Los piratas informáticos atacan el protocolo de bifurcación "Group Destroyer" de vulnerabilidad del mismo origen

En mayo de 2021, el mercado de activos encriptados fue bastante turbulento. BTC cayó de un mínimo de más de US $ 50,000 a US $ 29,000, casi se redujo a la mitad, y la mayoría de los activos encriptados cayeron más del 50%.

Bajo el enorme impacto del mercado secundario, la ecología en la cadena no es pacífica. En mayo, ocurrieron al menos 13 incidentes de piratería en el mercado de DeFi, la mayoría de los cuales se concentraron en Binance Smart Chain (BSC), y la pérdida de fondos alcanzó los 270 millones de dólares estadounidenses, superando las pérdidas de activos de todos los incidentes de seguridad de DeFi en 2020. . Los funcionarios de BSC creen que un equipo organizado de piratas informáticos está mirando a BSC.

¿Por qué se roban los proyectos de la cadena BSC? ¿Cómo pueden los piratas informáticos capturar rápidamente las vulnerabilidades del proyecto? PeckShield, una empresa de seguridad de blockchain, descubrió que muchos de los proyectos atacados tenían vulnerabilidades del mismo origen.

Por ejemplo, después de que el agregador de ingresos de BSC PancakeBunny fuera atacado, Fork (bifurcación) de PancakeBunny's AutoShark y Merlin Labs fueron robados en la próxima semana; y BurgerSwap y JulSwap que fueron atacados, ambos códigos eran Fork de Uniswap, pero parece que un se creó un error al realizar el cambio.

El director de seguridad relevante de PeckShield le dijo a Honeycomb Finance que estos protocolos bifurcados fueron atacados principalmente debido a la microinnovación sin comprender completamente la lógica detrás del protocolo original, lo que resultó en una pequeña actualización o una pequeña combinación que puede causar lagunas.

El creador de mercado cifrado Wintermute perdió USD 160 millones en la piratería de DeFi: el 20 de septiembre, Evgeny Gaevoy, el fundador del creador de mercado cifrado Wintermute, publicó en las redes sociales que Wintermute perdió USD 160 millones en la piratería de DeFi. Los negocios CeFi y OTC no se verán afectados. [2022/9/20 7:08:19]

Los repetidos incidentes de seguridad recordaron una vez más a los desarrolladores de protocolos que la seguridad del código subyacente no debe ignorarse al innovar el modelo DeFi.

Casa lluvia aparentemente interminable. Cuando el mercado de activos encriptados continúa cayendo, los incidentes de seguridad de los protocolos en cadena ocurren con frecuencia.

El 30 de mayo, Belt Finance, un protocolo de intercambio de monedas estables en BSC, sufrió un ataque de préstamo relámpago y perdió USD 6,2 millones. Según el seguimiento de la empresa de seguridad de cadena de bloques PeckShield, el ataque se originó por el hecho de que el atacante compró y vendió repetidamente BUSD después de completar 8 préstamos rápidos en PancakaSwap, y explotó la laguna en el cálculo del saldo de la estrategia bEllipsisBUSD para manipular el precio de beltBUSD para obtener una ganancia

Después de ser atacado, Belt Finance tuiteó una disculpa por el ataque de préstamo rápido y emitió un informe en el que decía que realizaría más auditorías y publicaría un plan de compensación para el usuario dentro de las 48 horas.

SpiritSwap: El servidor front-end en AWS fue pirateado y los parámetros fueron manipulados, y se robaron $ 18,000: El 14 de mayo, SpiritSwap, el protocolo comercial descentralizado ecológico de Fantom, tuiteó que el servidor front-end en AWS fue pirateado y el sitio web fue pirateado Manipulación de parámetros, actualmente $ 18,000 robados. Absténgase de interactuar con el sitio hasta que se anuncie una actualización del acuerdo. [2022/5/14 3:15:38]

Afectado por esto, BELT, el token de gobernanza de Belt Finance, cayó bruscamente desde un máximo de $58 el día 28 a $27, una caída a corto plazo del 53,44%.

Este es el proyecto número 12 de la cadena BSC que será atacado en mayo. Según las estadísticas de Honeycomb Finance, desde el 2 de mayo, proyectos como Spartan Protocol, Value DeFi, BearnFi, Venus y PancakeBunny han sido robados uno tras otro, con una pérdida total de $270 millones en fondos, y Value DeFi ha sido atacado dos veces.

Lista de proyectos atacados por BSC

Exmo fue pirateado y los piratas informáticos transfirieron fondos a Poloniex: según las noticias del 25 de diciembre, el intercambio de cifrado europeo EXMO fue pirateado para robar activos y los activos se transfirieron a Poloniex. El vocero del departamento de cumplimiento de Poloniex confirmó que luego de recibir la información del equipo de Exmo, el funcionario inmediatamente congeló la cuenta correspondiente. Pero desafortunadamente, el pirata informático había retirado los activos unas horas antes de que Exmo notificara a Poloniex.

Antes de la noticia del 21 de diciembre, Exmo tuvo una importante brecha de seguridad, el funcionario congeló los retiros y seis criptomonedas, incluidas BTC, XRP, ZEC, USDT, ETC y ETH, se vieron afectadas. El funcionario indicó que los depósitos y retiros se reanudarán el 25 y 26 de diciembre. (Cointelegraph) [2020/12/25 16:30:48]

La pérdida de activos de USD 270 millones ya supera las pérdidas de todos los incidentes de seguridad de DeFi en 2020. Según datos anteriores publicados por PeckShield, habrá 60 incidentes de seguridad DeFi en 2020, con una pérdida de más de 250 millones de dólares estadounidenses.

En solo un mes, la cadena BSC ha sido patrocinada por piratas informáticos uno tras otro, lo que parece bastante extraño. Bajo presión, los funcionarios de BSC publicaron en las plataformas sociales no hace mucho tiempo que ha habido más de 8 ataques de préstamos rápidos contra proyectos en la cadena BSC recientemente: "Creemos que un equipo organizado de piratas informáticos ahora está apuntando a BSC".

Noticias | Los piratas informáticos atacan el centro de datos de documentos del gobierno argentino, destruyendo casi una década de datos: Los piratas informáticos atacaron recientemente un centro de datos para documentos del gobierno local en Argentina. La ministra de ciencia y tecnología del país, Alicia Bañuelos, dijo que el ataque ocurrió el 25 de noviembre. El 2 de diciembre, Bañuelos dijo en una entrevista que el centro había recuperado el 90 por ciento de los datos cifrados. El ataque comprometió inicialmente aproximadamente 7700 GB de datos (aproximadamente 10 años de datos). Bañuelos agregó: "Se necesitan al menos 15 días para descifrar el archivo, principalmente debido al gran tamaño del archivo". Se desconoce el monto del rescate de bitcoin, pero los informes indican que los atacantes están pidiendo entre $ 37,000 y $ 370,000 (0.5 a 50 BTC ). (TNW)[2019/12/9]

El funcionario del BSC hace un llamado a todas las DApps para prevenir riesgos. Se recomienda que los proyectos de la cadena cooperen con las empresas auditoras para realizar controles de salud. Si se trata de un proyecto bifurcado, es necesario verificar repetidamente los cambios realizados a la versión original; tomar medidas necesarias de control de riesgos y monitorear activamente las anomalías en tiempo real. Suspender el acuerdo a tiempo si hay una anomalía; formular un plan de contingencia para evitar que suceda lo peor; si las condiciones lo permiten, se puede establecer un programa de recompensas por errores.

De hecho, en la revisión de 12 incidentes de seguridad, los ataques de préstamo flash son los medios más comunes utilizados por los piratas informáticos. Proyectos como Spartan Protocol, PancakeBunny, Bogged Finance, BurgerSwap, JulSwap y otros fueron víctimas de ataques de préstamos rápidos.

Dinámica | Se informa que "Fomo 3D fue pirateado" y el equipo de seguridad de SlowMist lo consideró un ataque DDoS: Según el rumor de Internet "Fomo 3D fue pirateado", el equipo de seguridad de SlowMist consideró que el sitio web de Fomo 3D sufrió un ataque DDoS , pero el contrato inteligente en Ethereum no se ve afectado, porque el valor de gas de la red Ethereum todavía está dentro del rango normal. En la actualidad, Cloudflare, el sitio web de administración de seguridad utilizado por el sitio web Fomo 3D, ha activado la verificación antivirus y los usuarios deben esperar 5 segundos para acceder al sitio web. Se informa que el tiempo de espera de 5 segundos es casi la estrategia de defensa DDoS más avanzada de Cloudflare. [2018/7/31]

Debe quedar claro que el préstamo flash en sí mismo no es un método de ataque, es solo un modelo de préstamo eficiente que puede amplificar el capital de cualquier persona. Como dice la CMO de Chainlink, Adelyn Zhou, "los flashloans no crean vulnerabilidades dentro de DeFi, solo revelan vulnerabilidades que ya existen".

Después del rápido desarrollo de DeFi, todavía hay tantos proyectos en BSC que han expuesto vulnerabilidades en un corto período de tiempo, lo que sorprende a los usuarios de la cadena. No puedo evitar preguntar, ¿por qué estos incidentes de seguridad se enfocan en la cadena BSC? ¿Y por qué los piratas informáticos pueden encontrar rápidamente las lagunas de tantos proyectos y llevar a cabo ataques?

Desde principios de este año, BSC ha emergido como una nueva fuerza. Como una cadena lateral de Ethereum, ha atraído a una gran cantidad de proyectos y jugadores en la cadena debido a su eficiencia de procesamiento de transacciones más eficiente y tarifas de manejo bajas. pico, el valor total de la posición bloqueada en la cadena superó los 344 mil millones, lo que la convierte en el segundo lugar de reunión más grande para DeFi después de Ethereum.

El rápido ascenso de la ecología BSC se ha apoderado de los primeros dividendos de la cadena, y se ha desplegado una gran cantidad de proyectos juntos. Dado que la mayoría de los proyectos en Ethereum han sido de código abierto anteriormente, muchos desarrolladores han adoptado los códigos de código abierto de proyectos maduros como Uniswap y Curve, y los incluyeron rápidamente en BSC después de modificaciones simples. Y este apresurado Fork (bifurcación) se ha convertido en un peligro oculto para que los proyectos de la cadena BSC sean pirateados por lotes.

Según PeckShield, los códigos de BurgerSwap y JulSwap, que fueron atacados recientemente, se bifurcaron de Uniswap. PeckShield señaló: "Pero no parecen entender completamente la lógica detrás de Uniswap".

Según el informe de BurgerSwap posterior al incidente, el atacante emitió espontáneamente "moneda falsa" y luego formó un par de transacciones con el token BURGER nativo del protocolo, cambiando el precio de este último. Obviamente, BurgerSwap, que se bifurcó de Uniswap, era inmaduro en algunos aspectos y los piratas informáticos se aprovecharon de él.

La fuente del protocolo Fork no es solo Ethereum, sino que el recién llegado Fork también ha puesto en la cadena algunas de las primeras aplicaciones de protocolo en la cadena BSC. Los dos protocolos de agregación AutoShark y Merlin Labs fueron saqueados por piratas informáticos porque bifurcaron PancakeBunny. A juzgar por la línea de tiempo, el 20 de mayo, PancakeBunny fue atacado por un préstamo flash.El ataque se debió al hecho de que el atacante usó el protocolo para manipular los precios de LP Token BNB-BUNNY y BNB-BUSDT.

Después de ver que PancakeBunny fue atacado, AutoShark emitió un documento que enfatizaba su seguridad y decía que había realizado 4 auditorías de código, 2 de las cuales estaban en curso. Pero las bofetadas siguieron: solo 4 días después, AutoShark sufrió un ataque de préstamo relámpago y su token SHARK cayó un 99 % al instante. Según el análisis de PeckShield, el método de ataque es similar al de PancakeBunny.

También se abofeteó a Merlin Labs. Antes de ser atacado, también emitió un documento que decía que había realizado repetidamente revisiones de código y tomado precauciones adicionales para posibles posibilidades. Pero el 26 de mayo, los piratas informáticos "persiguieron la victoria" y saquearon Merlin Labs.

PeckShield cree que este es un caso de imitación después del ataque a PancakeBunny. El atacante no necesita un umbral demasiado alto de tecnología y capital. Siempre que la vulnerabilidad del mismo origen se pruebe repetidamente en el protocolo lanzado por Fork con paciencia, puede hacer una suma considerable. "Es posible que el protocolo DeFi de Fork no se haya convertido en un retador de Bunny, pero ha sido ridiculizado como un "puerro obstinado" debido a las grandes pérdidas debido a la vulnerabilidad del mismo origen".

Además, en el caso de que Belt Finance fuera atacado, los piratas informáticos aprovecharon una laguna en el cálculo del saldo de la estrategia bEllipsisBUSD para manipular el precio de beltBUSD, mientras que Ellipsis se bifurcó del conocido protocolo Ethereum Curve.

El jefe de seguridad de PeckShield le dijo a Honeycomb Finance que estos protocolos de bifurcación fueron atacados principalmente porque no entendieron completamente la lógica detrás del protocolo original y llevaron a cabo microinnovaciones, lo que resultó en una pequeña actualización o una pequeña combinación que puede producir lagunas.

El responsable dijo que partir de vulnerabilidades conocidas es un método común de "forrajeo" utilizado por los atacantes en el campo DeFi que aún se encuentra en etapa de desarrollo. Por el lado del proyecto, el énfasis en la seguridad del protocolo DeFi no es solo de boquilla, sino para lograr "mi día y tres códigos provinciales": ¿Hay una auditoría estática antes de que el protocolo entre en funcionamiento? Después de que se ataquen otros protocolos, ¿hay un código de autocomprobación para verificar si existen vulnerabilidades similares? ¿Existen riesgos de seguridad en el protocolo interactivo?

A juzgar por los casos anteriores, un lote de proyectos en la cadena BSC fueron robados de manera concentrada. La razón principal es que los piratas informáticos encontraron las vulnerabilidades del mismo origen de múltiples protocolos. Solo necesitan imitar los métodos de ataque para "inferir otros casos de una instancia" y completa la detección de múltiples proyectos en un corto período de tiempo. plagio.

Los repetidos incidentes de seguridad también han recordado a los desarrolladores de protocolos que al innovar el modelo DeFi, no se debe ignorar la seguridad del código subyacente.

En este sentido, PeckShield sugirió que se debe realizar una auditoría antes de que el nuevo contrato entre en línea, y también se debe prestar atención a la resolución de problemas de lagunas en la lógica comercial cuando se combina con otros productos DeFi. Al mismo tiempo, es necesario diseñar un cierto mecanismo de fusible de control de riesgos, introducir inteligencia de percepción de amenazas y servicios de inteligencia de situación de datos de empresas de seguridad de terceros y mejorar el sistema de defensa. "Hay variables en todos los protocolos DeFi. Incluso si un protocolo se ha auditado varias veces, una pequeña actualización hará que la auditoría sea inútil, por lo que incluso una pequeña actualización debe volver a auditarse"

Tags：

NEAR