Аналіз основних подій безпеки DeFi у 2022 році

У 2022 році індустрія Web3 зазнала кількох великих інцидентів безпеки. За статистикою, сталося понад 300 інцидентів безпеки в блокчейні, що призвело до збитків у розмірі 4,3 мільярда доларів. У цій статті буде детально проаналізовано 8 типових випадків, більшість з яких призвели до збитків, що перевищують 100 мільйонів доларів, що має важливе попереджувальне значення.

Інцидент на мосту Ронін

23 березня 2022 року, стороння мережа Ronin Network гри NFT Axie Infinity була зламаною, внаслідок чого було вкрадено 17,36 мільйона ETH та 2,55 мільйона доларів США, загальна вартість яких становила близько 625 мільйонів доларів.

Зловмисники отримали довіру внутрішніх співробітників за допомогою соціальної інженерії, а потім проникли в систему та контролювали кілька вузлів перевірки. Цей високий стійкий загрозовий (APT) метод атаки виявляє серйозні проблеми з усвідомленням безпеки та управлінськими практиками в компанії.

Подія Wormhole

У Wormhole крос-чейн мості в основному контракті на стороні Solana існує вразливість верифікації підписів, що дозволяє зловмисникам підробляти повідомлення "опікуна" для емісії 120000 ETH.

Ця проблема виникає через використання застарілої функції, що нагадує розробникам про необхідність своєчасного оновлення до останньої версії, щоб уникнути подібних загроз безпеці.

Інцидент на мосту Кочівників

Кросчейн-протокол Nomad міст містить проблему ініціалізації, що дозволяє зловмисникам повторно надсилати дійсні транзакції для вилучення коштів, що призвело до втрат близько 190 мільйонів доларів.

Ця подія підкреслила важливість налаштування параметрів ініціалізації та безпекових ризиків, з якими стикаються відкриті проекти. Водночас це також виявило, що автоматизовані арбітражні дії, такі як боти MEV, можуть посилити вплив безпекових інцидентів.

Подія Beanstalk

Проект алгоритмічної стабільної монети Beanstalk зазнав атаки з використанням миттєвого кредитування, втративши 182 мільйони доларів.

Зловмисники використовують вразливість механізму управління, отримуючи велику кількість голосів через миттєві кредити, швидко приймаючи та виконуючи злісні пропозиції. Це відображає те, що якщо децентралізований механізм управління не має відповідних заходів безпеки, його можна зловмисно експлуатувати.

Подія Wintermute

Маркет-мейкер Wintermute втратив понад 100 мільйонів доларів через використання уразливого інструмента для генерації адрес, що призвело до компрометації приватного ключа контракту.

Ця подія нагадує нам про необхідність обережності при використанні відкритих інструментів та проведення ретельної оцінки безпеки.

Інцидент з мостом Harmony

Horizon крос-чейн міст втратив понад 100 мільйонів доларів, включаючи 13 тисяч ETH і 5000 BNB.

Ймовірно, це справа північнокорейської хакерської групи, методи атаки схожі на подію з Ronin Bridge. Це свідчить про зростання кількості державних хакерських атак на індустрію криптовалют.

Подія Ankr

Проект Ankr зазнав внутрішніх зловживань працівниками, внаслідок чого токени aBNBc були масово емітовані та продані, що спричинило ланцюгову реакцію.

Ця подія виявила відсутність базових заходів безпеки, таких як управління правами доступу всередині проєкту та мультипідписи, а також системні ризики, які можуть виникнути через взаємозалежність між DeFi проєктами.

Подія Mango

Торговельна платформа Mango через вразливість у бізнес-моделі була використана зловмисниками для маніпуляцій з цінами, в результаті чого було позичено 115 мільйонів доларів.

Ця подія нагадує проектним сторонам про необхідність ретельно враховувати різні екстремальні сценарії та вдосконалювати заходи контролю ризиків. Водночас користувачі, беручи участь у проекті, також повинні всебічно оцінювати ризики, не зосереджуючись лише на прибутках.