Interpretação do relatório dos dez principais ataques do ano

No artigo anterior, interpretamos principalmente a dinâmica do hacker norte-coreano Lazarus Group, dos principais grupos de phishing e de algumas ferramentas de lavagem de dinheiro em 2023. Este artigo se concentra nos dez principais ataques em 2023.

Os 10 principais ataques

(Os 10 principais ataques de segurança em 2023)

misturar

Em 23 de setembro de 2023, o banco de dados do provedor de serviços em nuvem da Mixin Network foi atacado, resultando na perda de alguns ativos da rede principal, envolvendo aproximadamente US$ 200 milhões em fundos. Foi o ataque mais caro em 2023. Posteriormente, Mixin twittou oficialmente que havia entrado em contato com o Google e a equipe de segurança do SlowMist para auxiliar na investigação. As autoridades disseram que pagariam até 50% das perdas, sendo o restante pago em tokens de títulos e usado para recompras com lucros.

(https://twitter.com/SlowMist_Team/status/1706133260869468503)

(https://twitter.com/MixinKernel/status/1706139175018529139)

Euler Finanças

Em 13 de março de 2023, o protocolo de empréstimo DeFi Euler Finance foi atacado e os invasores obtiveram aproximadamente US$ 197 milhões em lucro. De acordo com a análise da equipe de segurança SlowMist, todo o processo de ataque do invasor usa principalmente fundos de empréstimo instantâneo para depositar e, em seguida, doa diretamente os fundos para o endereço de reserva para acionar a lógica de liquidação após dois empréstimos alavancados sobrepostos e, finalmente, usa a própria liquidação suave Arbitre quaisquer fundos restantes. Existem duas razões principais para o ataque: o primeiro ponto é que depois de doar fundos para o endereço de reserva, não verifica se está em estado de liquidação, o que pode desencadear directamente o mecanismo de liquidação suave. A alavancagem desencadeia a lógica de liquidação suave. O valor do rendimento aumentará, de modo que o liquidatário só precisa transferir uma parte dos passivos para si mesmo para obter a maior parte dos fundos hipotecários da parte liquidada, uma vez que o valor dos fundos hipotecários é maior que o valor. dos passivos (apenas uma parte dos passivos é transferida devido à liquidação suave). Portanto, o liquidatário pode passar com sucesso na sua própria verificação do coeficiente de saúde e retirar os fundos obtidos. Em 4 de abril, o Euler Labs tuitou que, após negociações bem-sucedidas, o invasor devolveu todos os fundos roubados do protocolo em 13 de março.

Em 10 de janeiro de 2024, Michael Bentley, CEO da Euler Labs, publicou um blog chamado "Guerra e Paz", que descrevia os antecedentes, o tratamento e outros detalhes do ataque. (https://medium.com/eulerfinance/war-peace-ab2670711175)

(https://twitter.com/euler_mab/status/1745079435332550836)

Poloniex

Em 10 de novembro de 2023, a bolsa Poloniex foi hackeada, causando perdas de aproximadamente US$ 130 milhões. De acordo com a análise da equipe de segurança do SlowMist, a julgar pela abordagem rápida e profissional do invasor, especula-se que se trata de um típico ataque APT, e o invasor pode ser a organização hacker norte-coreana Lazarus Group. Justin Sun disse: "A equipe da Poloniex identificou e congelou com sucesso alguns ativos relacionados ao endereço do hacker. Atualmente, as perdas estão sob controle. A receita operacional da Poloniex pode compensar essas perdas e os fundos afetados serão reembolsados ​​integralmente."

(https://twitter.com/SlowMist_Team/status/1723006264693657708)

BonqDAO e AllianceBlock

Em 2 de fevereiro de 2023, a plataforma de empréstimo sem custódia BonqDAO e a plataforma de infraestrutura criptográfica AllianceBlock foram hackeadas devido à vulnerabilidade do contrato inteligente do BonqDAO, resultando em uma perda de aproximadamente US$ 120 milhões. Nele, os hackers removeram aproximadamente 114 milhões de WALBT (US$ 11 milhões), o token nativo empacotado da AllianceBlock e 98 milhões de tokens BEUR (US$ 108 milhões) de um cofre BonqDAO. De acordo com a análise da equipe de segurança SlowMist, a causa raiz deste ataque é que o custo da garantia exigida pela cotação do oráculo é muito inferior ao lucro obtido pelo ataque, manipulando assim o mercado e liquidando outros usuários ao enviar maliciosamente preços errados. Além disso, AllianceBlock afirmou que o incidente não teve nada a ver com o cofre BonqDAO, nenhum contrato inteligente foi comprometido e ambas as equipes estão trabalhando para eliminar a liquidez para evitar que hackers convertam tokens roubados em outros ativos. Os detalhes podem ser encontrados na declaração da AllianceBlock em resposta ao hack do BonqDAO.

(https://medium.com/allianceblock/allianceblock-issues-statement-in-response-to-bonqdao-hack-6510a61fcf5c)

Ponte HTX e Heco

Em 22 de novembro de 2023, HTX (anteriormente Huobi) e sua ponte de cadeia cruzada Heco relacionada foram hackeadas, com um valor total de US$ 113,3 milhões. Sun Yuchen respondeu ao ataque no Twitter: "HTX e Heco cross-chain bridge sofreram ataque de hacker. HTX compensará totalmente a perda da carteira quente HTX. Depósitos e retiradas estão suspensos. Tenha certeza de que a comunidade, todos os fundos HTX são seguro. Estamos investigando o hacker. A causa específica do ataque será restaurada assim que concluirmos nossa investigação e determinarmos a causa."

(https://twitter.com/justinsuntron/status/1727304656622326180)

Carteira Atômica

Em 3 de junho de 2023, vários usuários da Carteira Atômica postaram nas redes sociais que seus ativos de carteira haviam sido roubados. A Atomic afirma que menos de 1% de seus usuários ativos mensais são atualmente afetados/relatados. De acordo com a análise da equipe de segurança do SlowMist, a Atomic Wallet desativou oficialmente o site de download do cloudflare e o site de verificação do sha256sum. Especula-se que pode haver um problema de segurança no processo de download de versões históricas. Os danos devem ser de pelo menos US$ 100 milhões.

Cadeia de Órbita

Em 31 de dezembro de 2023, o protocolo de ponte cross-chain Orbit Chain foi hackeado, resultando em uma perda de US$ 81,6 milhões. Orbit Chain tuitou que a equipe pediu às principais plataformas globais de negociação de criptomoedas que congelassem os ativos roubados. Em 11 de janeiro de 2024, o Twitter da Orbit Chain atualizou que emitiria uma recompensa de até US$ 8 milhões para provedores de inteligência decisivos.

(https://twitter.com/Orbit_Chain/status/1745331289098711041)

Curve Finance e eventos relacionados

Em 30 de julho de 2023, a Curve Finance tuitou que muitos pools de stablecoin (alETH/msETH/pETH) usando Vyper 0.2.15 foram atacados devido a uma falha de bloqueio recursivo. O contrato crvUSD e outros pools não são afetados. Até agora, o hack do pool de stablecoin Curve Finance causou uma perda acumulada de US$ 73,5 milhões para os pools Alchemix, JPEG'd, MeTRONomeDAO, deBridge, Ellipsis e CRV/ETH. Em 6 de agosto, a Alchemix tuitou que os hackers da Curve Finance haviam devolvido todos os fundos da Alchemix no pool da Curve. Em 19 de agosto, o MeTRONomeDAO afirmou que um bot MEV chamado “c0ffeebabe” recuperou a maior parte dos fundos roubados e os devolveu ao MeTRONome.

MoedaEx

Em 12 de setembro de 2023, a bolsa de criptomoedas CoinEx sofreu um ataque de hacker. A causa do incidente foi inicialmente determinada como o vazamento de chaves privadas de carteiras quentes. Estima-se que os danos causados ​​tenham atingido US$ 70 milhões e o impacto tenha afetado. vários blockchains. A CoinEx tuitou que identificou e colocou em quarentena endereços de carteiras suspeitos relacionados ao hack e que os serviços de depósito e retirada foram suspensos. Em 13 de setembro, a equipe de segurança do SlowMist descobriu durante o processo de análise que os hackers da CoinEx estavam relacionados aos hackers da Stake.com e os hackers da Alphapo podem ser o grupo de hackers norte-coreano Lazarus Group.

(https://twitter.com/SlowMist_Team/status/1701919426009035190)

Alfapo

Em 23 de julho de 2023, a carteira quente do provedor de serviços de pagamento de criptomoeda Alphapo foi roubada, resultando em uma perda de aproximadamente US$ 60 milhões, incluindo Ethereum, TRON e BTC. Os fundos roubados foram primeiro trocados por ETH no Ethereum e depois interligados às redes Avalanche e BTC. Alphapo lida com pagamentos de muitos serviços de jogos de azar, como HypeDrop, Bovada e Ignition. O hack provavelmente foi executado pelo Grupo Lazarus.

Resumir

Os dez principais ataques em 2023 resultaram numa perda total de aproximadamente 1,145 mil milhões de dólares, dos quais todos os fundos roubados da Euler Finance foram recuperados com sucesso, e parte dos fundos roubados foram recuperados da Curve Finance e incidentes relacionados. A equipe de segurança do SlowMist recomenda que a parte do projeto conduza uma auditoria abrangente para descobrir e reparar prontamente possíveis vulnerabilidades de segurança, estabelecer um plano de emergência sólido para responder de forma rápida e eficaz quando for atacado, divulgar proativamente e assumir a responsabilidade após a ocorrência de um incidente de segurança, e tomar medidas corretivas práticas; medidas para controlar o âmbito e o grau de impacto.

Baixe o relatório completo:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf