Доповідь Інтерпретація десяти найкращих атак року

У попередній статті ми в основному інтерпретували динаміку північнокорейської хакерської групи Lazarus Group, основних фішингових груп і деяких інструментів відмивання грошей у 2023 році. Ця стаття присвячена десяти найпопулярніших атак у 2023 році.

Топ 10 атак

(10 найпопулярніших атак на безпеку в 2023 році)

змішувати

23 вересня 2023 року база даних постачальника хмарних послуг Mixin Network була атакована, що призвело до втрати деяких активів в основній мережі, що включало приблизно 200 мільйонів доларів США. Це була найдорожча атака в 2023 році. Згодом Mixin офіційно написав у Twitter, що зв’язався з Google і командою безпеки SlowMist, щоб допомогти в розслідуванні. Офіційні особи сказали, що вони виплатять до 50% збитків, а решту виплатять токенами облігацій і використають для зворотного викупу з прибутком.

(https://twitter.com/SlowMist_Team/status/1706133260869468503)

(https://twitter.com/MixinKernel/status/1706139175018529139)

Euler Finance

13 березня 2023 року протокол кредитування DeFi Euler Finance був атакований, і зловмисники отримали приблизно 197 мільйонів доларів прибутку. Відповідно до аналізу команди безпеки SlowMist, весь процес атаки зловмисника в основному використовує кошти флеш-позики для депозиту, а потім безпосередньо передає кошти на резервну адресу, щоб запустити логіку ліквідації після двох накладених позик із кредитним плечем, і, нарешті, використовує саму м’яку ліквідацію. . Вилучіть будь-які залишки коштів. Є дві основні причини атаки: перша полягає в тому, що після пожертвування коштів на резервну адресу він не перевіряє, чи вона знаходиться в стані ліквідації, що може безпосередньо запустити механізм м’якої ліквідації. Другий момент полягає в тому, що при високому рівні кредитне плече запускає логіку м’якої ліквідації. Дохідність збільшиться, так що ліквідатору потрібно лише передати собі частину зобов’язань, щоб отримати більшу частину іпотечних коштів ліквідованої сторони, оскільки вартість іпотечних коштів перевищує вартість зобов'язань (лише частина зобов'язань передається через м'яку ліквідацію), тому ліквідатор може успішно пройти власну перевірку коефіцієнта здоров'я та вивести отримані кошти. 4 квітня Euler Labs написав у Twitter, що після успішних переговорів зловмисник повернув усі кошти, вкрадені з протоколу 13 березня.

10 січня 2024 року Майкл Бентлі, генеральний директор Euler Labs, опублікував блог під назвою «Війна і мир», в якому описав передісторію, поводження та інші деталі атаки. (https://medium.com/eulerfinance/war-peace-ab2670711175)

(https://twitter.com/euler_mab/status/1745079435332550836)

Poloniex

10 листопада 2023 року біржу Poloniex зламали, завдавши збитків приблизно на 130 мільйонів доларів. Відповідно до аналізу команди безпеки SlowMist, судячи зі швидкого та професійного підходу зловмисника, припускають, що це типова атака APT, а зловмисником може бути північнокорейська хакерська організація Lazarus Group. Джастін Сан сказав: «Команда Poloniex успішно виявила та заморозила деякі активи, пов’язані з адресою хакера. Наразі збитки знаходяться під контролем. Операційний дохід Poloniex може компенсувати ці збитки, а постраждалі кошти будуть повернуті в повному обсязі».

(https://twitter.com/SlowMist_Team/status/1723006264693657708)

BonqDAO та AllianceBlock

2 лютого 2023 року платформу некастодіального кредитування BonqDAO та платформу криптоінфраструктури AllianceBlock було зламано через уразливість смарт-контракту BonqDAO, що призвело до збитків у розмірі приблизно 120 мільйонів доларів. У ньому хакери вилучили зі сховища BonqDAO приблизно 114 мільйонів WALBT (11 мільйонів доларів), загорнутий нативний токен AllianceBlock, і 98 мільйонів токенів BEUR (108 мільйонів доларів). Згідно з аналізом команди безпеки SlowMist, основною причиною цієї атаки є те, що вартість забезпечення, яке вимагає котирування Oracle, набагато нижча за прибуток, отриманий від атаки, таким чином маніпулюючи ринком і ліквідуючи інших користувачів шляхом зловмисного надсилання неправильні ціни. Крім того, AllianceBlock заявив, що інцидент не мав нічого спільного зі сховищем BonqDAO, жодні смарт-контракти не були скомпрометовані, і обидві команди працюють над ліквідацією ліквідності, щоб запобігти перетворенню хакерами вкрадених токенів на інші активи. Подробиці можна знайти в заяві AllianceBlock у відповідь на злом BonqDAO.

(https://medium.com/allianceblock/allianceblock-issues-statement-in-response-to-bonqdao-hack-6510a61fcf5c)

HTX & Heco Bridge

22 листопада 2023 року HTX (раніше Huobi) і пов’язаний з ним міжланцюговий міст Heco були зламані на загальну суму 113,3 мільйона доларів. Джастін Сан відповів на атаку в Twitter: «HTX і крос-чейн бридж Heco зазнали хакерської атаки. HTX повністю компенсує втрату гарячого гаманця HTX. Депозити та зняття призупинено. Будьте впевнені, що спільнота, усі кошти HTX безпечно. Ми розслідуємо хакера. Конкретну причину атаки буде відновлено, коли ми завершимо наше розслідування та визначимо причину».

(https://twitter.com/justinsuntron/status/1727304656622326180)

Атомний гаманець

3 червня 2023 року кілька користувачів Atomic Wallet опублікували в соціальних мережах повідомлення про викрадення активів їхніх гаманців. Atomic каже, що менше 1% їхніх щомісячних активних користувачів наразі постраждали/повідомляють. Відповідно до аналізу команди безпеки SlowMist, Atomic Wallet офіційно працює в автономному режимі як сайт для завантаження cloudflare і сайт перевірки sha256sum. Існує припущення, що під час завантаження історичних версій може виникнути проблема безпеки. Очікується, що збиток становитиме щонайменше 100 мільйонів доларів.

Орбітальний ланцюг

31 грудня 2023 року міжланцюговий мостовий протокол Orbit Chain було зламано, що призвело до збитків у розмірі 81,6 мільйона доларів США. Orbit Chain повідомила у Twitter, що команда звернулася до великих світових платформ для торгівлі криптовалютою з проханням заморозити вкрадені активи. 11 січня 2024 року Orbit Chain Twitter оновив, що виплатить винагороду в розмірі до 8 мільйонів доларів визначальним постачальникам розвідданих.

(https://twitter.com/Orbit_Chain/status/1745331289098711041)

Curve Finance та пов’язані події

30 липня 2023 року Curve Finance опублікувала твіт, що багато пулів стейблкойнів (alETH/msETH/pETH), які використовують Vyper 0.2.15, зазнали атаки через збій рекурсивного блокування. Контракт crvUSD та інші пули не впливають. Наразі злом пулу стейблкойнів Curve Finance завдав сукупних збитків у розмірі 73,5 мільйонів доларів для пулів Alchemix, JPEG'd, MeTRONomeDAO, deBridge, Ellipsis та CRV/ETH. 6 серпня Alchemix написав у Twitter, що хакери Curve Finance повернули всі кошти Alchemix у пулі Curve. 19 серпня MeTRONomeDAO заявив, що бот MEV під назвою «c0ffeebabe» повернув більшу частину вкрадених коштів і повернув їх MeTRONome.

CoinEx

12 вересня 2023 року криптовалютна біржа CoinEx зазнала хакерської атаки. Спочатку було встановлено, що причиною інциденту став витік закритих ключів гаманця, який завдав шкоди сязі 70 мільйонів доларів США кілька блокчейнів. CoinEx повідомила у Twitter, що виявила та помістила на карантин підозрілі адреси гаманців, пов’язані зі зломом, і що послуги депозиту та зняття коштів призупинено. 13 вересня команда безпеки SlowMist виявила в процесі аналізу, що хакери CoinEx були пов’язані з хакерами Stake.com, а хакери Alphapo могли бути північнокорейською хакерською групою Lazarus Group.

(https://twitter.com/SlowMist_Team/status/1701919426009035190)

Альфапо

23 липня 2023 року гарячий гаманець постачальника послуг криптовалютних платежів Alphapo було вкрадено, що призвело до збитків приблизно на 60 мільйонів доларів, включаючи Ethereum, TRON і BTC. Викрадені кошти спочатку обмінювали на ETH на Ethereum, а потім перехресно перекидали в мережі Avalanche і BTC. Alphapo обробляє платежі для багатьох азартних служб, таких як HypeDrop, Bovada та Ignition. Злом, швидше за все, здійснила Lazarus Group.

Підведіть підсумки

Десять найбільших атак у 2023 році призвели до загальних збитків приблизно в 1,145 мільярда доларів США, з яких усі викрадені кошти з Euler Finance були успішно повернуті, а частину викрадених коштів було повернуто з Curve Finance та пов’язаних інцидентів. Команда безпеки SlowMist рекомендує, щоб сторона проекту провела комплексний аудит, щоб швидко виявити та усунути потенційні вразливості безпеки, щоб швидко та ефективно реагувати на напади; проактивно розкривати та брати на себе відповідальність після виникнення інциденту безпеки та вживати практичних заходів щодо їх усунення заходи контролю за обсягом і ступенем впливу.

Завантажити повний звіт:

https://www.slowmist.com/report/2023-Blockchain-Security-and-AML-Annual-Report(CN).pdf