金融

如何防止类似的安全漏洞 – Cryptopolitan

02/28/2023
比特币以太币新闻

分散式金融(DEFI) 协议为用户提供去中心化的金融服务,允许他们进行交易并与其他参与者达成协议。 尽管 DeFi 协议旨在为其用户提供一个安全可靠的平台,但过去几年的一些漏洞利用已造成重大资金损失。 本文将讨论最近发生的一些最广泛的 DeFi 漏洞利用。

以下是扣除返还资金后 Web8 中排名前 3 的加密 DeFi 漏洞:

浪人链——600亿美元

2023 年 612 月对于加密货币领域来说是多事之秋,Axie Infinity Ronin 桥接黑客以 XNUMX 亿美元位居榜首。

浪人桥是一个 以太币 流行的赚钱游戏 Axie Infinity 中使用的侧链。

怀疑与朝鲜有联系的网络犯罪集团 Lazarus 设法获得了九个交易验证者的私钥,使他们能够批准两笔大额交易并将资金从他们的钱包地址中转移出来。 幸运的是,在黑客将这些资金偷偷带到 Tornado cash(一种开源加密货币不倒翁)和其他交易所之后,当局、安全公司和加密货币交易所之间的合作能够帮助追踪其中的一些资金。

虫洞桥——323 亿美元

2022 年 326 月,不幸的事件发生了,加密货币黑客利用虫洞代码将价值 XNUMX 亿美元的加密货币带走。

虫洞是 Solana 和以太坊之间的代币桥梁,不幸的是未能阻止攻击。 绕过签名验证并启用签名委托链的已弃用/完全不安全的功能使它成为可能。

专家 网络安全 建议如果开发人员在必须检查所有参数的地方实行“安全编码实践”,他们就可以阻止攻击。 该检查可以确保有效地址的身份验证,从而排除非法来源访问链上的资产。

豆茎——181亿美元

在 2022 年 182 月的一个重要周末,一名黑客发动了一场震惊加密社区的攻击。 使用闪电贷——去中心化金融 (DeFi) 协议的一项功能——他们设法从 Beanstalk 稳定币协议中窃取了 XNUMX 亿美元的 ETH、BEAN 稳定币和其他资产。

黑客通过其紧急提交功能向 Beanstalk DAO 提交了两个恶意提案,该提案需要在 24 小时后进行 ⅔ 投票才能实施。 攻击者使用闪电贷技术获得了 79% 的代币控制权,从而通过了两个提案并成功执行了他们的计划。

这些资金是从协议中发送的,用于偿还快速贷款,其余资金进入与乌克兰应急基金相关的地址。 对这一勇敢行为负责的个人总共拿走了高达 76 万美元。

游牧民族——155 亿美元

1 年 2022 月 XNUMX 日发生的令人费解的 Nomad 网桥黑客事件成为头条新闻。它震惊了许多人 blockchain 作为攻击者的狂热者利用漏洞耗尽了存储在多链跨桥中价值超过 190 亿美元的基于以太坊的资产。

黑客行动迅速而激烈,数百个钱包参与了 960 笔交易,导致 1,175 人从桥的总价值锁定 (TVL) 中提款。 数小时内完成。

这次黑客攻击的一个令人费解的方面是,所有用户要想破解桥接基金,只需复制粘贴原始黑客的交易调用数据,将原始地址替换为个人地址,交易就会完成。

这次黑客攻击在整个去中心化金融 (DeFi) 社区掀起了轩然大波,证明黑客在利用代码漏洞时仍然领先一步。 Nomad 桥提供了一个说明性示例,展示了安全编码实践的重要性,并强调了为什么安全性仍然是当今区块链项目的持续挑战。

CREAM 金融——130.8 亿美元

尽管 2021 年 XNUMX 月对 CREAM 的攻击是最大的闪电贷抢劫案之一,但这肯定不是孤立事件。 闪电贷攻击涉及使用流动性“闪电贷”、借贷和违约这种快速融资,所有这些都在一次交易中完成。

通过利用价格计算错误,黑客可以迅速从借款中获利。 例如,就 CREAM 而言,两个不同的地址与其 yUSDVault 交互以铸造大量 crYUSD 代币。 他们利用了一个漏洞,可以使这些股票的价值翻倍。 尽管他们成功获得了价值 130 亿美元的资金,但约 1 亿美元的可用抵押品可能远远超过这一数额。 

闪电贷攻击变得越来越普遍,社区应该就如何防止未来进一步的安全漏洞提出问题。

BSC 代币中心——127 亿美元

2022 年 570 月,黑客利用 BSC Beacon 跨桥代码中的一个关键漏洞窃取了总计 XNUMX 亿美元的加密资产。

BSc Beacon链,也称为Token Hub,是连接BNB Beacon Chain(BEP2)和BNB Chain(BEP20/BSC)的链间桥梁。

黑客确实伪造了称为 Merkle 证明的加密证明,旨在确认交易等数据的有效性。 反过来,他们使用这些虚假的 Merkle 证明将资金从 BSC Beacon 跨桥转移到其他链。

Tether 将攻击者的地址列入黑名单后,便迅速采取行动,冻结了从 BNB 链中转移的超过 7 万美元,没收了他们的大部分不义之财。

和谐地平线——100亿美元

2022 年 100 月,当黑客窃取了 Harmony Horizo​​n Bridge 项目的五个验证器私钥中的两个时,Harmony Horizo​​n Bridge 项目遭到破坏,使欺诈者能够转移价值 XNUMX 亿美元的代币。

这个安全问题是由于桥的设置方式造成的,采用 2 of 5 验证方案。 因此,攻击者只需两次批准即可验证任何恶意交易。 为了掩盖他们的踪迹,攻击者使用 Tornado Cash 来清洗他们的一些不义之财。 

尽管这种设置最初可能看起来很安全,但事实证明,它是不良行为者有利可图的目标,也是对那些被抓获的区块链安全性的昂贵教训。

拉里 - 91 万美元

自以太坊早期以来,重入攻击就一直存在。 他们利用合约漏洞在原始交易被批准或拒绝之前反复提取资金。

2022 年 90 月,两个去中心化金融平台以这种方式遭到破坏,黑客窃取了 10 万美元。 Rari Capital 的 Jack Longarzo 表示,攻击者利用了该公司,与 Rari Capital 合并的 Fei Protocol 向黑客提供了 XNUMX 万美元的赏金。

区块链安全公司 BlockSec 解释称,黑客利用了重入漏洞。 

开发人员可以在部署到以太坊区块链之前通过适当地测试和审计合约来防止这些类型的攻击。

如何保护自己免受 DeFi 攻击

DeFi 协议变得越来越流行和复杂,使它们成为黑客的诱人目标。 以下是帮助您保护自己免受 DeFi 攻击的七个技巧:

  1. 在投资之前对任何项目进行彻底的尽职调查。 检查平台的代码、网站、团队成员和社交渠道是否存在危险信号。
  2. 确保可信来源审核您与之交互的合同,并确保审核结果公开可用。
  3. 不要在一个 DeFi 合约中存储大量资金,使其更容易受到攻击。
  4. 随时了解最新的安全新闻以了解新的漏洞利用。
  5. 为所有与 DeFi 协议交互的账户实施适当的身份验证和授权程序。
  6. 确保你的钱包安全,并尽可能使用双因素身份验证。
  7. 定期监控您在区块链上的资金和交易,以检测任何可疑活动或未经授权的提款。

遵循这些提示有助于保护您免受 DeFi 攻击,并确保您的资金在与去中心化金融协议交互时是安全的。 然而,同样重要的是要记住,没有任何系统是绝对可靠的,因此在处理数字资产时最好格外小心。

结论

总的来说,安全是处理加密货币和 DeFi 协议时最重要的考虑因素之一。 不幸的是,随着行业的不断发展,恶意活动的风险也在增加。 虽然无法保证完全安全,但遵循这些提示可以帮助您保护自己免受 DeFi 攻击并确保您的资金安全。 

通过了解区块链安全的最新发展并确保所有帐户都采用适当的身份验证程序,您可以帮助确保您的数字资产保持安全。

来源:https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/