פיננסים

כיצד למנוע פרצות אבטחה דומות - קריפטופוליטן

02/28/2023
חדשות Ethereum של ביטקוין

מימון מבוזר (DeFi) פרוטוקולים מציעים שירותים פיננסיים מבוזרים למשתמשים, המאפשרים להם לבצע עסקאות ולהתקשר בהסכמים עם משתתפים אחרים. בעוד פרוטוקולי DeFi שואפים לספק פלטפורמה מאובטחת ואמינה למשתמשים שלהם, מספר ניצולים בשנים האחרונות גרמו להפסדים משמעותיים של כספים. מאמר זה ידון בכמה מניצולי ה-DeFi הנרחבים ביותר שהתרחשו לאחרונה.

להלן 8 ניצולי ה-DeFi הקריפטו המובילים ב-Web3 לאחר ניכוי כספים שהוחזרו:

שרשרת רונין - 600 מיליון דולר

מרץ 2023 היה חודש עתיר אירועים בתחום המטבעות הקריפטוגרפיים, עם פריצת גשר Axie Infinity Ronin בראש הרשימה ב-612 מיליון דולר.

גשר רונין הוא Ethereum שרשרת צד המשמשת במשחק הפופולרי לשחק כדי להרוויח Axie Infinity.

קבוצת פשעי הסייבר Lazarus, החשודה בקשר עם צפון קוריאה, הצליחה לקבל גישה לתשעה מפתחות פרטיים של תשעה מאמתי עסקאות, מה שמאפשר להם לאשר שתי עסקאות גדולות ולהעביר את הכספים מכתובת הארנק שלהם. למרבה המזל, שיתוף פעולה בין רשויות, חברות אבטחה ובורסות מטבעות קריפטוגרפיים הצליח לסייע במעקב אחר חלק מהכספים הללו לאחר שההאקרים הניעו אותם ל-Tornado cash - כוס קריפטו בקוד פתוח - ובורסות אחרות.

גשר חור תולעת - 323 מיליון דולר

בפברואר 2022 התרחשה תקרית מצערת כאשר האקרים של קריפטו ניצלו קוד של חור תולעת כדי להמריא עם קריפטו בשווי 326 מיליון דולר.

חור תולעת הוא גשר סמלי בין סולנה לאתריום, שלמרבה הצער לא הצליח למנוע את המתקפה. זה התאפשר הודות לפונקציה שהוצאה משימוש/לא מאובטחת שעקפה את אימות החתימה ואפשרה את שרשרת האצלות החתימות.

מומחים בתחום אבטחת סייבר מציעים שמפתחים היו יכולים למנוע את המתקפה אילו היו מתרגלים 'שיטות קידוד מאובטחות' שבהן עליהם לבדוק את כל הפרמטרים. השיק יכול היה להבטיח אימות של כתובות תקפות ובכך לשלול ממקורות לא לגיטימיים גישה לנכסים בשרשרת.

גבעול שעועית - 181 מיליון דולר

בסוף שבוע גורלי באפריל 2022, האקר שיחרר מתקפה שזעזעה את קהילת הקריפטו. באמצעות הלוואת פלאש - מאפיין של פרוטוקולי פיננסים מבוזרים (DeFi) - הם הצליחו לגנוב 182 מיליון דולר ב-ETH, BEAN stablecoin ונכסים אחרים מפרוטוקול Beanstalk stablecoin.

ההאקרים הציגו שתי הצעות זדוניות ל-Beanstalk DAO באמצעות פונקציית התחייבות החירום שלו, הדורשת הצבעה של ⅔ לפני יישום לאחר 24 שעות. התוקף השתמש בטכנולוגיית הלוואת פלאש כדי להשיג שליטה ב-79% מהאסימונים כדי להעביר את שתי ההצעות ולבצע את התוכנית שלהם בהצלחה.

הכספים נשלחו מתוך הפרוטוקול כדי לשלם את הלוואת הבזק, כשהיתרה נכנסת לכתובת הקשורה לקרן חירום מאוקראינה. בסך הכל, עד 76 מיליון דולר נלקח על ידי האדם האחראי למעשה האמיץ הזה.

נווד - 155 מיליון דולר

פריצת גשר הנומד המביכה עלתה לכותרות כשהיא התרחשה ב-1 באוגוסט 2022. היא זעזעה רבים blockchain חובבי תוקפים ניצלו פגיעות כדי לנקז נכסים מבוססי Ethereum בשווי של למעלה מ-190 מיליון דולר המאוחסנים בגשר צולב שרשרת רב.

ההאקרים נעו במהירות ובזעם, עם מאות ארנקים עסקו ב-960 עסקאות שהובילו ל-1,175 משיכות בודדות מה-Total Value Locked (TVL) של הגשר. הכל תוך שעות.

היבט מביך של פריצה זו היה שכל מה שהמשתמשים היו צריכים לעשות כדי לפרוץ כספים היה העתק-הדבק של נתוני שיחת העסקאות של ההאקר המקורי, להחליף את הכתובת המקורית בכתובת אישית, והעסקה תושלם.

הפריצה שלחה גלי הלם ברחבי קהילת הפיננסים המבוזרים (DeFi), והוכיחה שהאקרים נשארים צעד אחד קדימה בעת ניצול פרצות בקוד. גשר Nomad מספק דוגמה להמחשה המדגימה את החשיבות של שיטות קידוד מאובטחות ומחזקת מדוע האבטחה נותרה אתגר מתמשך עבור פרויקטי בלוקצ'יין כיום.

CREAM Finance - 130.8 מיליון דולר

למרות שהמתקפה על CREAM באוקטובר 2021 הייתה אחת משודדי הלוואות הבזק הגדולות ביותר, זו בהחלט לא הייתה תקרית בודדת. התקפות הלוואות פלאש כרוכות בשימוש ב'הלוואת פלאש' של נזילות, הלוואות וכשלון מימון מהיר זה, והכל בעסקה אחת.

על ידי ניצול שגיאות חישוב מחירים, האקרים יכולים להרוויח במהירות מהלוואות שלהם. לדוגמה, במקרה של CREAM, שתי כתובות שונות קיימו אינטראקציה עם ה-yUSDVault שלה כדי להטביע מספר רב של אסימוני crYUSD. הם ניצלו פגיעות שתכפיל את הערך של המניות הללו. למרות שהם הצליחו להבטיח כספים בשווי של 130 מיליון דולר, הביטחונות הזמינים של כמיליארד דולר עשויים לקחת הרבה יותר מהסכום הזה. 

התקפות הלוואות פלאש הופכות נפוצות יותר ויותר, ועל הקהילה לשאול שאלות כיצד הן יכולות למנוע פרצות אבטחה נוספות בעתיד.

רכזת אסימון BSC - 127 מיליון דולר

באוקטובר 2022, האקרים שניצלו פגיעות קריטית בקוד BSC Beacon חוצה גשר נפטרו מנכסי קריפטו בסכום כולל של 570 מיליון דולר.

שרשרת BSc Beacon, הידועה גם בשם Token Hub, היא גשר בין שרשרת המחבר בין שרשרת BNB Beacon (BEP2) ושרשרת BNB (BEP20/BSC).

ההאקר אכן זייף הוכחות קריפטוגרפיות הנקראות הוכחות Merkle שנועדו לאשר את תקפותם של נתונים כגון עסקאות. בתורם, הם השתמשו בהוכחות המזויפות האלה של מרקל כדי להעביר כספים מהגשר חוצה BSC Beacon לרשתות אחרות.

ברגע ש-Tether הוסיפה את כתובת התוקפים ברשימת החסימה, לאחר מכן התקבלה פעולה מהירה עם יותר מ-7 מיליון דולר שהועברו מרשת BNB, והחרימו את רוב הכספים שהושגו לא טוב.

Harmony Horizon - 100 מיליון דולר

ביוני 2022, פרויקט Harmony Horizon Bridge נפגע כאשר האקרים גנבו שניים מחמשת המפתחות הפרטיים שלו, המאפשרים לרמאים להעביר אסימונים בשווי 100 מיליון דולר.

בעיית אבטחה זו נבעה מהאופן שבו הגשר הוקם, עם ערכת אימות 2 מתוך 5. כתוצאה מכך, התוקף נזקק לשני אישורים בלבד כדי לאמת כל עסקה זדונית. כדי לכסות את עקבותיהם, התוקפים השתמשו בטורנדו קאש כדי להלבין חלק מהרווחים שהושגו בצורה לא נכונה. 

למרות שההתקנה הזו אולי נראתה בטוחה בתחילה, היא הוכיחה את עצמה כמטרה משתלמת עבור שחקנים גרועים ושיעור יקר בבטיחות בלוקצ'יין עבור אלה שנתפסו.

רארי- 91 מיליון דולר

התקפות כניסה חוזרות קיימות מאז ימיו הראשונים של Ethereum. הם השתמשו בפגיעויות חוזים כדי למשוך שוב ושוב כספים לפני שהעסקה המקורית אושרה או נדחתה.

במאי 2022, שתי פלטפורמות פיננסיות מבוזרות נפגעו בצורה זו, כשהאקרים גנבו 90 מיליון דולר. ג'ק לונגארזו מ-Rari Capital אמר שהתוקף ניצל את החברה, ו-Fei Protocol, שהתמזג עם Rari Capital, הציע להאקר פרס של 10 מיליון דולר.

חברת האבטחה בלוקצ'יין BlockSec הסבירה שההאקרים השתמשו בפגיעות של כניסה חוזרת. 

מפתחים יכולים למנוע סוגים אלה של התקפות על ידי בדיקה וביקורת נכונה של חוזים לפני פריסה ב-Ethereum blockchain.

כיצד להגן על עצמך מפני ניצול DeFi

פרוטוקולי DeFi הפכו יותר ויותר פופולריים ומורכבים, מה שהופך אותם למטרות אטרקטיביות עבור האקרים. להלן שבעה טיפים שיעזרו לך להגן על עצמך מפני ניצול DeFi:

  1. בצע בדיקת נאותות יסודית בכל פרויקט לפני השקעה. בדוק את הקוד, האתר, חברי הצוות והערוצים החברתיים של הפלטפורמה עבור דגלים אדומים.
  2. ודא שמקור מהימן מבקר את החוזים שאתה מתקשר איתם ושתוצאות הביקורת זמינות לציבור.
  3. אל תאחסן כמויות גדולות של כספים בחוזה DeFi אחד, מה שהופך אותו לפגיע יותר להתקפה.
  4. הישאר מעודכן בחדשות האבטחה האחרונות כדי ללמוד על מעללים חדשים.
  5. יישם הליכי אימות והרשאה נאותים עבור כל החשבונות המקיימים אינטראקציה עם פרוטוקולי DeFi.
  6. ודא שהארנק שלך מאובטח, והשתמש באימות דו-גורמי במידת האפשר.
  7. עקוב באופן קבוע אחר הכספים והעסקאות שלך בבלוקצ'יין כדי לזהות כל פעילות חשודה או משיכות לא מורשות.

מעקב אחר עצות אלה יכול לעזור להגן עליך מפני ניצול DeFi ולהבטיח שהכספים שלך בטוחים בעת אינטראקציה עם פרוטוקולי פיננסים מבוזרים. עם זאת, חשוב גם לזכור שאף מערכת אינה ניתנת לטעויות, כך שתמיד עדיף לנקוט משנה זהירות בעת התמודדות עם נכסים דיגיטליים.

סיכום

בסך הכל, אבטחה היא אחד השיקולים החשובים ביותר בעת התמודדות עם מטבעות קריפטוגרפיים ופרוטוקולי DeFi. למרבה הצער, ככל שהתעשייה ממשיכה לצמוח, כך גם הסיכונים של פעילות זדונית גדלים. למרות שאי אפשר להבטיח בטיחות מוחלטת, מעקב אחר עצות אלה יכול לעזור לך להגן על עצמך מפני ניצול DeFi ולשמור על הכספים שלך מאובטחים. 

על ידי הישארות מעודכנת על ההתפתחויות האחרונות באבטחת בלוקצ'יין והבטחת נהלי אימות נאותים עבור כל החשבונות, אתה יכול לעזור להבטיח שהנכסים הדיגיטליים שלך יישארו בטוחים.

מקור: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/