Πώς να αποτρέψετε παρόμοιες παραβιάσεις ασφαλείας – Cryptopolitan

Αποκεντρωμένη χρηματοδότηση (Defi) τα πρωτόκολλα προσφέρουν αποκεντρωμένες χρηματοοικονομικές υπηρεσίες στους χρήστες, επιτρέποντάς τους να πραγματοποιούν συναλλαγές και να συνάπτουν συμφωνίες με άλλους συμμετέχοντες. Ενώ τα πρωτόκολλα DeFi στοχεύουν να παρέχουν μια ασφαλή και αξιόπιστη πλατφόρμα για τους χρήστες τους, αρκετά exploits τα τελευταία χρόνια έχουν προκαλέσει σημαντικές απώλειες κεφαλαίων. Αυτό το άρθρο θα συζητήσει μερικές από τις πιο εκτεταμένες εκμεταλλεύσεις DeFi που έχουν συμβεί πρόσφατα.

Ακολουθούν οι 8 κορυφαίες εκμεταλλεύσεις κρυπτογράφησης DeFi στο Web3 μετά την αφαίρεση των επιστρεφόμενων κεφαλαίων:

Αλυσίδα Ronin – 600 εκατομμύρια δολάρια

Ο Μάρτιος του 2023 ήταν ένας γεμάτος γεγονότα για τον χώρο των κρυπτονομισμάτων, με το hack της γέφυρας Axie Infinity Ronin να βρίσκεται στην κορυφή της λίστας με 612 εκατομμύρια δολάρια.

Η γέφυρα Ronin είναι μια Ethereum πλευρική αλυσίδα που χρησιμοποιείται στο δημοφιλές παιχνίδι για να κερδίσετε παιχνίδι Axie Infinity.

Η ομάδα εγκλήματος στον κυβερνοχώρο Lazarus, η οποία υποπτεύεται ότι έχει συνδέσεις με τη Βόρεια Κορέα, κατάφερε να αποκτήσει πρόσβαση σε εννέα ιδιωτικά κλειδιά επικύρωσης συναλλαγών, επιτρέποντάς τους να εγκρίνουν δύο μεγάλες συναλλαγές και να μετακινήσουν τα χρήματα από τη διεύθυνση του πορτοφολιού τους. Ευτυχώς, μια συνεργασία μεταξύ αρχών, εταιρειών ασφαλείας και ανταλλακτηρίων κρυπτονομισμάτων μπόρεσε να βοηθήσει στην ανίχνευση ορισμένων από αυτά τα κεφάλαια αφού οι χάκερ τα διέθεσαν σε μετρητά Tornado – ένα ανοιχτού κώδικα κρυπτογράφηση – και άλλα χρηματιστήρια.

Γέφυρα Wormhole – 323 εκατομμύρια δολάρια

Τον Φεβρουάριο του 2022, συνέβη ένα ατυχές περιστατικό καθώς χάκερ κρυπτονομισμάτων εκμεταλλεύτηκαν τον κώδικα μιας σκουληκότρυπας για να απογειωθούν με κρυπτογράφηση αξίας 326 εκατομμυρίων δολαρίων.

Η σκουληκότρυπα είναι μια συμβολική γέφυρα μεταξύ Solana και Ethereum, η οποία δυστυχώς δεν κατάφερε να αποτρέψει την επίθεση. Κατέστη δυνατή χάρη σε μια καταργημένη/νεκρή μη ασφαλή λειτουργία που παρέκαμψε την επαλήθευση υπογραφών και επέτρεψε την αλυσίδα των αντιπροσωπειών των υπογραφών.

Ειδικοί στο κυβερνασφάλεια προτείνουν ότι οι προγραμματιστές θα μπορούσαν να είχαν αποτρέψει την επίθεση εάν είχαν ασκήσει «πρακτικές ασφαλούς κωδικοποίησης» όπου έπρεπε να ελέγξουν όλες τις παραμέτρους. Ο έλεγχος θα μπορούσε να είχε διασφαλίσει την πιστοποίηση έγκυρων διευθύνσεων και έτσι να αποκλείσει παράνομες πηγές από την πρόσβαση σε περιουσιακά στοιχεία στην αλυσίδα.

Beanstalk – 181 εκατομμύρια δολάρια

Ένα μοιραίο Σαββατοκύριακο τον Απρίλιο του 2022, ένας χάκερ εξαπέλυσε μια επίθεση που συγκλόνισε την κοινότητα κρυπτογράφησης. Χρησιμοποιώντας ένα δάνειο flash – χαρακτηριστικό των πρωτοκόλλων αποκεντρωμένης χρηματοδότησης (DeFi) – κατάφεραν να κλέψουν 182 εκατομμύρια δολάρια σε ETH, BEAN stablecoin και άλλα περιουσιακά στοιχεία από το πρωτόκολλο Beanstalk stablecoin.

Οι χάκερ παρουσίασαν δύο κακόβουλες προτάσεις στο Beanstalk DAO μέσω της λειτουργίας δέσμευσης έκτακτης ανάγκης, η οποία απαιτεί ⅔ ψήφο πριν από την εφαρμογή μετά από 24 ώρες. Ο εισβολέας χρησιμοποίησε τεχνολογία flash δανείου για να αποκτήσει τον έλεγχο του 79% των διακριτικών για να περάσει και οι δύο προτάσεις και να εκτελέσει το σχέδιό του με επιτυχία.

Τα κεφάλαια στάλθηκαν μέσα από το πρωτόκολλο για την εξόφληση του έκτακτου δανείου, με τα υπόλοιπα να πηγαίνουν σε μια διεύθυνση που σχετίζεται με ένα ταμείο έκτακτης ανάγκης με έδρα την Ουκρανία. Συνολικά, μέχρι και 76 εκατομμύρια δολάρια έχουν αφαιρεθεί από το άτομο που ευθύνεται για αυτή τη γενναία πράξη.

Nomad – $155 εκατ

Το μπερδεμένο hack της γέφυρας Nomad έγινε πρωτοσέλιδο όταν συνέβη την 1η Αυγούστου 2022. Συγκλόνισε πολλούς blockchain Οι λάτρεις των εισβολέων εκμεταλλεύτηκαν μια ευπάθεια για να αποστραγγίσουν περιουσιακά στοιχεία που βασίζονται στο Ethereum αξίας άνω των 190 εκατομμυρίων δολαρίων που είναι αποθηκευμένα στη διασταυρούμενη γέφυρα πολλαπλών αλυσίδων.

Οι χάκερ κινήθηκαν γρήγορα και έξαλλοι, με εκατοντάδες πορτοφόλια να εμπλέκονται σε 960 συναλλαγές με αποτέλεσμα 1,175 μεμονωμένες αναλήψεις από το Total Value Locked (TVL) της γέφυρας. Όλα μέσα σε ώρες.

Μια περίπλοκη πτυχή αυτού του hack ήταν ότι το μόνο που έπρεπε να κάνουν οι χρήστες για να χακάρουν τα bridge funds ήταν να αντιγράψουν-επικόλλουν τα δεδομένα κλήσης συναλλαγής του αρχικού χάκερ, να αντικαταστήσουν την αρχική διεύθυνση με μια προσωπική και η συναλλαγή θα ολοκληρωνόταν.

Το hack προκάλεσε σοκ σε όλη την κοινότητα της αποκεντρωμένης χρηματοδότησης (DeFi), αποδεικνύοντας ότι οι χάκερ παραμένουν ένα βήμα μπροστά όταν εκμεταλλεύονται τα κενά στον κώδικα. Η γέφυρα Nomad παρέχει ένα ενδεικτικό παράδειγμα που καταδεικνύει τη σημασία των ασφαλών πρακτικών κωδικοποίησης και ενισχύει γιατί η ασφάλεια παραμένει μια διαρκής πρόκληση για τα έργα blockchain σήμερα.

CREAM Finance – $130.8 εκατ

Αν και η επίθεση στην CREAM τον Οκτώβριο του 2021 ήταν μια από τις μεγαλύτερες ληστείες δανείων, σίγουρα δεν ήταν ένα μεμονωμένο περιστατικό. Οι επείγουσες επιθέσεις δανείων περιλαμβάνουν τη χρήση ενός «αστραπιαίου δανείου» ρευστότητας, δανεισμού και αθέτησης πληρωμών αυτής της γρήγορης χρηματοδότησης, όλα μέσα σε μία μόνο συναλλαγή.

Εκμεταλλευόμενοι τα σφάλματα υπολογισμού των τιμών, οι χάκερ μπορούν γρήγορα να επωφεληθούν από τα δανεικά τους. Για παράδειγμα, στην περίπτωση του CREAM, δύο διαφορετικές διευθύνσεις αλληλεπίδρασαν με το yUSDVault του για να κόψουν μεγάλο αριθμό κουπονιών crYUSD. Εκμεταλλεύτηκαν μια ευπάθεια που θα διπλασίαζε την αξία αυτών των μετοχών. Αν και εξασφάλισαν επιτυχώς κεφάλαια αξίας 130 εκατομμυρίων δολαρίων, το ~ 1 δισεκατομμύριο δολάρια σε διαθέσιμες εξασφαλίσεις θα μπορούσε να πάρει πολύ περισσότερα από αυτό το ποσό. 

Οι επιθέσεις στιγμιαίων δανείων γίνονται όλο και πιο διαδεδομένες και η κοινότητα θα πρέπει να κάνει ερωτήσεις σχετικά με το πώς μπορούν να αποτρέψουν περαιτέρω παραβιάσεις της ασφάλειας στο μέλλον.

BSC token hub – $127 εκατ

Τον Οκτώβριο του 2022, χάκερ που εκμεταλλεύονταν μια κρίσιμη ευπάθεια στον κώδικα διασταυρούμενης γέφυρας BSC Beacon εξαφανίστηκαν με περιουσιακά στοιχεία κρυπτογράφησης συνολικού ύψους 570 εκατομμυρίων δολαρίων.

Η αλυσίδα BSc Beacon, επίσης γνωστή ως Token Hub, είναι μια γέφυρα μεταξύ αλυσίδων που συνδέει την αλυσίδα BNB Beacon (BEP2) και την αλυσίδα BNB (BEP20/BSC).

Ο χάκερ παραποιούσε κρυπτογραφικές αποδείξεις που ονομάζονταν αποδείξεις Merkle που είχαν σκοπό να επιβεβαιώσουν την εγκυρότητα δεδομένων όπως οι συναλλαγές. Με τη σειρά τους, χρησιμοποίησαν αυτές τις ψευδείς αποδείξεις Merkle για να μεταφέρουν κεφάλαια από το BSC Beacon cross-bridge σε άλλες αλυσίδες.

Μόλις η Tether μπλόκαρε τη διεύθυνση των επιτιθέμενων, ακολούθησε γρήγορη δράση με πάνω από 7 εκατομμύρια δολάρια που μεταφέρθηκαν από την αλυσίδα BNB να παγώσουν, κατασχώντας τα περισσότερα από τα παράνομα κεφάλαιά τους.

Harmony Horizon – $100 εκατ

Τον Ιούνιο του 2022, το έργο Harmony Horizon Bridge παραβιάστηκε όταν χάκερ έκλεψαν δύο από τα πέντε ιδιωτικά κλειδιά επικύρωσής του, επιτρέποντας στους απατεώνες να μεταφέρουν μάρκες αξίας 100 εκατομμυρίων δολαρίων.

Αυτό το πρόβλημα ασφαλείας οφειλόταν στον τρόπο με τον οποίο είχε στηθεί η γέφυρα, με ένα σχέδιο επικύρωσης 2 από 5. Ως αποτέλεσμα, ο εισβολέας χρειαζόταν μόνο δύο εγκρίσεις για να επικυρωθεί οποιαδήποτε κακόβουλη συναλλαγή. Για να καλύψουν τα ίχνη τους, οι επιτιθέμενοι χρησιμοποίησαν το Tornado Cash για να ξεπλύνουν μερικά από τα παράνομα κέρδη τους. 

Αν και αυτή η εγκατάσταση μπορεί να φαινόταν ασφαλής αρχικά, αποδείχθηκε επικερδής στόχος για τους κακούς ηθοποιούς και ένα ακριβό μάθημα ασφάλειας blockchain για όσους πιάστηκαν.

Rari - $91 εκ

Οι επιθέσεις επανεισόδου υπάρχουν από τις πρώτες μέρες του Ethereum. Έχουν χρησιμοποιήσει ευπάθειες συμβολαίου για επανειλημμένη ανάληψη κεφαλαίων πριν εγκριθεί ή απορριφθεί η αρχική συναλλαγή.

Τον Μάιο του 2022, δύο αποκεντρωμένες πλατφόρμες χρηματοδότησης παραβιάστηκαν με αυτόν τον τρόπο, με τους χάκερ να κλέβουν 90 εκατομμύρια δολάρια. Ο Jack Longarzo της Rari Capital είπε ότι ο εισβολέας εκμεταλλεύτηκε την εταιρεία και το Fei Protocol, το οποίο συγχωνεύτηκε με τη Rari Capital, πρόσφερε στον χάκερ χρηματικό έπαθλο 10 εκατομμυρίων δολαρίων.

Η εταιρεία ασφάλειας Blockchain BlockSec εξήγησε ότι οι χάκερ χρησιμοποίησαν μια ευπάθεια επανεισόδου. 

Οι προγραμματιστές μπορούν να αποτρέψουν αυτούς τους τύπους επιθέσεων δοκιμάζοντας και ελέγχοντας σωστά τα συμβόλαια πριν από την ανάπτυξη στο blockchain Ethereum.

Πώς να προστατευτείτε από εκμεταλλεύσεις DeFi

Τα πρωτόκολλα DeFi έχουν γίνει όλο και πιο δημοφιλή και πολύπλοκα, καθιστώντας τα ελκυστικούς στόχους για τους χάκερ. Ακολουθούν επτά συμβουλές που θα σας βοηθήσουν να προστατευθείτε από τις εκμεταλλεύσεις DeFi:

1. Εκτελέστε ενδελεχή δέουσα επιμέλεια σε οποιοδήποτε έργο πριν επενδύσετε. Ελέγξτε τον κώδικα, τον ιστότοπο, τα μέλη της ομάδας και τα κανάλια κοινωνικής δικτύωσης της πλατφόρμας για κόκκινες σημαίες.
2. Βεβαιωθείτε ότι μια αξιόπιστη πηγή ελέγχει τις συμβάσεις με τις οποίες αλληλεπιδράτε και ότι τα αποτελέσματα του ελέγχου είναι δημόσια διαθέσιμα.
3. Μην αποθηκεύετε μεγάλα ποσά χρημάτων σε ένα συμβόλαιο DeFi, καθιστώντας το πιο ευάλωτο σε επιθέσεις.
4. Μείνετε ενημερωμένοι με τα τελευταία νέα για την ασφάλεια για να μάθετε για νέα exploits.
5. Εφαρμόστε τις κατάλληλες διαδικασίες ελέγχου ταυτότητας και εξουσιοδότησης για όλους τους λογαριασμούς που αλληλεπιδρούν με τα πρωτόκολλα DeFi.
6. Βεβαιωθείτε ότι το πορτοφόλι σας είναι ασφαλές και χρησιμοποιήστε έλεγχο ταυτότητας δύο παραγόντων όποτε είναι δυνατόν.
7. Παρακολουθήστε τακτικά τα κεφάλαιά σας και τις συναλλαγές σας στο blockchain για να εντοπίσετε οποιαδήποτε ύποπτη δραστηριότητα ή μη εξουσιοδοτημένες αναλήψεις.

Η τήρηση αυτών των συμβουλών μπορεί να σας βοηθήσει να προστατευθείτε από εκμεταλλεύσεις DeFi και να διασφαλίσετε ότι τα χρήματά σας είναι ασφαλή όταν αλληλεπιδράτε με αποκεντρωμένα πρωτόκολλα χρηματοδότησης. Ωστόσο, είναι επίσης σημαντικό να θυμάστε ότι κανένα σύστημα δεν είναι αλάνθαστο, επομένως είναι πάντα η καλύτερη πρακτική να είστε ιδιαίτερα προσεκτικοί όταν ασχολείστε με ψηφιακά στοιχεία.

Συμπέρασμα

Συνολικά, η ασφάλεια είναι ένα από τα πιο σημαντικά ζητήματα όταν ασχολούμαστε με κρυπτονομίσματα και πρωτόκολλα DeFi. Δυστυχώς, καθώς ο κλάδος συνεχίζει να αναπτύσσεται, αυξάνονται και οι κίνδυνοι κακόβουλης δραστηριότητας. Αν και είναι αδύνατο να εγγυηθεί κανείς την απόλυτη ασφάλεια, ακολουθώντας αυτές τις συμβουλές μπορεί να σας βοηθήσει να προστατευθείτε από τις εκμεταλλεύσεις DeFi και να διατηρήσετε τα χρήματά σας ασφαλή. 

Παραμένοντας ενήμεροι για τις τελευταίες εξελίξεις στην ασφάλεια του blockchain και διασφαλίζοντας ότι εφαρμόζονται οι κατάλληλες διαδικασίες ελέγχου ταυτότητας για όλους τους λογαριασμούς, μπορείτε να διασφαλίσετε ότι τα ψηφιακά σας στοιχεία παραμένουν ασφαλή.