2022년 10대 DeFi 해킹: 해커의 대담함

간단히

• Peckshield에 따르면 올해 지금까지 DeFi 플랫폼은 총 23억 2000만 달러에 악용되었습니다.
• 블록체인 브리지는 Ronin Network의 6억 2천만 달러 절도가 가장 취약한 링크로 입증되었습니다.
• 도난 자금의 약 50%가 Tornado Cash를 통해 세탁되었습니다.

탈중앙화 금융(디파이 )은 때때로 암호화 산업의 "황량한 서부"로 비판을 받았습니다. 올해 지금까지 여러 프로토콜에서 도난당한 23억 2천만 달러가디파이 오늘날 비평가들은 마지막 웃음을 짓고 있습니다.

출시와 함께 시작되었다고 합니다.비트코인 2009년 DeFi는 2020년 Compound Finance의 소위 "일드 파밍(yieldfarm)" 투자 전략을 시작하면서 진정으로 도약했습니다.

현재 수천 개의 분산형 애플리케이션 또는 dApp이 사용되고 있습니다. 데필라마보고서 537억 3000만 달러 이상의 총 가치가 DeFi에 고정되어 있습니다. 이 수치는 원치 않는 행위자, 즉 해커의 관심을 끌었습니다.

시스템 해킹
DeFi는 정부의 감독으로부터 냉소적인 분리를 유지하면서 탈중앙화 및 개인 정보 보호라는 비트코인의 기본 정신에 광범위하게 충실한 암호화폐의 일부입니다. 그러나 확인되지 않은 이러한 자유큰 위험을 안고 오다 .

에 따라 블록체인에보안 회사인 PeckShield에서 해커들은 올해 지금까지 DeFi 업계에서 135개 이상의 익스플로잇을 통해 23억 2천만 달러 이상을 훔쳤습니다. 이 수치는 2021년 전체 부문 전체에서 도난당한 것보다 50% 더 높습니다.

수년에 걸쳐 온라인 도둑들은 업무를 수행하기 위해 다양한 전술을 사용했습니다. 가장 많이 사용되는 공격 방법에는 허니팟, 종료 사기, 익스플로잇, 액세스 제어 및 플래시 론이 포함됩니다.스트레이트 데이터베이스 . 다음은 PeckShield가 선별한 2022년 현재까지 상위 10개 DeFi 익스플로잇입니다.

로닌 네트워크: 손실 – 6억 2천만 달러
로닌 네트워크,이더 리움 -암호화 게임 Axie Infinity의 기반 사이드체인은 3월에 출시되었습니다.사기를 당하다 ETH 및 USDC에서 6억 2천만 달러 이상. 공격자는 두 건의 거래에서 Ronin 브리지 계약에서 "가짜 인출을 위조하기 위해 해킹된 개인 키를 사용"했습니다.

지난 3월 23일 발생한 이 익스플로잇은 일주일 뒤 한 사용자가 5,000이더를 인출하지 못해 발견됐다. 전체적으로 해커는 173,600 ETH와 2,550만 USDC(당시 가치 6억 2천만 달러 이상)를 획득했습니다.

Ronin Network 해킹은 역사상 가장 큰 DeFi 해킹으로 간주됩니다. PeckShield는 올해 가장 큰 규모를 유지하고 있다고 말합니다.

Wormhole Bridge: 손실 – 3억 2천만 달러
2월 2일 공격자사이펀 Wormhole 프로토콜에서 래핑된 ETH로 3억 2천만 달러 이상,솔라나 , 이더 리움,눈사태 , 다른 사람.

웜홀 사용자는 이더리움 가격에 고정된 암호화폐 유형인 민트 래핑된 ETH에 이더리움을 스테이킹해야 합니다.

분석 회사인 Elliptic은 Wormhole이 "보호자" 계정의 유효성을 검사하지 못한 것이 익스플로잇이라고 비난했습니다. 공격자가 이더리움을 지원하지 않고 120,000wETH를 발행할 수 있습니다. 이후 해커는 93,750wETH를 이더리움으로 교환하고 나머지는 솔라나로 교환했습니다. 당시 손실 총액은 3억 2천만 달러가 넘었습니다.

Nomad Bridge: 손실 – 1억 9천만 달러
8월 2일, 해커들은 사용자가 한 블록체인에서 다른 블록체인으로 토큰을 교환할 수 있는 도구인 Nomad에서 약 1억 9천만 달러의 암호화폐를 유출했습니다.

공격은 Nomad의 코드를 업그레이드하면서 시작되었습니다. 스마트 계약의 한 섹션은 사용자가 거래를 할 때마다 유효한 것으로 표시되었습니다. 이로 인해 악의적인 행위자는 플랫폼에 예치된 것보다 더 많은 자산을 인출할 수 있었습니다. 해커들은 1억 9천만 달러의 암호화폐가 브릿지 밖으로 옮겨질 때까지 이 과정을 반복했습니다. Nomad는 너무 늦을 때까지 알지 못했습니다.

콩나무 농장: 1억 8,200만 달러 손실
4월, 공격자는 다양한 암호화 자산의 공급과 수요 균형을 목표로 하는 DeFi 프로토콜인 Beanstalk Farms에서 1억 8,200만 달러의 암호화폐를 유출했습니다.

PeckShield는 공격자가 Beanstalk의 다수결 거버넌스 시스템을 악용했으며 1억 8,200만 달러를 보내기로 결정했다고 밝혔습니다. 공격자는 프로토콜의 지배 지분을 얻기 위해 플래시 론을 사용했지만 실제 이익은 8천만 달러에 불과하다고 회사는 말했습니다.

Wintermute: 1억 6천만 달러 손실
윈터뮤트는최신 DeFi 프로토콜은 플랫폼의 분산형 금융 섹션에서 1억 6천만 달러를 훔친 해커의 희생양이 됩니다. Evgeny Gaevoy CEO는 이번 해킹이 이더리움 허영 주소 생성 도구인 Profanity의 치명적인 버그와 관련이 있다고 말했습니다.

그는 Wintermute가 거래 비용을 절감하기 위해 고유한 주소를 생성하는 도구를 사용했다고 말했습니다. 이 특정 공격의 배후에는 인적 오류가 있는 것으로 보입니다.

Elrond: 손실 – 1억 1,300만 달러
6월, 해커들은 탈중앙화 거래소 Maiar의 허점을 악용하여 Elrond 블록체인의 기본 토큰인 EGLD(elrond egold) 약 165만 개를 훔쳤습니다. 연구원들은 공격자가 스마트 계약을 배포하고 3개의 지갑을 사용하여 거래소에서 약 1억 1,300만 달러 상당의 EGLD를 훔쳤다고 밝혔습니다.

해커들은 즉시 동일한 DEX에서 800,000개의 토큰을 5,400만 달러에 팔았고 나머지는 중앙 거래소에서 팔거나 이더리움으로 교환했습니다.

Horizon Bridge: 손실 – 1억 달러
Elrond 익스플로잇이 발생한 지 불과 며칠 후인 6월 23일 해커가 다시 공격을 가했습니다.치다 거의 1억 달러에 호라이즌 브리지. Horizon은 이더리움,바이낸스 스마트 체인 및 하모니 블록체인 네트워크.

PeckShield는 다양한 토큰에서 9,800만 달러 이상이 Harmony가 관리하는 플랫폼에서 유출되어 이더로 교환되었다고 밝혔습니다. 50,000명 이상의 사용자 지갑이 영향을 받았습니다. 해커들은 나중에 Tornado Cash를 통해 3,500만 달러를 옮겼습니다.

Qubit Finance: 손실 – 8천만 달러
DeFi 프로토콜말했다 지난 1월 28일 QBridge 프로토콜에서 206,809개의 바이낸스 코인(BNB)을 훔친 공격자가 이를 악용했다고 밝혔습니다. 전체적으로 토큰의 가치는 8천만 달러였습니다.

보안 회사 Certik에 따르면 공격자는 QBridge 계약의 보증금 옵션을 활용하여 77,162 qXETH를 생성했습니다. 공격자는 입금했다고 믿도록 플랫폼을 속였습니다. 이 과정을 충분히 반복한 후 자산을 BNB로 교환하고 사라졌다.

캐시오: 손실 – 4,800만 달러
Cashio, a스테이블코인 Solana의 프로토콜은 3월에 팀이 "무한 민트 결함" 익스플로잇이라고 부르는 문제를 겪었습니다. 해커사이펀 프로토콜에서 4,800만 달러, Cashio의 CASH 스테이블 코인 붕괴를 촉발했습니다.

Cashio는 사용자가 이자를 지급하는 유동성 공급자 토큰으로 지원되는 모든 예금으로 CASH 스테이블코인을 발행할 수 있도록 합니다. 공격자는 수십억 개의 CASH를 발행하고 USDC와 UST로 교환했으며 자체적으로 붕괴된 후 DEX Sabre를 통해 인출했습니다.

달러 페그 CASH는 해킹 후 $0로 추락했습니다. 공격자반환 $100,000 미만을 보유하고 다음을 약속한 계좌에 돈을기부하다 나머지는 자선 단체에. 이것이 우리가 마지막으로 들은 캐시오 전리품입니다. 현금은 죽었습니다.

스크림: 손실 – 3,800만 달러
팬텀 기반 대출 플랫폼 스크림겪었다 아마도 프로토콜 보안 관점에서 올해 DeFi에서 가장 부주의한 익스플로잇 중 하나일 것입니다. Scream은 stablecoin 이후 3,800만 달러의 부채를 지게 되었습니다.환상 가치가 $1로 고정된 USD(fUSD)와 DEI는 페그를 잃었습니다.

프로토콜이 두 스테이블코인의 가치를 하드코딩했기 때문에 자산 가치의 하락은 Scream에서 나타나지 않았습니다. Whales는 이 허점을 이용하여 다른 가치 있는 스테이블코인의 프로토콜을 빼내고 페그 해제된 fUSD 및 DEI를 예치했습니다.

스테이블코인 FRAX, USDT, USDC 및 MIM에서 총 3,800만 달러가 네트워크에서 사라졌습니다. 사건 이후 Scream은 하드 코어 가격을 버리고 다음으로 전환했습니다.체인 링크 실시간 가격 데이터를 위한 오라클. 고래는 전리품을 보관했습니다. 데겐스에게 좋은 월급날!.

도난당한 수십억은 어떻게 되었습니까?

글쎄요. 그것의 대부분은 영구적입니다.

PeckShield는 위의 프로토콜에서 도난당한 돈의 약 50%, 즉 11억 6천만 달러가 지난 8월 미국 정부가 승인한 이더리움 기반 암호화폐 혼합기인 Tornado Cash를 통해 세척되어 암호화폐 커뮤니티의 강한 반응을 불러일으켰다고 밝혔습니다.
Tornado Cash는 암호 사용자가 금융 거래 내역을 난독화하여 추적하기 어렵게 만듭니다. 미 보안국 FBI에 따르면 이 믹서는 북한과 연계된 해커 그룹 라자루스(Lazarus) 등이 2019년부터 70억 달러 이상의 암호화폐를 세탁하는 데 활용됐다.

해커가 수십억 명과 함께 사라지는 동안 영향을 받은 DeFi 프로토콜은 돈을 되찾기 위해 일련의 시도를 했지만 거의 성공하지 못했습니다. 그렇게 하는 한 가지 방법은 어떤 종류의 인센티브에 대한 대가로 불법적으로 얻은 전리품을 반환하도록 공격자에게 간단히 간청하는 것입니다. 또는 전혀.

Qubit Finance는 이를 시도했고 200만 달러의 현상금을 제안했는데, 이는 이른바 화이트 해킹 탄원에 대해 제공할 수 있는 최대 금액입니다. 작동하지 않았습니다. Harmony도 같은 아이디어를 가지고 놀았습니다. 그것은현상금 100만 달러 Horizon Bridge에서 도난당한 1억 달러의 반환과 형사 고발을 하지 않겠다고 약속했습니다. 해커는 전화를 무시했습니다. 아무것도 복구되지 않았습니다.

그러나 유사한 전략이 2021년 8월 Poly Network에서 작동하여 공격자가 훔친 6억 달러의 대부분을 반환했습니다.
그 행운은 로닌에게까지 이어집니다. 이달 초 네트워크회복 된 암호화폐 보안 회사인 Chainalysis, 미국 재무부 및 FBI의 도움으로 3천만 달러의 손실을 입었습니다. 그러나 이는 해킹 중에 도난당한 6억 2천만 달러의 5%에 불과합니다. FBI는 공격자로 추정되는 Lazarus Group이 Tornado Cash를 통해 약 4억 5,500만 달러를 세탁한 것으로 추정합니다.

Nomad Bridge의 해커들도 교차 체인 브리지가 1억 9040만 달러에 악용된 후 하루에 플랫폼에 900만 달러를 돌려 보냈습니다. 모든 자금에 대해 10%의 현상금이 반환된 후, 화이트 해커는 약탈된 총액 중 3,200만 달러를 다시 해킹하여 교차 체인 브리지로 반환했습니다. 나머지 대부분은 해커가 도난당한 재산을 유지하기 위해 필사적으로 노력하면서 다른 주소 사이에서 섞였습니다. 그들은했다.

Wormhole은 3억 2천만 달러를 회수하지 못했습니다. 그것은 구조되어야만 했다. 프로토콜에 지분을 갖고 있는 점프 트레이딩 그룹(Jump Trading Group)은 취약점이 패치된 후 도난당한 120,000 ETH를 대체하기 위해 뛰어들었습니다.

해킹당하지 않는 방법
분명히 블록체인 브리지가 가장 약한 것으로 보입니다.링크 디파이에서. 개인과 프로토콜이 안전하게 지낼 수 있는 방법이 있습니다.

블록체인 보안 회사 Smart State의 설립자인 Alex Belets는 Be[In]Crypto에 "프로젝트를 개발할 때 명확한 참조 조건을 작성하고 가능한 한 논리적 오류를 피하기 위해 테스트로 프로젝트의 기능을 다루어야 합니다."라고 말했습니다.

“자동 취약성 스캐너를 사용하고 라이브러리가 있는 항목을 구현하려고 시도하지 말고 감사를 수행하고 개인 키를 안전하게 유지하십시오. Profanity와 같은 타사 응용 프로그램을 사용하여 개인 키를 생성하지 마십시오(Wintermute의 해킹 이유)”라고 덧붙였습니다.

부인 성명
당사 웹사이트에 포함된 모든 정보는 일반적인 정보 제공 목적으로만 선의로 게시됩니다. 독자가 당사 웹사이트에서 찾은 정보에 대해 취하는 모든 조치는 전적으로 독자의 책임입니다.