Sicherheit auf einen Blick 👀
DeFi-Exploits
- Gala Game
Am 20. Mai wurde der Private Key eines Gala-Administrators gestohlen, woraufhin der Angreifer 5 Milliarden GALA-Token prägte und sie für Token im Wert von 21 Millionen US-Dollar in der Blockchain tauschte. Anschließend deutete ein offizieller Bericht von Gala an, dass die Sicherheitslücke mit einem Drittanbieter-Auftragnehmer zusammenhing und interne Verfahren, einschließlich der Entfernung nicht autorisierter Benutzer, inzwischen behoben wurden. Nach einer Untersuchung interner Spuren wurde die Identität des Angreifers bestätigt und die gestohlenen Vermögenswerte vollständig zurückgegeben.
Offizieller Bericht: Gala News
Für Projektteams ist die Einrichtung eines notwendigen Überwachungssystems für privilegierte Operationen von entscheidender Bedeutung. Eine unzureichende Verwaltung von privaten Schlüsseln birgt erhebliche Risiken für interne und externe Angriffe, die Administratorprivilegien oder Zugriff auf private Schlüssel erlangen. In diesem Beispiel hätte die Verwendung von Phalcon dazu beitragen können, Verluste zu vermeiden.
- Sonne Finance-Vorfall
Am 14. Mai wurde Sonne Finance auf Optimism ausgenutzt, was zu einem Verlust von über 20 Millionen US-Dollar führte. Die Hauptursache war ein Präzisionsverlust in Compound V2. Obwohl das Sonne-Team sich dieses Problems bewusst war und plante, beim Markt-Deployment Liquidität hinzuzufügen, um das Problem zu vermeiden, nutzte der Angreifer eine Schwachstelle aus. Mehrere geplante Transaktionen im Timelock waren für jedermann ausführbar, und der Angreifer führte das Markt-Deployment aus, ohne Liquidität hinzuzufügen, wodurch der Exploit abgeschlossen wurde.
Wenn Sonne Phalcon verwendet hätte, hätten sie den Angriff früher erkennen und den Verlust auf 3 Millionen US-Dollar anstatt auf 20 Millionen US-Dollar begrenzen können. Mehr erfahren
- TCH
Am 17. Mai wurde TSC im BSC-Netzwerk angegriffen und erlitt Verluste von über 11.000 US-Dollar aufgrund eines Signatur-Replay-Problems. Entwickler sollten sich mindestens dreier Arten von Signatur-Malleabilität bewusst sein:
Aufgrund der Eigenschaften von ECDSA ist, wenn (r, s, v) gültig ist, auch (r, secp256k1n-s, 55-v) gültig, da Ethereum's ecrecover beides erlaubt. Um dies zu beheben, beschränkt die OpenZeppelin-Signatur-Bibliothek s auf kleiner als secp256k1n/2+1. (OpenZeppelin Contracts)
Bezüglich des Wertes von v bedeuten 0 und 27 dasselbe, ebenso wie 1 und 28, wobei 27 ein Kodierungsstandard ist. Einige Bibliotheken konvertieren 0 und 1 vor der Verifizierung in 27 und 28, aber OpenZeppelin unterstützt derzeit nur 27 und 28.
OpenZeppelin unterstützte zuvor zwei Arten von Byte-Signaturen, eine mit v als separatem Byte nach s und eine andere mit v im hohen Teil von s. (Malleable Signatures)
- TonUP
Ein Projekt auf der TON-Kette, TonUP, kündigte an, dass sein Staking-Vertrag gehackt wurde. Das Projekt plant, Gelder zur Rückkaufung von 307.264 Token zu verwenden, um Benutzer zu entschädigen. Neue Ökosysteme bringen zwar neue Möglichkeiten, aber auch die Bedrohung durch Hacks mit sich.
🫡 Die Angriffstransaktionen, Ursachen und Proofs of Concept der größten Angriffe im Mai sind alle in unserer Liste der Sicherheitsvorfälle zur Überprüfung aufgeführt.
Phishing
- Pink Drainer
Pink Drainer kündigte seine Schließung an und erklärte, genug verdient zu haben und in den Ruhestand gehen zu wollen. Allerdings ist ein Ausstieg aus der Szene möglicherweise nicht so einfach, wie sie es sich vorstellen.
- Wal-Adressen-Vergiftungsangriff
Am 3. Mai wurde ein Wal Opfer eines Adressen-Vergiftungsangriffs und verlor 1.155 WBTC im Wert von rund 70 Millionen US-Dollar. Glücklicherweise gab der Angreifer die Gelder nach anhaltenden Bemühungen der Community zurück. Phishing-Angriffe beinhalten Social Engineering und können selbst die erfahrensten DeFi-Experten treffen. Bleiben Sie wachsam!
Rechtliche Schritte
Am 15. Mai kündigte das US-Justizministerium die Verhaftung zweier Brüder an, die die Ethereum-Blockchain angegriffen und Kryptowährungen im Wert von 25 Millionen US-Dollar gestohlen hatten. Diese Angreifer nutzten Schwachstellen im Flashbot Relay aus, um MEV-Bots anzugreifen. Dies war ein hochgradig ausgeklügelter Angriff, und unsere detaillierte Analyse finden Sie hier.
Lesen Sie die Pressemitteilung des DOJ hier.
Blog-Artikel
Phalcon Virtuelle Erlebnisreise
😎 Bereit für einen LEBENS-UND-TODES-Kampf gegen Hacker?
Wir laden Sie ein, kostenlos an der "Phalcon Virtuelle Erlebnisreise" teilzunehmen.
Kämpfen Sie gegen Hacker, stellen Sie sich ECHTEN On-Chain-Angriffen und nutzen Sie unsere automatisierte Angriffsschutzplattform Phalcon, um Millionen an Vermögenswerten zu retten! Sind Sie bereit, ein Held zu sein?
MetaSuites unterstützt jetzt Solana!
Das große Upgrade von MetaSuites 5.0 führt die Unterstützung für Solana ein, fügt standortübergreifende lokale Labels hinzu und verbessert DeBank, Arkham und Merlin Scan! Klicken Sie hier, um mehr zu erfahren.
🎉🎉🎉
Wir freuen uns sehr, mitteilen zu können, dass unser geschätzter Partner, DeFiHackLabs, einen Zuschuss von 35.000 USDT von GCC erhalten hat. Diese Finanzierung dient als anfängliches Betriebskapital und unterstützt ihre unermüdlichen Bemühungen im Bereich Web3-Sicherheit und die Förderung weiterer Talente.
Herzlichen Glückwunsch an DeFiHackLabs zu dieser wohlverdienten Anerkennung, und auf weitere bahnbrechende Erfolge gemeinsam! 👏
