財務

如何防止類似的安全漏洞 – Cryptopolitan

02/28/2023
比特幣以太幣新聞

分散式金融(DEFI) 協議為用戶提供去中心化的金融服務,允許他們進行交易並與其他參與者達成協議。 儘管 DeFi 協議旨在為其用戶提供一個安全可靠的平台,但過去幾年的一些漏洞利用已造成重大資金損失。 本文將討論最近發生的一些最廣泛的 DeFi 漏洞利用。

以下是扣除返還資金後 Web8 中排名前 3 的加密 DeFi 漏洞:

浪人鏈——600億美元

2023 年 612 月對於加密貨幣領域來說是多事之秋,Axie Infinity Ronin 橋接黑客以 XNUMX 億美元位居榜首。

浪人橋是一個 以太幣 流行的賺錢遊戲 Axie Infinity 中使用的側鏈。

懷疑與朝鮮有聯繫的網絡犯罪集團 Lazarus 設法獲得了九個交易驗證者的私鑰,使他們能夠批准兩筆大額交易並將資金從他們的錢包地址中轉移出來。 幸運的是,在黑客將這些資金偷偷帶到 Tornado cash(一種開源加密貨幣不倒翁)和其他交易所之後,當局、安全公司和加密貨幣交易所之間的合作能夠幫助追踪其中的一些資金。

蟲洞橋——323 億美元

2022 年 326 月,不幸的事件發生了,加密貨幣黑客利用蟲洞代碼將價值 XNUMX 億美元的加密貨幣帶走。

蟲洞是 Solana 和以太坊之間的代幣橋樑,不幸的是未能阻止攻擊。 繞過簽名驗證並啟用簽名委託鏈的已棄用/完全不安全的功能使它成為可能。

專家 網絡安全 建議如果開發人員在必須檢查所有參數的地方實行“安全編碼實踐”,他們就可以阻止攻擊。 該檢查可以確保有效地址的身份驗證,從而排除非法來源訪問鏈上的資產。

圖片

豆莖——181億美元

在 2022 年 182 月的一個重要周末,一名黑客發動了一場震驚加密社區的攻擊。 使用閃電貸——去中心化金融 (DeFi) 協議的一項功能——他們設法從 Beanstalk 穩定幣協議中竊取了 XNUMX 億美元的 ETH、BEAN 穩定幣和其他資產。

黑客通過其緊急提交功能向 Beanstalk DAO 提交了兩個惡意提案,該提案需要在 24 小時後進行 ⅔ 投票才能實施。 攻擊者使用閃電貸技術獲得了 79% 的代幣控制權,從而通過了兩個提案並成功執行了他們的計劃。

這些資金是從協議中發送的,用於償還快速貸款,其餘資金進入與烏克蘭應急基金相關的地址。 對這一勇敢行為負責的個人總共拿走了高達 76 萬美元。

游牧民族——155 億美元

1 年 2022 月 XNUMX 日發生的令人費解的 Nomad 網橋黑客事件成為頭條新聞。它震驚了許多人 blockchain 作為攻擊者的狂熱者利用漏洞耗盡了存儲在多鏈跨橋中價值超過 190 億美元的基於以太坊的資產。

黑客行動迅速而激烈,數百個錢包參與了 960 筆交易,導致 1,175 人從橋的總價值鎖定 (TVL) 中提款。 數小時內完成。

這次黑客攻擊的一個令人費解的方面是,所有用戶要想破解橋接基金,只需複制粘貼原始黑客的交易調用數據,將原始地址替換為個人地址,交易就會完成。

這次黑客攻擊在整個去中心化金融 (DeFi) 社區掀起了軒然大波,證明黑客在利用代碼漏洞時仍然領先一步。 Nomad 橋提供了一個說明性示例,展示了安全編碼實踐的重要性,並強調了為什麼安全性仍然是當今區塊鏈項目的持續挑戰。

CREAM 金融——130.8 億美元

儘管 2021 年 XNUMX 月對 CREAM 的攻擊是最大的閃電貸搶劫案之一,但這肯定不是孤立事件。 閃電貸攻擊涉及使用流動性“閃電貸”、借貸和違約這種快速融資,所有這些都在一次交易中完成。

通過利用價格計算錯誤,黑客可以迅速從借款中獲利。 例如,就 CREAM 而言,兩個不同的地址與其 yUSDVault 交互以鑄造大量 crYUSD 代幣。 他們利用了一個漏洞,可以使這些股票的價值翻倍。 儘管他們成功獲得了價值 130 億美元的資金,但約 1 億美元的可用抵押品可能遠遠超過這一數額。 

閃電貸攻擊變得越來越普遍,社區應該就如何防止未來進一步的安全漏洞提出問題。

BSC 代幣中心——127 億美元

2022 年 570 月,黑客利用 BSC Beacon 跨橋代碼中的一個關鍵漏洞竊取了總計 XNUMX 億美元的加密資產。

BSc Beacon鏈,也稱為Token Hub,是連接BNB Beacon Chain(BEP2)和BNB Chain(BEP20/BSC)的鏈間橋樑。

黑客確實偽造了稱為 Merkle 證明的加密證明,旨在確認交易等數據的有效性。 反過來,他們使用這些虛假的 Merkle 證明將資金從 BSC Beacon 跨橋轉移到其他鏈。

Tether 將攻擊者的地址列入黑名單後,便迅速採取行動,凍結了從 BNB 鏈中轉移的超過 7 萬美元,沒收了他們的大部分不義之財。

和諧地平線——100億美元

2022 年 100 月,當黑客竊取了 Harmony Horizo​​n Bridge 項目的五個驗證器私鑰中的兩個時,Harmony Horizo​​n Bridge 項目遭到破壞,使欺詐者能夠轉移價值 XNUMX 億美元的代幣。

這個安全問題是由於橋的設置方式造成的,採用 2 of 5 驗證方案。 因此,攻擊者只需兩次批准即可驗證任何惡意交易。 為了掩蓋他們的踪跡,攻擊者使用 Tornado Cash 來清洗他們的一些不義之財。 

儘管這種設置最初可能看起來很安全,但事實證明,它是不良行為者有利可圖的目標,也是對那些被抓獲的區塊鏈安全性的昂貴教訓。

拉里 - 91 萬美元

自以太坊早期以來,重入攻擊就一直存在。 他們利用合約漏洞在原始交易被批准或拒絕之前反复提取資金。

2022 年 90 月,兩個去中心化金融平台以這種方式遭到破壞,黑客竊取了 10 萬美元。 Rari Capital 的 Jack Longarzo 表示,攻擊者利用了該公司,與 Rari Capital 合併的 Fei Protocol 向黑客提供了 XNUMX 萬美元的賞金。

區塊鏈安全公司 BlockSec 解釋稱,黑客利用了重入漏洞。 

開發人員可以在部署到以太坊區塊鏈之前通過適當地測試和審計合約來防止這些類型的攻擊。

如何保護自己免受 DeFi 攻擊

DeFi 協議變得越來越流行和復雜,使它們成為黑客的誘人目標。 以下是幫助您保護自己免受 DeFi 攻擊的七個技巧:

  1. 在投資之前對任何項目進行徹底的盡職調查。 檢查平台的代碼、網站、團隊成員和社交渠道是否存在危險信號。
  2. 確保可信來源審核您與之交互的合同,並確保審核結果公開可用。
  3. 不要在一個 DeFi 合約中存儲大量資金,使其更容易受到攻擊。
  4. 隨時了解最新的安全新聞以了解新的漏洞利用。
  5. 為所有與 DeFi 協議交互的賬戶實施適當的身份驗證和授權程序。
  6. 確保你的錢包安全,並儘可能使用雙因素身份驗證。
  7. 定期監控您在區塊鏈上的資金和交易,以檢測任何可疑活動或未經授權的提款。

遵循這些提示有助於保護您免受 DeFi 攻擊,並確保您的資金在與去中心化金融協議交互時是安全的。 然而,同樣重要的是要記住,沒有任何系統是絕對可靠的,因此在處理數字資產時最好格外小心。

結論

總的來說,安全是處理加密貨幣和 DeFi 協議時最重要的考慮因素之一。 不幸的是,隨著行業的不斷發展,惡意活動的風險也在增加。 雖然無法保證完全安全,但遵循這些提示可以幫助您保護自己免受 DeFi 攻擊並確保您的資金安全。 

通過了解區塊鏈安全的最新發展並確保所有帳戶都採用適當的身份驗證程序,您可以幫助確保您的數字資產保持安全。

來源:https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/