Взлом DAO в 2016 году: $60 миллионов украдено из-за уязвимости смарт-контракта
Взлом DAO 2016 года стал поворотным моментом в истории безопасности блокчейна. Децентрализованный венчурный фонд, построенный на Ethereum, собрал около 160 миллионов долларов в своем первоначальном предложении. Однако злоумышленники использовали критическую уязвимость в коде смарт-контракта — в частности, уязвимость повторного входа, которая позволила им многократно выводить средства через рекурсивные вызовы. Этот инцидент привел к краже эфира на сумму 60 миллионов долларов.
| Аспект | Подробности |
|--------|---------|
| Сумма украдена | 60 миллионов долларов в ETH |
| Тип уязвимости | Атака повторного входа |
| Влияние | Принудительный хардфорк Ethereum |
| Наследие | Основные вопросы о безопасности смарт-контрактов |
Последствия инцидента оказались не менее значительными, так как сообщество Ethereum столкнулось с трудным выбором. Многие приверженцы блокчейна утверждали, что "код — это закон" и что взлом просто использовал существующую функцию контракта. Несмотря на эти возражения, сообщество в конечном итоге реализовало хард-форк, эффективно откатив историю сети до атаки и позволив инвесторам вывести свои средства. Этот взлом кардинально изменил подходы к безопасности смарт-контрактов и подчеркнул важность тщательного аудита кода перед развертыванием. [Gate] пользователи и разработчики получили ценные инсайты о необходимости внедрения мер безопасности, таких как защита от повторных вызовов в смарт-контрактах.
Ошибка кошелька Parity в 2017 году заморозила $300 миллионов в Ethereum
Одним из самых разрушительных инцидентов в истории криптовалют стало событие в ноябре 2017 года, когда критическая ошибка в смарт-контракте кошелька Parity привела к тому, что примерно на сумму 300 миллионов долларов в Ethereum была навсегда заморожена. Катастрофа развернулась, когда пользователь GitHub, известный как "devops199", случайно активировал уязвимость в многоподписном коде Parity ()[wallet]. Эта ошибка в коде смарт-контракта кошелька фактически сделала средства полностью недоступными, затронув более 500 многоподписных кошельков, созданных после 20 июля 2017 года.
| Подробности инцидента с кошельком Parity | Данные |
|--------------------------------|------|
| Стоимость замороженного ETH | ~$300 миллионов |
| Количество затронутых кошельков | 584+ |
| Количество заблокированных ETH | ~1 миллион ETH |
| Дата инцидента | Ноябрь 2017 |
Техническая проблема возникла из-за неправильно закодированного смарт-контракта, использованного кошельком Parity для хранения токенов в сети Ethereum. Несмотря на то, что Parity Technologies ранее были уведомлены о потенциальных уязвимостях в их реализации мультиподписного кошелька, они не смогли должным образом защитить библиотечный смарт-контракт. Этот случай подчеркивает критическую важность тщательного аудита безопасности смарт-контрактов, особенно тех, которые отвечают за защиту значительных цифровых активов. Спустя годы, средства остаются недоступными, служа дорогим напоминанием о том, как даже небольшие ошибки в кодировании в технологии блокчейн могут привести к постоянным, необратимым финансовым последствиям.
Взломы централизованных бирж подчеркивают риски хранения на кастодиальных счетах
Централизованные криптовалютные биржи неоднократно демонстрировали врожденные уязвимости моделей кастодиального хранения через разрушительные нарушения безопасности. Инцидент с Mt. Gox в 2014 году является ярким напоминанием о том, как протоколы безопасности с единой подписью могут катастрофически потерпеть неудачу, что приводит к огромным потерям активов. Когда пользователи вносят средства на централизованные платформы, они отказываются от прямого контроля над своими приватными ключами, что вводит значительный риск контрагента, который принципиально отличается от решений по самоохранению.
| Аспект безопасности | Централизованные биржи | Кошельки с самоуправлением |
|-----------------|----------------------|---------------------|
| Контроль приватного ключа | Биржа держит ключи | Пользователь держит ключи |
| Риск контрагента | Высокий | Нет |
| Риск неплатежеспособности | Активы могут быть потеряны | Не применимо |
| Уязвимость горячего кошелька | Значительная уязвимость | Зависит от безопасности пользователя |
Отсутствие стандартизированных протоколов безопасности в отрасли усугубляет эти риски. Биржи часто полагаются на "горячие" кошельки для поддержки торговой деятельности, создавая дополнительные векторы атаки для злонамеренных лиц. Когда централизованные биржи испытывают нарушения безопасности, пользователи, как правило, не имеют возможности восстановить свои активы, как это показано на примере многочисленных провалов бирж в истории криптовалют. Упорство этих инцидентов безопасности подчеркивает важность рассмотрения альтернативных решений по хранению, которые восстанавливают контроль у индивидуальных пользователей, сохраняя при этом необходимые стандарты безопасности.
На этой странице может содержаться сторонний контент, который предоставляется исключительно в информационных целях (не в качестве заявлений/гарантий) и не должен рассматриваться как поддержка взглядов компании Gate или как финансовый или профессиональный совет. Подробности смотрите в разделе «Отказ от ответственности» .
Какие 5 самых больших уязвимостей Смарт-контрактов в истории Крипто?
Взлом DAO в 2016 году: $60 миллионов украдено из-за уязвимости смарт-контракта
Взлом DAO 2016 года стал поворотным моментом в истории безопасности блокчейна. Децентрализованный венчурный фонд, построенный на Ethereum, собрал около 160 миллионов долларов в своем первоначальном предложении. Однако злоумышленники использовали критическую уязвимость в коде смарт-контракта — в частности, уязвимость повторного входа, которая позволила им многократно выводить средства через рекурсивные вызовы. Этот инцидент привел к краже эфира на сумму 60 миллионов долларов.
| Аспект | Подробности | |--------|---------| | Сумма украдена | 60 миллионов долларов в ETH | | Тип уязвимости | Атака повторного входа | | Влияние | Принудительный хардфорк Ethereum | | Наследие | Основные вопросы о безопасности смарт-контрактов |
Последствия инцидента оказались не менее значительными, так как сообщество Ethereum столкнулось с трудным выбором. Многие приверженцы блокчейна утверждали, что "код — это закон" и что взлом просто использовал существующую функцию контракта. Несмотря на эти возражения, сообщество в конечном итоге реализовало хард-форк, эффективно откатив историю сети до атаки и позволив инвесторам вывести свои средства. Этот взлом кардинально изменил подходы к безопасности смарт-контрактов и подчеркнул важность тщательного аудита кода перед развертыванием. [Gate] пользователи и разработчики получили ценные инсайты о необходимости внедрения мер безопасности, таких как защита от повторных вызовов в смарт-контрактах.
Ошибка кошелька Parity в 2017 году заморозила $300 миллионов в Ethereum
Одним из самых разрушительных инцидентов в истории криптовалют стало событие в ноябре 2017 года, когда критическая ошибка в смарт-контракте кошелька Parity привела к тому, что примерно на сумму 300 миллионов долларов в Ethereum была навсегда заморожена. Катастрофа развернулась, когда пользователь GitHub, известный как "devops199", случайно активировал уязвимость в многоподписном коде Parity ()[wallet]. Эта ошибка в коде смарт-контракта кошелька фактически сделала средства полностью недоступными, затронув более 500 многоподписных кошельков, созданных после 20 июля 2017 года.
| Подробности инцидента с кошельком Parity | Данные | |--------------------------------|------| | Стоимость замороженного ETH | ~$300 миллионов | | Количество затронутых кошельков | 584+ | | Количество заблокированных ETH | ~1 миллион ETH | | Дата инцидента | Ноябрь 2017 |
Техническая проблема возникла из-за неправильно закодированного смарт-контракта, использованного кошельком Parity для хранения токенов в сети Ethereum. Несмотря на то, что Parity Technologies ранее были уведомлены о потенциальных уязвимостях в их реализации мультиподписного кошелька, они не смогли должным образом защитить библиотечный смарт-контракт. Этот случай подчеркивает критическую важность тщательного аудита безопасности смарт-контрактов, особенно тех, которые отвечают за защиту значительных цифровых активов. Спустя годы, средства остаются недоступными, служа дорогим напоминанием о том, как даже небольшие ошибки в кодировании в технологии блокчейн могут привести к постоянным, необратимым финансовым последствиям.
Взломы централизованных бирж подчеркивают риски хранения на кастодиальных счетах
Централизованные криптовалютные биржи неоднократно демонстрировали врожденные уязвимости моделей кастодиального хранения через разрушительные нарушения безопасности. Инцидент с Mt. Gox в 2014 году является ярким напоминанием о том, как протоколы безопасности с единой подписью могут катастрофически потерпеть неудачу, что приводит к огромным потерям активов. Когда пользователи вносят средства на централизованные платформы, они отказываются от прямого контроля над своими приватными ключами, что вводит значительный риск контрагента, который принципиально отличается от решений по самоохранению.
| Аспект безопасности | Централизованные биржи | Кошельки с самоуправлением | |-----------------|----------------------|---------------------| | Контроль приватного ключа | Биржа держит ключи | Пользователь держит ключи | | Риск контрагента | Высокий | Нет | | Риск неплатежеспособности | Активы могут быть потеряны | Не применимо | | Уязвимость горячего кошелька | Значительная уязвимость | Зависит от безопасности пользователя |
Отсутствие стандартизированных протоколов безопасности в отрасли усугубляет эти риски. Биржи часто полагаются на "горячие" кошельки для поддержки торговой деятельности, создавая дополнительные векторы атаки для злонамеренных лиц. Когда централизованные биржи испытывают нарушения безопасности, пользователи, как правило, не имеют возможности восстановить свои активы, как это показано на примере многочисленных провалов бирж в истории криптовалют. Упорство этих инцидентов безопасности подчеркивает важность рассмотрения альтернативных решений по хранению, которые восстанавливают контроль у индивидуальных пользователей, сохраняя при этом необходимые стандарты безопасности.