การเงิน

วิธีป้องกันการละเมิดความปลอดภัยที่คล้ายกัน – Cryptopolitan

02/28/2023
ข่าว Bitcoin Ethereum

การเงินแบบกระจายอำนาจ (Defi) โปรโตคอลนำเสนอบริการทางการเงินแบบกระจายอำนาจแก่ผู้ใช้ ช่วยให้พวกเขาทำธุรกรรมและทำข้อตกลงกับผู้เข้าร่วมรายอื่นได้ แม้ว่าโปรโตคอล DeFi มีเป้าหมายเพื่อมอบแพลตฟอร์มที่ปลอดภัยและเชื่อถือได้ให้กับผู้ใช้ แต่การแสวงหาผลประโยชน์หลายครั้งในช่วงไม่กี่ปีที่ผ่านมาได้ก่อให้เกิดการสูญเสียเงินทุนจำนวนมาก บทความนี้จะกล่าวถึงการใช้ประโยชน์จาก DeFi อย่างกว้างขวางที่สุดบางส่วนซึ่งเกิดขึ้นเมื่อเร็วๆ นี้

นี่คือ 8 อันดับแรกของการใช้ประโยชน์จากการเข้ารหัสลับ DeFi ใน Web3 หลังจากหักเงินที่ส่งคืน:

โรนิน เชน – 600 ล้านเหรียญ

มีนาคม 2023 เป็นเดือนที่มีเหตุการณ์สำคัญสำหรับพื้นที่ cryptocurrency โดยสะพาน Axie Infinity Ronin ถูกแฮกที่ 612 ล้านดอลลาร์

สะพานโรนินคือ Ethereum ห่วงโซ่ด้านข้างที่ใช้ในเกม Axie Infinity ที่เล่นเพื่อหารายได้ยอดนิยม

กลุ่มอาชญากรไซเบอร์ Lazarus ซึ่งสงสัยว่ามีความเกี่ยวข้องกับเกาหลีเหนือ สามารถเข้าถึงคีย์ส่วนตัวของผู้ตรวจสอบการทำธุรกรรมเก้ารายการ ทำให้พวกเขาสามารถอนุมัติธุรกรรมขนาดใหญ่สองรายการและย้ายเงินจากที่อยู่กระเป๋าเงินของพวกเขา โชคดีที่การทำงานร่วมกันระหว่างเจ้าหน้าที่ บริษัทรักษาความปลอดภัย และการแลกเปลี่ยนสกุลเงินดิจิทัลสามารถช่วยติดตามเงินเหล่านี้บางส่วนได้ หลังจากที่แฮ็กเกอร์กระตุ้นให้พวกเขากลายเป็น Tornado cash – crypto tumbler แบบโอเพ่นซอร์ส – และการแลกเปลี่ยนอื่น ๆ

สะพานหนอน – 323 ล้านเหรียญ

ในเดือนกุมภาพันธ์ พ.ศ. 2022 เหตุการณ์ที่โชคร้ายเกิดขึ้นเมื่อแฮ็กเกอร์คริปโตใช้ประโยชน์จากรหัสของรูหนอนเพื่อกำจัดคริปโตมูลค่า 326 ล้านดอลลาร์

รูหนอนเป็นสะพานโทเค็นระหว่าง Solana และ Ethereum ซึ่งน่าเสียดายที่ล้มเหลวในการป้องกันการโจมตี เป็นไปได้ด้วยฟังก์ชันที่ไม่ปลอดภัยที่เลิกใช้แล้ว/ตาย ซึ่งข้ามการตรวจสอบลายเซ็นและเปิดใช้สายการมอบหมายของลายเซ็น

ผู้เชี่ยวชาญใน การรักษาความปลอดภัยในโลกไซเบอร์ แนะนำว่านักพัฒนาสามารถป้องกันการโจมตีได้หากพวกเขาฝึกฝน 'การเข้ารหัสที่ปลอดภัย' ซึ่งพวกเขาต้องตรวจสอบพารามิเตอร์ทั้งหมด การตรวจสอบสามารถรับรองความถูกต้องของที่อยู่ที่ถูกต้องและตัดแหล่งที่มาที่ผิดกฎหมายออกจากการเข้าถึงทรัพย์สินในห่วงโซ่

ฝักถั่ว – 181 ล้านเหรียญ

ในสุดสัปดาห์แห่งโชคชะตาในเดือนเมษายน 2022 แฮ็กเกอร์ได้ปล่อยการโจมตีที่สั่นสะเทือนชุมชนคริปโต การใช้เงินกู้แบบแฟลช – คุณลักษณะของโปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) – พวกเขาสามารถขโมย ETH, BEAN Stablecoin มูลค่า 182 ล้านดอลลาร์ และทรัพย์สินอื่น ๆ จากโปรโตคอล Stablecoin ของ Beanstalk

แฮ็กเกอร์ได้นำเสนอข้อเสนอที่เป็นอันตราย 24 ข้อต่อ Beanstalk DAO ผ่านทางฟังก์ชันคอมมิตฉุกเฉิน ซึ่งต้องใช้ ⅔ โหวตก่อนนำไปใช้งานหลังจากผ่านไป 79 ชั่วโมง ผู้โจมตีใช้เทคโนโลยีการยืมแฟลชเพื่อควบคุม XNUMX% ของโทเค็นเพื่อให้ผ่านข้อเสนอทั้งสองและดำเนินการตามแผนได้สำเร็จ

เงินถูกส่งจากภายในโปรโตคอลเพื่อชำระเงินกู้แฟลช โดยส่วนที่เหลือจะถูกส่งไปยังที่อยู่ที่เกี่ยวข้องกับกองทุนฉุกเฉินในยูเครน โดยรวมแล้วบุคคลผู้รับผิดชอบการกระทำที่กล้าหาญนี้ได้รับเงินสูงถึง 76 ล้านดอลลาร์

Nomad – 155 ล้านเหรียญ

การแฮ็คสะพาน Nomad ที่น่างงงวยกลายเป็นข่าวเมื่อมันเกิดขึ้นในวันที่ 1 สิงหาคม 2022 มันทำให้หลายคนตกใจ blockchain ผู้ที่ชื่นชอบการโจมตีใช้ประโยชน์จากช่องโหว่เพื่อระบายสินทรัพย์มูลค่ากว่า $190M ของ Ethereum ที่เก็บไว้ในสะพานข้ามหลายสาย

แฮ็กเกอร์เคลื่อนไหวอย่างรวดเร็วและรุนแรง โดยมีกระเป๋าเงินหลายร้อยใบที่มีส่วนร่วมในธุรกรรม 960 รายการ ส่งผลให้มีการถอนเงินทีละ 1,175 รายการจาก Total Value Locked (TVL) ของบริดจ์ ภายในไม่กี่ชั่วโมง

แง่มุมที่น่าฉงนของการแฮ็กนี้คือผู้ใช้ทั้งหมดต้องทำเพื่อแฮ็ก Bridge Fund คือคัดลอกและวางข้อมูลการโทรธุรกรรมของแฮ็กเกอร์ดั้งเดิม แทนที่ที่อยู่เดิมด้วยที่อยู่ส่วนบุคคล และธุรกรรมจะเสร็จสมบูรณ์

การแฮ็กส่งคลื่นกระแทกไปทั่วชุมชนการเงินแบบกระจายอำนาจ (DeFi) ซึ่งพิสูจน์ให้เห็นว่าแฮ็กเกอร์ยังคงนำหน้าอยู่หนึ่งก้าวเมื่อใช้ประโยชน์จากช่องโหว่ในโค้ด สะพาน Nomad เป็นตัวอย่างที่แสดงให้เห็นถึงความสำคัญของหลักปฏิบัติการเข้ารหัสที่ปลอดภัยและตอกย้ำว่าทำไมการรักษาความปลอดภัยยังคงเป็นความท้าทายอย่างต่อเนื่องสำหรับโครงการบล็อกเชนในปัจจุบัน

ครีมการเงิน – $130.8m

แม้ว่าการโจมตี CREAM ในเดือนตุลาคม 2021 จะเป็นหนึ่งในการปล้นสินเชื่อแฟลชที่ใหญ่ที่สุด แต่ก็ไม่ใช่เหตุการณ์ที่เกิดขึ้นอย่างโดดเดี่ยวอย่างแน่นอน การโจมตีเงินกู้ด่วนเกี่ยวข้องกับการใช้ 'เงินกู้ด่วน' เพื่อสภาพคล่อง การกู้ยืม และการผิดนัดในการระดมทุนอย่างรวดเร็ว ทั้งหมดนี้ทำได้ภายในธุรกรรมเดียว

ด้วยการใช้ประโยชน์จากข้อผิดพลาดในการคำนวณราคา แฮ็กเกอร์สามารถทำกำไรได้อย่างรวดเร็วจากการยืมของพวกเขา ตัวอย่างเช่น ในกรณีของ CREAM ที่อยู่ที่แตกต่างกันสองแห่งโต้ตอบกับ yUSDVault เพื่อสร้างโทเค็น crYUSD จำนวนมาก พวกเขาใช้ประโยชน์จากช่องโหว่ที่จะทำให้มูลค่าของหุ้นเหล่านี้เพิ่มขึ้นเป็นสองเท่า แม้ว่าพวกเขาจะประสบความสำเร็จในการจัดหาเงินทุนมูลค่า 130 ล้านดอลลาร์ แต่หลักประกันที่มีอยู่ประมาณ 1 พันล้านดอลลาร์ก็อาจใช้เงินมากกว่าจำนวนนี้มาก 

การโจมตีด้วยเงินกู้แฟลชเริ่มแพร่หลายมากขึ้น และชุมชนควรถามคำถามเกี่ยวกับวิธีป้องกันการละเมิดความปลอดภัยเพิ่มเติมในอนาคต

ฮับโทเค็น BSC – $127m

ในเดือนตุลาคม 2022 แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ที่สำคัญในรหัสสะพานข้าม BSC Beacon ซึ่งสกัดเอาสินทรัพย์ดิจิทัลมูลค่ารวม 570 ล้านดอลลาร์

BSc Beacon chain หรือที่เรียกว่า Token Hub เป็นสะพานเชื่อมระหว่าง BNB Beacon Chain (BEP2) และ BNB Chain (BEP20/BSC)

แฮ็กเกอร์ทำการปลอมหลักฐานการเข้ารหัสที่เรียกว่า Merkle Proofs ซึ่งหมายถึงการยืนยันความถูกต้องของข้อมูล เช่น การทำธุรกรรม ในทางกลับกัน พวกเขาใช้หลักฐานปลอมของ Merkle เพื่อโอนเงินจากสะพานข้าม BSC Beacon ไปยังเครือข่ายอื่นๆ

ทันทีที่ Tether บล็อกรายชื่อที่อยู่ของผู้โจมตี การดำเนินการอย่างรวดเร็วตามมาด้วยเงินกว่า 7 ล้านดอลลาร์ที่ย้ายจากเครือข่าย BNB ที่ถูกแช่แข็ง และยึดเงินส่วนใหญ่ที่ได้มาโดยมิชอบ

ฮาร์โมนี่ ฮอไรซอน – 100 ล้านเหรียญ

ในเดือนมิถุนายน พ.ศ. 2022 โครงการ Harmony Horizon Bridge ถูกบุกรุกเมื่อแฮ็กเกอร์ขโมยคีย์ส่วนตัวสำหรับตรวจสอบความถูกต้องไป 100 ใน XNUMX อัน ทำให้ผู้โจมตีสามารถโอนโทเค็นมูลค่า XNUMX ล้านดอลลาร์ได้

ปัญหาด้านความปลอดภัยนี้เกิดจากวิธีการตั้งค่าสะพาน โดยมีรูปแบบการตรวจสอบ 2 ใน 5 เป็นผลให้ผู้โจมตีต้องการเพียงการอนุมัติสองครั้งสำหรับการทำธุรกรรมที่เป็นอันตรายใด ๆ ที่จะได้รับการตรวจสอบ เพื่อปกปิดร่องรอย ผู้โจมตีใช้ Tornado Cash เพื่อซักฟอกกำไรที่ได้มาอย่างไม่ถูกต้อง 

แม้ว่าการตั้งค่านี้อาจดูเหมือนปลอดภัยในตอนแรก แต่ก็พิสูจน์แล้วว่าเป้าหมายที่ร่ำรวยสำหรับผู้กระทำการที่ไม่ดี และบทเรียนราคาแพงเกี่ยวกับความปลอดภัยของบล็อคเชนสำหรับผู้ที่ถูกจับได้

Rari- $91 ม

การโจมตีแบบ Reentrancy มีมาตั้งแต่สมัย Ethereum แรกๆ พวกเขาใช้ช่องโหว่ของสัญญาเพื่อถอนเงินซ้ำ ๆ ก่อนที่ธุรกรรมดั้งเดิมจะได้รับการอนุมัติหรือปฏิเสธ

ในเดือนพฤษภาคม พ.ศ. 2022 แพลตฟอร์มการเงินแบบกระจายศูนย์สองแห่งถูกบุกรุกในลักษณะนี้ โดยแฮ็กเกอร์ขโมยเงินไป 90 ล้านดอลลาร์ Jack Longarzo จาก Rari Capital กล่าวว่าผู้โจมตีใช้ประโยชน์จากบริษัท และ Fei Protocol ซึ่งควบรวมกิจการกับ Rari Capital ได้เสนอค่าหัวให้แฮ็กเกอร์ 10 ล้านดอลลาร์

บริษัทด้านความปลอดภัย Blockchain BlockSec อธิบายว่าแฮ็กเกอร์ใช้ช่องโหว่ในการกลับเข้ามาใหม่ 

นักพัฒนาสามารถป้องกันการโจมตีประเภทนี้ได้โดยการทดสอบและตรวจสอบสัญญาอย่างเหมาะสมก่อนที่จะปรับใช้บน Ethereum blockchain

วิธีป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi

โปรโตคอล DeFi ได้รับความนิยมและซับซ้อนมากขึ้นเรื่อยๆ ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับแฮ็กเกอร์ ต่อไปนี้เป็นเคล็ดลับ XNUMX ข้อที่จะช่วยป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi:

  1. ดำเนินการตรวจสอบสถานะอย่างถี่ถ้วนในทุกโครงการก่อนตัดสินใจลงทุน ตรวจสอบรหัสของแพลตฟอร์ม เว็บไซต์ สมาชิกในทีม และช่องทางโซเชียลเพื่อหาธงแดง
  2. ตรวจสอบให้แน่ใจว่าแหล่งที่เชื่อถือได้ตรวจสอบสัญญาที่คุณโต้ตอบด้วยและผลการตรวจสอบนั้นเปิดเผยต่อสาธารณะ
  3. อย่าเก็บเงินจำนวนมากไว้ในสัญญา DeFi อันเดียว ทำให้เสี่ยงต่อการถูกโจมตี
  4. ติดตามข่าวสารด้านความปลอดภัยล่าสุดอยู่เสมอเพื่อเรียนรู้เกี่ยวกับช่องโหว่ใหม่ๆ
  5. ใช้ขั้นตอนการพิสูจน์ตัวตนและการอนุญาตที่เหมาะสมสำหรับทุกบัญชีที่โต้ตอบกับโปรโตคอล DeFi
  6. ตรวจสอบให้แน่ใจว่ากระเป๋าเงินของคุณปลอดภัย และใช้การตรวจสอบสิทธิ์แบบสองปัจจัยทุกครั้งที่ทำได้
  7. ตรวจสอบเงินและธุรกรรมของคุณบนบล็อกเชนเป็นประจำเพื่อตรวจหากิจกรรมที่น่าสงสัยหรือการถอนเงินที่ไม่ได้รับอนุญาต

การปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยปกป้องคุณจากการใช้ประโยชน์จาก DeFi และรับประกันว่าเงินของคุณจะปลอดภัยเมื่อโต้ตอบกับโปรโตคอลการเงินแบบกระจายอำนาจ อย่างไรก็ตาม สิ่งสำคัญคือต้องจำไว้ว่าไม่มีระบบใดผิดพลาดได้ ดังนั้นจึงควรระมัดระวังเป็นพิเศษเสมอเมื่อต้องจัดการกับสินทรัพย์ดิจิทัล

สรุป

โดยรวมแล้ว ความปลอดภัยเป็นหนึ่งในข้อพิจารณาที่สำคัญที่สุดเมื่อต้องรับมือกับ cryptocurrencies และโปรโตคอล DeFi น่าเสียดายที่ในขณะที่อุตสาหกรรมยังคงเติบโต ความเสี่ยงของกิจกรรมที่เป็นอันตรายก็เช่นกัน แม้ว่าจะไม่สามารถรับประกันความปลอดภัยได้ทั้งหมด แต่การปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยให้คุณป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi และรักษาเงินของคุณให้ปลอดภัย 

การติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาด้านความปลอดภัยของบล็อกเชนและการตรวจสอบให้แน่ใจว่ามีขั้นตอนการตรวจสอบสิทธิ์ที่เหมาะสมสำหรับบัญชีทั้งหมด คุณสามารถช่วยให้แน่ใจว่าสินทรัพย์ดิจิทัลของคุณยังคงปลอดภัย

ที่มา: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/