Огляд безпекових інцидентів у Децентралізованих фінансах: основні вразливості та уроки 2022 року
Протягом минулого року індустрія Web3 зазнала кількох серйозних інцидентів безпеки, що призвело до величезних втрат. У цій статті ми розглянемо 8典型 випадків, проаналізуємо виявлені в них вразливості безпеки та підсумуємо відповідний досвід.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала нападу, внаслідок якого було втрачено близько 600 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали контроль над кількома валідаційними вузлами, в результаті чого завершили атаку. Це відображає серйозні недоліки у свідомості працівників проекту щодо безпеки та внутрішньої системи безпеки.
Подія Wormhole
Кросчейн міст Wormhole через використання застарілих функцій призвів до наявності вразливості в контракті, яку використали хакери для викрадення приблизно 120 тисяч ETH. Це нагадує розробникам, що вони повинні використовувати останні версії мов програмування та бібліотек, щоб уникнути відомих ризиків.
Подія мосту Nomad
Крос-чейн протокол Nomad через неналежні налаштування ініціалізації дозволив зловмисникам повторно відтворювати транзакції для вилучення коштів, що призвело до втрат у розмірі майже 200 мільйонів доларів. Ця подія виявила недоліки проекту в аудиту коду та безпеці тестування.
Подія Beanstalk
Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через флеш-кредит, внаслідок чого було втрачено близько 182 мільйонів доларів. Зловмисник скористався вразливістю в механізмі управління проектом, виконавши шкідливу пропозицію без перевірки. Це свідчить про те, що механізми децентралізованого управління все ще мають численні проблеми з безпекою.
Подія Wintermute
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через використання вразливого інструменту для генерації адрес, що призвело до зламу приватного ключа. Це нагадує командам проектів про необхідність проведення ретельної оцінки безпеки при використанні сторонніх інструментів.
Подія Harmony Bridge
Кросчейн-міст Horizon зазнав збитків понад 100 мільйонів доларів, ймовірно, через витік приватного ключа. Це ще раз підкреслює важливість належного зберігання приватних ключів, а також необхідність таких механізмів безпеки, як мультипідпис.
Подія Ankr
Ankr зазнала внутрішнього шахрайства з боку співробітників, що призвело до збитків приблизно в 17 мільйонів доларів. Це виявило суттєві недоліки в управлінні правами та внутрішніх контрольних системах проекту.
Подія Mango
Торговельна платформа Mango Markets зазнала маніпуляцій на ринку, втратила близько 115 мільйонів доларів. Зловмисники використали недостатню ліквідність токенів з невеликою капіталізацією, що виявило вразливості проекту в управлінні ризиками.
Підсумок
Ці події відображають, що проекти Децентралізовані фінанси все ще мають недоліки в декількох аспектах, таких як безпека коду, управління правами та механізми управління ризиками. Проектам потрібно посилити обізнаність про безпеку, вдосконалити внутрішні контрольні системи, приділяти увагу аудиту коду та тестуванню безпеки. Водночас користувачі також повинні підвищити обізнаність про ризики та обережно брати участь у різних проектах Децентралізовані фінанси.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
17 лайків
Нагородити
17
6
Поділіться
Прокоментувати
0/400
AirdropFatigue
· 07-21 02:45
Гроші пропали, нічого не вийшло.
Переглянути оригіналвідповісти на0
OnchainHolmes
· 07-21 02:45
Ай, старий Хакер знову почав.
Переглянути оригіналвідповісти на0
TommyTeacher
· 07-21 02:39
Ті ж самі помилки постійно повторюються.
Переглянути оригіналвідповісти на0
Layer2Observer
· 07-21 02:30
Знову займаються цими старими, звичними аналізами, код — це основа!
Огляд вразливостей безпеки DeFi: уроки та висновки з 8 значних подій
Огляд безпекових інцидентів у Децентралізованих фінансах: основні вразливості та уроки 2022 року
Протягом минулого року індустрія Web3 зазнала кількох серйозних інцидентів безпеки, що призвело до величезних втрат. У цій статті ми розглянемо 8典型 випадків, проаналізуємо виявлені в них вразливості безпеки та підсумуємо відповідний досвід.
Інцидент на мосту Ронін
У березні 2022 року бічна мережа Axie Infinity Ronin Network зазнала нападу, внаслідок якого було втрачено близько 600 мільйонів доларів. Зловмисники за допомогою соціальної інженерії отримали контроль над кількома валідаційними вузлами, в результаті чого завершили атаку. Це відображає серйозні недоліки у свідомості працівників проекту щодо безпеки та внутрішньої системи безпеки.
Подія Wormhole
Кросчейн міст Wormhole через використання застарілих функцій призвів до наявності вразливості в контракті, яку використали хакери для викрадення приблизно 120 тисяч ETH. Це нагадує розробникам, що вони повинні використовувати останні версії мов програмування та бібліотек, щоб уникнути відомих ризиків.
Подія мосту Nomad
Крос-чейн протокол Nomad через неналежні налаштування ініціалізації дозволив зловмисникам повторно відтворювати транзакції для вилучення коштів, що призвело до втрат у розмірі майже 200 мільйонів доларів. Ця подія виявила недоліки проекту в аудиту коду та безпеці тестування.
Подія Beanstalk
Проект алгоритмічної стабільної монети Beanstalk зазнав атаки через флеш-кредит, внаслідок чого було втрачено близько 182 мільйонів доларів. Зловмисник скористався вразливістю в механізмі управління проектом, виконавши шкідливу пропозицію без перевірки. Це свідчить про те, що механізми децентралізованого управління все ще мають численні проблеми з безпекою.
Подія Wintermute
Маркет-мейкер Wintermute втратив близько 160 мільйонів доларів через використання вразливого інструменту для генерації адрес, що призвело до зламу приватного ключа. Це нагадує командам проектів про необхідність проведення ретельної оцінки безпеки при використанні сторонніх інструментів.
Подія Harmony Bridge
Кросчейн-міст Horizon зазнав збитків понад 100 мільйонів доларів, ймовірно, через витік приватного ключа. Це ще раз підкреслює важливість належного зберігання приватних ключів, а також необхідність таких механізмів безпеки, як мультипідпис.
Подія Ankr
Ankr зазнала внутрішнього шахрайства з боку співробітників, що призвело до збитків приблизно в 17 мільйонів доларів. Це виявило суттєві недоліки в управлінні правами та внутрішніх контрольних системах проекту.
Подія Mango
Торговельна платформа Mango Markets зазнала маніпуляцій на ринку, втратила близько 115 мільйонів доларів. Зловмисники використали недостатню ліквідність токенів з невеликою капіталізацією, що виявило вразливості проекту в управлінні ризиками.
Підсумок
Ці події відображають, що проекти Децентралізовані фінанси все ще мають недоліки в декількох аспектах, таких як безпека коду, управління правами та механізми управління ризиками. Проектам потрібно посилити обізнаність про безпеку, вдосконалити внутрішні контрольні системи, приділяти увагу аудиту коду та тестуванню безпеки. Водночас користувачі також повинні підвищити обізнаність про ризики та обережно брати участь у різних проектах Децентралізовані фінанси.