Децентралізовані фінанси безпека огляд: аналіз основних подій 2022 року

У 2022 році галузь Web3 зазнала кількох значних інцидентів безпеки, загальні збитки склали 4,3 мільярда доларів. У цій статті буде детально проаналізовано вісім типових випадків, більшість з яких пов'язані з збитками понад 100 мільйонів доларів.

Інцидент на мосту Ронін

У березні 2022 року стороння мережа Axie Infinity Ronin Network зазнала хакерської атаки, внаслідок якої було втрачено 173,6 тисячі ETH та 25,5 мільйонів USD, загальна вартість близько 590 мільйонів доларів США. За повідомленнями, хакери отримали інформацію про співробітників за допомогою соціальної інженерії, в результаті чого змогли контролювати кілька верифікаційних вузлів і в кінцевому підсумку здійснили атаку. Це виявило недоліки проекту у свідомості співробітників щодо безпеки та внутрішній системі безпеки.

Подія Wormhole

Wormhole крос-чейн міст через вразливість перевірки підписів у контракті Solana був використаний хакерами для випуску близько 120 тисяч ETH. Це сталося в основному через використання деяких застарілих функцій, тому рекомендується розробникам завжди використовувати останні версії інструментів і бібліотек, щоб уникнути подібних проблем.

Подія моста Nomad

Nomad кросчейн міст через проблеми з ініціалізацією налаштувань дозволив зловмисникам конструювати будь-які повідомлення для витягнення коштів, втративши близько 1,9 мільярда доларів. Цей випадок виявив недбалість проекту в ініціалізації та налаштуванні параметрів, а також продемонстрував виклики безпеки, з якими стикаються відкриті проекти.

Подія Beanstalk

Проект алгоритмічних стабільних монет Beanstalk зазнав атаки через блискавичний кредит, втративши приблизно 182 мільйони доларів. Зловмисник скористався вразливістю в механізмі управління проектом, отримавши величезну кількість голосів через блискавичний кредит і безпосередньо виконавши шкідливу пропозицію. Це відображає серйозні ризики безпеки, які можуть виникнути, якщо механізм децентралізованого управління проектом спроектовано неналежним чином.

Подія Wintermute

Маркет-мейкер Wintermute зазнав втрат понад 160 мільйонів доларів через використання інструменту генерації адрес з вразливостями, що призвело до зламу приватного ключа. Це нагадує нам про необхідність обережності при використанні відкритих інструментів та проведення належної оцінки безпеки.

Подія Harmony Bridge

Крос-ланцюговий міст Horizon від Harmony зазнав атаки, внаслідок якої було втрачено понад 100 мільйонів доларів. За повідомленнями, можливо, це було здійснено північнокорейською хакерською групою, що знову підкреслює вразливість крос-ланцюгових мостів.

Подія Ankr

Проект Ankr зазнав фінансових втрат через злочинні дії внутрішніх співробітників. Це виявило серйозні проблеми в управлінні правами доступу, зберіганні ключів тощо, що підкреслює важливість внутрішньої системи безпеки.

Подія Mango

Децентралізована торгова платформа Mango зазнала атаки маніпуляції на ринку, внаслідок чого було втрачено близько 1,15 мільярда доларів. Зловмисники скористалися вразливостями у дизайні платформи, маніпулюючи цінами невеликих токенів для отримання прибутку. Це нагадує сторонам проекту про необхідність всебічно розглянути різні екстремальні сценарії та вдосконалити механізми управління ризиками.