Sicherheit auf einen Blick 👀
DeFi-Exploits
- Gala Game
Am 20. Mai wurde der private Schlüssel eines Gala-Administrators gestohlen, und der Angreifer prägte 5 Milliarden GALA-Token, die er für 21 Millionen US-Dollar an Tokens auf der Blockchain tauschte. Anschließend gab ein offizieller Bericht von Gala an, dass der Einbruch einen Drittanbietervertrag betraf und interne Verfahren seither korrigiert wurden, einschließlich der Entfernung unbefugter Benutzer. Nach einer Untersuchung interner Spuren wurde die Identität des Angreifers bestätigt und die gestohlenen Vermögenswerte wurden vollständig zurückgegeben.
Offizieller Bericht: Gala News
Für Projektteams ist die Einrichtung eines notwendigen Überwachungssystems für privilegierte Operationen entscheidend. Eine unzureichende Verwaltung von privaten Schlüsseln birgt erhebliche Risiken für interne und externe Angriffe, die Administratorprivilegien oder Zugriff auf private Schlüssel erlangen. In diesem Beispiel hätte der Einsatz von Phalcon dazu beitragen können, Verluste zu vermeiden.
- Sonne Finance Vorfall
Am 14. Mai wurde Sonne Finance auf Optimism ausgenutzt, was zu einem Verlust von über 20 Millionen US-Dollar führte. Die Hauptursache war ein Präzisionsverlust in Compound V2. Obwohl das Sonne-Team sich dieses Problems bewusst war und plante, während der Marktdepotierung Liquidität hinzuzufügen, um das Problem zu vermeiden, nutzte der Angreifer eine Schwachstelle aus. Mehrere geplante Transaktionen im Timelock blieben für jeden zur Ausführung offen, und der Angreifer führte die Marktdepotierung ohne Hinzufügen von Liquidität aus und schloss damit den Exploit ab.
Wenn Sonne Phalcon verwendet hätte, hätten sie den Angriff früher erkannt und den Verlust auf 3 Millionen US-Dollar anstatt auf 20 Millionen US-Dollar begrenzt. Mehr erfahren
- TCH
Am 17. Mai wurde TSC im BSC-Netzwerk angegriffen und erlitt Verluste von über 11.000 US-Dollar aufgrund eines Signatur-Replay-Problems. Entwickler sollten mindestens drei Arten von Signatur-Malleabilität kennen:
Aufgrund der Eigenschaften von ECDSA gilt: Wenn (r, s, v) gültig ist, dann ist auch (r, secp256k1n-s, 55-v) gültig, da Ethereum's ecrecover beides zulässt. Um dies zu beheben, beschränkt die OpenZeppelin-Signaturbibliothek s auf kleiner als secp256k1n/2+1. (OpenZeppelin Contracts)
In Bezug auf den Wert von v bedeuten 0 und 27 dasselbe, ebenso wie 1 und 28, wobei 27 ein Kodierungsstandard ist. Einige Bibliotheken konvertieren 0 und 1 vor der Überprüfung in 27 und 28, aber OpenZeppelin unterstützt derzeit nur 27 und 28.
OpenZeppelin unterstützte zuvor zwei Arten von Byte-Signaturen, eine mit v als separatem Byte nach s und eine andere mit v in der höchsten Ordnung von s. (Malleable Signatures)
- TonUP
TonUP, ein Projekt auf der TON-Kette, kündigte an, dass sein Staking-Vertrag gehackt wurde und plant, Mittel für den Rückkauf von 307.264 Token bereitzustellen, um Benutzer zu entschädigen. Während neue Ökosysteme neue Möglichkeiten mit sich bringen, bergen sie auch die Bedrohung durch Hacks.
🫡 Die Angriffstransaktionen, Ursachen und PoCs der größten Angriffe im Mai sind alle in unserer Liste der Sicherheitsvorfälle zur Überprüfung aufgeführt.
Phishing
- Pink Drainer
Pink Drainer kündigte seine Schließung an und gab an, genug verdient zu haben und sich zur Ruhe setzen zu wollen. Allerdings ist das Verlassen der Szene vielleicht nicht so einfach, wie sie es sich vorstellen.
- Adressvergiftungsangriff eines Wals
Am 3. Mai wurde ein Wal Opfer eines Adressvergiftungsangriffs und verlor 1.155 WBTC im Wert von rund 70 Millionen US-Dollar. Glücklicherweise gab der Angreifer die Gelder nach hartnäckigen Bemühungen der Community zurück. Phishing-Angriffe beinhalten Social Engineering und können selbst die erfahrensten DeFi-Experten ins Visier nehmen. Bleiben Sie wachsam!
Rechtliche Schritte
Am 15. Mai gab das US-Justizministerium die Verhaftung von zwei Brüdern bekannt, die die Ethereum-Blockchain angegriffen und Kryptowährungen im Wert von 25 Millionen US-Dollar gestohlen haben. Diese Angreifer nutzten Schwachstellen im Flashbot Relay aus, um MEV-Bots anzugreifen. Dies war ein hoch entwickelter Angriff, und unsere detaillierte Analyse ist hier verfügbar.
Lesen Sie die Pressemitteilung des DOJ hier.
Blogartikel
Phalcon Virtuelle Erlebnisreise
😎 Bereit für einen KAMPF AUF LEBENS UND TODES gegen Hacker?
Wir laden Sie ein, KOSTENLOS an der "Phalcon Virtual Experience Journey" teilzunehmen.
Kämpfen Sie gegen Hacker, stellen Sie sich ECHTEN On-Chain-Angriffen und nutzen Sie unsere automatisierte Angriffsschutzplattform Phalcon, um Millionen von Vermögenswerten zu retten! Sind Sie bereit, ein Held zu sein?
MetaSuites unterstützt jetzt Solana!
Das Major Upgrade MetaSuites 5.0 führt die Unterstützung für Solana ein, fügt lokale Cross-Site-Labels hinzu und verbessert DeBank, Arkham und Merlin Scan! Klicken Sie hier, um mehr zu erfahren.
🎉🎉🎉
Wir freuen uns außerordentlich mitzuteilen, dass unser geschätzter Partner, DeFiHackLabs, einen Zuschuss von 35.000 USDT von GCC erhalten hat. Diese Finanzierung dient als anfängliches Betriebskapital und unterstützt ihre unermüdlichen Bemühungen im Bereich der Web3-Sicherheit und die Förderung weiterer Talente.
Herzlichen Glückwunsch an DeFiHackLabs zu dieser wohlverdienten Anerkennung und auf weitere bahnbrechende Erfolge gemeinsam! 👏
