2021in ilk yarısında en göze çarpan 6 Exploit şok

2021'in ilk yarısında en dikkat çekici 6 istismarın (hack) özeti ve projenin toplam hasarını ve çözümlerini listeleyin.

Selam beyler.

Bugün sizlerle 2021'in ilk yarısındaki en popüler exploitleri (hack'leri) özetleyen bir makale paylaşmak istiyorum. Aynı zamanda hackerlar tarafından hacklenen projeleri, olayın toplam zararını ve çözümlerini listeliyorum. Daha fazla ayrıntı için lütfen aşağıdaki makaleye bakın.

Exploit'e Genel Bakış 

İstismar , sömürmek ve kâr etmek için kasıtlı olarak bir hata veya güvenlik açığına giren bir kişi veya grup (anonim olarak) tarafından yapılan bir saldırı hakkında konuşmak için kullanılan bir terimdir. Bu terim hem kripto hem de kripto olmayanlar için geçerlidir.

Saldırılar genellikle ağ işletim sistemlerinde, Dapp'lerde veya herhangi bir yazılım kodunda meydana gelir. Bazı durumlarda, birçok bilgisayar korsanı sistemdeki kullanıcı bilgileri, fon varlıkları gibi verileri çalar veya ilgili düğümleri yok etmek için yazılıma virüsler bırakır.

Ortak Kullanım Sınıflandırması

Exploit, elektronik endüstrisinde iyi bilinir ve ayrıca birçok farklı Exploit türü vardır, daha iyi anlamanız için aşağıdaki gibi sınıflandıracağım:

• Remote Exploit : Ana güvenlik sistemindeki hatalardan başka bir bilgisayar/ağ üzerinde uzaktan yararlanma işlemi.
• Local Exploit : Doğrudan ana sistemdeki güvenlik sistemindeki bug'lardan yararlanma ve izinlerini kademeli olarak yükseltme, şifreleri kırma, diğer kişilerin verilerini sömürme,...
• Yöneticinin erişimine sızacak (Yönetim Düzeyinde Erişim / kök) ve oradan kişisel kazanç eylemleri gerçekleştirecek başka bir istismar türü daha vardır.

Kriptoda İstismar

Exploit, Crypto'da akıllı sözleşmelerdeki güvenlik açıklarına veya Web Sitesi, Dapps, IoT, API, UI-UX,...

Genellikle henüz programlanmış bir yazılım yürütme sırasında hatalara sahip olabilir, bu güvenlik açıkları genellikle Konfigürasyonlar, Uygulamalar (Dapps), Shrink wrap Code ve İşletim Sisteminde görünür.

Teknik güvenlik açıkları genellikle bilgisayar korsanları tarafından fark edilir

Bilgisayar korsanlarından gelen saldırıları, sonuçları ortaya çıkana kadar tespit etmek genellikle zordur, bu nedenle yeni bir ürün piyasaya sürülürken blok zinciri projeleri genellikle topluluk için Testnets, Devnets ve Bug Bounty etkinlikleri düzenler.

Bug bounty, projeler tarafından genellikle Dapps'lerine uygulanan, kısmen kullanıcı deneyimini araştırmak, diğer kısmı ise ürünlerindeki güvenlik açıklarını (hataları) tespit etmek için uygulanan bir güvenlik programıdır. 

Bug Bounty, bilgisayar korsanları tarafından saldırıya uğramak ve diğer birçok yasal sorunla birlikte binlerce milyon dolar kaybetmek yerine, gelecekte oluşabilecek riskleri bir şekilde sınırlayacaktır. 

2021'de olağanüstü 6 Exploit vakası

Çoklu Ağ

Poly Network, çok zincirli etkileşim için dağıtılan ve yeni nesil İnternet altyapısını oluşturan bir ağdır. Blok zincirler, bilgiye erişim, güven ve tutarlılık konusunda açık bir ağ ve Şeffaf Kabul mekanizması (şeffaflık) aracılığıyla Poly Network'e bağlanabilir. 

Ayrıca Poly Network, diğer birçok blok zincirini de birbirine bağlar ve Bitcoin, Ethereum, Neo, Ontology, Elrond, Ziliqua, Binance Smart Chain, Switcheo ve Huobi ECO Chain gibi birçok platformu entegre etmiştir. Şimdiye kadar Poly Network'ün yönetim mekanizmasında bir jeton yoktu.

Poly Network'ün bu ilk 6'da olmasının nedeni, 10 Ağustos'ta Poly Network'ün Twitter'ının zincirler arası bir saldırıya maruz kaldığını doğrulaması ve olayın 611 milyon dolara mal olduğu tahmin ediliyor. Spesifik olarak, hasarlar şunları içerir:

• Ethereum'da 273 milyon dolar .
• BSC'de 253 milyon dolar .
• Polygon'da 85 milyon dolar .

Ayrıca, O3 Swap - Poly Network üzerine kurulu platform da kısmen etkileniyor, bu durum için hala kesin bir veri yok.

Poly Network Certik tarafından denetlense de yukarıdaki gibi beklenmedik durumların yaşanması kaçınılmazdır. Proje şu anda olayı araştırıyor, Poly Network'ten yeni bir duyuru gelir gelmez özel bilgiler güncellenecektir.

Alfa Finans Laboratuvarı

Alpha Finance Lab , Borç Verme ve Ödünç Alma ürünleri ve hizmetleri de dahil olmak üzere Binance Akıllı Zincir ekosistemi üzerine inşa edilmiş ve birçok farklı blok zincirindeki kullanıcıları destekleyen bir DeFi Çapraz zincir platformudur. 

ALPHA, sistemde yönetime hizmet eden, borç verme veya borçlanmada Likidite madenciliğini destekleyen, projenin temsili yerel tokenidir, ayrıca kar elde etmek için ALPHA'yı Staking yapabilirsiniz. 

Alpha Finance'in Exploit vakalarının ilk 6'sında yer almasının nedeni, saldırı sonrası toplam hasarın 37,5 milyon USD'ye kadar oldukça büyük olmasıdır.

Olayların özeti

13 Şubat 2021 sabahı, bir bilgisayar korsanı Alpha Homora V2 protokolüne saldırdı ve Ödünç verme işlemleri daha sonra soruşturma için durduruldu. Bu saldırının oldukça karmaşık olduğu söyleniyor, çünkü bilgisayar korsanı yukarıdaki miktarı mahrum etmeden önce birçok adım attı, özellikle:

• Hacker sanal bir adres oluşturdu, ETH'yi UNI ile değiştirdi ve Uniswap'ta ETH + UNI çifti için LP ekledi (LP jetonlarını almak için). Aynı işlemde ETH'yi sUSD'ye çevirdi ve sUSD'yi Cream Iron Bank'a yatırdı.
• Alpha Homora V2'de bilgisayar korsanları, cySUSD varlıklarını artırmak için sUSD ve Aave ödünç aldı. Bilgisayar korsanı oradan 13.244 dolar daha ETH ödünç aldı; 4.263.139 ABD Doları; 3.997.921 USDC ve 5.647.242 USDT.
• Ardından, Aave'ye, 1.000 ETH'yi Iron Bank'a ve Alpha Homora V2, 320 ETH'yi Tornado.cash'e yatırın.
• İşlemden sonra hacker'ın kişisel cüzdanında 10.925 ETH (20 milyon dolara eşdeğer) kaldı.

Alpha Finance Lab, Andre Cronje ve Cream Finance tarafından bu hack'te 9 işlem, 4 farklı işlem de dahil olmak üzere olaydan kaynaklanan güvenlik açıkları araştırıldı ve araştırıldı. DeFi pazarının henüz oldukça yeni olduğu ve birçok potansiyel riskin olduğu görülüyor. 

Sonuçlar

Alpha Finance Lab, saldırıya uğrama, 37.5 milyon dolar kaybetme sonucunun yanı sıra, projeden duyurulduktan sonra ALPHA token fiyatında da ağır bir düşüşle karşı karşıya kaldı, duyuru sırasında yaklaşık %22 idi ve Şubat ayında toplam düşüş yaşadı. %39.22 ile.

Rari Başkenti 

Rari Capital (RGT) , Ethereum blok zinciri platformunda otomatik bir verim çiftçiliği protokolü olarak bilinir ve Compound, dYdX, yEarn gibi DeFi Space'de likidite çekmeye yardımcı olur... Ek olarak, Rari Capital'in hedeflediği hedef, kullanıcılar için verimli bir tarım ortamı.

Lansmanından bu yana RGT, 0,2 ABD Doları (5 Kasım 2020) - 27,37 ABD Doları (15 Nisan 2021) arasında muazzam bir fiyat artışı yaşadı, Rari Capital platformunun sürekli geliştiği ve aynı zamanda "lezzetli" olduğu görülebilir. yem" bilgisayar korsanları için.

Olayların özeti

8 Mayıs'ta Rari Capital, bir bilgisayar korsanının sisteme girdiğini ve 2.600 ETH'yi boşalttığını, o sırada toplam kullanıcı fonlarının %60'ını (tahmini 10.000.000$) kaybettiğini bildirmek zorunda kaldı. Olayı kısaca şöyle özetleyeyim:

• Bilgisayar korsanları sahte jetonlar yarattı ve onları SushiSwap'ta bir araya getirdi.
• Ardından Alpha Finance'teki özelliklerden gelen güvenlik açığından yararlandılar ve Rari ETH havuz sözleşmesinden ibETH almak için Alpaca Homora'ya eriştiler.
• Son olarak hacker, Rari ETH havuzunda ibETH'yi ETH'ye dönüştürdü.

Sonuçlar

Resim kaynağı: Rekt Capital

Saldırıdan sonra RGT fiyatı %40'tan fazla düştü. Belirtmek gerekir ki token Quantstamp tarafından denetlenmiş olsa da bu güvenlik açığı göz ardı edildi ve Rari Capital için ağır bir kayba neden oldu. Bildiğim kadarıyla Rari, kullanıcıları daha sonra telafi etmek için 2 milyon RGT kesmek zorunda kaldı.

Krep Tavşanı Finans

Çiftçiliği seviyorsanız, kesinlikle Pancake Bunny (BUNNY) garip bir isim değildir, bu Binance Smart Chain'de bir kar toplayıcı ve çiftçilik optimizasyon aracıdır. Ethereum'daki Yearn Finance'e benzer şekilde Pancake Bunny Finance, ana Verim Çiftçiliği platformu olarak Pancake'i kullanır. 

Kullanıcıların KEK satın almasına ve çiftçilikten bileşik faiz elde etmek için havuza eklemesine izin verir. Pancake üzerinde, platformdaki kullanıcı sayısını artırmak için ETH-BSC arasında da bir köprü bulunuyor. BUNNY, projeyi temsil eden, yönetimde ve PancakeSwap'ta ücret olarak kullanılan yerel bir simgedir.

Olayların özeti

Spesifik olarak, 20 Mayıs'ta, Pancake bir istismarcı saldırısı flaş kredisini bildirmek zorunda kaldı - teminatsız bir kredi türü. Uygulamadaki bu özellikteki boşluktan yararlanan bilgisayar korsanları, aşağıdakiler tarafından sızmış ve saldırıya geçmiştir:

• (Fortube bankasına göre) sekiz farklı flash kredi dahil olmak üzere WBNB havuzlarından büyük miktarlarda BNB ödünç almak için PancakeSwap kullanıyorlar.
• Hackerlar havuza 2.96 milyon USDT ve 7.886 WBNB yatırdı ve 144.45 bin LP jetonu bastı.
• Ellerinde büyük miktarda LP jetonuyla, Vault Flip To Flip'ten 6.97 milyon BUNNY ödülü talep ettiler ve piyasaya güçlü bir çıkış getirdiler.
• Hacklenen tüm BUNNY'leri başarıyla sattılar, önceki flash krediden ödünç alınan BNB'yi geri ödemek için geri döndüler.

Sonuçlar

Resim kaynağı: Rekt Capital

Olay, BUNNY'nin fiyatının aniden 6 dolara düşmesine neden oldu ve o sırada Pancake Bunny'nin TVL'si sadece 1 milyar dolardı (pik dönemden 10'a bölünür).

Tahmini toplam hasar 2,4 milyon dolar, Haechi tarafından yapılan bir denetim bile Pancake Bunny'yi bu saldırıdan koruyamadı, 

THOR Zinciri 

THORChain (RUNE) , farklı çoklu zincirler arasında bağlantı ve değer alışverişi sağlayan, zincirden bağımsız bir köprüleme protokolü oluşturan Blockchain Protokolü projesi olarak bilinir. THORChain ayrıca 1. katman likidite, varlıkların anında takası ve Crypto'da fiyat dalgalanmalarının çözülmesini sağlar. 

RUNE, THORChain platformunda işlem ücretleri, stake/oylama ve Doğrulayıcılar için ödül olarak hizmet verme amaçlı yerel bir belirteçtir.

THORChain aynı zamanda en son 6 istismarın başında gelen isimdir, sadece bir ay içinde THORChain toplamda yaklaşık 13 milyon dolarlık kayıpla 2 hacker saldırısı ile karşı karşıya kaldı.

Olayların özeti:

• 15 Temmuz'un başlarında, THORChain, Bifrost protokolünde 2.500 ETH (tahmini 5 milyon USD) çalmak için saldırıya uğradı .
• Ve Temmuz ayının sonlarına doğru, ERC-777 jetonuyla (ETH Router sözleşmesi) ilgili bir hata nedeniyle "beyaz şapka korsanları" tarafından 8 milyon dolar daha kaybettiler.
• Hacker sahte bir Router oluşturdu ve işlemlerini Thorchain Router üzerinde gerçekleştirdi.

Sonuçlar

RUNE'nin fiyatı %25 düştü. Prestijli Certik ekibi tarafından denetlenmesine rağmen, hatalar ve kitlesel oluşum sıklığından sonra topluluk endişelendi ve kaçma belirtileri göstermeye başladı. Temmuz şamdan desenini aşağıda gösterildiği gibi görebilirsiniz:

buzlu şeker finansmanı

Kısaca tanımlayayım, Popsicle Finance , birçok farklı platformda likidite sağlamaya yardımcı olan çok zincirli bir kâr toplama platformudur. Proje, kullanıcıların hızlı likidite sağlamasına, gaz ücretlerinden tasarruf etmesine, Uniswap, SushiSwap, Pancakeswap,... 

ICE, projenin temsili jetonu olmasının yanı sıra, şu anda ekip bu jetonun özelliğini güncellemedi, büyük olasılıkla gelecekte ICE, Popsicle platformundaki ana dönüşüm ücreti olarak oylama için kullanılacak.

Yeni bir proje olduğu için, Peckshield tarafından denetlenmesine rağmen Popsicle Finance, sistemindeki teknik boşluk problemlerinden kaçamıyor. Peckshield, yılın başından bugüne kadar Peckshield ekibi için endişe verici bir sayı olan 7 istismar, halı çekme vb. 

Olayların özeti

• Bu olay 4 Ağustos'ta özellikle oldu, bilgisayar korsanı 3 sözleşme A, B, C oluşturdu ve sırayla tekrar etti: Transfer (A) ⇒ (B) & Ücretleri Tahsil ⇒ (C) Transfer ⇒ (A) & Ücretleri Tahsil ( bu tür 8 havuz için tekrarlayın).
• Daha basit bir şekilde ifade etmek gerekirse, A sözleşmesine para yatırıyorlar ve ardından bu işlem için tutarı çıkarmak için Sorbetto'nun ücret toplama mekanizmasına dayanarak LP jetonlarını B'ye aktarıyorlar. Ardından, B'den C'ye geçin ve bu şekilde 8 havuzun tümü için tekrarlayın.
• Bunun planlı bir tekrar olduğu görülüyor, yukarıdaki 8 havuza saldırmak için Aave'den 30 milyon USDT, 13.000 WETH, 1.400 BTC, 30 milyon DAI ve 200.000 UNI flaş kredisi veriyorlar.
• Aslında Popsicle'daki kusur, yukarıdaki projelerdeki olaylara kıyasla oldukça basittir. Bu hack'in ana nedeni, LP jetonları aktarılırken ücretin doğru şekilde hesaplanmamasıdır.

Sonuçlar 

Popsicle Finance, çöküşün açıklanmasının ardından ICE tokenlerinin fiyatındaki düşüşün yanı sıra 25 milyon dolara kadar bir kayıp yaşadı. 

Çözüm 

Yılın başından bu yana, Crypto pazarında 42 adet Exploit, Rug-pull vakası yaşandı. Bu aynı zamanda bazı projelerdeki son fiyat hareketlerinde de önemli bir faktördür. DeFi Spaces, beyaz şapkalı bilgisayar korsanları için iyi bir av, özellikle de pazar bugün olduğu gibi sürekli gelişiyorken.

Gelecekte bir çözüm olacak mı, denetim daha sıkı ve daha otomatik mi olacak? Crypto pazarındaki tüm haberler ve olağanüstü olaylar hakkında en hızlı güncellemeleri almak için hemen Coin98 Insights Haber kanalını takip edin!