Ինչպես կանխել անվտանգության նմանատիպ խախտումները – Cryptopolitan

Ապակենտրոնացված ֆինանսավորում (defi) Արձանագրությունները օգտվողներին առաջարկում են ապակենտրոնացված ֆինանսական ծառայություններ՝ թույլ տալով նրանց գործարքներ կատարել և պայմանագրեր կնքել այլ մասնակիցների հետ։ Թեև DeFi արձանագրությունները նպատակ ունեն ապահով և հուսալի հարթակ ապահովել իրենց օգտատերերի համար, վերջին մի քանի տարիների ընթացքում մի քանի շահագործումներ պատճառել են միջոցների զգալի կորուստներ: Այս հոդվածում կքննարկվեն վերջերս տեղի ունեցած DeFi-ի առավել ընդարձակ շահագործումներից մի քանիսը:

Ահա Web8-ում կրիպտո DeFi-ի 3 լավագույն շահագործումները՝ վերադարձված միջոցները հանելուց հետո.

Ronin Chain – $600 մլն

2023 թվականի մարտը իրադարձություններով հագեցած ամիս էր կրիպտոարժույթների տարածության համար, որտեղ Axie Infinity Ronin կամուրջը 612 միլիոն դոլարով գլխավորում էր ցուցակը:

Ռոնինի կամուրջը ան Ethereum կողային շղթա, որն օգտագործվում է Axie Infinity հանրաճանաչ խաղում վաստակելու համար:

Կիբերհանցագործությունների դեմ պայքարող Lazarus խմբավորումը, որը կասկածվում է Հյուսիսային Կորեայի հետ կապեր ունենալու մեջ, կարողացել է մուտք ունենալ գործարքների վավերացնողների ինը անձնական բանալիներ՝ թույլ տալով նրանց հաստատել երկու խոշոր գործարքներ և միջոցները տեղափոխել իրենց դրամապանակի հասցեից: Բարեբախտաբար, իշխանությունների, անվտանգության ընկերությունների և կրիպտոարժույթների բորսաների համագործակցությունը կարողացավ օգնել գտնելու այդ միջոցներից մի քանիսը այն բանից հետո, երբ հաքերները դրանք տրամադրեցին Tornado-ի կանխիկացմանը՝ բաց կոդով կրիպտո-թամբլեր- և այլ բորսաներում:

Wormhole կամուրջ – $323 մլն

2022 թվականի փետրվարին դժբախտ դեպք տեղի ունեցավ, երբ կրիպտո հաքերները շահագործեցին որդանցքի ծածկագիրը՝ 326 միլիոն դոլար արժողությամբ կրիպտոյով հանելու համար:

Որդանանցքը խորհրդանշական կամուրջ է Սոլանայի և Էթերիումի միջև, որը, ցավոք, չկարողացավ կանխել հարձակումը: Դա հնարավոր դարձավ հնացած/մահացած անապահով ֆունկցիայի շնորհիվ, որը շրջանցեց ստորագրությունների ստուգումը և հնարավորություն տվեց ստորագրությունների պատվիրակությունների շղթային:

Մասնագետները կիբեր անվտանգությունը ենթադրում են, որ մշակողները կարող էին կանխել հարձակումը, եթե նրանք կիրառեին «անվտանգ կոդավորման պրակտիկա», որտեղ նրանք պետք է ստուգեին բոլոր պարամետրերը: Ստուգումը կարող էր ապահովել վավեր հասցեների իսկությունը և այդպիսով բացառել անօրինական աղբյուրների մուտքը շղթայի ակտիվներին:

Beanstalk – $181 մլն

2022 թվականի ապրիլի ճակատագրական հանգստյան օրերին հաքերը հարձակում գործեց, որը ցնցեց կրիպտո համայնքը: Օգտագործելով ֆլեշ վարկ՝ ապակենտրոնացված ֆինանսների (DeFi) արձանագրությունների առանձնահատկությունը, նրանց հաջողվեց գողանալ 182 միլիոն դոլար ETH, BEAN stablecoin և այլ ակտիվներ Beanstalk stablecoin արձանագրությունից:

Հաքերները երկու չարամիտ առաջարկ են ներկայացրել Beanstalk DAO-ին՝ իր արտակարգ իրավիճակների կատարման գործառույթի միջոցով, որը պահանջում է ⅔ ձայն մինչև 24 ժամ հետո իրականացումը: Հարձակվողն օգտագործել է ֆլեշ-վարկի տեխնոլոգիա՝ 79%-ի նկատմամբ վերահսկողություն ձեռք բերելու համար՝ երկու առաջարկներն էլ անցնելու և իրենց պլանը հաջողությամբ իրականացնելու համար:

Միջոցներն ուղարկվել են արձանագրության ներսից՝ արագ վարկը մարելու համար, իսկ մնացածն ուղղվել է ուկրաինական շտապ օգնության հիմնադրամի հետ կապված հասցե: Ընդհանուր առմամբ, այս խիզախ արարքի համար պատասխանատու անձը վերցրել է մինչև 76 միլիոն դոլար։

Քոչվոր – $155 մլն

Nomad-ի կամրջի տարակուսանքը հայտնվեց վերնագրերում, երբ դա տեղի ունեցավ 1 թվականի օգոստոսի 2022-ին: Այն ցնցեց շատերին: blockchain Էնտուզիաստները, որպես հարձակվողներ, օգտվեցին խոցելիությունից՝ սպառելով ավելի քան 190 միլիոն դոլար արժողությամբ Ethereum-ի վրա հիմնված ակտիվները, որոնք պահվում էին բազմաշղթայական խաչմերուկում:

Հաքերները շարժվեցին արագ և կատաղի, հարյուրավոր դրամապանակներով, որոնք ներգրավված էին 960 գործարքների մեջ, ինչի արդյունքում 1,175 անհատական ​​դուրսբերումներ կատարվեցին կամրջի ընդհանուր արժեքի արգելափակումից (TVL): Բոլորը ժամերի ընթացքում:

Այս հակերի տարակուսելի կողմն այն էր, որ այն ամենը, ինչ օգտատերերը պետք է անեին կամրջային միջոցները կոտրելու համար, պատճենել-տեղադրել էին բնօրինակ հաքերի գործարքի զանգերի տվյալները, փոխարինել սկզբնական հասցեն անձնականով, և գործարքը կավարտվի:

Հակահակումը ցնցումներ է առաջացրել ամբողջ ապակենտրոնացված ֆինանսների (DeFi) համայնքում՝ ապացուցելով, որ հաքերները մնում են մեկ քայլ առաջ կոդի բացերը շահագործելիս: Nomad bridge-ը ներկայացնում է պատկերավոր օրինակ, որը ցույց է տալիս անվտանգ կոդավորման պրակտիկայի կարևորությունը և ամրացնում է, թե ինչու է անվտանգությունն այսօր շարունակական մարտահրավեր մնալ բլոկչեյն նախագծերի համար:

CREAM Finance – $130.8 մլն

Թեև 2021 թվականի հոկտեմբերին CREAM-ի վրա հարձակումը վարկի ամենամեծ կողոպուտներից մեկն էր, դա, իհարկե, մեկուսացված միջադեպ չէր: Ֆլեշ վարկային հարձակումները ներառում են իրացվելիության «ֆլեշ վարկի» օգտագործում, փոխառություն և այս արագ ֆինանսավորման չկատարում, բոլորը մեկ գործարքի շրջանակներում:

Օգտագործելով գների հաշվարկման սխալները՝ հաքերները կարող են արագորեն օգուտ քաղել իրենց փոխառություններից: Օրինակ, CREAM-ի դեպքում երկու տարբեր հասցեներ փոխազդեցին նրա yUSDVault-ի հետ՝ մեծ թվով crYUSD ժետոններ հավաքելու համար: Նրանք շահագործեցին խոցելիությունը, որը կկրկնապատկի այս բաժնետոմսերի արժեքը: Թեև նրանք հաջողությամբ ապահովեցին 130 միլիոն դոլարի միջոցներ, մոտ 1 միլիարդ դոլարի առկա գրավը կարող է շատ ավելին վերցնել, քան այս գումարը: 

Ֆլեշ վարկային հարձակումները գնալով ավելի տարածված են դառնում, և համայնքը պետք է հարցեր տա, թե ինչպես կարող են կանխել անվտանգության հետագա խախտումները ապագայում:

BSC նշանային հանգույց – $127 մլն

2022 թվականի հոկտեմբերին հաքերները, որոնք օգտվում էին BSC Beacon-ի խաչմերուկային կամուրջ կոդում առկա կրիտիկական խոցելիությունից, ոչնչացրեցին 570 միլիոն դոլար ընդհանուր գումարով կրիպտո ակտիվներ:

BSc Beacon շղթան, որը նաև հայտնի է որպես Token Hub, միջշղթայական կամուրջ է, որը միացնում է BNB Beacon Chain-ը (BEP2) և BNB Chain-ը (BEP20/BSC):

Հաքերը կեղծել է գաղտնագրային ապացույցները, որոնք կոչվում են Մերկլի ապացույցներ, որոնք նախատեսված են հաստատելու այնպիսի տվյալների վավերականությունը, ինչպիսիք են գործարքները: Իր հերթին, նրանք օգտագործել են Merkle-ի այս կեղծ ապացույցները՝ BSC Beacon խաչմերուկից այլ շղթաներ փոխանցելու համար:

Հենց որ Tether-ը արգելափակեց հարձակվողների հասցեն, արագ քայլեր ձեռնարկվեցին, և ավելի քան 7 միլիոն դոլար տեղափոխվեց BNB ցանցից սառեցված՝ բռնագրավելով նրանց անօրինական ճանապարհով ձեռք բերված միջոցների մեծ մասը:

Harmony Horizon – $100 մլն

2022 թվականի հունիսին Harmony Horizon Bridge նախագիծը վտանգի ենթարկվեց, երբ հաքերները գողացան նրա հինգ վավերացնող մասնավոր բանալիներից երկուսը, ինչը թույլ տվեց խարդախներին փոխանցել 100 միլիոն դոլար արժողությամբ նշաններ:

Անվտանգության այս խնդիրը պայմանավորված էր կամուրջի ստեղծմամբ՝ 2-ից 5-ի վավերացման սխեմայով: Արդյունքում, հարձակվողին անհրաժեշտ էր ընդամենը երկու հաստատում, որպեսզի ցանկացած վնասակար գործարք վավերացվեր: Իրենց հետքերը թաքցնելու համար հարձակվողներն օգտագործել են Tornado Cash-ը՝ իրենց ապօրինի ձեռք բերված որոշ եկամուտներ լվանալու համար: 

Թեև այս կարգավորումն ի սկզբանե կարող էր ապահով թվալ, այն շահավետ թիրախ դարձավ վատ դերասանների համար և բլոկչեյնի անվտանգության թանկ դաս՝ բռնվածների համար:

Rari - $91 մլն

Reentrancy հարձակումները եղել են Ethereum-ի վաղ օրերից: Նրանք օգտագործել են պայմանագրային խոցելիությունները՝ բազմիցս միջոցներ հանելու համար, նախքան սկզբնական գործարքի հաստատումը կամ մերժումը:

2022 թվականի մայիսին երկու ապակենտրոնացված ֆինանսական հարթակներ այս կերպ վտանգի ենթարկվեցին, որոնց արդյունքում հաքերները գողացան 90 միլիոն դոլար: Rari Capital-ի Ջեք Լոնգարզոն ասել է, որ հարձակվողը շահագործել է ընկերությունը, իսկ Fei Protocol-ը, որը միավորվել է Rari Capital-ի հետ, հաքերին առաջարկել է 10 միլիոն դոլար պարգև:

Blockchain անվտանգության BlockSec ընկերությունը բացատրել է, որ հաքերներն օգտագործել են նոր մուտքի խոցելիություն: 

Մշակողները կարող են կանխել այս տեսակի հարձակումները՝ պատշաճ կերպով փորձարկելով և աուդիտի ենթարկելով պայմանագրերը մինչև Ethereum բլոկչեյնի վրա տեղակայումը:

Ինչպես պաշտպանվել ձեզ DeFi-ի շահագործումներից

DeFi արձանագրությունները դառնում են ավելի տարածված և բարդ՝ դրանք դարձնելով գրավիչ թիրախ հաքերների համար: Ստորև բերված են յոթ խորհուրդներ, որոնք կօգնեն ձեզ պաշտպանվել DeFi-ի շահագործումներից.

1. Ներդրումներ կատարելուց առաջ կատարեք ցանկացած նախագծի մանրակրկիտ ուսումնասիրություն: Ստուգեք հարթակի կոդը, կայքը, թիմի անդամներին և սոցիալական ալիքները կարմիր դրոշների համար:
2. Համոզվեք, որ վստահելի աղբյուրը ստուգում է այն պայմանագրերը, որոնց հետ դուք համագործակցում եք, և որ աուդիտի արդյունքները հանրությանը հասանելի են:
3. Մի պահեք մեծ գումարներ մեկ DeFi պայմանագրում՝ դարձնելով այն ավելի խոցելի հարձակման համար:
4. Մնացեք թարմացված անվտանգության վերջին նորությունների հետ՝ նոր շահագործումների մասին իմանալու համար:
5. Իրականացնել ճիշտ նույնականացման և թույլտվության ընթացակարգեր բոլոր հաշիվների համար, որոնք փոխազդում են DeFi արձանագրությունների հետ:
6. Համոզվեք, որ ձեր դրամապանակն ապահով է և հնարավորության դեպքում օգտագործեք երկգործոն նույնականացում:
7. Պարբերաբար վերահսկեք ձեր միջոցները և գործարքները բլոկչեյնում՝ հայտնաբերելու կասկածելի գործունեություն կամ չարտոնված դուրսբերումներ:

Այս խորհուրդներին հետևելը կարող է օգնել ձեզ պաշտպանել DeFi-ի շահագործումներից և ապահովել, որ ձեր միջոցները ապահով լինեն ապակենտրոնացված ֆինանսական արձանագրությունների հետ շփվելիս: Այնուամենայնիվ, կարևոր է նաև հիշել, որ ոչ մի համակարգ անսխալական չէ, ուստի միշտ լավագույն պրակտիկան է լրացուցիչ զգույշ լինել թվային ակտիվների հետ գործ ունենալիս:

Եզրափակում

Ընդհանուր առմամբ, անվտանգությունը կրիպտոարժույթների և DeFi արձանագրությունների հետ գործ ունենալիս ամենակարևոր նկատառումներից մեկն է: Ցավոք սրտի, քանի որ արդյունաբերությունը շարունակում է աճել, չարամիտ գործունեության ռիսկերը նույնպես աճում են: Թեև անհնար է երաշխավորել ամբողջական անվտանգությունը, այս խորհուրդներին հետևելը կարող է օգնել ձեզ պաշտպանվել DeFi-ի շահագործումներից և ապահովել ձեր միջոցները: 

Տեղեկանալով բլոկչեյնի անվտանգության վերջին զարգացումներին և ապահովելով վավերացման պատշաճ ընթացակարգեր բոլոր հաշիվների համար՝ դուք կարող եք օգնել ապահովել, որ ձեր թվային ակտիվները մնան անվտանգ: