재무

유사한 보안 위반을 방지하는 방법 – Cryptopolitan

02/28/2023
비트 코인 이더 리움 뉴스

분산 금융 (DeFi) 프로토콜은 사용자에게 분산형 금융 서비스를 제공하여 사용자가 거래를 하고 다른 참가자와 계약을 체결할 수 있도록 합니다. DeFi 프로토콜은 사용자에게 안전하고 신뢰할 수 있는 플랫폼을 제공하는 것을 목표로 하지만 지난 몇 년 동안 여러 악용으로 인해 상당한 자금 손실이 발생했습니다. 이 기사에서는 최근 발생한 가장 광범위한 DeFi 익스플로잇에 대해 설명합니다.

다음은 반환된 자금을 공제한 후 Web8의 상위 3개 암호화 DeFi 익스플로잇입니다.

로닌 체인 – $600m

2023년 612월은 Axie Infinity Ronin 브리지 해킹이 XNUMX억 XNUMX만 달러로 XNUMX위를 차지하면서 암호화폐 공간에서 다사다난한 달이었습니다.

로닌 브리지는 이더리움 인기 있는 플레이투어닝 게임 Axie Infinity에 사용된 사이드 체인.

북한 연고가 있는 것으로 의심되는 사이버 범죄 그룹 Lazarus는 XNUMX명의 거래 유효성 검사기의 개인 키에 액세스하여 두 건의 대규모 거래를 승인하고 지갑 주소에서 자금을 옮길 수 있도록 했습니다. 다행스럽게도 당국, 보안 회사 및 암호 화폐 거래소 간의 협력은 해커가 토네이도 캐시(오픈 소스 암호화 텀블러) 및 기타 거래소로 자금을 유인한 후 이러한 자금 중 일부를 추적하는 데 도움이 될 수 있었습니다.

웜홀 브리지 – $323m

2022년 326월, 암호화폐 해커들이 웜홀의 코드를 악용하여 XNUMX억 XNUMX만 달러 상당의 암호화폐를 탈취하는 안타까운 사건이 발생했습니다.

웜홀은 솔라나와 이더리움 사이의 토큰 브리지로, 안타깝게도 공격을 막지 못했습니다. 이는 서명 확인을 우회하고 서명 위임 체인을 활성화하는 더 이상 사용되지 않거나 완전히 안전하지 않은 기능에 의해 가능해졌습니다.

전문가 사이버 보안 개발자가 모든 매개변수를 확인해야 하는 '보안 코딩 관행'을 실행했다면 공격을 예방할 수 있었을 것이라고 제안합니다. 검사는 유효한 주소의 인증을 보장할 수 있으므로 불법 소스가 체인의 자산에 액세스하는 것을 배제할 수 있습니다.

영상

콩나무 – $181m

2022년 182월의 운명적인 주말, 해커가 암호화폐 커뮤니티를 뒤흔든 공격을 감행했습니다. 탈중앙화 금융(DeFi) 프로토콜의 기능인 플래시 론을 사용하여 그들은 ETH, BEAN 스테이블코인 및 Beanstalk 스테이블코인 프로토콜의 기타 자산에서 XNUMX억 XNUMX만 달러를 훔쳤습니다.

해커들은 긴급 커밋 기능을 통해 Beanstalk DAO에 두 가지 악의적인 제안을 제시했습니다. 이 기능은 24시간 후에 구현되기 전에 ⅔ 투표가 필요합니다. 공격자는 플래시 대출 기술을 사용하여 토큰의 79%를 제어하여 두 제안을 모두 통과하고 계획을 성공적으로 실행했습니다.

자금은 플래시론을 상환하기 위해 프로토콜 내에서 전송되었으며 나머지는 우크라이나에 기반을 둔 긴급 자금과 관련된 주소로 이동했습니다. 총 76만 달러가 이 용감한 행동에 책임이 있는 개인이 가져갔습니다.

유목민 – $155m

당혹스러운 Nomad 브리지 해킹은 1년 2022월 XNUMX일에 발생했을 때 헤드라인을 장식했습니다. blockchain 공격자로서 매니아들은 취약점을 이용하여 다중 체인 교차 브리지에 저장된 190억 XNUMX천만 달러 이상의 이더리움 기반 자산을 유출했습니다.

해커들은 수백 개의 지갑이 960건의 거래에 참여하여 브리지의 총 가치 잠김(TVL)에서 1,175건의 개별 인출로 빠르고 격렬하게 움직였습니다. 모두 몇 시간 안에.

이 해킹의 당혹스러운 측면은 브리지 펀드를 해킹하기 위해 모든 사용자가 원래 해커의 거래 호출 데이터를 복사하여 붙여넣고 원래 주소를 개인 주소로 바꾸면 거래가 완료된다는 것입니다.

이 해킹은 탈중앙화 금융(DeFi) 커뮤니티 전체에 충격파를 보냈고 해커가 코드의 허점을 악용할 때 한 발 앞서 있음을 증명했습니다. Nomad 브리지는 안전한 코딩 관행의 중요성을 보여주는 예시를 제공하고 오늘날 보안이 블록체인 프로젝트에서 계속되는 과제로 남아 있는 이유를 강화합니다.

크림 파이낸스 – $130.8m

2021년 XNUMX월 CREAM에 대한 공격은 가장 큰 플래시 대출 강탈 중 하나였지만 확실히 고립된 사건은 아니었습니다. 플래시론 공격은 단일 거래 내에서 유동성의 '플래시론' 사용, 차용, 이 빠른 자금 조달 불이행을 포함합니다.

가격 계산 오류를 악용하여 해커는 차입금에서 빠르게 이익을 얻을 수 있습니다. 예를 들어, CREAM의 경우 두 개의 서로 다른 주소가 yUSDVault와 상호 작용하여 많은 수의 crYUSD 토큰을 발행했습니다. 그들은 이러한 주식의 가치를 두 배로 늘릴 수 있는 취약점을 악용했습니다. 그들은 130억 1천만 달러 상당의 자금을 성공적으로 확보했지만 ~XNUMX억 달러의 가용 담보는 이 금액보다 훨씬 더 많은 금액이 필요할 수 있습니다. 

플래시 론 공격은 점점 더 널리 퍼지고 있으며 커뮤니티는 향후 추가 보안 침해를 방지할 수 있는 방법에 대해 질문해야 합니다.

BSC 토큰 허브 – $127m

2022년 570월, 해커는 BSC Beacon 크로스 브리지 코드의 치명적인 취약점을 악용하여 총 XNUMX억 XNUMX천만 달러의 암호화 자산을 탈취했습니다.

토큰 허브라고도 하는 BSc 비콘 체인은 BNB 비콘 체인(BEP2)과 BNB 체인(BEP20/BSC)을 연결하는 체인 간 브리지입니다.

해커는 거래와 같은 데이터의 유효성을 확인하기 위해 Merkle 증명이라는 암호화 증명을 위조했습니다. 차례로 그들은 이러한 잘못된 Merkle 증명을 사용하여 BSC Beacon 교차 다리에서 다른 체인으로 자금을 이체했습니다.

Tether가 공격자의 주소를 차단하자마자 BNB 체인에서 7만 달러 이상이 이동하여 불법 자금의 대부분을 압수하는 빠른 조치가 이어졌습니다.

하모니 호라이즌 – $100m

2022년 100월, 해커가 XNUMX개의 유효성 검사기 개인 키 중 XNUMX개를 훔쳐 사기꾼이 XNUMX억 달러 상당의 토큰을 전송할 수 있게 되면서 Harmony Horizon Bridge 프로젝트가 손상되었습니다.

이 보안 문제는 2 of 5 유효성 검사 체계로 브리지가 설정된 방식 때문이었습니다. 결과적으로 공격자는 모든 악의적인 트랜잭션의 유효성을 검사하기 위해 두 가지 승인만 필요했습니다. 자신의 흔적을 감추기 위해 공격자들은 Tornado Cash를 사용하여 부당하게 얻은 이득 중 일부를 세탁했습니다. 

이 설정은 처음에는 안전해 보였을지 모르지만, 이는 나쁜 행위자에게는 수익성 있는 목표이며 적발된 사람들에게는 블록체인 안전에 대한 값비싼 교훈임이 입증되었습니다.

라리- $91m

재진입 공격은 Ethereum 초기부터 있었습니다. 그들은 원래 거래가 승인되거나 거부되기 전에 반복적으로 자금을 인출하기 위해 계약 취약성을 이용했습니다.

2022년 90월, 두 개의 분산형 금융 플랫폼이 이러한 방식으로 손상되어 해커가 10천만 달러를 훔쳤습니다. Rari Capital의 Jack Longarzo는 공격자가 회사를 악용했으며 Rari Capital과 합병한 Fei Protocol은 해커에게 천만 달러의 현상금을 제안했다고 말했습니다.

블록체인 보안업체 블록섹(BlockSec)은 해커들이 재진입 취약점을 악용했다고 설명했다. 

개발자는 Ethereum 블록체인에 배포하기 전에 계약을 적절하게 테스트하고 감사하여 이러한 유형의 공격을 방지할 수 있습니다.

DeFi 익스플로잇으로부터 자신을 보호하는 방법

DeFi 프로토콜은 점점 대중화되고 복잡해지면서 해커의 매력적인 표적이 되었습니다. 다음은 DeFi 익스플로잇으로부터 자신을 보호하는 데 도움이 되는 XNUMX가지 팁입니다.

  1. 투자하기 전에 모든 프로젝트에 대해 철저한 실사를 수행하십시오. 위험 신호가 있는지 플랫폼의 코드, 웹사이트, 팀 구성원 및 소셜 채널을 확인하십시오.
  2. 신뢰할 수 있는 출처에서 상호 작용하는 계약을 감사하고 감사 결과를 공개적으로 사용할 수 있는지 확인하십시오.
  3. 하나의 DeFi 계약에 많은 양의 자금을 저장하지 마십시오. 공격에 더 취약해집니다.
  4. 새로운 익스플로잇에 대해 알아보려면 최신 보안 뉴스를 계속 업데이트하십시오.
  5. DeFi 프로토콜과 상호 작용하는 모든 계정에 대해 적절한 인증 및 승인 절차를 구현하십시오.
  6. 지갑이 안전한지 확인하고 가능하면 이중 인증을 사용하십시오.
  7. 의심스러운 활동이나 승인되지 않은 인출을 감지하기 위해 블록체인의 자금과 거래를 정기적으로 모니터링하십시오.

이러한 팁을 따르면 DeFi 악용으로부터 보호하고 탈중앙화 금융 프로토콜과 상호 작용할 때 자금을 안전하게 보호할 수 있습니다. 그러나 어떤 시스템도 오류가 없다는 점을 기억하는 것도 중요하므로 디지털 자산을 다룰 때 항상 주의를 기울이는 것이 가장 좋습니다.

결론

전반적으로 보안은 암호화폐 및 DeFi 프로토콜을 다룰 때 가장 중요한 고려 사항 중 하나입니다. 불행하게도 업계가 계속해서 성장함에 따라 악의적인 활동의 위험도 커지고 있습니다. 완전한 안전을 보장하는 것은 불가능하지만 다음 팁을 따르면 DeFi 익스플로잇으로부터 자신을 보호하고 자금을 안전하게 유지할 수 있습니다. 

블록체인 보안의 최신 개발 사항을 최신 상태로 유지하고 모든 계정에 적절한 인증 절차가 있는지 확인함으로써 디지털 자산을 안전하게 유지하는 데 도움을 줄 수 있습니다.

출처: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/