Огляд значних подій безпеки в індустрії Децентралізовані фінанси 2022 року

У 2022 році в індустрії блокчейн сталося понад 300 інцидентів безпеки, сума яких досягла 4,3 мільярда доларів. У цій статті буде детально проаналізовано вісім типових випадків, більшість з яких призвели до збитків понад 100 мільйонів доларів.

Інцидент на мосту Ронін

У березні 2022 року бічна мережа Axie Infinity Ronin Network була зламано, внаслідок чого було втрачено близько 625 мільйонів доларів. Зловмисники отримали довіру внутрішніх працівників за допомогою соціальної інженерії, що дозволило їм контролювати кілька вузлів верифікації. Цей інцидент підкреслює важливість обізнаності працівників у питаннях безпеки та внутрішньої системи безпеки.

Подія Wormhole

Міст Wormhole був атакований через використання застарілих функцій, внаслідок чого було втрачено близько 120 тисяч ефірів. Це нагадує розробникам, що слід використовувати останні версії кодових бібліотек, щоб уникнути подібних проблем.

Інцидент на мосту Кочівників

Nomad кросчейн міст через проблеми з ініціалізацією налаштувань зазнав атаки, внаслідок чого було втрачено близько 1.9 мільйона доларів. Зловмисники скористалися вразливістю для повторної відправки сконструйованих даних транзакцій, витягуючи заблоковані кошти. Цей випадок підкреслює виклики безпеки, з якими стикаються відкриті проекти.

Подія Beanstalk

Проект алгоритмічних стейблів Beanstalk Farms зазнав атаки через кредитування з моментальним поверненням, втративши приблизно 182 мільйони доларів. Зловмисник скористався вразливістю в механізмі управління проектом, подавши зловмисну пропозицію та негайно її реалізувавши. Це підкреслює потенційні ризики децентралізованого управління.

Подія Wintermute

Маркет-мейкер Wintermute зазнав нападу через використання уразливого інструменту для генерації адрес, втративши понад 160 мільйонів доларів. Це нагадує нам про необхідність обережності при використанні відкритих інструментів та проведення належної оцінки безпеки.

Подія моста Harmony

Кросчейн-міст Horizon від Harmony зазнав атаки, внаслідок чого було втрачено понад 100 мільйонів доларів. За повідомленнями, це могло бути вчинено північнокорейською хакерською групою, яка використовувала методи, схожі на атаку на Ronin Bridge.

Подія Ankr

Проект Ankr зазнав безпекового інциденту через зловживання внутрішніх співробітників, що призвело до збитків приблизно на 15 мільйонів доларів. Це виявило серйозні недоліки проекту в управлінні ключами та внутрішньому контролі безпеки.

Подія Mango

Платформа DeFi Mango зазнала атаки на маніпуляції з цінами, внаслідок чого зазнала збитків приблизно на 115 мільйонів доларів. Зловмисники скористалися вразливістю бізнес-моделі платформи, маніпулюючи цінами на токени з малими капіталізаціями для отримання прибутку. Це підкреслює необхідність врахування різних крайніх ситуацій при проектуванні бізнес-моделей DeFi проектів.

Ці випадки свідчать про те, що проєкти Web3 все ще стикаються з численними викликами в сфері безпеки. Команди проєктів повинні посилити аудит коду, вдосконалити механізми управління та підвищити внутрішню обізнаність щодо безпеки. Водночас, користувачі, беручи участь у проєктах, також повинні всебічно оцінювати ризики, не лише зосереджуючись на прибутках, а й приділяючи увагу безпеці основного капіталу.