6 kejutan Eksploit paling luar biasa pada separuh pertama 2021

Ringkasan 6 eksploitasi (penggodaman) paling ketara pada separuh pertama 2021 dan senaraikan jumlah kerosakan dan penyelesaian projek.

Apa khabar semua.

Hari ini, saya ingin berkongsi dengan anda artikel yang meringkaskan eksploitasi (penggodaman) paling popular pada separuh pertama tahun 2021. Pada masa yang sama, menyenaraikan projek yang telah digodam oleh penggodam, jumlah kerosakan kejadian dan penyelesaiannya. Untuk butiran lanjut, sila rujuk artikel berikut.

Gambaran Keseluruhan Exploit 

Eksploitasi ialah istilah yang digunakan untuk bercakap tentang serangan daripada seseorang atau kumpulan orang (tanpa nama) yang dengan sengaja memasuki lubang pepijat atau keselamatan untuk mengeksploitasi dan mengaut keuntungan. Istilah ini digunakan untuk kedua-dua crypto dan bukan crypto.

Serangan biasanya berlaku dalam sistem pengendalian rangkaian, Dapps atau mana-mana kod perisian. Dalam sesetengah kes, ramai penggodam mencuri data dalam sistem seperti maklumat pengguna, aset dana, ... atau menggugurkan virus ke dalam perisian untuk memusnahkan nod yang berkaitan.

Klasifikasi Eksploitasi Biasa

Exploit terkenal dalam industri elektronik, dan terdapat juga pelbagai jenis Exploit, untuk anda lebih faham, saya akan mengklasifikasikan seperti berikut:

• Eksploitasi Jauh : Proses mengeksploitasi pepijat dalam sistem keselamatan utama dari jauh pada komputer/rangkaian lain.
• Eksploitasi Tempatan : Satu bentuk mengeksploitasi pepijat dalam sistem keselamatan tepat pada sistem utama dan menaik taraf kebenarannya secara beransur-ansur, memecahkan kata laluan, mengeksploitasi data orang lain,...
• Terdapat satu lagi jenis eksploitasi yang akan menyusup akses Pentadbir (Administrative Level Access / root) dan melakukan tindakan keuntungan peribadi dari sana.

Eksploitasi dalam Kripto

Dalam Crypto, Exploit terkenal dengan serangan terhadap kelemahan dalam kontrak pintar, atau kelemahan keselamatan yang biasa ditemui seperti Laman Web, Dapps, IoT, API, UI-UX,...

Selalunya perisian yang baru diprogramkan boleh mengalami ralat semasa pelaksanaan, lubang keselamatan tersebut sering muncul dalam Konfigurasi, Aplikasi (Dapps), Kod Balut Kecil dan Sistem Pengendalian.

Kelemahan teknikal sering diperhatikan oleh penggodam

Serangan daripada penggodam selalunya sukar untuk dikesan sehingga akibatnya berlaku, jadi projek blockchain apabila melancarkan produk baharu selalunya akan mengadakan acara Testnets, Devnets dan Bug Bounty. dapatkan bounty) untuk komuniti.

Bug bounty ialah program keselamatan yang sering digunakan oleh projek pada Dapps mereka, sebahagiannya untuk meninjau pengalaman pengguna, sebahagian lagi adalah untuk mengesan lubang keselamatan (pepijat) dalam produk mereka. 

Daripada diserang oleh penggodam dan kehilangan beribu-ribu juta dolar, bersama-sama dengan banyak isu undang-undang lain, Bug Bounty akan sedikit sebanyak mengehadkan risiko yang mungkin berlaku pada masa hadapan. 

6 kes Eksploit tertunggak pada 2021

Rangkaian Poli

Rangkaian Poli ialah rangkaian yang digunakan untuk interaksi berbilang rantai, membina infrastruktur Internet generasi akan datang. Rantaian sekat boleh menyambung kepada Rangkaian Poli melalui rangkaian terbuka dan mekanisme Kemasukan Telus (transparensi) dalam mengakses maklumat, kepercayaan dan konsistensi. 

Selain itu, Poly Network juga menghubungkan banyak blockchain lain & telah menyepadukan banyak platform seperti Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo dan Huobi ECO Chain. Sehingga kini, Poly Network tidak mempunyai token dalam mekanisme tadbir urusnya.

Sebab Poly Network berada dalam 6 teratas ini adalah kerana baru-baru ini pada 10 Ogos, Twitter Poly Network mengesahkan bahawa mereka telah mengalami serangan silang rantai, dan kejadian itu dianggarkan menelan belanja 611 juta dolar. Secara khusus, kerosakan termasuk:

• $273 juta pada Ethereum.
• $253 juta pada BSC.
• $85 juta pada Polygon.

Selain itu, O3 Swap - platform yang dibina pada Rangkaian Poli juga sebahagiannya terjejas, masih tiada data tepat untuk kes ini.

Walaupun Poly Network diaudit oleh Certik , tidak dapat dielakkan bahawa kes-kes yang tidak dijangka seperti di atas berlaku. Projek ini sedang menyiasat kes itu, maklumat khusus akan dikemas kini sebaik sahaja terdapat pengumuman baharu daripada Poly Network.

Makmal Kewangan Alpha

Alpha Finance Lab ialah platform DeFi Cross-chain yang dibina di atas ekosistem Rantaian Pintar Binance, termasuk produk dan perkhidmatan Pinjaman & Pinjaman, menyokong pengguna pada banyak rantaian blok yang berbeza. 

ALPHA ialah token asli yang mewakili projek, melayani tadbir urus dalam sistem, menyokong perlombongan Kecairan dalam peminjaman atau peminjaman, anda juga boleh Staking ALPHA untuk membuat keuntungan. 

Sebab mengapa Alpha Finance berada dalam 6 teratas kes Exploit adalah kerana jumlah kerosakan selepas serangan itu agak besar sehingga 37.5 juta USD.

Ringkasan peristiwa

Pada pagi 13 Februari 2021, seorang penggodam menyerang protokol Alpha Homora V2 & transaksi Pemberian Pinjaman kemudiannya dihentikan untuk siasatan. Serangan ini dikatakan agak rumit kerana penggodam telah mengambil banyak langkah sebelum melucutkan jumlah di atas, khususnya:

• Penggodam mencipta alamat maya, menukar ETH kepada UNI dan menambah LP untuk pasangan ETH + UNI dalam Uniswap (untuk mendapatkan token LP). Dalam transaksi yang sama, beliau menukar ETH kepada sUSD dan mendepositkan sUSD ke dalam Bank Besi Krim.
• Dalam Alpha Homora V2, penggodam meminjam sUSD & Aave untuk meningkatkan pegangan cySUSD. Dari situ, penggodam itu meminjam $13,244 ETH lagi; $4,263,139 DAI; $3,997,921 USDC dan $5,647,242 USDT.
• Seterusnya, masukkan beberapa ke dalam Aave, 1,000 ETH ke Iron Bank dan Alpha Homora V2, 320 ETH ke Tornado.cash.
• Pada dompet peribadi penggodam selepas transaksi ditinggalkan 10,925 ETH (bersamaan dengan $ 20 juta).

Kelemahan daripada insiden itu telah disiasat dan dikaji oleh Alpha Finance Lab, Andre Cronje dan Cream Finance, termasuk 9 transaksi, 4 operasi berbeza dalam penggodaman ini. Ia boleh dilihat bahawa pasaran DeFi masih agak baru dan terdapat banyak risiko yang berpotensi. 

Akibat

Sebagai tambahan kepada hasil daripada digodam, kehilangan $ 37.5 juta, Alpha Finance Lab juga menghadapi penurunan besar dalam harga token ALPHA selepas pengumuman daripada projek itu, pada masa pengumuman ia hampir 22% dan jumlah pada bulan Februari telah menurun sebanyak 39.22%.

Rari Capital 

Rari Capital (RGT) dikenali sebagai protokol pertanian hasil automatik pada platform blockchain Ethereum, membantu menarik kecairan dalam DeFi Space seperti Compound, dYdX, yEarn,... Selain itu, matlamat yang Rari Capital sasarkan adalah untuk mencipta persekitaran pertanian yang cekap untuk pengguna.

Sejak pelancarannya sehingga kini, RGT telah mengalami pertumbuhan harga yang luar biasa daripada $0.2 (5 November 2020) - ATH $27.37 (15 April 2021), dapat dilihat bahawa platform Rari Capital sentiasa berkembang dan ia juga merupakan "sedap" umpan" untuk penggodam.

Ringkasan peristiwa

Pada 8 Mei, Rari Capital terpaksa melaporkan bahawa seorang penggodam menceroboh sistem dan menghabiskan 2,600 ETH, kerugian sebanyak 60% (anggaran $10,000,000) daripada jumlah dana pengguna pada masa itu. Saya akan meringkaskan kejadian tersebut secara ringkas seperti berikut:

• Penggodam mencipta token palsu dan mengumpulkannya di SushiSwap.
• Kemudian mereka mengambil kesempatan daripada kelemahan daripada ciri dalam Alpha Finance & mengakses Alpaca Homora untuk menerima ibETH daripada kontrak kumpulan Rari ETH.
• Akhirnya, penggodam menukar ibETH kepada ETH dalam kumpulan Rari ETH.

Akibat

Sumber gambar: Rekt Capital

Harga RGT turun lebih daripada 40% selepas serangan. Perlu dinyatakan bahawa walaupun token telah diaudit oleh Quantstamp , kelemahan ini diabaikan dan menyebabkan kerugian besar kepada Rari Capital. Seperti yang saya tahu, Rari terpaksa memotong 2 juta RGT untuk membayar pampasan kepada pengguna nanti.

Kewangan Pancake Bunny

Jika anda suka bercucuk tanam, pastinya Pancake Bunny (BUNNY) bukanlah nama yang pelik, ini adalah alat pengoptimum keuntungan & pengoptimuman pertanian di Binance Smart Chain. Sama seperti Yearn Finance di Ethereum, Pancake Bunny Finance menggunakan Pancake sebagai platform Pertanian Hasil utama. 

Membolehkan pengguna membeli KEK dan menambah kolam untuk mendapatkan faedah kompaun daripada pertanian. Pada Pancake, terdapat juga jambatan antara ETH-BSC untuk mengembangkan bilangan pengguna dalam platform. BUNNY ialah token asli yang mewakili projek, digunakan dalam pentadbiran dan sebagai bayaran pada PancakeSwap.

Ringkasan peristiwa

Khususnya, pada 20 Mei, Pancake terpaksa melaporkan pinjaman kilat serangan pengeksploitasi - satu bentuk pinjaman tanpa cagaran. Mengambil kesempatan daripada kelemahan dalam ciri ini pada aplikasi, penggodam telah menembusi dan menyerang oleh perkara berikut:

• Mereka menggunakan PancakeSwap untuk meminjam sejumlah besar BNB daripada kumpulan WBNB, termasuk lapan pinjaman kilat yang berbeza (menurut bank Fortube).
• Penggodam mendepositkan 2.96 juta USDT & 7,886 WBNB ke dalam kolam dan menghasilkan 144.45 ribu token LP.
• Dengan sejumlah besar token LP dalam tangan, mereka menuntut 6.97 juta ganjaran BUNNY daripada Vault Flip To Flip dan membawa kepada pasaran pelepasan yang kuat.
• Berjaya menjual semua BUNNY yang digodam, mereka kembali untuk membayar balik BNB yang dipinjam dari pinjaman kilat sebelumnya.

Akibat

Sumber gambar: Rekt Capital

Insiden tersebut menyebabkan harga BUNNY turun secara tiba-tiba kepada $6 dan pada masa itu TVL Pancake Bunny hanya $1 billion (dibahagikan dengan 10 daripada tempoh puncak).

Jumlah kerosakan dianggarkan $2.4 juta, malah audit oleh Haechi tidak dapat melindungi Pancake Bunny daripada serangan ini, 

THORChain 

THORChain (RUNE) dikenali sebagai projek Protokol Blockchain, membina protokol penyambung rantai-agnostik, membenarkan sambungan dan pertukaran nilai antara pelbagai rantaian yang berbeza. THORChain juga menyediakan kecairan lapisan 1, pertukaran segera aset dan penyelesaian turun naik harga dalam Crypto. 

RUNE ialah token asli dalam platform THORChain untuk tujuan membuat yuran transaksi, mempertaruhkan/mengundi dan berfungsi sebagai ganjaran untuk Pengesah.

THORChain juga merupakan nama dalam 6 eksploitasi terbaharu teratas, hanya dalam satu bulan, THORChain telah menghadapi 2 serangan penggodam dengan jumlah kerugian hampir 13 juta dolar.

Ringkasan peristiwa:

• Terdahulu pada 15 Julai, THORChain telah digodam untuk mencuri 2,500 ETH (anggaran 5 juta USD), serangan ini dalam protokol Bifrost .
• Dan hampir penghujung bulan Julai, mereka kehilangan 8 juta dolar lagi oleh "penggodam topi putih" kerana ralat yang berkaitan dengan token ERC-777 (kontrak ETH Router).
• Penggodam mencipta Router palsu dan melakukan tindakannya pada Thorchain Router.

Akibat

Harga RUNE telah turun sebanyak 25%. Walaupun telah diaudit oleh pasukan Certik yang berprestij, tetapi selepas kesilapan dan kekerapan kejadian besar-besaran, masyarakat bimbang dan mula menunjukkan tanda-tanda melarikan diri. Anda boleh melihat corak batang lilin Julai seperti yang ditunjukkan di bawah:

Kewangan Popsicle

Biar saya takrifkan secara ringkas, Popsicle Finance ialah platform pengagregatan keuntungan berbilang rantaian, membantu menyediakan kecairan pada banyak platform yang berbeza. Projek ini dibina dan dibangunkan dengan matlamat untuk membantu pengguna menyediakan kecairan yang cepat, menjimatkan yuran gas, menyokong banyak AMM seperti Uniswap, SushiSwap, Pancakeswap,... 

Selain ICE ialah token wakil projek, pada masa ini pasukan tidak mengemas kini ciri token ini, kemungkinan besar pada masa hadapan ICE akan digunakan untuk mengundi, sebagai yuran penukaran utama dalam platform Popsicle.

Kerana ia adalah projek baharu, walaupun ia diaudit oleh Peckshield, Popsicle Finance tidak dapat lari daripada masalah lubang teknikal dalam sistemnya. Dari awal tahun sehingga sekarang, Peckshield telah mempunyai 7 eksploitasi, tarik permaidani, dan lain-lain, yang merupakan angka yang membimbangkan bagi pasukan Peckshield. 

Ringkasan peristiwa

• Kejadian ini baru sahaja berlaku pada 4 Ogos, khususnya, penggodam mencipta 3 kontrak A, B, C & berulang dalam urutan: Pindahan (A) ⇒ (B) & Kutip Yuran ⇒ (C) Pindahan ⇒ (A) & Kumpul Yuran ( ulangi untuk 8 kolam sedemikian).
• Secara lebih ringkas, mereka mendepositkan wang ke dalam kontrak A dan kemudian memindahkan token LP ke B, bergantung pada mekanisme kutipan yuran Sorbetto untuk mengekstrak amaun untuk transaksi tersebut. Seterusnya, beralih dari B ke C dan seterusnya ulangi untuk semua 8 kolam.
• Dapat dilihat bahawa ini adalah pengulangan yang dirancang, mereka meminjamkan 30 juta USDT, 13,000 WETH, 1,400 BTC, 30 juta DAI dan 200,000 UNI daripada Aave untuk menyerang 8 kumpulan di atas.
• Sebenarnya, kecacatan dalam Popsicle agak mudah berbanding dengan acara dalam projek di atas. Punca utama penggodaman ini ialah yuran tidak dikira dengan betul apabila token LP dipindahkan.

Akibat 

Popsicle Finance mengalami kerugian sehingga $25 juta bersama-sama dengan penurunan harga token ICE berikutan pengumuman nahas itu. 

Kesimpulan 

Sejak awal tahun, terdapat 42 kes Exploit, Rug-pull berlaku dalam pasaran Crypto. Ini juga merupakan faktor penting dalam pergerakan harga terkini dalam beberapa projek. DeFi Spaces adalah mangsa yang baik untuk penggodam topi putih, terutamanya apabila pasaran sentiasa berkembang seperti hari ini.

Adakah akan ada penyelesaian pada masa hadapan, audit akan lebih ketat dan lebih automatik? Ikuti saluran Berita Coin98 Insights dengan segera untuk mendapatkan kemas kini terpantas tentang semua berita dan acara cemerlang dalam pasaran Crypto!