5 инцидентов безопасности, связанных с сетями DAG, и как защитить себя

Направленные ациклические графы (DAG) стали многообещающей альтернативой технологии блокчейн. В отличие от блокчейнов, DAG могут похвастаться уникальной структурой, в которой транзакции связаны направленным, нециклическим образом, с новыми способами достижения консенсуса. Это нововведение обещает более высокую скорость транзакций и более высокую децентрализацию, что делает их привлекательным выбором для криптоэнтузиастов. Однако они могут столкнуться со своими собственными проблемами безопасности.

В конце концов, существуют программы вознаграждения за обнаружение ошибок не просто так. Однако на данный момент можно сказать, что ни одна структура DAG не была взломана. С другой стороны, связанные с ними услуги, такие как социальные сети и даже смарт-контракты, — это совсем другая история. Киберпреступники будут атаковать наиболее уязвимые точки, обычно за пределами самой группы обеспечения доступности баз данных, но в любом случае нацелены на ее пользователей.

Далее мы углубимся в некоторые атаки с участием платформ DAG и расскажем о пяти случаях, когда связанные с ними службы становились жертвами попыток взлома. Кроме того, мы рассмотрим стратегии и лучшие практики, позволяющие защититься от таких угроз. Независимо от того, являетесь ли вы опытным инвестором или новичком, понимание эти проблемы необходим для защиты ваших цифровых активов во все более сложной криптоэкосистеме.

Нано + БитГраиль

В 2018 году мир криптовалют стал свидетелем серьезного нарушения безопасности, связанного с итальянской биржей криптовалют BitGrail и цифровой валютой Nano (ранее известной как Raiblocks). Эта валюта использует реестр, структурированный как DAG (точнее, блочная решетка), а ее система консенсуса очень похожа на блокчейн Proof-of-Stake (PoS).

Инцидент началось, когда BitGrail сообщил о пропаже значительного количества токенов Nano на своей платформе. Основатель биржи Франческо Фирано заявил, что взлом привел к краже примерно 17 миллионов токенов Nano, что на тот момент эквивалентно примерно 170 миллионам долларов.

Последствия взлома BitGrail ознаменовались спорным спором между руководством биржи и командой разработчиков Nano. Первоначально Фирано предположил, что за уязвимость ответственен код Nano, обвинив в краже разработчиков. Он потребовал от команды Nano провести спорный форк (обновление) (чтобы стереть взлом), но они отказались.

Дополнительные расследования позже показали, что меры безопасности и внутренний контроль BitGrail были неадекватными, что привело к компрометации средств пользователей. Действительно, взлом произошел как раз вовремя, чтобы увидеть рост цен на Nano, а Фирано скрыл, что взломы происходили с 2017 года. BitGrail и Фирано получили как минимум два коллективных иска и, в конечном итоге, Фирано был признан непосредственным виновником нападения.

В данном случае группа DAG не подверглась атаке, но пользователи доверяли не той компании. На централизованных биржах у вас нет закрытых ключей к вашим средствам. Вместо этого предоставляется только учетная запись с паролем, а средства находятся под полным хранением (контролем) этой компании. Если они проиграют (взломы, банкротство и т. д.), то проиграете и вы. Вот почему важно не использовать биржи в качестве постоянных кошельков.

ЙОТА + Мунпей

IOTA — это криптовалютная платформа, которая использует технологию направленного ациклического графа (DAG) для обеспечения более быстрых транзакций и ориентирована на сектор Интернета вещей (IoT). В отличие от блокчейнов, Tangle DAG от IOTA позволяет пользователям проверять транзакции, подтверждая другие, но для достижения консенсуса существует конечный узел-координатор. От него намерены (с 2016 года) избавиться, но пока координатор контролируется IOTA Foundation, а сеть централизована.

Это было убедительно доказано в феврале 2020 года, когда вся сеть была заморожена координатором после серьезного взлома. Тогда хакеры украли 8,5 миллионов собственных токенов IOTA MIOTA непосредственно у пользователей — примерно 2 миллиона долларов на тот момент. ЙОТА кошелек Тринити произошло нарушение безопасности из-за сторонней зависимости от Moonpay (сервиса криптовалютных платежей), который поставил под угрозу исходные данные кошелька пользователей, загрузив незаконные версии Moonpay SDK с серверов Moonpay.

Киберпреступник ждал новой версии Trinity, которая сможет перезаписывать кэшированные файлы и устранять следы. Фонд IOTA принял немедленные меры, включая остановку координатора и создание плана управления инцидентами с общедоступными обновлениями статуса. Атака включала перехват DNS, модификацию кода и неправильное использование ключа API.

IOTA отреагировала на это разработкой инструментов миграции для пострадавших пользователей, усовершенствованием аналитических инструментов и сотрудничеством с экспертами по безопасности и правоохранительными органами. Trinity больше не используется, а MoonPay сотрудничал с ними, чтобы решить проблему. Итак, опять же, это был не взломанный DAG, а связанный с ним внешний сервис.

Хедера Хэшграф

Hedera Hashgraph — это система распределенного реестра, которая использует направленные ациклические графы (DAG) для достижения консенсуса. В Хедере протокол сплетен , узлы делятся друг с другом новой информацией, постепенно достигая консенсуса посредством нескольких раундов обмена. Эта история событий обмена информацией представлена в виде хэшграфа — типа DAG. Эта система запатентована, но она не безошибочна.

9 марта 2023 года сеть Hedera Hashgraph пал жертвой к эксплойту смарт-контракта, приводящему к краже различных токенов с децентрализованных бирж (DEX), таких как Pangolin, SaucerSwap и HeliSwap. Учетные записи розничных пользователей и кошельки Hedera остались незатронутыми, но злоумышленнику удалось украсть токены на сумму почти 600 000 долларов США. В их число вошли DAI Stablecoin, Tether USD, USD Coin и Wrapped HBAR.

Для смягчения атаки были приняты срочные меры. DEX и мосты объединили усилия, чтобы остановить поток токенов через мост в течение часа после получения предупреждения о взломе. Команда Hedera отключила прокси-доступ к основной сети Hedera (благодаря тому, что сеть централизована, как IOTA), предотвратив дальнейший доступ пользователей и злоумышленника. Исправление было быстро разработано, протестировано и внедрено в течение 41 часа с момента обнаружения уязвимости.

В отличие от предыдущих атак на другие группы обеспечения доступности баз данных, на этот раз фактически была скомпрометирована собственная система, а именно ее уровень смарт-контрактов. Команда быстро приняла меры, чтобы смягчить ситуацию.

Суй Сеть + Дискорд

Sui Network — это распределенный реестр, запущенный в мае 2023 года. Он разделяет транзакции на простые (например, отправка денег) и сложные (например, онлайн-аукционы). Простые транзакции не требуют консенсуса, но сложные транзакции использовать валидаторы Proof-of-Stake (PoS) и высокопроизводительный протокол консенсуса на основе DAG под названием Bullshark.

Эта сеть доказала, что профилактика важна, особенно когда речь идет о новых технологиях. Незадолго до выпуска основной сети охранная фирма CertiK обнаружила в системе критическую ошибку. Уязвимость заключалась в ошибке бесконечного цикла в коде Суи, которая могла быть вызвана вредоносным смарт-контрактом. Этот тип атаки, известный как «атака HamsterWheel», не приводит к сбою узлов, а вместо этого заставляет их работать бесконечно без обработки новых транзакций, что делает сеть неработоспособной.

Как только ошибка был идентифицирован Разработчики Sui быстро внедрили исправления, чтобы смягчить его воздействие, и CertiK подтвердила, что эти исправления уже развернуты. Фонд Sui наградил CertiK 500 000 долларов в качестве вознаграждения за обнаружение ошибок. Однако это была не единственная угроза, с которой столкнулась эта платформа.

Еще до потенциальной ошибки, в августе 2022 года, сервер Discord компании Mysten Labs (создатели Sui) был взломан. Объявление было опубликовано в Твиттере , где несколько пользователей пожаловались на потерю средств из-за события. В инциденте хакеры поделились ссылкой на предполагаемую раздачу на канале объявлений сервера. С тех пор они усилили процессы безопасности и проверки в чате.

Лавина + DeFi

Avalanche — еще один криптопротокол, который использует структуры DAG вместо блокчейнов. Он включает в себя разные цепочки : цепочка контрактов (C-Chain) для смарт-контрактов, цепочка обмена (X-Chain) для быстрых переводов средств с низкими комиссиями и цепочка платформ (P-Chain) для ставок и вознаграждений. В частности, X-Chain использует технологию DAG для достижения высокой пропускной способности и быстрой завершения транзакций.

Несколько протоколов DeFi, основанных на Avalanche, за последние годы подверглись серьезным атакам. Первый громкий взлом произошел против кредитной платформы Ви Финанс в сентябре 2021 года. Атака произошла потому, что они полагались на единственный источник информации о ценах (оракул), и этот источник не обрабатывал десятичные точки должным образом. Это позволило злоумышленнику манипулировать ценами и совершать сделки с парами, которыми не предполагалось торговать.

Это привело к несанкционированному выводу 8804,7 ETH и 213,93 BTC (около 36 миллионов долларов на тот момент). Впоследствии токены были подключены к Ethereum и остались во владении злоумышленника. Vee Finance приостановила контракты платформы и связанные с ней функции (что продемонстрировало, что платформа не настолько децентрализована, как подразумевает термин DeFi), активно предпринимая усилия по восстановлению активов. Однако это было не все для Avalanche. Со временем придут новые атаки.

В феврале 2023 года снова были взломаны еще два протокола DeFi: многоцепочный агрегатор Dexible и DEX Platypus. В первом случае Злоумышленник использовал функцию selfSwap приложения, чтобы переместить криптовалюту на сумму более 2 миллионов долларов от пользователей, которые разрешили приложению доступ к своим токенам. Dexible приостановила свои контракты и посоветовала пользователям отозвать авторизацию токенов.

Во втором случае Утконос потерялся 8,5 миллионов долларов в результате мгновенной кредитной атаки. Хакер воспользовался контрактами активов протокола, используя вредоносный смарт-контракт с непроверенным исходным кодом. Теперь о трех случаях можно сказать, что некоторые ошибки ускользнули от разработчиков DeFi с самого начала, что привело к потере средств.

Защитите себя от рисков DAG

Для обычных пользователей платформ направленного ациклического графа (DAG) для снижения рисков можно применить несколько ключевых мер безопасности и защиты:

• Используйте надежные сервисы. Прежде чем использовать какие-либо сторонние сервисы, такие как кошельки или биржи, проведите исследование, чтобы убедиться, что они имеют хорошую репутацию в плане безопасности. Кроме того, не оставляйте большие суммы криптовалюты на биржах на длительный период времени.
• Защитите свои личные ключи. Если у вас есть кошельки, которые дают вам контроль над вашими личными ключами, используйте их. Это означает, что вы имеете прямой контроль над своими средствами. Холодные кошельки обеспечивают дополнительный уровень безопасности.

• Используйте надежные пароли и включите 2FA. При работе с любыми учетными записями, связанными с криптовалютой, используйте надежные и уникальные пароли. Рассмотрите возможность использования надежного менеджера паролей, чтобы обеспечить их безопасность. По возможности включите двухфакторную аутентификацию (2FA) в своих учетных записях.

  
  

• Будьте в курсе: будьте в курсе последних новостей и событий, касающихся платформы DAG, которую вы используете. Понимание потенциальных уязвимостей может помочь вам принять превентивные меры.
• Остерегайтесь фишинга. Будьте осторожны с фишинговыми электронными письмами, сообщениями или веб-сайтами, целью которых является украсть ваши данные для входа или закрытые ключи. Всегда дважды проверяйте URL-адреса и источники.

• Регулярно проверяйте разрешения. Для приложений или служб, которые запрашивают разрешение на доступ к вашему кошельку или токенам, проверяйте и отзывайте эти разрешения, когда они больше не нужны.

• Диверсифицируйте свои инвестиции. Не помещайте все свои активы в одну криптовалюту или платформу. Диверсификация может помочь распределить риски.

  
  

До сих пор Obyte (также платформа крипто-DAG) не пострадала от громкого взлома своей системы или связанных с ней сервисов. Однако это не означает, что они невосприимчивы к атакам. Программа вознаграждения за ошибки активно работает на Immunefi, предлагая высокие награды опытным разработчикам. Однако всегда важно применять лучшие меры безопасности на свой кошелек и проведите собственное исследование для каждой платформы!

Рекомендованное векторное изображение от Фрипик