Los piratas informáticos atacan el protocolo de bifurcación "Group Destroyer" de vulnerabilidad del mismo origen

En mayo de 2021, el mercado de activos encriptados fue bastante turbulento. BTC cayó de un mínimo de más de US $ 50,000 a US $ 29,000, casi se redujo a la mitad, y la mayoría de los activos encriptados cayeron más del 50%.

Bajo el enorme impacto del mercado secundario, la ecología en la cadena no es pacífica. En mayo, ocurrieron al menos 13 incidentes de piratería en el mercado de DeFi, la mayoría de los cuales se concentraron en Binance Smart Chain (BSC), y la pérdida de fondos alcanzó los 270 millones de dólares estadounidenses, superando las pérdidas de activos de todos los incidentes de seguridad de DeFi en 2020. . Los funcionarios de BSC creen que un equipo organizado de piratas informáticos está mirando a BSC.

¿Por qué se roban los proyectos de la cadena BSC? ¿Cómo pueden los piratas informáticos capturar rápidamente las vulnerabilidades del proyecto? PeckShield, una empresa de seguridad de blockchain, descubrió que muchos de los proyectos atacados tenían vulnerabilidades del mismo origen.

Por ejemplo, después de que el agregador de ingresos de BSC PancakeBunny fuera atacado, Fork (bifurcación) de PancakeBunny's AutoShark y Merlin Labs fueron robados en la próxima semana; y BurgerSwap y JulSwap que fueron atacados, ambos códigos eran Fork de Uniswap, pero parece que un se creó un error al realizar el cambio.

El director de seguridad relevante de PeckShield le dijo a Honeycomb Finance que estos protocolos bifurcados fueron atacados principalmente debido a la microinnovación sin comprender completamente la lógica detrás del protocolo original, lo que resultó en una pequeña actualización o una pequeña combinación que puede causar lagunas.

Los repetidos incidentes de seguridad recordaron una vez más a los desarrolladores de protocolos que la seguridad del código subyacente no debe ignorarse al innovar el modelo DeFi.

Casa lluvia aparentemente interminable. Cuando el mercado de activos encriptados continúa cayendo, los incidentes de seguridad de los protocolos en cadena ocurren con frecuencia.

El 30 de mayo, Belt Finance, un protocolo de intercambio de monedas estables en BSC, sufrió un ataque de préstamo relámpago y perdió USD 6,2 millones. Según el seguimiento de la empresa de seguridad de cadena de bloques PeckShield, el ataque se originó por el hecho de que el atacante compró y vendió repetidamente BUSD después de completar 8 préstamos rápidos en PancakaSwap, y explotó la laguna en el cálculo del saldo de la estrategia bEllipsisBUSD para manipular el precio de beltBUSD para obtener una ganancia

EmpireDAO lanza 36 000 pies cuadrados de espacio de trabajo conjunto en Manhattan: el 9 de marzo, la "versión Web3 de WeWork" EmpireDAO anunció el lanzamiento de un espacio de trabajo conjunto de 36 000 pies cuadrados en Manhattan, con la esperanza de brindar servicios para los criptoconstructores en La ciudad de Nueva York, especialmente aquellos que se enfocan en proyectos de Building Web3 y empresas e individuos, esta es también la primera "tienda tradicional" abierta por EmpireDAO.

Cabe mencionar que el exjugador de los Brooklyn Nets Lance Thomas (Lance Thomas) es uno de los principales inversores de EmpireDAO. Según Austin Federa, jefe de comunicaciones de Solana Labs, la Fundación Solana está considerando unirse al espacio de trabajo conjunto de EmpireDAO, pero dijo que aún no se ha firmado ningún contrato de arrendamiento. (CoinDesk) [2022/3/10 13:47:31]

Después de ser atacado, Belt Finance tuiteó una disculpa por el ataque de préstamo rápido y emitió un informe en el que decía que realizaría más auditorías y publicaría un plan de compensación para el usuario dentro de las 48 horas.

Afectado por esto, BELT, el token de gobernanza de Belt Finance, cayó bruscamente desde un máximo de $58 el día 28 a $27, una caída a corto plazo del 53,44%.

Este es el proyecto número 12 de la cadena BSC que será atacado en mayo. Según las estadísticas de Honeycomb Finance, desde el 2 de mayo, proyectos como Spartan Protocol, Value DeFi, BearnFi, Venus y PancakeBunny han sido robados uno tras otro, con una pérdida total de $270 millones en fondos, y Value DeFi ha sido atacado dos veces.

Lista de proyectos atacados por BSC

La pérdida de activos de USD 270 millones ya supera las pérdidas de todos los incidentes de seguridad de DeFi en 2020. Según datos anteriores publicados por PeckShield, habrá 60 incidentes de seguridad DeFi en 2020, con una pérdida de más de 250 millones de dólares estadounidenses.

La red de Filecoin se actualizará a la versión v1.5.0 en las próximas semanas: el 2 de febrero, Jennifer, funcionaria de Filecoin, anunció en el canal slack que la red de Filecoin se someterá a una actualización obligatoria en las próximas semanas. a la versión v1.5.0 e incluía dos propuestas FIP, FIP-0007 y FIP-0010. Creada el 27 de noviembre de 2020, la propuesta FIP-0007 consta de 3 propuestas independientes más pequeñas que mejoran Filecoin HAMT y AMT en términos de rendimiento y seguridad. La característica central de la propuesta FIP-0010 es el uso de la verificación WindowPoSt fuera de la cadena, es decir, WindowPoSt se puede cargar en la cadena sin aceptar la verificación, y los verificadores fuera de la cadena posteriores pueden llamar a DisputeWindowedPoSt para la verificación. La propuesta FIP-0010 alivia la situación de congestión y mejora el TPS de la red Filecoin mediante verificación "fuera de cadena". Para los mineros, no solo puede reducir la tarifa del gas, reducir la probabilidad de ser castigado, sino también mantener mejor la potencia informática original, mantener la estabilidad de la potencia informática y obtener recompensas en bloque de manera constante. [2021/2/2 18:43:16]

En solo un mes, la cadena BSC ha sido patrocinada por piratas informáticos uno tras otro, lo que parece bastante extraño. Bajo presión, los funcionarios de BSC publicaron en las plataformas sociales no hace mucho tiempo que ha habido más de 8 ataques de préstamos rápidos contra proyectos en la cadena BSC recientemente: "Creemos que un equipo organizado de piratas informáticos ahora está apuntando a BSC".

El funcionario del BSC hace un llamado a todas las DApps para prevenir riesgos. Se recomienda que los proyectos de la cadena cooperen con las empresas auditoras para realizar controles de salud. Si se trata de un proyecto bifurcado, es necesario verificar repetidamente los cambios realizados a la versión original; tomar medidas necesarias de control de riesgos y monitorear activamente las anomalías en tiempo real. Suspender el acuerdo a tiempo si hay una anomalía; formular un plan de contingencia para evitar que suceda lo peor; si las condiciones lo permiten, se puede establecer un programa de recompensas por errores.

De hecho, en la revisión de 12 incidentes de seguridad, los ataques de préstamo flash son los medios más comunes utilizados por los piratas informáticos. Proyectos como Spartan Protocol, PancakeBunny, Bogged Finance, BurgerSwap, JulSwap y otros fueron víctimas de ataques de préstamos rápidos.

Debe quedar claro que el préstamo flash en sí mismo no es un método de ataque, es solo un modelo de préstamo eficiente que puede amplificar el capital de cualquier persona. Como dice la CMO de Chainlink, Adelyn Zhou, "los flashloans no crean vulnerabilidades dentro de DeFi, solo revelan vulnerabilidades que ya existen".

Después del rápido desarrollo de DeFi, todavía hay tantos proyectos en BSC que han expuesto vulnerabilidades en un corto período de tiempo, lo que sorprende a los usuarios de la cadena. No puedo evitar preguntar, ¿por qué estos incidentes de seguridad se enfocan en la cadena BSC? ¿Y por qué los piratas informáticos pueden encontrar rápidamente las lagunas de tantos proyectos y llevar a cabo ataques?

Desde principios de este año, BSC ha emergido como una nueva fuerza. Como una cadena lateral de Ethereum, ha atraído a una gran cantidad de proyectos y jugadores en la cadena debido a su eficiencia de procesamiento de transacciones más eficiente y tarifas de manejo bajas. pico, el valor total de la posición bloqueada en la cadena superó los 344 mil millones, lo que la convierte en el segundo lugar de reunión más grande para DeFi después de Ethereum.

El rápido ascenso de la ecología BSC se ha apoderado de los primeros dividendos de la cadena, y se ha desplegado una gran cantidad de proyectos juntos. Dado que la mayoría de los proyectos en Ethereum han sido de código abierto anteriormente, muchos desarrolladores han adoptado los códigos de código abierto de proyectos maduros como Uniswap y Curve, y los incluyeron rápidamente en BSC después de modificaciones simples. Y este apresurado Fork (bifurcación) se ha convertido en un peligro oculto para que los proyectos de la cadena BSC sean pirateados por lotes.

Según PeckShield, los códigos de BurgerSwap y JulSwap, que fueron atacados recientemente, se bifurcaron de Uniswap. PeckShield señaló: "Pero no parecen entender completamente la lógica detrás de Uniswap".

Según el informe de BurgerSwap posterior al incidente, el atacante emitió espontáneamente "moneda falsa" y luego formó un par de transacciones con el token BURGER nativo del protocolo, cambiando el precio de este último. Obviamente, BurgerSwap, que se bifurcó de Uniswap, era inmaduro en algunos aspectos y los piratas informáticos se aprovecharon de él.

La fuente del protocolo Fork no es solo Ethereum, sino que el recién llegado Fork también ha puesto en la cadena algunas de las primeras aplicaciones de protocolo en la cadena BSC. Los dos protocolos de agregación AutoShark y Merlin Labs fueron saqueados por piratas informáticos porque bifurcaron PancakeBunny. A juzgar por la línea de tiempo, el 20 de mayo, PancakeBunny fue atacado por un préstamo flash.El ataque se debió al hecho de que el atacante usó el protocolo para manipular los precios de LP Token BNB-BUNNY y BNB-BUSDT.

Después de ver que PancakeBunny fue atacado, AutoShark emitió un documento que enfatizaba su seguridad y decía que había realizado 4 auditorías de código, 2 de las cuales estaban en curso. Pero las bofetadas siguieron: solo 4 días después, AutoShark sufrió un ataque de préstamo relámpago y su token SHARK cayó un 99 % al instante. Según el análisis de PeckShield, el método de ataque es similar al de PancakeBunny.

También se abofeteó a Merlin Labs. Antes de ser atacado, también emitió un documento que decía que había realizado repetidamente revisiones de código y tomado precauciones adicionales para posibles posibilidades. Pero el 26 de mayo, los piratas informáticos "persiguieron la victoria" y saquearon Merlin Labs.

PeckShield cree que este es un caso de imitación después del ataque a PancakeBunny. El atacante no necesita un umbral demasiado alto de tecnología y capital. Siempre que la vulnerabilidad del mismo origen se pruebe repetidamente en el protocolo lanzado por Fork con paciencia, puede hacer una suma considerable. "Es posible que el protocolo DeFi de Fork no se haya convertido en un retador de Bunny, pero ha sido ridiculizado como un "puerro obstinado" debido a las grandes pérdidas debido a la vulnerabilidad del mismo origen".

Además, en el caso de que Belt Finance fuera atacado, los piratas informáticos aprovecharon una laguna en el cálculo del saldo de la estrategia bEllipsisBUSD para manipular el precio de beltBUSD, mientras que Ellipsis se bifurcó del conocido protocolo Ethereum Curve.

El jefe de seguridad de PeckShield le dijo a Honeycomb Finance que estos protocolos de bifurcación fueron atacados principalmente porque no entendieron completamente la lógica detrás del protocolo original y llevaron a cabo microinnovaciones, lo que resultó en una pequeña actualización o una pequeña combinación que puede producir lagunas.

El responsable dijo que partir de vulnerabilidades conocidas es un método común de "forrajeo" utilizado por los atacantes en el campo DeFi que aún se encuentra en etapa de desarrollo. Por el lado del proyecto, el énfasis en la seguridad del protocolo DeFi no es solo de boquilla, sino para lograr "mi día y tres códigos provinciales": ¿Hay una auditoría estática antes de que el protocolo entre en funcionamiento? Después de que se ataquen otros protocolos, ¿hay un código de autocomprobación para verificar si existen vulnerabilidades similares? ¿Existen riesgos de seguridad en el protocolo interactivo?

A juzgar por los casos anteriores, un lote de proyectos en la cadena BSC fueron robados de manera concentrada. La razón principal es que los piratas informáticos encontraron las vulnerabilidades del mismo origen de múltiples protocolos. Solo necesitan imitar los métodos de ataque para "inferir otros casos de una instancia" y completar la detección de múltiples proyectos en un corto período de tiempo. plagio.

Los repetidos incidentes de seguridad también han recordado a los desarrolladores de protocolos que al innovar el modelo DeFi, no se debe ignorar la seguridad del código subyacente.

En este sentido, PeckShield sugirió que se debe realizar una auditoría antes de que el nuevo contrato entre en línea, y también se debe prestar atención a la resolución de problemas de lagunas en la lógica comercial cuando se combina con otros productos DeFi. Al mismo tiempo, es necesario diseñar un cierto mecanismo de fusible de control de riesgos, introducir inteligencia de percepción de amenazas y servicios de inteligencia de situación de datos de empresas de seguridad de terceros y mejorar el sistema de defensa. "Todos los protocolos DeFi tienen variables. Incluso si un protocolo se ha auditado varias veces, una pequeña actualización hará que la auditoría sea inútil, por lo que incluso una pequeña actualización debe volver a auditarse".

Tags：

UNI