Hackers got away with $440M in 28 exploits in Q3: Report

Cointelegraph · 2024-10-04T14:06:45.000Z

The third quarter saw the smallest losses from hacks that the industry has seen in the last three years, according to a report by cybersecurity company Hacken. About $460 million was stolen across 28 incidents. Still, the recovery rate was the lowest in recent years at only 5%. Hacken breaks down this data along with the broader state of Web3 security in Q3. It also discusses major types of attacks, the most affected project categories and strategies for mitigation. Download a full version of the report for free here Access control attacks remain the most detrimental Exploits of access control mechanisms accounted for $316 million, or almost 70% of the total funds stolen in crypto hacks in Q3. The perpetrators of such attacks gain control over the keys that control smart contracts. Once in control of the keys, they can withdraw funds from the contract to their own wallets or upgrade the proxy contract implementation to activate the withdrawal function. Losses across various attack types in 2024. Source: Hacken Smart contract vulnerabilities were second in Q3 losses. Smart contracts are sometimes vulnerable to reentrancy attacks, which involve calling the withdrawal function multiple times while the contract’s state fails to properly update before a withdrawal of funds is executed. This type of attack is especially detrimental for protocols with liquidity pools, as they can be drained by a series of multiple recursive calls in a single transaction. Minterest suffered from one of the three reentrancy attacks in Q3, suffering a $1.46 million loss. The execution of the hack is described in detail in the report. Download a full version of the report for free here Centralized exchanges endured the biggest losses Centralized exchanges were the most-exploited projects by amount of funds. The biggest hack was to WazirX India on July 18, when its Ethereum multisig wallet was compromised. The hacker manipulated the exchange’s multisig wallet by obtaining three signatures from employees and one from Liminal, a digital asset custody provider. With four signatures out of six, the actor was able to drain over $230 million. The stolen funds are yet to be recovered. The exchange and Liminal ran independent audits but found no security breaches, which has sparked debate about a possible inside job. Mostly due to the magnitude of the WazirX hack, exploits of centralized exchanges recorded the highest losses in Q3. The hacks of yield aggregators and cross-chain bridges come next in the statistics. Still, bridges were only compromised on three occasions. One victim was Ronin Bridge, but luckily for its users, a white hat MEV bot front ran the malicious transaction and returned the funds shortly afterward. Losses to crypto hacks across different project types: Source: Hacken Lending and borrowing protocols were deprived of $19.6 million in Q3. Even industry leader Aave fell victim to an exploit of a periphery contract, which resulted in a loss of $56,000. The attack on Aave was executed in one transaction, meaning that it could not have been spotted or stopped. The majority of decentralized finance (DeFi) exploits involve multiple transactions, such as a malicious proxy update or consecutive withdrawals from a pool. The consequences of such exploits can be mitigated if the state of smart contracts is constantly monitored and action is taken immediately. The Automated Incident Response Strategy system developed by Hacken can be customized to provide such protections. It can be triggered to pause a smart contract if certain conditions are met or to freeze funds withdrawn in a suspicious transaction. According to Hacken, about 28.7% of the losses from DeFi hacks could have been prevented if the target companies had used monitoring and automated incident report systems. Download a full version of the report for free here The Nexera exploit — a case study A scammer exploited the DeFi protocol Nexera and drained 47.2 million NXRA, the platform's native token. He managed to swap 15 million NXRA before the team was able to pause the contract. The attack resulted in a loss of $1.5 million. With the Automated Incident Response Strategy by Hacken, the pausing function could have been programmed to activate immediately when the proxy was upgraded. As soon as the pause function is activated, no tokens can be transferred, meaning that the stolen funds cannot be swapped. Five other such cases in which the Automated Incident Response strategy would have worked are discussed in the report. These include a reentrancy attack on Penpie causing $27 million in losses, and a Ronin bridge exploit resulting in $12 million siphoned from the protocol. Hacks that could have been averted with the Automated Incident Response Strategy. Source: Hacken The opinions expressed in this article are for general informational purposes only. They are not intended to provide specific advice or recommendations for any individual or on any particular security or investment product.

Según un informe de la empresa de ciberseguridad Hacken, el tercer trimestre registró las menores pérdidas por ataques que la industria ha visto en los últimos tres años. Se robaron alrededor de 460 millones de dólares en 28 incidentes. Aun así, la tasa de recuperación fue la más baja de los últimos años, con solo un 5 %. Hacken desglosa estos datos junto con el estado más amplio de la seguridad de Web3 en el tercer trimestre. También analiza los principales tipos de ataques, las categorías de proyectos más afectadas y las estrategias de mitigación.
Descargue una versión completa del informe de forma gratuita aquí
Los ataques de control de acceso siguen siendo los más perjudiciales
Los ataques a mecanismos de control de acceso representaron 316 millones de dólares, o casi el 70% del total de fondos robados en ataques a criptomonedas en el tercer trimestre. Los autores de estos ataques obtienen el control de las claves que controlan los contratos inteligentes. Una vez que tienen el control de las claves, pueden retirar fondos del contrato a sus propias billeteras o actualizar la implementación del contrato proxy para activar la función de retiro.
Pérdidas por distintos tipos de ataques en 2024. Fuente: Hacken
Las vulnerabilidades de los contratos inteligentes ocuparon el segundo lugar en las pérdidas del tercer trimestre. Los contratos inteligentes a veces son vulnerables a los ataques de reentrada, que implican llamar a la función de retiro varias veces mientras el estado del contrato no se actualiza correctamente antes de que se ejecute un retiro de fondos. Este tipo de ataque es especialmente perjudicial para los protocolos con fondos de liquidez, ya que pueden agotarse mediante una serie de múltiples llamadas recursivas en una sola transacción. Minterest sufrió uno de los tres ataques de reentrada en el tercer trimestre, sufriendo una pérdida de 1,46 millones de dólares. La ejecución del ataque se describe en detalle en el informe.
Descargue una versión completa del informe de forma gratuita aquí
Los intercambios centralizados sufrieron las mayores pérdidas
Los exchanges centralizados fueron los proyectos más explotados por cantidad de fondos. El mayor ataque fue el de WazirX India el 18 de julio, cuando se vio comprometida su billetera multisig de Ethereum. El hacker manipuló la billetera multisig del exchange obteniendo tres firmas de empleados y una de Liminal, un proveedor de custodia de activos digitales. Con cuatro firmas de seis, el actor pudo drenar más de 230 millones de dólares. Los fondos robados aún no se han recuperado. El exchange y Liminal realizaron auditorías independientes pero no encontraron brechas de seguridad, lo que ha provocado un debate sobre un posible trabajo interno.
Debido principalmente a la magnitud del ataque a WazirX, los ataques a exchanges centralizados registraron las mayores pérdidas en el tercer trimestre. Los ataques a agregadores de rendimiento y puentes entre cadenas aparecen a continuación en las estadísticas. Aun así, los puentes solo se vieron comprometidos en tres ocasiones. Una de las víctimas fue Ronin Bridge, pero afortunadamente para sus usuarios, un bot MEV de sombrero blanco ejecutó la transacción maliciosa y devolvió los fondos poco después.
Pérdidas por ataques a criptomonedas en diferentes tipos de proyectos: Fuente: Hacken
Los protocolos de préstamos y empréstitos se vieron privados de 19,6 millones de dólares en el tercer trimestre. Incluso el líder de la industria, Aave, fue víctima de un exploit de un contrato periférico, lo que resultó en una pérdida de 56.000 dólares. El ataque a Aave se ejecutó en una sola transacción, lo que significa que no se pudo detectar ni detener. La mayoría de los exploits de las finanzas descentralizadas (DeFi) implican múltiples transacciones, como una actualización de proxy maliciosa o retiros consecutivos de un fondo. Las consecuencias de tales exploits se pueden mitigar si se supervisa constantemente el estado de los contratos inteligentes y se toman medidas de inmediato.
El sistema de Estrategia de Respuesta Automatizada a Incidentes desarrollado por Hacken se puede personalizar para brindar dichas protecciones. Se puede activar para pausar un contrato inteligente si se cumplen ciertas condiciones o para congelar los fondos retirados en una transacción sospechosa. Según Hacken, aproximadamente el 28,7% de las pérdidas por ataques a DeFi podrían haberse evitado si las empresas objetivo hubieran utilizado sistemas de monitoreo y de informes automatizados de incidentes.
Descargue una versión completa del informe de forma gratuita aquí
El exploit de Nexera: un estudio de caso
Un estafador explotó el protocolo DeFi Nexera y robó 47,2 millones de NXRA, el token nativo de la plataforma. Logró canjear 15 millones de NXRA antes de que el equipo pudiera pausar el contrato. El ataque resultó en una pérdida de 1,5 millones de dólares.
Con la estrategia de respuesta automatizada a incidentes de Hacken, la función de pausa podría haberse programado para activarse inmediatamente cuando se actualizara el proxy. Tan pronto como se activa la función de pausa, no se pueden transferir tokens, lo que significa que los fondos robados no se pueden intercambiar. En el informe se analizan otros cinco casos similares en los que la estrategia de respuesta automatizada a incidentes habría funcionado. Estos incluyen un ataque de reentrada a Penpie que causó pérdidas de 27 millones de dólares y un exploit del puente Ronin que resultó en la extracción de 12 millones de dólares del protocolo.
Ataques que podrían haberse evitado con la estrategia de respuesta automatizada a incidentes. Fuente: Hacken
Las opiniones expresadas en este artículo tienen únicamente fines informativos generales. No tienen como objetivo brindar asesoramiento o recomendaciones específicas para ninguna persona ni sobre ningún valor o producto de inversión en particular.

Explora más de este creador

Lo más reciente

Explora más de este creador

Lo más reciente

Artículos populares