијама хакера, замене оригиналну адресу личном и трансакција би била завршена.

Хак је изазвао шокове широм заједнице децентрализованих финансија (ДеФи), доказујући да хакери остају корак испред када искоришћавају рупе у коду. Номад мост пружа илустративан пример који показује важност безбедних пракси кодирања и јача зашто безбедност остаје стални изазов за блоцкцхаин пројекте данас.

ЦРЕАМ Финанце – 130.8 милиона долара

Иако је напад на ЦРЕАМ у октобру 2021. био једна од највећих пљачки зајма, то свакако није био изолован инцидент. Напади на брзи зајам укључују коришћење 'фласх кредита' ликвидности, задуживање и неизвршење овог брзог финансирања, све у оквиру једне трансакције.

Користећи грешке у израчунавању цена, хакери могу брзо да профитирају од својих позајмица. На пример, у случају ЦРЕАМ-а, две различите адресе су ступиле у интеракцију са његовим иУСДВаулт-ом да би исковале велики број црИУСД токена. Они су искористили рањивост која би удвостручила вредност ових акција. Иако су успешно обезбедили средства у вредности од 130 милиона долара, доступног колатерала од око 1 милијарде долара могло би бити потребно много више од овог износа. 

Напади на флеш позајмице постају све распрострањенији и заједница би требало да поставља питања о томе како могу да спрече даља кршења безбедности у будућности.

БСЦ токен чвориште – 127 милиона долара

У октобру 2022, хакери који су искористили критичну рањивост у коду БСЦ Беацон цросс-бридге одузели су крипто имовину у укупном износу од 570 милиона долара.

БСц Беацон ланац, такође познат као Токен Хуб, је међуланчани мост који повезује БНБ Беацон ланац (БЕП2) и БНБ ланац (БЕП20/БСЦ).

Хакер је фалсификовао криптографске доказе зване Меркле докази који су требали да потврде валидност података као што су трансакције. Заузврат, они су користили ове лажне Меркле доказе да пренесу средства са БСЦ Беацон цросс-бридгеа у друге ланце.

Чим је Тетхер блокирао адресу нападача, уследила је брза акција са замрзнутим преко 7 милиона долара из ланца БНБ, конфисковањем већине њихових незаконито стечених средстава.

Хармони Хоризон – 100 милиона долара

У јуну 2022. пројекат Хармони Хоризон Бридге је компромитован када су хакери украли два од његових пет приватних кључева валидатора, омогућавајући преварантима да пренесу токене у вредности од 100 милиона долара.

Овај безбедносни проблем настао је због начина на који је мост постављен, са шемом валидације 2 од 5. Као резултат тога, нападачу су била потребна само два одобрења да би било која злонамерна трансакција била валидирана. Да би прикрили своје трагове, нападачи су користили Торнадо Цасх да оперу неке од својих незаконито стечених прихода. 

Иако је ова поставка можда у почетку изгледала безбедна, показала се уносном метом за лоше актере и скупом лецијом о безбедности блокчејна за оне који су ухваћени.

Рари - 91 милион долара

Напади поновног уласка су присутни од раних дана Етхереума. Они су користили рањивост уговора да би више пута повлачили средства пре него што је првобитна трансакција одобрена или одбијена.

У мају 2022. две децентрализоване финансијске платформе су компромитоване на овај начин, при чему су хакери украли 90 милиона долара. Џек Лонгарзо из компаније Рари Цапитал рекао је да је нападач искористио компанију, а Феи Протоцол, који се спојио са Рари Цапитал, понудио је хакеру награду од 10 милиона долара.

Блоцкцхаин безбедносна компанија БлоцкСец објаснила је да су хакери користили рањивост поновног уласка. 

Програмери могу да спрече ове врсте напада правилним тестирањем и ревизијом уговора пре примене на Етхереум блоцкцхаин.

Како се заштитити од ДеФи експлоата

ДеФи протоколи су постали све популарнији и сложенији, што их чини привлачним метама за хакере. Следи седам савета који ће вам помоћи да се заштитите од ДеФи експлоатације:

  1. Извршите темељну дужну пажњу на било ком пројекту пре улагања. Проверите код платформе, веб локацију, чланове тима и друштвене канале за црвене заставице.
  2. Уверите се да поуздани извор врши ревизију уговора са којима сарађујете и да су резултати ревизије јавно доступни.
  3. Немојте складиштити велике количине средстава у једном ДеФи уговору, што га чини рањивијим на нападе.
  4. Будите у току са најновијим безбедносним вестима да бисте сазнали више о новим подвизима.
  5. Спроведите одговарајуће процедуре аутентификације и ауторизације за све налоге који су у интеракцији са ДеФи протоколима.
  6. Уверите се да је ваш новчаник сигуран и користите двофакторску аутентификацију кад год је то могуће.
  7. Редовно пратите своја средства и трансакције на блокчејну да бисте открили било какве сумњиве активности или неовлашћена повлачења.

Праћење ових савета може вам помоћи да се заштитите од ДеФи експлоатације и да осигурате да су ваша средства безбедна у интеракцији са децентрализованим финансијским протоколима. Међутим, такође је важно запамтити да ниједан систем није непогрешив, тако да је увек најбоља пракса да будете посебно опрезни када радите са дигиталном имовином.

Zakljucak

Све у свему, безбедност је једно од најважнијих питања када се ради о криптовалутама и ДеФи протоколима. Нажалост, како индустрија наставља да расте, расту и ризици од злонамерне активности. Иако је немогуће гарантовати потпуну сигурност, праћење ових савета може вам помоћи да се заштитите од ДеФи експлоатације и заштитите своја средства. 

Ако будете у току са најновијим дешавањима у безбедности блокчејна и обезбеђујући да су на снази одговарајуће процедуре аутентификације за све налоге, можете помоћи да ваша дигитална имовина остане безбедна.

Извор: хттпс://ввв.цриптополитан.цом/дефи-екплоитс-ин-веб3-превентион-типс/