De grootste beveiligingsinbreuken van 2021
Verbind je met ons

Plato verticaal zoeken

Blockchain

De grootste beveiligingsinbreuken van 2021

Volgens on-chain analysebedrijf Chainalysis piekte het volume van criminele cryptocurrency-transacties in 2021 op een nieuw recordhoogte - $ 14 miljard.

De post De grootste beveiligingsinbreuken van 2021 verscheen eerst op cryptoslat naar.

De grootste beveiligingsinbreuken van 2021

Volgens on-chain analysebedrijf Chainalysis piekte het volume van criminele cryptocurrency-transacties in 2021 op een nieuw recordhoogte - $ 14 miljard. Ondanks de stijging van het criminele overdrachtsvolume, was het relatieve aandeel ervan in het totale cryptocurrency-transactievolume van 2021 echter het laagste aller tijden. Deze statistieken laten zien dat de uitbreiding van de cryptocurrency-wereld veel sneller is dan de cybercriminaliteit die wordt geassocieerd met cryptocurrencies, het laat ook zien dat de beveiliging in de industrie ook de vraag inhaalt.

De meest lucratieve cyberaanvallen van 2021

Hoewel er in 2021 een daling was in het aandeel van misdaadgerelateerde transactievolumes in de cryptocurrency-ruimte, waren er verschillende gevallen die de wenkbrauwen deden fronsen. Hier zal ik enkele van de meest in het oog springende doornemen.

1. Poly Network - $ 611 miljoen

De Poly Network-hack vond plaats op 10 augustus 2021 en resulteerde in de diefstal van ongeveer $ 611 miljoen aan digitale activa die waren gestolen op drie blockchains: Ethereum, BSC en Polygon. Het opvallende detail was dat de hacker het volledige bedrag dat hij had gestolen teruggaf, waarbij hij zijn zet uitlegde als een poging om de kwetsbaarheden in het Poly Network-protocol aan te wijzen die niet op winst uit waren.

Poly Network is een ketenoverschrijdend netwerk waarmee gebruikers op een gedecentraliseerde manier cross-blockchain-bewerkingen kunnen uitvoeren. Bijvoorbeeld geld overmaken van de ene blockchain naar de andere. Om dit te doen, moet er een grote hoeveelheid liquiditeit in het protocol staan. In Poly Network wordt deze liquiditeit gecontroleerd door speciale slimme contracten.

De gebruikte contracten waren EthCrossChainManager en EthCrossChainData. EthCrossChainData is eigendom van EthCrossChainManager en slaat een lijst op met openbare sleutels die deze liquiditeit kunnen controleren (keepers).

De aanvaller maakte misbruik van een kwetsbaarheid in het EthCrossChainManager-contract en kon het misleiden om de houders van het contract te vervangen door die van de aanvaller. Vervolgens heeft de aanvaller de liquiditeit van het Poly Network-protocol overgeschreven, nadat hij de volledige controle had gekregen over de operaties van het protocol.

2. Bitmart – $196 miljoen

Op 4 december 2021 werd de gecentraliseerde cryptocurrency-uitwisseling Bitmart aangevallen, waarbij $ 200 miljoen aan crypto-activa werd gestolen uit zijn hot wallet. De aanvallers stalen de privésleutels van de hot wallets van de exchange.

De Bitmart-uitwisseling beweerde dat: het had $ 150 miljoen verloren, maar het blockchain-cyberbeveiligingsbedrijf Peckshield kwam later met een aanspraak maken op dat $ 196 miljoen was gestolen uit de Ethereum- en Binance Smart Chain-blockchains in meer dan 20 cryptocurrencies en tokens. Ze toonden ook het pad in afbeeldingen dat de gestolen activa hadden afgelegd, behalve de eindbestemming. Eerst ruilde de aanvaller de gestolen activa voor Ether met behulp van de DEX-aggregator 1inch en waste vervolgens de Ether met behulp van een privacymixer Tornado Cash. Daarna wordt het spoor blanco.

Deze cyberaanval toonde eens te meer de kwetsbaarheid van het opslaan van privésleutels naar meerdere adressen met enorme bedragen op één enkele server. Dit bracht alle hot wallets van de exchange in één keer aan het licht.

3. Cream Finance - $ 130 miljoen

Bij de Cream Finance-cyberaanval die plaatsvond in december 2021, gebruikten een hacker of twee hackers meerdere protocollen – MakerDAO, AAVE, Curve, Yearn.finance – om een ​​overval te plegen op Cream Finance ter waarde van $ 130 miljoen aan tokens en cryptocurrencies.

Het bewijs suggereert dat er mogelijk twee aanvallers zijn geweest, ik ga ervan uit van wel. Er werden twee adressen gebruikt bij de aanval: adres A en adres B. Het eerste adres A leende $ 500 miljoen aan DAI van MakerDAO en, nadat hij die liquiditeit door Curve en Year.finance had gesleept, gebruikte ze om 500 miljoen cryUSD op Cream Finance te zetten . Tegelijkertijd verhoogde adres A de liquiditeit in de yUSD Vault van Yearn.finance tot 511 miljoen yUSDTVault.

Toen leende adres B flash $ 2 miljard in Ether van AAVE, geslagen voor $ 2 miljard aan cEther door de geleende $ 2 miljard ETH in Cream te storten. Adres B gebruikte het vervolgens om 1 miljard yUSDVault af te sluiten en ze in te wisselen voor 1 miljard cryUSD en ze over te dragen naar adres A. Dus adres A kreeg 1.5 miljard cryUSD.

Na dat adres kocht A 3 miljoen DUSD van Curve en verzilverde ze allemaal voor yUSDVault, waardoor hij 503 miljoen yUSDVault op zijn saldo kreeg. Vervolgens heeft adres A 503 miljoen yUSDVault ingewisseld voor het onderliggende yUSD-token en de totale voorraad yUSDVault op 8 miljoen gebracht.

Vervolgens heeft adres A 8 miljoen yUSD overgemaakt naar de Yearn.finance yUSD-kluis en de waardering van de kluis verdubbeld. Dit maakte Cream's PriceOracleProxy's het dubbele van de waardering van cryUSD, aangezien het de prijs van cryUSD bepaalt op basis van (waardering van yUSD Yearn Vault) / (het totale aanbod van yUSDVault), dwz $ 16 miljoen / 8 miljoen yUSDVault. Daarom zag Cream dat adres A $ 3 miljard aan cryUSD had.

Deze fout kostte uiteindelijk Cream Finance. De hackers konden de flitslening terugbetalen met de overtollige liquiditeit die ze produceerden en de volledige liquiditeit ($ 130 miljoen) die in Cream Finance was opgesloten, incasseren met behulp van de $ 1 miljard aan cryUSD die ze nog hadden.

De meest populaire soorten aanvallen in 2021

Over aanvallen op slimme contracten gesproken, het meest populaire type aanval was de flitsleningsaanval zoals hierboven beschreven. Volgens De Block Crypto, van de 70 DeFi-aanvallen in 2021, gebruikten 34 flitsleningen, waarbij de overval op Cream Finance in december het hoogtepunt was in termen van het gestolen bedrag. Het typische kenmerk van deze aanvallen is het gebruik van meerdere protocollen. Op zichzelf zijn ze misschien veilig, maar als het gaat om het gebruik van een reeks ervan, kunnen er kwetsbaarheden worden gevonden.

Een ander type aanval op slimme contracten dat kan worden aangemerkt als een klassieke DeFi-aanval, is de re-entry-aanval. Een re-entry-aanval kan optreden als de functie die een extern contract aanroept, het adressaldo niet bijwerkt voordat er een nieuwe oproep naar dat contract wordt gedaan. In dit geval kan het externe contract geld recursief opnemen omdat het adressaldo in het doelcontract niet na elke opname wordt bijgewerkt. En deze recursieve oproepen kunnen doorgaan totdat het saldo van het contract op is.

En het derde veelvoorkomende type aanvallen in 2021 waren aanvallen op gecentraliseerde uitwisselingen door middel van het stelen van de privésleutel van de hete portemonnee van uitwisselingen. Dit is een zeer oude manier van cyberaanvallen in de geschiedenis van cryptocurrencies, maar het wordt niet te oud.

Hoe uw geld in de cryptocurrency-ruimte beschermen?

Als het gaat om het geld van een individuele gebruiker, is het goed om due diligence te doen van het platform waarop u uw geld wilt storten: kijk op de site, kijk op de socials van de teamleden, bekijk de White Paper en de technische controle. Het is ook goed om de functionaliteit in cryptocurrency-wallets te gebruiken waarmee de contracten die de gebruiker regelmatig gebruikt op de witte lijst kunnen worden gezet, het bestaat in de Metamask-portemonnee en in speciale online services voor het veilig bewaren van cryptocurrency, Unrekt en Debank. Als een overgang naar een onbekend contract is goedgekeurd, zullen ze een dergelijk contract markeren.

Als het de veiligheid van een DeFi-protocol betreft, is het goed om de codebase van andere beproefde projecten te gebruiken. Maar de oprichter moet nog steeds ten minste één technische audit van de slimme contracten van het project goedkeuren. Dit is vooral belangrijk met protocollen die op meerdere blockchains zijn geïmplementeerd en interactie hebben met andere protocollen. Ze vereisen een bijzonder streng onderzoek tijdens audits.

Gastpost door Gleb Zykov van HashEx

Gleb begon zijn carrière in softwareontwikkeling in een onderzoeksinstituut, waar hij een sterke technische en programmeerachtergrond opdeed, waarbij hij verschillende soorten robots ontwikkelde voor het Russische Ministerie van Noodsituaties.
Later bracht Gleb zijn technische expertise in bij het IT-servicebedrijf GTC-Soft, waar hij Android-applicaties ontwierp. Hij werd de hoofdontwikkelaar en daarna de CTO van het bedrijf. In GTC leidde Gleb de ontwikkeling van talrijke voertuigbewakingsdiensten en een Uber-achtige dienst voor premium taxi's. In 2017 werd Gleb een van de mede-oprichters van HashEx - een internationaal blockchain-audit- en adviesbureau. Gleb bekleedt de functie van Chief Technology Officer en leidt de ontwikkeling van blockchain-oplossingen en slimme contractaudits voor de klanten van het bedrijf.

→ Meer informatie

Geplaatst in: Gast Bericht, hacks

CryptoSlate-nieuwsbrief

Met een samenvatting van de belangrijkste dagelijkse verhalen in de wereld van crypto, DeFi, NFT's en meer.

krijg een rand op de cryptoassetmarkt

Krijg toegang tot meer crypto-inzichten en context in elk artikel als betaald lid van CryptoSlate Edge.

Analyse op de keten

Prijsmomentopnamen

Meer context

Word nu lid voor $ 19 / maand Ontdek alle voordelen

Bron: https://cryptoslate.com/the-biggest-security-breaches-of-2021/

Geschreven Door

Gerelateerde streams

Startups

Vitalik Buterin, de mede-oprichter van Ethereum, is het laatste slachtoffer van de crypto-beermarkt. "Ik ben geen miljardair meer", schreef Buterin vrijdag op Twitter....

Betalingen

De in Brazilië gevestigde crypto-uitwisseling Nox Bitcoin heeft aangekondigd dat het 620 miljoen Braziliaanse reais zal uitgeven om UST-houders terug te betalen, meldde crypto-nieuwskanaal Portal do Bitcoin....

Betalingen

De in Brazilië gevestigde crypto-uitwisseling Nox Bitcoin heeft aangekondigd dat het 620 miljoen Braziliaanse reais zal uitgeven om UST-houders terug te betalen, meldde crypto-nieuwskanaal Portal do Bitcoin....

Betalingen

De in Brazilië gevestigde crypto-uitwisseling Nox Bitcoin heeft aangekondigd dat het 620 miljoen Braziliaanse reais zal uitgeven om UST-houders terug te betalen, meldde crypto-nieuwskanaal Portal do Bitcoin....