қаржы

Қауіпсіздіктің ұқсас бұзылуын қалай болдырмауға болады – Cryptopolitan

02/28/2023
Bitcoin Ethereum жаңалықтары

Орталықтандырылмаған қаржы (Defi) хаттамалар пайдаланушыларға транзакциялар жасауға және басқа қатысушылармен келісімдер жасауға мүмкіндік беретін орталықтандырылмаған қаржылық қызметтерді ұсынады. DeFi протоколдары өз пайдаланушылары үшін қауіпсіз және сенімді платформаны қамтамасыз етуді мақсат еткенімен, соңғы бірнеше жылдағы бірнеше эксплойттар қаражаттың айтарлықтай жоғалуына әкелді. Бұл мақалада соңғы кезде орын алған ең ауқымды DeFi эксплойттерінің кейбірі талқыланады.

Міне, қайтарылған қаражатты шегергеннен кейін Web8 жүйесіндегі ең жақсы 3 крипто DeFi эксплойттері:

Ронин тізбегі – 600 миллион доллар

2023 жылдың наурызы криптовалюта кеңістігі үшін оқиғаға толы ай болды, Axie Infinity Ronin көпірі 612 миллион доллармен тізімде көш бастады.

Ронин көпірі Ethereum бүйірлік тізбек танымал Axie Infinity ойынында қолданылады.

Солтүстік Кореямен байланысы бар деп күдіктенген Лазарус киберқылмыс тобы тоғыз транзакция тексерушісінің жеке кілтіне қол жеткізе алды, бұл оларға екі ірі транзакцияны мақұлдауға және қаражатты әмиян мекенжайынан жылжытуға мүмкіндік берді. Бақытымызға орай, билік орындары, қауіпсіздік фирмалары және криптовалюта биржалары арасындағы ынтымақтастық хакерлер оларды Tornado cash – ашық бастапқы криптовалютаға – және басқа биржаларға жібергеннен кейін осы қаражаттың бір бөлігін анықтауға көмектесті.

Құрт тесігі көпірі – $323 млн

2022 жылдың ақпанында крипто хакерлерінің құны 326 миллион доллар болатын криптомен айналысу үшін құрт тесігінің кодын пайдаланған кезде бақытсыз оқиға орын алды.

Құрт тесігі - бұл Solana мен Ethereum арасындағы таңбалы көпір, өкінішке орай, шабуылдың алдын ала алмады. Бұл қолтаңбаны тексеруді айналып өтіп, қолтаңбалар тізбегін қосатын ескірген/өлі қауіпті функцияның арқасында мүмкін болды.

саласындағы мамандар киберқауіпсіздік әзірлеушілер барлық параметрлерді тексеретін «қауіпсіз кодтау тәжірибесін» қолданса, шабуылдың алдын алар еді деп болжайды. Тексеру жарамды мекенжайлардың аутентификациясын қамтамасыз етіп, заңсыз көздердің тізбектегі активтерге қол жеткізуін жоққа шығаруы мүмкін еді.

Бұршақ сабағы – $181 млн

2022 жылдың сәуір айындағы тағдырлы демалыс күнінде хакер крипто қоғамдастығын дүр сілкіндірген шабуыл жасады. Орталықтандырылмаған қаржы (DeFi) хаттамаларының ерекшелігі - жедел несиені пайдалану арқылы олар Beanstalk stablecoin хаттамасынан ETH, BEAN стабилкоин және басқа активтерде 182 миллион доллар ұрлап үлгерді.

Хакерлер Beanstalk DAO-ға 24 сағаттан кейін орындалмас бұрын ⅔ дауыс беруді қажет ететін төтенше жағдай жасау функциясы арқылы екі зиянды ұсыныс жасады. Шабуылдаушы екі ұсынысты тапсыру және олардың жоспарын сәтті орындау үшін токендердің 79% бақылауына ие болу үшін флэш несие технологиясын пайдаланды.

Қаражат жедел несиені өтеу үшін хаттаманың ішінен жіберілді, ал қалғаны Украинадағы төтенше жағдайлар қорымен байланысты мекенжайға жіберілді. Бұл батыл әрекетке жауапты адам барлығы 76 миллион долларға дейін ақша алды.

Nomad – $155 млн

1 жылдың 2022 тамызында болған Nomad bridge бұзақысы көпшілікті таң қалдырды. blockchain шабуылдаушылар ретінде энтузиастар осалдықты пайдаланып, көп тізбекті кросс-көпірде сақталған Ethereum негізіндегі 190 миллион доллардан астам активтерді төгіп тастады.

Хакерлер жылдам әрі ашулы болды, жүздеген әмияндар 960 транзакцияға қатысты, соның нәтижесінде көпірдің жалпы құны құлыпталған (TVL) тізімінен 1,175 жеке қаражат алынды. Барлығы сағат ішінде.

Бұл бұзудың таңқаларлық аспектісі - көпір қорларын бұзу үшін барлық пайдаланушылар хакердің транзакциялық қоңырау деректерін көшіріп қою, түпнұсқа мекенжайды жеке мекен-жайға ауыстыру және транзакция аяқталды.

Бұзушылық бүкіл орталықтандырылмаған қаржы (DeFi) қауымдастығына соққылар жіберді, бұл хакерлер кодтағы олқылықтарды пайдалану кезінде бір қадам алда болатынын дәлелдеді. Nomad bridge қауіпсіз кодтау тәжірибесінің маңыздылығын көрсететін көрнекі мысалды ұсынады және бүгінде блокчейн жобалары үшін қауіпсіздіктің неліктен тұрақты проблема болып қала беретінін нығайтады.

CREAM Finance – $130.8 млн

2021 жылдың қазан айында CREAM-ге жасалған шабуыл ең үлкен несие ұрлауының бірі болғанымен, бұл, әрине, оқшауланған оқиға емес. Қарызға жедел шабуылдар бір транзакция аясында өтімділіктің «флеш несиесін» пайдалануды, қарыз алуды және осы жылдам қаржыландыру бойынша дефолтты қамтиды.

Бағаны есептеу қателерін пайдалана отырып, хакерлер өздерінің қарыздарынан тез пайда таба алады. Мысалы, CREAM жағдайында көптеген crYUSD таңбалауыштарын шығару үшін екі түрлі мекенжай оның yUSDVault бағдарламасымен өзара әрекеттесті. Олар осы акциялардың құнын екі есе арттыратын осалдықты пайдаланды. Олар 130 миллион долларлық қаражатты сәтті қамтамасыз еткенімен, ~ 1 миллиард долларлық кепілдік қамтамасыз ету осы сомадан әлдеқайда көп болуы мүмкін. 

Қарызға арналған жедел шабуылдар барған сайын кеңейіп келеді және қауымдастық болашақта қауіпсіздіктің одан әрі бұзылуын қалай болдырмауға болатыны туралы сұрақтар қоюы керек.

BSC токен хабы – $127 млн

2022 жылдың қазан айында BSC Beacon кросс-көпір кодындағы маңызды осалдықты пайдаланатын хакерлер жалпы сомасы 570 миллион доллар болатын крипто активтерін жойды.

BSc Beacon тізбегі, сондай-ақ Token Hub ретінде белгілі, BNB Beacon Chain (BEP2) мен BNB Chain (BEP20/BSC) қосатын тізбек аралық көпір болып табылады.

Хакер транзакциялар сияқты деректердің дұрыстығын растауға арналған Merkle дәлелдері деп аталатын криптографиялық дәлелдемелерді бұрмалады. Өз кезегінде, олар осы жалған Merkle дәлелдерін BSC Beacon кросс-көпірінен басқа тізбектерге аудару үшін пайдаланды.

Tether шабуылдаушылардың мекен-жайын бұғаттаған бойда, жылдам әрекет жасалды, BNB тізбегінен 7 миллионнан астам доллар аударылды, олардың заңсыз жолмен тапқан қаражатының көпшілігі тәркіленді.

Гармониялық көкжиек – 100 миллион доллар

2022 жылдың маусымында Harmony Horizon Bridge жобасы хакерлер оның бес валидатордың жеке кілттерінің екеуін ұрлап, алаяқтарға 100 миллион долларлық токендерді аударуға мүмкіндік бергенде бұзылды.

Бұл қауіпсіздік мәселесі көпірдің 2/5 валидация схемасын орнату тәсіліне байланысты болды. Нәтижесінде, кез келген зиянды транзакцияны тексеру үшін шабуылдаушыға тек екі мақұлдау қажет болды. Шабуылдаушылар өздерінің іздерін жасыру үшін Tornado Cash-ті заңсыз жолмен тапқан табыстарының бір бөлігін жылыстату үшін пайдаланды. 

Бұл орнату бастапқыда қауіпсіз болып көрінгенімен, ол жаман актерлер үшін тиімді мақсат болды және ұсталғандар үшін блокчейн қауіпсіздігі бойынша қымбат сабақ болды.

Рари – $91 млн

Reentrancy шабуылдары Ethereum-тың алғашқы күндерінен бері болды. Олар бастапқы транзакция мақұлданғанға немесе қабылданбағанға дейін қаражатты қайта-қайта алу үшін келісімшарттың осал тұстарын пайдаланды.

2022 жылдың мамырында екі орталықтандырылмаған қаржы платформасы осылайша бұзылып, хакерлер 90 миллион долларды ұрлады. Rari Capital-дан Джек Лонгарзо шабуылдаушы компанияны пайдаланғанын айтты, ал Rari Capital-пен біріктірілген Fei Protocol хакерге 10 миллион доллар сыйақы ұсынған.

Blockchain қауіпсіздік компаниясы BlockSec хакерлердің қайта кіру осалдығын пайдаланғанын түсіндірді. 

Әзірлеушілер Ethereum блокчейнінде орналастыру алдында келісім-шарттарды дұрыс сынау және тексеру арқылы шабуылдардың осы түрлерінің алдын алады.

Өзіңізді DeFi эксплойттарынан қалай қорғауға болады

DeFi хаттамалары барған сайын танымал және күрделі бола бастады, бұл оларды хакерлер үшін тартымды нысана етеді. Төменде өзіңізді DeFi эксплойттерінен қорғауға көмектесетін жеті кеңес берілген:

  1. Инвестициялар алдында кез келген жобаны мұқият тексеруден өткізіңіз. Платформаның кодын, веб-сайтты, топ мүшелерін және әлеуметтік арналарды қызыл жалаушаларға тексеріңіз.
  2. Сенімді көздің сіз өзара әрекеттесетін келісімшарттарды тексеретінін және аудит нәтижелерінің жалпыға қолжетімді болуын қамтамасыз етіңіз.
  3. Бір DeFi келісімшартында үлкен көлемдегі қаражатты сақтамаңыз, бұл оны шабуылға осал етеді.
  4. Жаңа эксплойттер туралы білу үшін соңғы қауіпсіздік жаңалықтарынан хабардар болыңыз.
  5. DeFi протоколдарымен әрекеттесетін барлық тіркелгілер үшін сәйкес аутентификация және авторизация процедураларын орындаңыз.
  6. Әмияныңыздың қауіпсіз екеніне көз жеткізіңіз және мүмкіндігінше екі факторлы аутентификацияны пайдаланыңыз.
  7. Кез келген күдікті әрекетті немесе рұқсатсыз алуды анықтау үшін блокчейндегі қаражатыңыз бен транзакцияларыңызды үнемі бақылаңыз.

Осы кеңестерді орындау сізді DeFi эксплойттерінен қорғауға және орталықтандырылмаған қаржы хаттамаларымен әрекеттесу кезінде қаражатыңыздың қауіпсіз болуын қамтамасыз етуге көмектеседі. Дегенмен, ешбір жүйе қатесіз болмайтынын есте ұстаған жөн, сондықтан цифрлық активтермен жұмыс істегенде сақтық танытқан жөн.

қорытынды

Тұтастай алғанда, қауіпсіздік криптовалюталармен және DeFi протоколдарымен жұмыс істеу кезіндегі маңызды мәселелердің бірі болып табылады. Өкінішке орай, саланың өсуі жалғасуда, зиянды әрекеттердің қаупі де артады. Толық қауіпсіздікке кепілдік беру мүмкін болмаса да, осы кеңестерді орындау DeFi эксплоиттерінен қорғануға және қаражатыңызды қауіпсіз сақтауға көмектеседі. 

Блокчейн қауіпсіздігінің соңғы әзірлемелерінен хабардар болу және барлық тіркелгілер үшін сәйкес аутентификация процедураларының болуын қамтамасыз ету арқылы сіз цифрлық активтеріңіздің қауіпсіз болуын қамтамасыз етуге көмектесе аласыз.

Дереккөз: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/