Top 10 Web3-hacks van 2022

Leestijd: 6 minuten

De gehackte crypto-activa in 2022 zullen waarschijnlijk de $ 2021 miljard aan gestolen fondsen van 3.2 overschrijden, stelt het crypto-beveiligingsbedrijf Chainalysis.

Afbeeldingsbron: Chainalysis.

Beveiligingsinbreuken en code-exploits zijn het middelpunt van de belangstelling voor aanvallers die cryptocurrency proberen te stelen. Om nog maar te zwijgen van het feit dat DeFi-protocollen onweerstaanbare doelen voor aanvallen vormen.

Vooral in 2022 vormen ketenoverschrijdende bruggen het toneel voor de nieuwste hacktrend, goed voor 64% van de fondsdiefstallen dit jaar.
Laten we eens kijken wat er mis ging achter de grootste crypto-hacks van 2022 en een voorproefje krijgen van hoe we web3-beveiliging kunnen aanpakken.

De grootste hacks van 2022 ontvouwen

Axie Infinity Ronin-brug

Gestolen fondsen: $ 62,40,00,000
Datum: 23 maart '22

Het Ronin-netwerk werkte aan het Proof-of-Authority-model met negen validatieknooppunten. Van de negen nodes moeten er vijf worden goedgekeurd voor het doorgeven van de transacties in de bridge. Vier validatieknooppunten zijn de interne teamleden van Sky Mavis en er is nog maar één handtekening nodig om een transactie te valideren.

In de Ronin-exploit slaagde de hacker erin toegang te krijgen tot het vijfde validatieknooppunt door gebruik te maken van het RPC-knooppunt. Gasvrij RPC-knooppunt werd een jaar eerder opgericht om de kosten voor gebruikers tijdens druk netwerkverkeer te verlagen.

Zo heeft de hacker in twee transacties opnames gemaakt door de knooppunten te omvatten. 173,600 ETH liep leeg in de eerste transactie en 25.5 miljoen USDC in de tweede van het Ronin-overbruggingscontract. De grootste fondsdiefstal in de cryptogeschiedenis werd slechts zes dagen later geïdentificeerd.

BNB-brug

Gestolen fondsen: $ 58,60,00,000
Datum: 6 oktober'22

De BNB-bridge verbindt de oude Binance Beacon-keten en de Binance Smart-keten. De hacker misbruikte een kwetsbaarheid en was in staat om twee batches van elk 1 miljoen BNB te slaan - een totaal van 2 miljoen BNB ter waarde van ongeveer $ 586 miljoen op het moment van de hack.

Hier is het aanvalsplan.

De aanvaller toonde vals bewijs voor stortingen in de Binance Beacon-keten. De Binance-brug gebruikte een kwetsbare IAVL-verificatie om bewijzen te verifiëren dat de hacker erin slaagde te vervalsen en door te gaan met de opname.
De hacker stuurde het geld vervolgens naar zijn portemonnee door ze als onderpand te storten op het Venus-protocol, een BSC-leenplatform, in plaats van BNB rechtstreeks te dumpen.

wormhole

Gestolen fondsen: $ 32,60,00,000
Datum: 2 feb'22

Wormhole, de brug tussen Ethereum en Solana, leed een verlies van 120,000 verpakte Ether, wat op dat moment in totaal $ 321 miljoen bedroeg als gevolg van een code-exploit.

De hack vond plaats in Solana door de brug te manipuleren met informatie waaruit blijkt dat 120 ETH is ingediend op de Ethereum-keten. Als gevolg hiervan kon de hacker een equivalent van 120 in wETH van Solana slaan.

De aanvaller gebruikte de 'SignatureSet' van de vorige transactie om het verificatiemechanisme van de Wormhole-brug te belemmeren en maakte gebruik van de 'Verify-signatures'-functie in het hoofdbrugcontract. De afwijkingen in de 'solana_program::sysvar::instructies' en 'solana_program' werd door de gebruiker uitgebuit om een adres te verifiëren dat slechts 0.1 ETH bevatte.

Hierna en door daaropvolgende code-exploitatie, heeft de hacker op frauduleuze wijze 120 whETH op Solana geslagen.

Nomadenbrug

Gestolen fondsen: $ 19,00,00,000
Datum: 1 aug'22

Nomad Bridge kreeg een fatale klap door een sappig doelwit te worden voor iedereen die zich bij het team van hackers voegde.

Tijdens de routinematige upgrade van de brug werd het Replica-contract geïnitialiseerd met een coderingsfout die ernstige gevolgen had voor de activa. In het contract was het adres 0x00 ingesteld als vertrouwde root, wat betekende dat alle berichten standaard geldig waren.

De exploittransactie door de hacker mislukte bij de eerste poging. Het Tx-adres werd echter gekopieerd door latere hackers die de functie process() direct aanriepen omdat de geldigheid is gemarkeerd als 'bewezen'.

De upgrade las de 'messages'-waarde van 0 (ongeldig) als 0x00 en slaagde daarom voor de validatie als 'bewezen'. Dit betekende dat elke process()-functie werd doorgegeven als geldig.

Dus de hackers waren in staat geld wit te wassen door dezelfde process()-functie te kopiëren en te plakken en het adres van de vorige uitbuiter te vervangen door dat van hen.

Deze chaos leidde tot een verlies van $ 190 miljoen aan liquiditeit uit het protocol van de brug.

Beanstalk

Gestolen fondsen: $ 18,10,00,000
Datum: 17 april'22

Het was eigenlijk een bestuursaanval die de hacker ertoe bracht $ 181 miljoen te zwepen.

De hacker kon een flitslening nemen die voldoende was om te stemmen en een kwaadaardig voorstel te pushen.

De aanvalsstroom is als volgt.

De aanvallers verwierven het stemrecht door een flitslening aan te gaan en kwamen onmiddellijk in actie om een kwaadwillig bestuursvoorstel uit te voeren. De afwezigheid van de vertraging bij de uitvoering van het voorstel was in het voordeel van de aanval.

De hacker deed twee voorstellen. De eerste is om het geld in het contract naar henzelf over te maken, en het volgende voorstel is om $ 250 aan $ BEAN over te maken naar het donatieadres in Oekraïne.

Het gestolen geld werd vervolgens gebruikt om de lening terug te betalen en de rest werd doorgestuurd Tornado-geld.

wintermute

Gestolen fondsen: $ 16,23,00,000
Datum: 20 september '22

Het compromis van de hot wallet resulteerde in een verlies van $ 160 miljoen voor Wintermute.

De godslastering die werd gebruikt voor het maken van vanity-adressen had een kwetsbaarheid. De hete portemonnee van Wintermute en het DeFi-kluiscontract hadden beide ijdelheidsadressen. De zwakte van de Profanity-tool leidde tot het compromitteren van de privésleutels van de hot wallet, gevolgd door fondsdiefstal.

Mango-markten

Gestolen fondsen: $ 11,50,00,000
Datum: 11 oktober'22

Mangomarkten vielen voor een aanval op prijsmanipulatie en verloren onderweg negen cijfers.

Hoe is het gebeurd?

De aanvaller stortte meer dan $ 5 miljoen op Mango Markets en deed tegenhandel van een andere rekening tegen hun positie. Dit resulteerde in een enorme stijging van de prijs van MNGO-tokens van $ 0.03 naar $ 0.91.

De aanvaller gebruikte vervolgens zijn positie als onderpand en haalde geld uit de liquiditeitspools. Kortom, het manipuleren en oppompen van de tokenprijs leidde tot de ineenstorting van het protocol.

Harmonie brug

Gestolen fondsen: $ 10,00,00,000
Datum: 23 juni '22

Harmony Bridge viel voor het grijpen van een compromis met een privésleutel, gevolgd door een verlies van $ 100 miljoen. Laten we de aanvalsstroom volgen.

Harmony Bridge gebruikte 2 van de 5 multisig-adressen om transacties door te geven. De aanvaller slaagde erin controle over deze adressen te krijgen door privésleutels te compromitteren. Nadat hij twee adressen onder controle had gekregen, kon de hacker een transactie uitvoeren die $ 100 miljoen kostte.

Fey Rari

Gestolen fondsen: $ 8,00,00,000
Datum: 1 mei '22

Rari gebruikt een samengestelde vorkcode die niet het check-effect-interactiepatroon volgt. Het niet controleren van het patroon leidt tot re-entrancy-aanvallen.

In dit terugkeerpatroon speelde de aanvaller met de code met behulp van 'bel.waarde' en 'exitMarkt' functies. De aanvaller nam een flitslening om ETH te lenen en kwam opnieuw binnen via 'bel.waarde' en gebeld 'exitMarkt' om de als onderpand geplaatste gelden op te nemen.

Zo kreeg de hacker het geld via een flitslening en behield hij het onderpand dat hij leende.

Qubit Financiën

Gestolen fondsen: $ 8,00,00,000
Datum: 28 januari '22

Qubit maakt het vergrendelen van fondsen in Ethereum mogelijk en het lenen van het equivalent op BSC. Het contract'tokenAddress.safeTransferFrom()' functie werd uitgebuit in de Qubit-hack.

Het stelde de hacker in staat om 77,162 qXETH van de BSC te lenen zonder ETH-stortingen op Ethereum te doen. En toen hij het als onderpand gebruikte om WETH, BTC-B, USD stablecoins, enz. te lenen, verdiende de hacker ~ $ 80 miljoen aan winst.

Hoe speel je slim met Web3 Security?

De TVL in DeFi bereikte zijn hoogste punt ooit van $ 303 miljoen in 2021. Maar de steeds stijgende exploits in de DeFi-ruimte zorgen voor een daling van de TVL-waarde in 2022. Dit zendt een waarschuwend alarm uit om Web3-beveiliging serieus te nemen.

De grootste diefstal van DeFi-protocollen was te wijten aan foutieve code. Gelukkig kan een meer rigoureuze benadering van het testen van de code voordat deze wordt geïmplementeerd, dit soort aanvallen grotendeels afremmen.
Met veel nieuwe projecten die worden gebouwd in de web3-ruimte, QuillAudits van plan om maximale veiligheid voor het project te garanderen en te werken in het beste belang van het beveiligen en versterken van web3 als geheel. Op die manier hebben we met succes meer dan 700 Web3-projecten binnengehaald en blijven we de reikwijdte van het afschermen van Web3-ruimte uitbreiden via een breed scala aan diensten.

11 keer bekeken

Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.Klik Hier
Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
Bron: https://blog.quillhash.com/2022/11/28/top-10-web3-hacks-of-2022/

Generatieve data-intelligentie

De grootste hacks van 2022 ontvouwen

Axie Infinity Ronin-brug

BNB-brug

wormhole

Nomadenbrug

Beanstalk

wintermute

Mango-markten

Harmonie brug

Fey Rari

Qubit Financiën

Hoe speel je slim met Web3 Security?

Bitcoin leidt 30-daagse NFT-verkopen en overtreft 24 Blockchain-concurrenten

Prioriteit geven aan first-mover-voordeel boven beveiliging zorgt ervoor dat defi-protocollen kwetsbaar zijn voor hacks – Nikita Ovchinnik

Laatste intelligentie

HKTDC onthult evenementen voor geschenken, drukwerk, verpakkingen en licenties

Carlie Hanson brengt hulde met haar oprechte cover van Alice In Chains' 'Nutshell'

Hyundai gaat meer hybrides bouwen om de afnemende vraag naar elektrische voertuigen aan te vullen – Autoblog

Drake bedreigd met rechtszaak over Tupac AI-zang

Exclusieve Trump Bitcoin NFT's met aangepaste rangtelwoorden voor kopers van 'Mugshot Edition' - CryptoInfoNet

Bedrijf biedt digitale financiële geletterdheidstraining voor Nigerianen - CryptoInfoNet