Projekty DeFi sú napadnuté prostredníctvom exploitov Web2.
V dvoch nedávnych prípadoch boli systémy na správu značiek a názvov domén použité na ohrozenie bezpečnosti projektov DeFi.
Tímy Web3 môžu širší ekosystém chrániť tak, že budú venovať pozornosť bezpečnostným požiadavkám Web2.
Za posledných pár mesiacov sme videli množstvo projektov Web3, na ktoré sa zamerali hackeri, ktorí využívali exploity Web2 na ukradnutie stoviek tisíc dolárov z prostriedkov používateľov. Tu sa môžete poučiť z chýb iných projektov. Stojí za to sa na chvíľu zamyslieť nad týmito zraniteľnosťami Web2, aby sme mohli spolupracovať na ochrane ekosystému Web3.
Technológia blockchain spôsobila vo financiách revolúciu. Používatelia mohli priamo spravovať vlastné peniaze a investície vďaka vlastnej správe, inteligentným kontraktom a produktom Web3. V tomto meniacom sa prostredí však treba zachovávať rovnováhu medzi decentralizáciou a bezpečnosťou. Bezpečnosť je obzvlášť dôležitá, ak ide o prostriedky bežných ľudí. Vzhľadom na decentralizovanú povahu Web3 sa často kladie dôraz na zabezpečenie toho, aby protokoly blockchainu a smart kontrakty v srdci rôznych produktov a platforiem boli robustné, bezpečné a ochránené pred zneužitím.
Mnohé projekty Web3 sa však stále opierajú o rámce a technológiu Web2, aby okrem svojich základných blockchainových protokolov spúšťali ďalšie funkcie. Hackeri preto začínajú využívať zraniteľné miesta Web2 ako vektory útokov, keď chcú ukradnúť prostriedky projektu a používateľov. Jedným príkladom je zneužívanie front-endového kódu alebo systémov namiesto útokov na samotné smart kontrakty.
Aké sú exploity Web2? Ako fungujú? A čo sa s nimi dá robiť? Na tieto otázky odpovieme v tomto článku pohľadom na dva hlavné DeFi projekty, na ktoré v posledných mesiacoch zaútočili prostredníctvom exploitov Web2, KyberSwap a Curve Finance. Z týchto prípadov vyvodíme niekoľko záverov, ktoré pomôžu zabezpečiť širšiu komunitu.
Decentralizovaná burza KyberSwap utrpela 1. septembra 2022 front-endový exploit. Počas útoku sa stratilo 265 000 amerických dolárov. Čo sa teda stalo? V skratke, hackeri do Google Tag Managera (GTM) KyberSwapu nainštalovali škodlivý kód, ktorý im umožnil previesť prostriedky používateľov na ich vlastné adresy.
Google Tag Manager (GTM) — zraniteľnosť Web2
Toto je exploit Web2, pretože GTM nemá nič spoločné so smart kontraktami KyberSwap alebo funkcionalitou protokolov blockchain. GTM je skôr systém na správu značiek, ktorý pomáha pri pridávaní a aktualizácii digitálnych marketingových značiek pre veci ako sledovanie konverzií a analýzu stránok. Hackerom sa prostredníctvom phishingu podarilo získať prístup k účtu GTM spoločnosti KyberSwap, čo im následne umožnilo vložiť škodlivý kód. To umožnilo zločincom prístup k finančným prostriedkom používateľov v dôsledku napadnutého frontendu KyberSwap, čo viedlo k strate 265 000 amerických dolárov.
Script sa konkrétne zameral na veľrybie peňaženky. Sieti Kyber Network, likvidnému uzlu za burzou KyberSwap, sa podarilo deaktivovať GTM a odstrániť zlý script, čím zastavila akúkoľvek ďalšiu trestnú činnosť. Poznámka: KyberSwap oznámila, že všetky straty budú kompenzované. Ak by sa však väčšia pozornosť venovala bezpečnosti Web2, tomuto front-endovému útoku by sa dalo úplne predísť.
KyberSwap nie je jediným DeFi projektom, ktorý nedávno utrpel zneužitie front-endu. 9. augusta 2022 skupina útočníkov zneužila zraniteľnosť na decentralizovanej burze Curve Finance a ukradla z používateľských peňaženiek 570 000 USD v ethereu (ETH). Tentoraz bol front-end útok spôsobený otravou DNS cache, zraniteľnosťou, ktorá hackerom umožnila presmerovať používateľov, ktorí sa pokúšali dostať na doménu Curve Finance. Používatelia boli namiesto toho presmerovaní na falošnú kópiu stránky.
Otrava DNS cache — zraniteľnosť Web2
DNS je skratka pre domain name system (systém názvov domén). Je to jeden zo základných nástrojov, ktoré ľuďom umožňujú prehliadať internet bez námahy. Vždy, keď niekto zadá názov domény, jeho zariadenie odošle žiadosť o pridruženú IP adresu na DNS server.
Táto žiadosť zvyčajne prejde cez viacero DNS serverov, kým nenájde zodpovedajúcu adresu. Predstavte si internet ako obrovský, zložitý diaľničný systém, pričom každá cesta vedie na inú webovú stránku. Na týchto cestách fungujú DNS servery ako dopravní policajti, ktorí autá navádzajú správnym smerom.
V prípade Curve Finance hackeri vytvorili kópiu 1:1 skutočného DNS servera Curve a presmerovali používateľov na falošnú webovú stránku, ktorá vyzerala presne ako stránka projektu. To zločincom umožnilo implantovať škodlivý kontrakt na „domovskú stránku“ Curve. Keď používatelia schválili použitie kontraktu na svojich peňaženkách, z ich finančných prostriedkov bolo vytiahnutých celkom 570 000 USD.
Najväčšou lekciou je, že nezáleží na tom, aké silné sú vaše smart kontrakty, ak projekt neberie bezpečnosť Web2 rovnako vážne. Tímy sa musia zamyslieť nad medzerami, ktoré môžu existovať medzi priestormi Web2 a Web3 a prevziať väčšiu zodpovednosť za celkovú bezpečnosť projektu.
Čo sa môžeme naučiť z exploitu GTM
Napríklad v prípade KyberSwap a GTM exploitu musia tímy pamätať na použitie dvojfaktorovej autentifikácie (2FA) na ochranu pomocných nástrojov, ako sú ich účty na GTM. Projekty by tiež mali umožniť prístup k účtom, ktoré môžu nasadiť kód na ich webovú stránku podľa vlastného uváženia iba čo najnižšiemu potrebnému počtu ľudí. Vzhľadom na to, aká nebezpečná táto schopnosť je musí existovať správny systém kontroly prístupu. V Binance napríklad rozdeľujeme prístup do troch rôznych rolí: vývojár značiek, kontrolór bezpečnosti a vydavateľ. Žiaden z nich nemôže pridať nový kód webovej stránky sám, na dokončenie procesu sú potrební všetci traja.
Čo sa môžeme naučiť z exploitu DNS
Vyhnúť sa napadnutému serveru DNS bude vždy jednoduchšie ako následne odstraňovať škody. Takto dokážu bežní používatelia ochrániť svoje prostriedky:
Neklikajte na podozrivé odkazy.
Pravidelne vymazávajte svoju DNS cache.
Pravidelne vyhľadávajte škodlivé programy vo svojom zariadení.
Existujú však limity toho, čo dokážu bežný ľudia urobiť, aby sa v takejto situácii ochránili. Kompromitované DNS servery často presmerujú používateľov na identickú domovskú stránku, ktorú je takmer nemožné rozoznať od stránky, ktorú chceli zobraziť.
Zodpovednosť leží na krypto spoločnostiach. Projekty by mali zabezpečiť, aby používali bezpečného a renomovaného dodávateľa správy domén. V prípade hacku Curve Finance poznamenal na Twitteri CZ, výkonný riaditeľ Binance, že použili „nezabezpečené DNS. Web3 projekty by sa tomu mali vyvarovať. Je to veľmi náchylné na sociálne inžinierstvo.“
Tímy by sa nemali snažiť ušetriť pomocou lacného poskytovateľa DNS. Spoľahlivý dodávateľ by mal podporovať vlastné protokoly, ktoré bránia hackerom meniť nastavenia názvu domény.
Web3 ponúka obrovské množstvo príležitostí, no nemali by sme ignorovať bezpečnostné hrozby, ktoré tu boli od predchádzajúcej éry internetu. Buďme ostražití a spoločne chráňme náš ekosystém na všetkých frontoch.
