Крупнейшие уязвимости DeFi в Web3: как предотвратить подобные нарушения безопасности

Протоколы децентрализованных финансов (DeFi) предоставляют пользователям децентрализованные финансовые услуги, позволяя им совершать транзакции и заключать соглашения с другими участниками. Хотя протоколы DeFi стремятся обеспечить безопасную и надежную платформу для своих пользователей, ряд атак за последние несколько лет привели к значительным финансовым потерям. В этой статье будут рассмотрены некоторые из наиболее масштабных атак DeFi , произошедших в последнее время.

Вот 8 самых распространенных уязвимостей в сфере крипто- DeFi в Web3 после вычета возвращенных средств:

Ronin Chain – 600 млн долларов

Март 2023 года стал насыщенным событиями месяцем для криптовалютного пространства: взлом моста Axie Infinity Ronin возглавил список по масштабу ущерба, составив 612 миллионов долларов.

Ronin Bridge — это сайдчейн Ethereum , используемый в популярной игре Axie Infinity, в которой можно зарабатывать, играя в игру.

Киберпреступная группа Lazarus, предположительно связанная с Северной Кореей, получила доступ к закрытым ключам девяти валидаторов транзакций, что позволило им одобрить две крупные транзакции и перевести средства со своих кошельков. К счастью, сотрудничество между властями, охранными фирмами и криптовалютными биржами помогло tracчасть этих средств после того, как хакеры перевели их на Tornado cash — криптовалютный купон с открытым исходным кодом — и другие биржи.

Мост-червоточина – 323 млн долларов

В феврале 2022 года произошёл неприятныйdent : криптохакеры, используя код червоточины, похитили криптовалюту на сумму 326 миллионов долларов.

Червоточина — это мост из токенов между Solana и Ethereum, который, к сожалению, не смог предотвратить атаку. Она стала возможной благодаря устаревшей/неработающей небезопасной функции, которая обходила проверку подписи и позволяла осуществлять цепочку делегирования подписей.

Эксперты по кибербезопасности предполагают, что разработчики могли бы предотвратить атаку, если бы применяли «методы безопасного кодирования», которые предусматривают проверку всех параметров. Такая проверка могла бы обеспечить аутентификацию действительных адресов и, таким образом, исключить доступ к активам в блокчейне со стороны нелегальных источников.

Beanstalk – 181 млн долларов

В один из злополучных выходных апреля 2022 года хакер совершил атаку, потрясшую криптосообщество. Используя мгновенный кредит — функцию протоколов децентрализованных финансов (DeFi) — им удалось украсть 182 миллиона долларов в ETH, стейблкоинах BEAN и других активах из протокола Beanstalk.

Хакеры представили два вредоносных предложения в Beanstalk DAO через функцию экстренного подтверждения, для реализации которых требуется ⅔ голосов после 24 часов. Злоумышленники использовали технологию мгновенного кредитования, чтобы получить контроль над 79% токенов, что позволило им принять оба предложения и успешно осуществить свой план.

Средства были переведены в рамках протокола для погашения экстренного кредита, а остаток поступил на адрес, связанный с украинским фондом экстренной помощи. В общей сложности лицо, ответственное за этот смелый поступок, присвоило до 76 миллионов долларов.

Nomad – 155 млн долларов

Незаметный взлом Nomad Bridge, произошедший 1 августа 2022 года, попал в заголовки новостей. Он шокировал многих энтузиастов блокчейна, поскольку злоумышленники воспользовались уязвимостью, чтобы вывести более 190 миллионов долларов США из активов на основе Ethereum, хранящихся в мультисетевом кросс-мосте.

Хакеры действовали быстро и яростно, задействовав сотни кошельков в 960 транзакциях, в результате которых было произведено 1175 отдельных выводов средств с заблокированной общей суммы ( TVL ) моста . Все это произошло в течение нескольких часов.

Загадочным аспектом этой хакерской атаки было то, что для взлома средств на бридж-счете пользователям достаточно было скопировать и вставить данные о транзакции, предоставленные первоначальным хакером, заменить исходный адрес личным, и транзакция завершалась.

Взлом вызвал шок в сообществе децентрализованных финансов (DeFi), доказав, что хакеры всегда на шаг впереди, используя уязвимости в коде. Мост Nomad служит наглядным примером, демонстрирующим важность безопасных методов кодирования и подтверждающим, почему безопасность остается постоянной проблемой для блокчейн-проектов сегодня.

CREAM Finance – 130,8 млн долларов США

Хотя атака на CREAM в октябре 2021 года была одной из крупнейших краж с использованием «мгновенных займов», это, безусловно, не был единичныйdent. Атаки с использованием «мгновенных займов» подразумевают использование «мгновенного займа» ликвидности, заимствование и невыполнение обязательств по этому быстрому финансированию — всё в рамках одной транзакции.

Используя ошибки в расчетах цен, хакеры могут быстро получить прибыль от заимствований. Например, в случае с CREAM два разных адреса взаимодействовали с хранилищем yUSDVault для создания большого количества токенов crYUSD. Они использовали уязвимость, которая удвоила бы стоимость этих акций. Хотя им удалось получить средства на сумму 130 миллионов долларов, доступное обеспечение в размере около 1 миллиарда долларов могло бы потребовать гораздо большего. 

Атаки с использованием мгновенных займов становятся все более распространенными, и сообществу следует задуматься о том, как предотвратить дальнейшие нарушения безопасности в будущем.

Токен-хаб BSC – 127 млн ​​долларов США

В октябре 2022 года хакеры, используя критическую уязвимость в коде межсетевого интерфейса BSC Beacon, похитили криптоактивы на общую сумму 570 миллионов долларов.

Цепочка BSc Beacon, также известная как Token Hub, представляет собой межцепочечный мост, соединяющий цепочку BNB Beacon (BEP2) и цепочку BNB (BEP20/BSC).

Хакер подделал криптографические доказательства, называемые доказательствами Меркла, предназначенные для подтверждения достоверности данных, таких как транзакции. В свою очередь, он использовал эти ложные доказательства Меркла для перевода средств с моста BSC Beacon на другие блокчейны.

Как только Tether внесла адрес злоумышленников в черный список, последовали оперативные действия: более 7 миллионов долларов, переведенных из сети BNB , были заморожены, а большая часть незаконно полученных средств конфискована.

Harmony Horizon – 100 млн долларов

В июне 2022 года проект Harmony Horizon Bridge был взломан, когда хакеры украли два из пяти закрытых ключей валидаторов, что позволило мошенникам перевести токены на сумму 100 миллионов долларов.

Проблема безопасности была вызвана особенностями работы моста, где использовалась схема проверки 2 из 5. В результате злоумышленнику требовалось всего два подтверждения для проверки любой вредоносной транзакции. Чтобы замести trac, злоумышленники использовали Tornado Cash для отмывания части незаконно полученных средств. 

Хотя поначалу эта система могла казаться безопасной, она оказалась выгодной мишенью для злоумышленников и дорогостоящим уроком безопасности блокчейна для тех, кто был пойман.

Ferrari - 91 млн долларов

Атаки с целью повторного входа (reentrancy attacks) существуют с самых первых дней существования Ethereum. Они используют уязвимостиtracдля многократного вывода средств до того, как первоначальная транзакция будет одобрена или отклонена.

В мае 2022 года две децентрализованные финансовые платформы были взломаны подобным образом, хакеры украли 90 миллионов долларов. Джек Лонгарзо из Rari Capital заявил, что злоумышленник использовал уязвимость в компании, а Fei Protocol, которая объединилась с Rari Capital, предложила хакеру награду в 10 миллионов долларов.

Компания BlockSec, специализирующаяся на безопасности блокчейна, объяснила, что хакеры использовали уязвимость повторного входа. 

Разработчики могут предотвратить подобные атаки, надлежащим образом тестируя и проверяяtracперед их развертыванием в блокчейне Ethereum .

Как защитить себя от эксплойтов DeFi

Протоколы DeFi становятся все более популярными и сложными, что делает ихtracцелями для хакеров. Ниже приведены семь советов, которые помогут вам защититься от эксплойтов в DeFi :

1. Перед инвестированием в любой проект проведите тщательную проверку. Проверьте код платформы, веб-сайт, членов команды и страницы в социальных сетях на наличие подозрительных моментов.
2. Убедитесь, что надежная организация проводит аудитtrac, с которыми вы взаимодействуете, и что результаты аудита находятся в открытом доступе.
3. Не храните крупные суммы средств в одном DeFitrac, так как это делает его более уязвимым для атак.
4. Будьте в курсе последних новостей в области безопасности, чтобы узнавать о новых уязвимостях.
5. Внедрить надлежащие процедуры аутентификации и авторизации для всех учетных записей, взаимодействующих с протоколами DeFi .
6. Убедитесь в безопасности своего кошелька и используйте двухфакторную аутентификацию везде, где это возможно.
7. Регулярно отслеживайте свои средства и транзакции в блокчейне, чтобы выявлять любую подозрительную активность или несанкционированные снятия средств.

Следуя этим советам, вы сможете защититься от мошеннических схем в DeFi и обеспечить безопасность своих средств при взаимодействии с децентрализованными финансовыми протоколами. Однако важно помнить, что ни одна система не является безупречной, поэтому всегда следует проявлять особую осторожность при работе с цифровыми активами.

Заключение

В целом, безопасность является одним из важнейших факторов при работе с криптовалютами и протоколами DeFi . К сожалению, по мере роста отрасли растут и риски вредоносной деятельности. Хотя гарантировать полную безопасность невозможно, следование этим советам поможет вам защититься от уязвимостей DeFi и сохранить ваши средства в безопасности. 

Следя за последними разработками в области безопасности блокчейна и обеспечивая надлежащие процедуры аутентификации для всех учетных записей, вы можете помочь гарантировать сохранность ваших цифровых активов.