De största säkerhetsintrången 2021

Enligt kedjeanalysföretaget Chainalysis, nådde volymen av kriminella kryptovalutatransaktioner 2021 en ny rekord någonsin – 14 miljarder dollar. Men trots ökningen av volymen för kriminella överföringar var dess relativa andel av hela kryptovalutatransaktionsvolymen 2021 den lägsta genom tiderna. Denna statistik visar att utbyggnaden av kryptovalutasfären överträffar cyberbrottsligheten i samband med kryptovalutor, den visar också att säkerheten i branschen också hinner ikapp efterfrågan.

De mest lukrativa cyberattackerna 2021

Även om andelen brottsrelaterade transaktionsvolymer i kryptovalutaområdet minskade under 2021, var det flera fall som höjde några ögonbryn. Här ska jag gå igenom några av de mest iögonfallande.

1. Poly Network – 611 miljoner dollar

Poly Network-hacket inträffade den 10 augusti 2021 och resulterade i stöld av digitala tillgångar till ett värde av cirka 611 miljoner dollar som stulits på tre blockkedjor: Ethereum, BSC och Polygon. Den iögonfallande detaljen var att hackaren returnerade hela summan han hade stulit, och förklarade hans drag som ett försök att påpeka sårbarheterna i Poly Network-protokollet som inte sökte vinst.

Poly Network är ett tvärkedjenätverk som tillåter användare att utföra korsblockkedjeoperationer på ett decentraliserat sätt. Till exempel att överföra pengar från en blockkedja till en annan. För att göra detta krävs en stor mängd likviditet i protokollet. I Poly Network styrs denna likviditet av speciella smarta kontrakt.

De kontrakt som utnyttjades var EthCrossChainManager och EthCrossChainData. EthCrossChainData ägs av EthCrossChainManager och lagrar en lista över publika nycklar som kan kontrollera denna likviditet (innehavare).

Angriparen utnyttjade en sårbarhet i EthCrossChainManager-kontraktet och kunde lura den att ersätta kontraktets innehavare mot angriparens. Sedan cyfonerade angriparen likviditeten från Poly Network-protokollet, efter att ha fått full kontroll över protokollets verksamhet.

2. Bitmart – 196 miljoner dollar

Den 4 december 2021 attackerades den centraliserade kryptovalutabörsen Bitmart, där kryptotillgångar värda 200 miljoner dollar stals från dess heta plånbok. Angriparna stal de privata nycklarna till börsens heta plånböcker.

Bitmart-börsen hävdade det det hade förlorat 150 miljoner dollar, men blockchain-cybersäkerhetsföretaget Peckshield kom senare ut med en patentkrav att 196 miljoner dollar hade stulits från blockkedjorna Ethereum och Binance Smart Chain i mer än 20 kryptovalutor och tokens. De visade också vägen i grafik som de stulna tillgångarna hade färdats utom för slutdestinationen. Först bytte angriparen ut de stulna tillgångarna mot Ether med hjälp av DEX-aggregatorn 1inch och tvättade sedan Ether med en sekretessmixer Tornado Cash. Efter det blir spåret tomt.

Denna cyberattack visade än en gång sårbarheten i att lagra privata nycklar till flera adresser med enorma summor på en enda server. Detta exponerade alla börsens heta plånböcker på en gång.

3. Cream Finance – 130 miljoner dollar

I cyberattacken Cream Finance som ägde rum i december 2021 använde en hackare eller två hackare flera protokoll – MakerDAO, AAVE, Curve, Yearn.finance – för att få till stånd ett överfall från Cream Finance värt 130 miljoner dollar i tokens och kryptovalutor.

Bevisen tyder på att det kan ha varit två angripare, jag kommer att anta det. Det fanns två adresser som användes i attacken: adress A och adress B. Första adress A lånade ut 500 miljoner dollar i DAI från MakerDAO och, efter att ha släpat den likviditeten genom Curve och Year.finance, använde de dem för att sätta 500 miljoner cryUSD på Cream Finance . Samtidigt ökade adress A likviditeten i Yearn.finances yUSD Vault till 511 miljoner yUSDTVault.

Sedan lånade adress B flash 2 miljarder dollar i Ether från AAVE, präglade cEther till ett värde av 2 miljarder dollar genom att sätta in den lånade 2 miljarder dollar ETH i Cream. Sedan använde adress B den för att ta ut 1 miljard yUSDVault och löste in dem för 1 miljard cryUSD och överförde dem till adress A. Således fick adress A 1.5 miljarder cryUSD.

Efter den adressen köpte A 3 miljoner DUSD från Curve och löste in dem alla för yUSDVault och fick därmed 503 miljoner yUSDVault på sitt saldo. Adress A löste sedan in 503 miljoner yUSDVault för den underliggande yUSD-token och förde det totala utbudet av yUSDVault till 8 miljoner.

Adress A överförde sedan 8 miljoner yUSD till Yearn.finance yUSD-valvet och fördubblade valvets värdering. Detta gjorde att Creams PriceOracleProxys dubblerade värderingen av cryUSD eftersom den bestämmer priset på cryUSD baserat på (värdering av yUSD Yearn Vault) / (det totala utbudet av yUSDVault), dvs $16 miljoner / 8 miljoner yUSDVault. Därför uppfattade Cream att adress A hade 3 miljarder dollar i cryUSD.

Detta misstag kostade så småningom Cream Finance. Hackarna kunde returnera flashlånet med den överskottslikviditet de producerade och fick in hela likviditeten (130 miljoner dollar) som var låst i Cream Finance med den 1 miljard dollar i cryUSD som de fick kvar.

De mest populära typerna av attacker 2021

På tal om attacker på smarta kontrakt, den mest populära typen av attack var flashlånsattacken som den som beskrivs ovan. Enligt Block Crypto, av de 70 DeFi-attackerna under 2021 använde 34 snabblån, varav December Cream Finance-rån var höjdpunkten när det gäller det stulna beloppet. Den huvudsakliga egenskapen hos dessa attacker är användningen av flera protokoll. På egen hand kan de vara säkra, men när det gäller att använda en rad av dem kan sårbarheter hittas.

En annan typ av attack mot smarta kontrakt som kan klassas som en klassisk DeFi-attack är återinträdesattacken. En återinträdesattack kan inträffa om funktionen som anropar ett externt kontrakt inte uppdaterar adressbalansen innan den gör ett nytt anrop till det kontraktet. I det här fallet kan det externa kontraktet ta ut pengar rekursivt eftersom adressbalansen i målkontraktet inte uppdateras efter varje uttag. Och dessa rekursiva samtal kan fortsätta tills kontraktets saldo är uttömd.

Och den tredje vanliga typen av attacker 2021 var attacker på centraliserade börser genom att stjäla den privata nyckeln till börsernas heta plånbok. Det här är ett mycket gammalt sätt av cyberattacker i kryptovalutornas historia, men det blir inte för gammalt.

Hur skyddar du dina pengar i kryptovalutautrymmet?

När det kommer till en enskild användares medel är det bra att göra due diligence av plattformen du vill sätta in dina pengar till: titta på webbplatsen, titta på teammedlemmarnas sociala uppgifter, ta en titt på vitboken och teknisk revision. Det kommer också att vara bra att använda funktionaliteten i kryptovaluta-plånböcker som tillåter vitlistning av kontrakten som användaren regelbundet använder, den finns i Metamask-plånboken och i dedikerade onlinetjänster för säker kryptovalutahållning Unrekt och Debank. Om en överföring till ett okänt kontrakt har godkänts kommer de att markera ett sådant kontrakt.

När det gäller säkerheten för ett DeFi-protokoll är det bra att använda andra beprövade projekts kodbas. Men grundaren bör fortfarande sanktionera minst en teknisk revision av projektets smarta kontrakt. Detta är särskilt viktigt med protokoll som används på flera blockkedjor och interagerar med andra protokoll. De kräver särskilt noggrann granskning under revisioner.

Källa: https://cryptoslate.com/the-biggest-security-breaches-of-2021/