Top 6 cele mai remarcabile „șocuri” Exploit în prima jumătate a anului 2021

Rezumatul celor mai vizibile 6 exploit-uri (hack-uri) din prima jumătate a anului 2021 și enumerați daunele totale și soluțiile proiectului.

Buna baieti.

Astăzi, aș dori să vă împărtășesc un articol care rezumă cele mai populare exploit-uri (hack-uri) din prima jumătate a anului 2021. În același timp, listând proiecte care au fost piratate de hackeri, daunele totale ale incidentului și soluția acestora. Pentru mai multe detalii, vă rugăm să consultați următorul articol.

Prezentare generală a Exploit 

Exploit este un termen folosit pentru a vorbi despre un atac al unei persoane sau al unui grup de persoane (anonim) care intră intenționat într-o eroare sau într-o gaură de securitate pentru a exploata și a profita. Acest termen se aplică atât cripto, cât și non-cripto.

Atacurile apar de obicei în sistemele de operare în rețea, Dapp-uri sau orice cod software. În unele cazuri, mulți hackeri fură date din sistem, cum ar fi informațiile utilizatorilor, fondează active, ... sau aruncă viruși în software pentru a distruge nodurile asociate.

Clasificarea comună a exploatărilor

Exploit este bine cunoscut în industria electronică și există, de asemenea, multe tipuri diferite de Exploit, pentru ca dvs. să înțelegeți mai bine, voi clasifica după cum urmează:

• Remote Exploit : Procesul de exploatare a erorilor din sistemul principal de securitate de la distanță pe un alt computer/rețea.
• Exploit local : O formă de exploatare a erorilor din sistemul de securitate chiar pe sistemul principal și de a-și actualiza treptat permisiunile, spargerea parolelor, exploatarea datelor altor persoane,...
• Există un alt tip de exploit care va infiltra accesul Administratorului (Administrative Level Access / root) și va realiza acte de câștig personal de acolo.

Exploatați în Crypto

În Crypto, Exploit este cunoscut pentru atacurile asupra vulnerabilităților din contractele inteligente sau pentru defecte de securitate descoperite în mod obișnuit, cum ar fi site-ul web, Dapps, IoT, API, UI-UX,...

Adesea, un software care tocmai a fost programat poate avea erori în timpul execuției, acele găuri de securitate apar adesea în Configurații, Aplicații (Dapps), Cod de împachetare și Sistem de operare.

Vulnerabilitățile tehnice sunt adesea observate de hackeri

Atacurile de la hackeri sunt adesea greu de detectat până când apar consecințele, așa că proiectele blockchain la lansarea unui produs nou vor deține adesea evenimente Testnets, Devnets și Bug Bounty. obține recompense) pentru comunitate.

Bug Bounty este un program de securitate aplicat adesea de proiecte pentru Dapp-urile lor, parțial pentru a studia experiența utilizatorului, cealaltă parte este pentru a detecta găurile de securitate (bug-uri) în produsele lor. 

În loc să fie atacat de hackeri și să piardă mii de milioane de dolari, împreună cu multe alte probleme legale, Bug Bounty va limita oarecum riscurile care pot apărea în viitor. 

6 cazuri de exploatare restante în 2021

Poly Network

Poly Network este o rețea desfășurată pentru interacțiunea cu mai multe lanțuri, construind infrastructura de internet de ultimă generație. Blockchain-urile se pot conecta la Poly Network printr-o rețea deschisă și un mecanism de admitere transparentă (transparență) în accesarea informațiilor, încredere și consecvență. 

În plus, Poly Network conectează și multe alte blockchain-uri și a integrat multe platforme precum Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo și Huobi ECO Chain. Până acum, Poly Network nu a avut un simbol în mecanismul său de guvernare.

Motivul pentru care Poly Network se află în acest top 6 este că, recent, pe 10 august, Twitter-ul Poly Network a confirmat că au suferit un atac încrucișat, iar incidentul a fost estimat la 611 milioane de dolari. Mai exact, daunele includ:

• 273 de milioane de dolari pe Ethereum.
• 253 de milioane de dolari pe BSC.
• 85 de milioane de dolari pe Polygon.

În plus, O3 Swap - platforma construită pe Poly Network este și ea parțial afectată, încă nu există date exacte pentru acest caz.

Deși Poly Network este auditat de Certik , este inevitabil să apară cazuri neașteptate precum cele de mai sus. Proiectul investighează în prezent cazul, informațiile specifice vor fi actualizate de îndată ce apare un nou anunț din partea Poly Network.

Laboratorul Alpha Finance

Alpha Finance Lab este o platformă DeFi Cross-chain construită pe ecosistemul Binance Smart Chain, inclusiv produse și servicii de împrumut și împrumut, care sprijină utilizatorii pe multe blockchain-uri diferite. 

ALPHA este simbolul nativ reprezentativ al proiectului, servind guvernanței în sistem, susținând extragerea lichidității în împrumuturi sau împrumuturi, puteți, de asemenea, Staking ALPHA pentru a obține profit. 

Motivul pentru care Alpha Finance se află în primele 6 cazuri de Exploit este că daunele totale după atac sunt destul de mari, până la 37,5 milioane USD.

Rezumatul evenimentelor

În dimineața zilei de 13 februarie 2021, un hacker a atacat protocolul Alpha Homora V2 , iar tranzacțiile de împrumut au fost ulterior oprite pentru investigare. Se spune că acest atac este destul de complicat, deoarece hackerul a făcut mulți pași înainte de a priva suma de mai sus, în special:

• Hacker a creat o adresă virtuală, a schimbat ETH cu UNI și a adăugat LP pentru perechea ETH + UNI în Uniswap (pentru a obține jetoane LP). În aceeași tranzacție, el a schimbat ETH cu sUSD și a depus sUSD în Cream Iron Bank.
• În Alpha Homora V2, hackerii au împrumutat sUSD și Aave pentru a crește deținerile de cySUSD. De acolo, hackerul a împrumutat încă 13.244 USD; 4.263.139 USD DAI; 3.997.921 USDC și 5.647.242 USDT.
• Apoi, depuneți o parte în Aave, 1.000 ETH la Iron Bank și Alpha Homora V2, 320 ETH la Tornado.cash.
• Pe portofelul personal al hackerului după tranzacție au fost lăsate 10.925 ETH (echivalentul a 20 milioane dolari).

Vulnerabilitățile incidentului au fost investigate și cercetate de Alpha Finance Lab, Andre Cronje și Cream Finance, inclusiv 9 tranzacții, 4 operațiuni diferite în acest hack. Se poate observa că piața DeFi este încă destul de nouă și există multe riscuri potențiale. 

Consecinţă

Pe lângă rezultatul piratarii, pierderea de 37,5 milioane de dolari, Alpha Finance Lab s-a confruntat și cu o scădere puternică a prețului token-ului ALPHA după anunțul din partea proiectului, la momentul anunțului acesta era de aproape 22%, iar totalul din februarie a scăzut. cu 39,22%.

Capitala Rari 

Rari Capital (RGT) este cunoscut ca un protocol de cultivare automată a randamentului pe platforma blockchain Ethereum, ajutând la atragerea de lichidități în spațiul DeFi, cum ar fi Compound, dYdX, yEarn,... În plus, scopul pe care își propune Rari Capital este de a crea un mediu agricol eficient pentru utilizatori.

De la lansare și până în prezent, RGT a cunoscut o creștere extraordinară a prețurilor de la 0,2 USD (5 noiembrie 2020) - 27,37 USD ATH (15 aprilie 2021), se poate observa că platforma Rari Capital este în continuă dezvoltare și este, de asemenea, un „delicios momeală” pentru hackeri.

Rezumatul evenimentelor

Pe 8 mai, Rari Capital a trebuit să raporteze că un hacker a pătruns în sistem și a drenat 2.600 ETH, o pierdere de 60% (estimată la 10.000.000 USD) din fondurile totale ale utilizatorilor la acel moment. Voi rezuma pe scurt incidentul după cum urmează:

• Hackerii au creat jetoane false și le-au pus în comun pe SushiSwap.
• Apoi au profitat de vulnerabilitatea caracteristicilor din Alpha Finance și au accesat Alpaca Homora pentru a primi ibETH din contractul de pool Rari ETH.
• În cele din urmă, hackerul a convertit ibETH în ETH în pool-ul Rari ETH.

Consecinţă

Sursa imagine: Rekt Capital

Prețul RGT a scăzut cu peste 40% după atac. Merită menționat faptul că, deși jetonul a fost auditat de Quantstamp , această vulnerabilitate a fost ignorată și a cauzat o pierdere semnificativă pentru Rari Capital. Din câte știu, Rari a trebuit să deducă 2 milioane RGT pentru a compensa ulterior utilizatorii.

Pancake Bunny Finance

Dacă îți place agricultura, cu siguranță Pancake Bunny (BUNNY) nu este un nume ciudat, acesta este un agregator de profit și un instrument de optimizare a agriculturii pe Binance Smart Chain. Similar cu Yearn Finance pe Ethereum, Pancake Bunny Finance folosește Pancake ca platformă principală Yield Farming. 

Permite utilizatorilor să cumpere CAKE și să adauge la bazin pentru a obține dobândă compusă din agricultură. Pe Pancake, există și o punte între ETH-BSC pentru a extinde numărul de utilizatori din platformă. BUNNY este un token nativ care reprezintă proiectul, folosit în administrare și ca taxă pe PancakeSwap.

Rezumatul evenimentelor

Mai exact, pe 20 mai, Pancake a trebuit să raporteze un împrumut flash de atac de exploatator - o formă de împrumut fără garanții. Profitând de lacuna din această caracteristică a aplicației, hackerii au pătruns și au atacat următoarele:

• Ei folosesc PancakeSwap pentru a împrumuta cantități mari de BNB de la pool-urile WBNB, inclusiv opt împrumuturi flash diferite (conform băncii Fortube).
• Hackerii au depus 2,96 milioane USDT și 7.886 WBNB în pool și au bătut 144,45 mii jetoane LP.
• Cu o cantitate mare de jetoane LP în mână, ei au revendicat 6,97 milioane de recompense BUNNY de la Vault Flip To Flip și au adus pe piață o descărcare puternică.
• Au vândut cu succes toți iepurașii piratați, s-au întors pentru a rambursa BNB-ul împrumutat din împrumutul flash anterior.

Consecinţă

Sursa imagine: Rekt Capital

Incidentul a făcut ca prețul BUNNY să scadă brusc la 6 dolari, iar la acel moment TVL-ul lui Pancake Bunny era de doar 1 miliard de dolari (împărțit la 10 din perioada de vârf).

Daune totale estimate la 2,4 milioane de dolari, chiar și un audit al lui Haechi nu a putut proteja Pancake Bunny de acest atac, 

THORChain 

THORChain (RUNE) este cunoscut ca proiectul Blockchain Protocol, construind un protocol de legătură independent de lanț, care permite conectarea și schimbul de valoare între diferite lanțuri multiple. THORChain oferă, de asemenea, lichiditate de nivel 1, schimb instantaneu de active și decontare a fluctuațiilor de preț în Crypto. 

RUNE este un token nativ în platforma THORChain cu scopul de a face comisioane de tranzacție, de a miza/vota și de a servi drept recompense pentru validatori.

THORChain este, de asemenea, numele în top 6 cele mai recente exploit-uri, în doar o lună, THORChain s-a confruntat cu 2 atacuri de hackeri cu o pierdere totală de aproape 13 milioane de dolari.

Rezumatul evenimentelor:

• Mai devreme, pe 15 iulie, THORChain a fost piratat pentru a fura 2.500 ETH (estimat la 5 milioane USD), acest atac în protocolul Bifrost .
• Și aproape de sfârșitul lunii iulie, au mai pierdut 8 milioane de dolari de către „hackeri de pălărie albă” din cauza unei erori legate de tokenul ERC-777 (contract ETH Router).
• Hacker a creat un router fals și și-a efectuat acțiunile pe Thorchain Router.

Consecinţă

Prețul RUNE a scăzut cu 25%. Deși a fost auditat de prestigioasa echipă Certik, dar după erori și frecvența apariției în masă, comunitatea s-a îngrijorat și a început să dea semne că a fugit. Puteți vedea modelul sfeșnicului din iulie, așa cum se arată mai jos:

Popsicle Finance

Permiteți-mi să definesc pe scurt, Popsicle Finance este o platformă de agregare a profitului cu mai multe lanțuri, care ajută la furnizarea de lichiditate pe multe platforme diferite. Proiectul a fost construit și dezvoltat cu scopul de a ajuta utilizatorii să furnizeze lichidități rapide, să economisească taxele de gaz, să accepte multe AMM-uri precum Uniswap, SushiSwap, Pancakeswap,... 

Pe lângă faptul că ICE este tokenul reprezentativ al proiectului, momentan echipa nu a actualizat caracteristica acestui token, cel mai probabil în viitor ICE va fi folosit pentru vot, ca principală taxă de conversie în platforma Popsicle.

Pentru că este un proiect nou, deși este auditat de Peckshield, Popsicle Finance nu poate scăpa de problemele găurilor tehnice din sistemul său. De la începutul anului și până în prezent, Peckshield a avut 7 exploit-uri, covorașe etc., ceea ce este un număr îngrijorător pentru echipa Peckshield. 

Rezumatul evenimentelor

• Acest incident tocmai s-a întâmplat pe 4 august, mai exact, hackerul a creat 3 contracte A, B, C și repetate în secvența: Transfer (A) ⇒ (B) & Colectare taxe ⇒ (C) Transfer ⇒ (A) & Colectare taxe ( repetați pentru 8 astfel de bazine).
• Pentru a spune mai simplu, ei depun bani în contractul A și apoi transferă jetoanele LP către B, bazându-se pe mecanismul de colectare a taxelor Sorbetto pentru a extrage suma pentru tranzacția respectivă. Apoi, treceți de la B la C și așa mai departe repetați pentru toate cele 8 grupuri.
• Se vede că aceasta este o repetare planificată, ei împrumută flash 30 milioane USDT, 13.000 WETH, 1.400 BTC, 30 milioane DAI și 200.000 UNI de la Aave pentru a ataca cele 8 bazine de mai sus.
• De fapt, defectul din Popsicle este destul de simplu în comparație cu evenimentele din proiectele de mai sus. Principala cauză a acestui hack este că taxa nu este calculată corect atunci când jetoanele LP sunt transferate.

Consecinţă 

Popsicle Finance a suferit o pierdere de până la 25 de milioane de dolari, împreună cu o scădere a prețului jetoanelor ICE după anunțul prăbușirii. 

Concluzie 

De la începutul anului, au existat 42 de cazuri de Exploit, Rug-pull pe piața Crypto. Acesta este, de asemenea, un factor important pentru mișcările recente ale prețurilor în unele proiecte. DeFi Spaces este o pradă bună pentru hackerii de pălărie albă, mai ales atunci când piața este în continuă evoluție ca astăzi.

Va exista o soluție în viitor, auditul va fi mai strict și mai automatizat? Urmăriți imediat canalul de știri Coin98 Insights pentru a obține cele mai rapide actualizări despre toate știrile și evenimentele remarcabile de pe piața Crypto!