Top 6 der herausragendsten Exploit-„Schocks“ im ersten Halbjahr 2021

Zusammenfassung der 6 auffälligsten Exploits (Hacks) im ersten Halbjahr 2021 und Auflistung des Gesamtschadens und Lösungen des Projekts.

Hallo Leute.

Heute möchte ich einen Artikel mit Ihnen teilen, der die beliebtesten Exploits (Hacks) im ersten Halbjahr 2021 zusammenfasst. Gleichzeitig listet er Projekte auf, die von Hackern gehackt wurden, den Gesamtschaden des Vorfalls und ihre Lösung. Weitere Einzelheiten finden Sie im folgenden Artikel.

Überblick über Exploits 

Exploit ist ein Begriff, der verwendet wird, um über einen Angriff von einer Person oder einer Gruppe von Personen (anonym) zu sprechen, die absichtlich in einen Fehler oder eine Sicherheitslücke eindringt, um sie auszunutzen und davon zu profitieren. Dieser Begriff gilt sowohl für Krypto als auch für Nicht-Krypto.

Angriffe erfolgen normalerweise in Netzwerkbetriebssystemen, Dapps oder Softwarecode. In einigen Fällen stehlen viele Hacker Daten im System, wie z. B. Benutzerinformationen, Fondsvermögen usw., oder platzieren Viren in der Software, um die zugehörigen Knoten zu zerstören.

Allgemeine Exploit-Klassifizierung

Exploit ist in der Elektronikbranche bekannt, und es gibt auch viele verschiedene Arten von Exploit, für Sie zum besseren Verständnis werde ich wie folgt klassifizieren:

• Remote Exploit : Der Prozess des Ausnutzens von Fehlern im Hauptsicherheitssystem aus der Ferne auf einem anderen Computer/Netzwerk.
• Local Exploit : Eine Form der Ausnutzung von Fehlern im Sicherheitssystem direkt auf dem Hauptsystem und der schrittweisen Aktualisierung seiner Berechtigungen, das Knacken von Passwörtern, das Ausnutzen der Daten anderer Personen, ...
• Es gibt eine andere Art von Exploit, die den Zugriff des Administrators (Zugriff auf Administratorebene / root) infiltriert und von dort aus Handlungen zum persönlichen Vorteil ausführt.

Exploit in Krypto

In Crypto ist Exploit bekannt für Angriffe auf Schwachstellen in Smart Contracts oder häufig entdeckte Sicherheitslücken wie Website, Dapps, IoT, API, UI-UX, ...

Oft kann eine gerade programmierte Software während der Ausführung Fehler aufweisen, diese Sicherheitslücken treten häufig in Konfigurationen, Anwendungen (Dapps), Shrink Wrap Code und Betriebssystem auf.

Technische Schwachstellen werden häufig von Hackern bemerkt

Angriffe von Hackern sind oft schwer zu erkennen, bis die Folgen eintreten, daher werden Blockchain-Projekte bei der Einführung eines neuen Produkts häufig Testnets, Devnets und Bug Bounty-Veranstaltungen für die Community abhalten.

Bug Bounty ist ein Sicherheitsprogramm, das häufig von Projekten auf ihre Dapps angewendet wird, teilweise um die Benutzererfahrung zu untersuchen, und andererseits um Sicherheitslücken (Bugs) in ihren Produkten zu erkennen. 

Anstatt von Hackern angegriffen zu werden und neben vielen anderen rechtlichen Problemen Tausende von Millionen Dollar zu verlieren, wird Bug Bounty die Risiken, die in Zukunft auftreten können, etwas einschränken. 

6 ausstehende Exploit-Fälle im Jahr 2021

Poly-Netzwerk

Poly Network ist ein Netzwerk, das für Multi-Chain-Interaktionen eingesetzt wird und die Internet-Infrastruktur der nächsten Generation aufbaut. Blockchains können sich über ein offenes Netzwerk und einen transparenten Zulassungsmechanismus (Transparenz) mit Poly Network verbinden, um auf Informationen, Vertrauen und Konsistenz zuzugreifen. 

Außerdem verbindet Poly Network auch viele andere Blockchains und hat viele Plattformen wie Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo und Huobi ECO Chain integriert. Bis jetzt hatte Poly Network keinen Token in seinem Governance-Mechanismus.

Der Grund, warum Poly Network in diesen Top 6 ist, liegt darin, dass Twitter von Poly Network kürzlich am 10. August bestätigte, dass sie einen Cross-Chain-Angriff erlitten hatten und der Vorfall schätzungsweise 611 Millionen Dollar gekostet hat. Zu den Schäden zählen insbesondere:

• 273 Millionen Dollar auf Ethereum.
• 253 Millionen Dollar für BSC.
• 85 Millionen Dollar bei Polygon.

Außerdem ist O3 Swap – die auf Poly Network aufbauende Plattform teilweise ebenfalls betroffen, es gibt noch keine genauen Daten für diesen Fall.

Obwohl Poly Network von Certik geprüft wird , ist es unvermeidlich, dass unerwartete Fälle wie die oben genannten auftreten. Das Projekt untersucht derzeit den Fall, spezifische Informationen werden aktualisiert, sobald es eine neue Ankündigung von Poly Network gibt.

Alpha Finanzlabor

Alpha Finance Lab ist eine DeFi Cross-Chain-Plattform, die auf dem Binance Smart Chain-Ökosystem aufgebaut ist, einschließlich Lending & Borrowing-Produkten und -Dienstleistungen, die Benutzer auf vielen verschiedenen Blockchains unterstützen. 

ALPHA ist das repräsentative native Token des Projekts, das der Governance im System dient und das Liquidity Mining bei der Kreditvergabe oder -aufnahme unterstützt. Sie können auch ALPHA einsetzen, um Gewinne zu erzielen. 

Der Grund, warum Alpha Finance unter den Top 6 der Exploit-Fälle ist, liegt darin, dass der Gesamtschaden nach dem Angriff mit bis zu 37,5 Millionen USD recht groß ist.

Zusammenfassung der Ereignisse

Am Morgen des 13. Februar 2021 griff ein Hacker das Alpha Homora V2 -Protokoll an und Leihtransaktionen wurden anschließend zur Untersuchung gestoppt. Dieser Angriff soll ziemlich kompliziert sein, da der Hacker viele Schritte unternommen hat, bevor er den oben genannten Betrag beraubt hat, insbesondere:

• Der Hacker erstellte eine virtuelle Adresse, tauschte ETH gegen UNI und fügte LP für das ETH + UNI-Paar in Uniswap hinzu (um LP-Token zu erhalten). In derselben Transaktion tauschte er ETH gegen sUSD und deponierte sUSD bei der Cream Iron Bank.
• In Alpha Homora V2 liehen sich Hacker sUSD & Aave, um die Bestände an cySUSD zu erhöhen. Von dort lieh sich der Hacker weitere 13.244 $ ETH; $4.263.139 DAI; $3.997.921 USDC und $5.647.242 USDT.
• Als nächstes zahlen Sie etwas bei Aave ein, 1.000 ETH bei Iron Bank und Alpha Homora V2, 320 ETH bei Tornado.cash.
• Auf der persönlichen Brieftasche des Hackers blieben nach der Transaktion 10.925 ETH (entspricht 20 Millionen US-Dollar).

Die Schwachstellen des Vorfalls wurden von Alpha Finance Lab, Andre Cronje und Cream Finance untersucht und recherchiert, darunter 9 Transaktionen, 4 verschiedene Operationen in diesem Hack. Es ist ersichtlich, dass der DeFi-Markt noch recht neu ist und viele potenzielle Risiken bestehen. 

Folge

Zusätzlich zu dem Ergebnis, gehackt zu werden und 37,5 Millionen US-Dollar zu verlieren, sah sich Alpha Finance Lab nach der Ankündigung des Projekts auch einem starken Rückgang des ALPHA-Token-Preises gegenüber, zum Zeitpunkt der Ankündigung betrug er fast 22 % und die Gesamtsumme im Februar ist zurückgegangen um 39,22 %. .

Rari-Hauptstadt 

Rari Capital (RGT) ist als automatisiertes Yield-Farming-Protokoll auf der Ethereum-Blockchain-Plattform bekannt, das dazu beiträgt, Liquidität im DeFi-Raum wie Compound, dYdX, yEarn usw. anzuziehen. Darüber hinaus ist das Ziel, das Rari Capital anstrebt, zu schaffen eine effiziente landwirtschaftliche Umgebung für Benutzer.

Seit seiner Einführung bis jetzt hat RGT einen enormen Preisanstieg von 0,2 $ (5. November 2020) - 27,37 $ ATH (15 Köder" für Hacker.

Zusammenfassung der Ereignisse

Am 8. Mai musste Rari Capital melden, dass ein Hacker in das System eingebrochen ist und 2.600 ETH abgezogen hat, ein Verlust von 60 % (geschätzte 10.000.000 $) der gesamten Benutzergelder zu diesem Zeitpunkt. Ich fasse den Vorfall kurz wie folgt zusammen:

• Hacker erstellten gefälschte Token und bündelten sie auf SushiSwap.
• Dann nutzten sie die Schwachstelle von Funktionen in Alpha Finance und griffen auf Alpaca Homora zu, um ibETH aus dem Rari-ETH-Pool-Vertrag zu erhalten.
• Schließlich wandelte der Hacker ibETH in ETH im Rari-ETH-Pool um.

Folge

Bildquelle: Rekt Capital

Der RGT-Preis fiel nach dem Angriff um mehr als 40 %. Es ist erwähnenswert, dass, obwohl der Token von Quantstamp geprüft wurde , diese Schwachstelle ignoriert wurde und Rari Capital einen schweren Verlust verursachte. Wie ich weiß, musste Rari 2 Millionen RGT abziehen, um die Benutzer später zu entschädigen.

Pfannkuchenhasen-Finanzen

Wenn Sie die Landwirtschaft lieben, ist Pancake Bunny (BUNNY) sicherlich kein seltsamer Name, dies ist ein Gewinnaggregator- und Landwirtschaftsoptimierungstool auf Binance Smart Chain. Ähnlich wie Yearn Finance auf Ethereum verwendet Pancake Bunny Finance Pancake als Hauptplattform für Yield Farming. 

Ermöglicht Benutzern, CAKE zu kaufen und dem Pool hinzuzufügen, um Zinseszinsen aus der Landwirtschaft zu erhalten. Auf Pancake gibt es auch eine Brücke zwischen ETH-BSC, um die Anzahl der Benutzer auf der Plattform zu erweitern. BUNNY ist ein natives Token, das das Projekt repräsentiert und in der Verwaltung und als Gebühr für PancakeSwap verwendet wird.

Zusammenfassung der Ereignisse

Konkret musste Pancake am 20. Mai einen Exploiter-Angriff auf Flash-Darlehen melden – eine Form des Darlehens ohne Sicherheiten. Unter Ausnutzung der Lücke in dieser Funktion der Anwendung sind Hacker in Folgendes eingedrungen und haben es angegriffen:

• Sie verwenden PancakeSwap, um große Mengen an BNB aus WBNB-Pools zu leihen, darunter acht verschiedene Flash-Darlehen (laut Fortube Bank).
• Hacker haben 2,96 Millionen USDT und 7.886 WBNB in ​​den Pool eingezahlt und 144,45 Tausend LP-Token geprägt.
• Mit einer großen Menge an LP-Token in der Hand forderten sie 6,97 Millionen BUNNY-Belohnungen von Vault Flip To Flip und brachten eine starke Entladung auf den Markt.
• Nachdem sie alle gehackten BUNNY erfolgreich verkauft hatten, kehrten sie zurück, um die aus dem vorherigen Flash-Darlehen geliehene BNB zurückzuzahlen.

Folge

Bildquelle: Rekt Capital

Der Vorfall ließ den Preis von BUNNY plötzlich auf 6 US-Dollar fallen und zu diesem Zeitpunkt betrug die TVL von Pancake Bunny nur 1 Milliarde US-Dollar (geteilt durch 10 aus der Spitzenzeit).

Der Gesamtschaden wird auf 2,4 Millionen US-Dollar geschätzt, selbst eine Prüfung durch Haechi konnte Pancake Bunny nicht vor diesem Angriff schützen. 

THORChain 

THORChain (RUNE) ist als Blockchain-Protokollprojekt bekannt, das ein Chain-agnostisches Überbrückungsprotokoll erstellt, das die Verbindung und den Austausch von Werten zwischen verschiedenen Multi-Chains ermöglicht. THORChain bietet auch Layer-1-Liquidität, sofortigen Austausch von Vermögenswerten und Ausgleich von Preisschwankungen in Crypto. 

RUNE ist ein natives Token in der THORChain-Plattform zum Zwecke der Erhebung von Transaktionsgebühren, des Staking/Voting und als Belohnung für Validatoren.

THORChain ist auch der Name in den Top 6 der jüngsten Exploits, in nur einem Monat war THORChain 2 Hackerangriffen mit einem Gesamtschaden von fast 13 Millionen Dollar ausgesetzt.

Zusammenfassung der Ereignisse:

• Am 15. Juli wurde THORChain gehackt, um 2.500 ETH (geschätzte 5 Millionen USD) zu stehlen, dieser Angriff im Bifrost -Protokoll .
• Und gegen Ende Juli verloren sie weitere 8 Millionen Dollar durch "White-Hat-Hacker" aufgrund eines Fehlers im Zusammenhang mit dem ERC-777-Token (ETH-Router-Vertrag).
• Hacker hat einen gefälschten Router erstellt und seine Aktionen auf dem Thorchain Router ausgeführt.

Folge

Der Preis von RUNE ist um 25 % gefallen. Es wurde zwar vom renommierten Certik-Team geprüft, aber nach den Fehlern und der Häufigkeit des Massenvorkommens machte sich die Community Sorgen und begann wegzulaufen. Sie können das Juli-Kerzenmuster wie unten gezeigt sehen:

Eis am Stiel Finanzen

Lassen Sie mich kurz definieren, dass Popsicle Finance eine Gewinnaggregationsplattform mit mehreren Ketten ist, die dazu beiträgt, Liquidität auf vielen verschiedenen Plattformen bereitzustellen. Das Projekt wurde mit dem Ziel aufgebaut und entwickelt, Benutzern dabei zu helfen, schnelle Liquidität bereitzustellen, Gasgebühren zu sparen und viele AMMs wie Uniswap, SushiSwap, Pancakeswap usw. zu unterstützen. 

Abgesehen davon, dass ICE das repräsentative Token des Projekts ist, hat das Team derzeit die Funktion dieses Tokens nicht aktualisiert, höchstwahrscheinlich wird ICE in Zukunft für Abstimmungen als Hauptkonvertierungsgebühr auf der Popsicle-Plattform verwendet.

Da es sich um ein neues Projekt handelt, kann Popsicle Finance, obwohl es von Peckshield geprüft wird, den Problemen technischer Löcher in seinem System nicht entkommen. Von Anfang des Jahres bis jetzt hatte Peckshield 7 Exploits, Rug-Pulls usw., was für das Peckshield-Team eine besorgniserregende Zahl ist. 

Zusammenfassung der Ereignisse

• Dieser Vorfall ereignete sich gerade am 4. August, insbesondere hat der Hacker 3 Verträge A, B, C erstellt und in der folgenden Reihenfolge wiederholt: Transfer (A) ⇒ (B) & Collect Fees ⇒ (C) Transfer ⇒ (A) & Collect Fees ( Wiederholen Sie dies für 8 solcher Pools).
• Um es einfacher auszudrücken, sie zahlen Geld in Vertrag A ein und überweisen dann die LP-Token an B, wobei sie sich auf den Gebühreneinzugsmechanismus von Sorbetto verlassen, um den Betrag für diese Transaktion zu extrahieren. Als nächstes bewegen Sie sich von B nach C und so weiter für alle 8 Pools.
• Es ist ersichtlich, dass dies eine geplante Wiederholung ist, sie leihen 30 Millionen USDT, 13.000 WETH, 1.400 BTC, 30 Millionen DAI und 200.000 UNI von Aave, um die oben genannten 8 Pools anzugreifen.
• Tatsächlich ist der Fehler in Popsicle im Vergleich zu den Ereignissen in den oben genannten Projekten recht einfach. Die Hauptursache für diesen Hack ist, dass die Gebühr bei der Übertragung der LP-Token nicht richtig berechnet wird.

Folge 

Popsicle Finance erlitt einen Verlust von bis zu 25 Millionen US-Dollar zusammen mit einem Preisverfall der ICE-Token nach der Ankündigung des Absturzes. 

Fazit 

Seit Anfang des Jahres sind auf dem Krypto-Markt 42 Fälle von Exploit, Rug-Pull aufgetreten. Dies ist auch ein wichtiger Faktor für die jüngsten Preisbewegungen bei einigen Projekten. DeFi Spaces ist eine gute Beute für White-Hat-Hacker, insbesondere wenn sich der Markt wie heute ständig weiterentwickelt.

Wird es in Zukunft eine Lösung geben, die Prüfung straffer und automatisierter zu gestalten? Folgen Sie sofort dem News-Kanal von Coin98 Insights , um die schnellsten Updates zu allen Neuigkeiten und herausragenden Ereignissen auf dem Krypto-Markt zu erhalten!