Top 6 najwybitniejszych „wstrząsów” Exploit w pierwszej połowie 2021 r.

Zestawienie 6 najbardziej zauważalnych exploitów (hacków) w pierwszej połowie 2021 roku oraz zestawienie łącznych szkód i rozwiązań projektu.

Cześć chłopaki.

Dziś chciałbym podzielić się z Wami artykułem podsumowującym najpopularniejsze exploity (hacki) w pierwszej połowie 2021 roku. Jednocześnie wymieniając projekty, które zostały zhakowane przez hakerów, całkowite zniszczenie incydentu i ich rozwiązanie. Aby uzyskać więcej informacji, zapoznaj się z następującym artykułem.

Przegląd wykorzystania 

Exploit to termin używany do opisania ataku ze strony osoby lub grupy osób (anonimowo), która celowo wprowadza błąd lub lukę w zabezpieczeniach w celu wykorzystania i zysku. Termin ten dotyczy zarówno kryptowalut, jak i niekrypto.

Ataki zwykle występują w sieciowych systemach operacyjnych, aplikacjach Dapp lub dowolnym kodzie oprogramowania. W niektórych przypadkach wielu hakerów kradnie dane w systemie, takie jak informacje użytkowników, środki finansowe itp. lub umieszcza wirusy w oprogramowaniu, aby zniszczyć powiązane węzły.

Wspólna klasyfikacja eksploitów

Exploit jest dobrze znany w branży elektronicznej, istnieje również wiele różnych typów Exploitów, które dla lepszego zrozumienia podzielę na następujące kategorie:

• Zdalny exploit : Proces zdalnego wykorzystywania błędów w głównym systemie bezpieczeństwa na innym komputerze/sieci.
• Local Exploit : Forma wykorzystywania błędów w systemie bezpieczeństwa bezpośrednio w systemie głównym i stopniowego aktualizowania jego uprawnień, łamania haseł, wykorzystywania danych innych osób,...
• Istnieje inny rodzaj exploita, który infiltruje dostęp administratora (dostęp na poziomie administracyjnym/root) i stamtąd wykonuje akty osobistej korzyści.

Wykorzystaj w krypto

W Crypto Exploit jest znany z ataków na luki w inteligentnych kontraktach lub powszechnie wykrywanych luk bezpieczeństwa, takich jak Website, Dapps, IoT, API, UI-UX,...

Często oprogramowanie, które właśnie zostało zaprogramowane, może mieć błędy podczas wykonywania, te luki w zabezpieczeniach często pojawiają się w konfiguracjach, aplikacjach (Dapps), kodzie folii termokurczliwej i systemie operacyjnym.

Luki techniczne są często zauważane przez hakerów

Ataki hakerów są często trudne do wykrycia, dopóki nie wystąpią konsekwencje, więc projekty blockchain podczas uruchamiania nowego produktu często będą zawierać wydarzenia Testnets, Devnets i Bug Bounty. Otrzymują nagrody) dla społeczności.

Bug bounty to program bezpieczeństwa często stosowany przez projekty do ich Dappów, częściowo w celu zbadania doświadczenia użytkownika, a drugą częścią jest wykrywanie luk w zabezpieczeniach (błędów) w ich produktach. 

Zamiast być atakowanym przez hakerów i tracić miliony dolarów, wraz z wieloma innymi problemami prawnymi, Bug Bounty nieco ograniczy ryzyko, które może wystąpić w przyszłości. 

6 nierozstrzygniętych przypadków Exploit w 2021 r.

Sieć poli

Poly Network to sieć wdrożona do interakcji wielołańcuchowej, budująca infrastrukturę internetową nowej generacji. Blockchainy mogą łączyć się z Poly Network za pośrednictwem otwartej sieci i mechanizmu Transparent Admission (przejrzystości) w dostępie do informacji, zaufania i spójności. 

Poza tym Poly Network łączy również wiele innych łańcuchów bloków i zintegrowała wiele platform, takich jak Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo i Huobi ECO Chain. Do tej pory Poly Network nie posiadało tokena w swoim mechanizmie zarządzania.

Powodem, dla którego Poly Network znajduje się w pierwszej szóstce, jest to, że niedawno 10 sierpnia Twitter Poly Network potwierdził, że ucierpiała w ataku krzyżowym, a incydent oszacowano na 611 milionów dolarów. W szczególności szkody obejmują:

• 273 miliony dolarów na Ethereum.
• 253 miliony dolarów na BSC.
• 85 milionów dolarów na Polygon.

Poza tym częściowo dotyczy to również O3 Swap - platformy zbudowanej na Poly Network, nadal nie ma dokładnych danych dla tego przypadku.

Chociaż Poly Network jest kontrolowany przez Certik , nieuniknione jest wystąpienie nieoczekiwanych przypadków, takich jak powyższe. W ramach projektu trwa obecnie dochodzenie w sprawie, szczegółowe informacje zostaną zaktualizowane, gdy tylko pojawi się nowe ogłoszenie z Poly Network.

Laboratorium finansowe Alpha

Alpha Finance Lab to platforma DeFi Cross-chain zbudowana na ekosystemie Binance Smart Chain, w tym produktów i usług pożyczkowych i pożyczkowych, wspierająca użytkowników wielu różnych łańcuchów bloków. 

ALPHA jest reprezentatywnym natywnym tokenem projektu, służącym do zarządzania w systemie, wspierającym wydobycie płynności w udzielaniu kredytów lub pożyczek, można również Staking ALPHA w celu osiągania zysków. 

Powodem, dla którego Alpha Finance znajduje się w pierwszej szóstce przypadków Exploit, jest to, że całkowite szkody po ataku są dość duże i wynoszą do 37,5 miliona USD.

Podsumowanie wydarzeń

Rankiem 13 lutego 2021 r. haker zaatakował protokół Alpha Homora V2 , a transakcje pożyczkowe zostały następnie wstrzymane w celu przeprowadzenia dochodzenia. Mówi się, że ten atak jest dość skomplikowany, ponieważ haker podjął wiele kroków przed pozbawieniem powyższej kwoty, a konkretnie:

• Haker stworzył wirtualny adres, zamienił ETH na UNI i dodał LP dla pary ETH + UNI w Uniswap (aby uzyskać tokeny LP). W tej samej transakcji zamienił ETH na sUSD i wpłacił sUSD do Cream Iron Bank.
• W Alpha Homora V2 hakerzy pożyczyli sUSD i Aave, aby zwiększyć zasoby cySUSD. Stamtąd haker pożyczył kolejne 13 244 $ ETH; 4 263 139 USD DAI; 3 997 921 USD i 5 647 242 USDT.
• Następnie wpłać trochę do Aave, 1000 ETH do Iron Bank i Alpha Homora V2, 320 ETH do Tornado.cash.
• Na osobistym portfelu hakera po transakcji pozostało 10 925 ETH (równowartość 20 milionów dolarów).

Luki w incydencie zostały zbadane przez Alpha Finance Lab, Andre Cronje i Cream Finance, w tym 9 transakcji, 4 różne operacje w tym hacku. Widać, że rynek DeFi jest wciąż całkiem nowy i istnieje wiele potencjalnych zagrożeń. 

Konsekwencja

Oprócz wyniku włamania, tracąc 37,5 mln USD, Alpha Finance Lab stanęło również w obliczu dużego spadku ceny tokena ALPHA po ogłoszeniu z projektu, w momencie ogłoszenia było to prawie 22%, a suma w lutym spadła o 39,22%.

Rari Capital 

Rari Capital (RGT) jest znany jako zautomatyzowany protokół hodowli plonów na platformie blockchain Ethereum, pomagając przyciągnąć płynność w DeFi Space, takim jak Compound, dYdX, yEarn,... Ponadto celem, do którego dąży Rari Capital, jest stworzenie wydajne środowisko rolnicze dla użytkowników.

Od momentu uruchomienia do tej pory RGT doświadczył ogromnego wzrostu cen od 0,2 USD (5 listopada 2020 r.) - 27,37 USD ATH (15 kwietnia 2021 r.), widać, że platforma Rari Capital stale się rozwija i jest również „pysznym przynęta” dla hakerów.

Podsumowanie wydarzeń

8 maja Rari Capital musiał zgłosić, że haker włamał się do systemu i drenował 2600 ETH, co oznacza utratę 60% (szacunkowo 10 000 000 USD) całkowitych środków użytkowników w tym czasie. Krótko podsumuję incydent w następujący sposób:

• Hakerzy stworzyli fałszywe tokeny i zebrali je w SushiSwap.
• Następnie wykorzystali lukę w funkcjach Alpha Finance i uzyskali dostęp do Alpaca Homora, aby otrzymać ibETH z umowy puli Rari ETH.
• W końcu haker przekonwertował ibETH na ETH w puli Rari ETH.

Konsekwencja

Źródło obrazu: Rekt Capital

Cena RGT po ataku spadła o ponad 40%. Warto wspomnieć, że chociaż token został skontrolowany przez Quantstamp , luka ta została zignorowana i spowodowała dużą stratę dla Rari Capital. Jak wiem, Rari musiał odliczyć 2 miliony RGT, aby później zrekompensować użytkownikom.

Pancake Bunny Finanse

Jeśli kochasz rolnictwo, z pewnością Pancake Bunny (BUNNY) nie jest dziwną nazwą, jest to narzędzie do gromadzenia zysków i optymalizacji rolnictwa na Binance Smart Chain. Podobnie jak Yearn Finance na Ethereum, Pancake Bunny Finance wykorzystuje Pancake jako główną platformę Yield Farming. 

Pozwala użytkownikom kupować CAKE i dodawać je do puli, aby uzyskać składane odsetki z rolnictwa. Na Pancake istnieje również pomost między ETH-BSC, aby zwiększyć liczbę użytkowników platformy. BUNNY to natywny token reprezentujący projekt, używany w administracji oraz jako opłata na PancakeSwap.

Podsumowanie wydarzeń

W szczególności 20 maja Pancake musiał zgłosić błyskawiczną pożyczkę na atak typu exploit – formę pożyczki bez zabezpieczenia. Korzystając z luki w tej funkcji w aplikacji, hakerzy przeniknęli i zaatakowali:

• Używają PancakeSwap do pożyczania dużych ilości BNB z pul WBNB, w tym ośmiu różnych pożyczek flash (według banku Fortube).
• Hakerzy zdeponowali 2,96 mln USDT i 7 886 WBNB do puli i wybili 144,45 tys. tokenów LP.
• Mając w ręku dużą liczbę tokenów LP, zdobyli 6,97 miliona nagród BUNNY od Vault Flip To Flip i wprowadzili na rynek silne rozładowanie.
• Pomyślnie sprzedali wszystkie zhakowane BUNNY, wrócili, aby spłacić BNB pożyczony z poprzedniej pożyczki flash.

Konsekwencja

Źródło obrazu: Rekt Capital

Incydent spowodował, że cena BUNNY'ego nagle spadła do 6 USD, aw tym czasie TVL Pancake Bunny wynosiła tylko 1 mld USD (podzielone przez 10 od szczytowego okresu).

Całkowite szkody szacowane na 2,4 miliona dolarów, nawet audyt przeprowadzony przez Haechi nie był w stanie ochronić Pancake Bunny przed tym atakiem, 

Łańcuch THOR 

THORChain (RUNE) jest znany jako projekt Blockchain Protocol, budujący niezależny od łańcucha protokół pomostowy, umożliwiający połączenie i wymianę wartości między różnymi wielołańcuchami. THORChain zapewnia również płynność w warstwie 1, natychmiastową wymianę aktywów i rozliczanie wahań cen w Crypto. 

RUNE to natywny token na platformie THORChain w celu dokonywania opłat transakcyjnych, obstawiania/głosowania i służenia jako nagrody dla Walidatorów.

THORChain jest również nazwą w pierwszej szóstce najnowszych exploitów, w ciągu zaledwie jednego miesiąca THORChain stawił czoła 2 atakom hakerów, które łącznie straciły prawie 13 milionów dolarów.

Podsumowanie wydarzeń:

• Wcześniej, 15 lipca, THORChain został zhakowany, aby ukraść 2500 ETH (szacunkowo 5 milionów USD), ten atak w protokole Bifrost .
• A pod koniec lipca stracili kolejne 8 milionów dolarów przez „białych hakerów” z powodu błędu związanego z tokenem ERC-777 (umowa ETH Router).
• Haker stworzył fałszywy router i wykonał swoje działania na routerze Thorchain.

Konsekwencja

Cena RUN spadła o 25%. Co prawda był audytowany przez prestiżowy zespół Certika, ale po błędach i częstości masowych wystąpień społeczność zaniepokoiła się i zaczęła wykazywać oznaki ucieczki. Możesz zobaczyć lipcowy wzór świecowy, jak pokazano poniżej:

Popsicle Finanse

Pozwólcie, że pokrótce zdefiniuję, Popsicle Finance to wielołańcuchowa platforma agregacji zysków, pomagająca zapewnić płynność na wielu różnych platformach. Projekt został stworzony i rozwijany w celu pomocy użytkownikom w zapewnieniu szybkiej płynności, zmniejszeniu opłat za gaz, obsłudze wielu AMM, takich jak Uniswap, SushiSwap, Pancakeswap,... 

Poza tym ICE jest reprezentatywnym tokenem projektu, obecnie zespół nie zaktualizował funkcji tego tokena, najprawdopodobniej w przyszłości ICE będzie używany do głosowania, jako główna opłata za konwersję na platformie Popsicle.

Ponieważ jest to nowy projekt, mimo że jest audytowany przez Peckshield, Popsicle Finance nie może uniknąć problemów technicznych dziur w swoim systemie. Od początku roku do chwili obecnej Peckshield miał na koncie 7 exploitów, wyciągania dywanów itp., co jest niepokojącą liczbą dla zespołu Peckshield. 

Podsumowanie wydarzeń

• Ten incydent miał miejsce 4 sierpnia, a konkretnie haker utworzył 3 kontrakty A, B, C i powtórzył je w kolejności: Przelew (A) ⇒ (B) i Zbierz opłaty ⇒ (C) Przekaż ⇒ (A) i Zbierz opłaty ( powtórz dla 8 takich puli).
• Mówiąc prościej, wpłacają pieniądze do kontraktu A, a następnie przekazują tokeny LP do B, opierając się na mechanizmie pobierania opłat Sorbetto, aby pobrać kwotę za tę transakcję. Następnie przejdź od B do C i tak dalej, powtórz dla wszystkich 8 pul.
• Widać, że jest to zaplanowana powtórka, pożyczają 30 milionów USDT, 13 000 WETH, 1 400 BTC, 30 milionów DAI i 200 000 UNI od Aave, aby zaatakować powyższe 8 pul.
• W rzeczywistości wada w Popsicle jest dość prosta w porównaniu z wydarzeniami w powyższych projektach. Główną przyczyną tego włamania jest to, że opłata nie jest prawidłowo obliczana podczas transferu tokenów LP.

Konsekwencja 

Popsicle Finance poniósł stratę do 25 milionów dolarów wraz ze spadkiem ceny tokenów ICE po ogłoszeniu katastrofy. 

Wniosek 

Od początku roku na rynku Crypto pojawiły się 42 przypadki Exploit, Rug-pull. Jest to również ważny czynnik w ostatnich ruchach cenowych w niektórych projektach. DeFi Spaces to dobra zdobycz dla białych hakerów, zwłaszcza gdy rynek nieustannie ewoluuje, jak dzisiaj.

Czy w przyszłości będzie rozwiązanie, audyt będzie ściślejszy i bardziej zautomatyzowany? Natychmiast śledź kanał Coin98 Insights News , aby otrzymywać najszybsze aktualizacje wszystkich wiadomości i wyjątkowych wydarzeń na rynku Crypto!