W niedawnym raporcie badawczym Token Terminal stwierdza, że istnieją trzy główne przyczyny DeFi exploity, a usuwanie luk w zabezpieczeniach inteligentnych kontraktów jest zdecydowanie największym wyzwaniem z tych trzech.
Odkąd zainteresowanie zdecentralizowanymi finansami gwałtownie wzrosło, tak samo hacki i rug pulls w segmencie ze związkiem szacunkowa 105 exploitów w sieci, które doprowadziły do kradzieży prawie 4.2 miliarda dolarów z różnych protokołów.
Co ciekawe, badanie wykazało, że największe włamania odbywają się średnio za pośrednictwem mostów międzyłańcuchowych i portfeli centralnej wymiany (CEX), podczas gdy agregatory zysków i protokoły pożyczkowe są najczęściej nadużywane.
„Największe exploity występują zwykle w wielu łańcuchach lub na głównych mostach ekosystemów”.
FBI ogłasza nowe ostrzeżenie DeFi dla inwestorów i platform
Trzy największe DeFi dotychczasowe exploity, Sieć Roninów (624 mln USD), Poly Network (611 mln USD) i Wormhole (326 mln USD) to mosty krzyżowe, które dominują na liście największych exploitów. W raporcie odnotowano, że Bridges zazwyczaj traciło ponad 188 milionów dolarów podczas każdego włamania.
Niedawno amerykańskie Federalne Biuro Śledcze (FBI) ostrzegło inwestorów i platformy przed tymi zagrożeniami w DeFi w służbie publicznej zapowiedź.
„Cyberprzestępcy coraz częściej wykorzystują luki w inteligentnych kontraktach rządzących platformami DeFi w celu kradzieży kryptowaluty, powodując utratę pieniędzy przez inwestorów” – zauważyła agencja. „Cyberprzestępcy starają się wykorzystać zwiększone zainteresowanie inwestorów kryptowalutami, a także złożoność funkcji cross-chain i otwarty charakter platform DeFi”.
Z drugiej strony, agregatory zysku i protokoły pożyczkowe są najczęściej atakowanymi systemami, jednak często powodują mniejsze straty finansowe na atak, zgodnie z terminalem Token. Ogólnie rzecz biorąc, agregatory zysku i protokoły pożyczkowe były częściej nadużywane, podczas gdy mosty i CEX zazwyczaj ponoszą największe straty na exploit. Mosty krzyżowe i gorące portfele CEX stanowią 2.2 miliarda dolarów w skradzionych aktywach, czyli ponad 52% całkowitej kwoty, która została naruszona.
Przechowywanie kluczy prywatnych to najprostszy plan ratunkowy
Najczęstsze przyczyny tych exploitów zostały z grubsza podzielone na luki w inteligentnych kontraktach, skompromitowane klucze prywatne i fałszowanie frontendu protokołu. Warto zauważyć, że luki w inteligentnych kontraktach, często związane z pożyczkami typu flash i manipulacjami wyroczni, podobno stanowiły 73% wszystkich włamań od września 2020 r. Jednak automatyczna weryfikacja formalna i DeFi bezpieczeństwo audyty to dwie podstawowe techniki zarządzania ryzykiem inteligentnego kontraktu.
Raport stwierdza również, że największe włamania, o średniej wartości 91 milionów dolarów każdy, są powodowane przez zhakowane klucze prywatne, które często są uzyskiwane za pomocą prób spear-phishingu. Jak na ironię, ten wektor ataku jest również najłatwiejszy do uniknięcia dzięki lepszemu zabezpieczeniu kluczy prywatnych i wykorzystaniu różnych platform do przechowywania.
Wreszcie, fałszowanie frontendu to metoda ataku, która jest skierowana przeciwko określonym użytkownikom, a nie funduszom kontrolowanym przez protokół, jak w przypadku exploita BadgerDAO. Zazwyczaj wiąże się to z wykorzystaniem technik, takich jak zatruwanie pamięci podręcznej DNS, w celu zastąpienia adresu IP witryny z prawdziwym protokołem fałszywym podobieństwem.
Tymczasem wyzyskiwacze podobno szukają nowych opcji teraz, gdy standardowe środki wypłaty nieuczciwie uzyskanych zysków, za pośrednictwem Tornado Cash, zostały wycofane z powodu sankcji. Be[In]Crypto zgłosiło że po nałożeniu kar na Tornado Cash niewielka, ale rosnąca liczba projektów zdecentralizowanych finansów (DeFi), w tym dYdX, Liquidity, GMX, Kwenta i inne, rozwija zamiast tego zdecentralizowane frontendy (DeFe).
W związku z tym FBI zaleca również, aby platformy DeFi wdrożyły analitykę w czasie rzeczywistym, monitorowanie i rygorystyczne testy oprócz opracowania reakcji na incydenty w celu uniknięcia takich exploitów.
Jednak Aztec Network i EthereumRollup, który oferuje prywatne transakcje przy użyciu technologii zerowej wiedzy, jest jednym z możliwych substytutów Tornado Cash, jak wynika z raportu badawczego.
Najnowsza wersja Be[In]Crypto Bitcoin Analiza (BTC), kliknij tutaj.
Odpowiedzialność
Wszystkie informacje zawarte na naszej stronie internetowej są publikowane w dobrej wierze i wyłącznie w ogólnych celach informacyjnych. Wszelkie działania podejmowane przez czytelnika w związku z informacjami znajdującymi się na naszej stronie internetowej odbywają się wyłącznie na własne ryzyko.
Źródło: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/