Ο κλάδος της αποκεντρωμένης χρηματοδότησης (DeFi) έχασε πάνω από ένα δισεκατομμύριο δολάρια από χάκερ τους τελευταίους δύο μήνες και η κατάσταση φαίνεται να ξεφεύγει από τον έλεγχο.
Σύμφωνα με τα τελευταία στατιστικά στοιχεία, περίπου 1.6 δισεκατομμύρια δολάρια κρυπτονομίσματα κλάπηκαν από πλατφόρμες DeFi το πρώτο τρίμηνο του 2022. Επιπλέον, πάνω από το 90% όλων των κλοπιμαίων κρυπτονομισμάτων προέρχονται από παραβιασμένα πρωτόκολλα DeFi.
Αυτά τα στοιχεία υπογραμμίζουν μια τρομερή κατάσταση που είναι πιθανό να επιμείνει μακροπρόθεσμα εάν αγνοηθεί.
Γιατί οι χάκερ προτιμούν τις πλατφόρμες DeFi
Τα τελευταία χρόνια, οι χάκερ έχουν αυξήσει τις λειτουργίες που στοχεύουν συστήματα DeFi. Ένας κύριος λόγος για τον οποίο αυτές οι ομάδες προσελκύονται στον κλάδο είναι το τεράστιο ποσό των κεφαλαίων που διαθέτουν οι αποκεντρωμένες πλατφόρμες χρηματοδότησης. Οι κορυφαίες πλατφόρμες DeFi επεξεργάζονται δισεκατομμύρια δολάρια σε συναλλαγές κάθε μήνα. Ως εκ τούτου, οι ανταμοιβές είναι υψηλές για τους χάκερ που είναι σε θέση να πραγματοποιήσουν επιτυχημένες επιθέσεις.
Το γεγονός ότι οι περισσότεροι κωδικοί πρωτοκόλλου DeFi είναι ανοιχτού κώδικα τους καθιστά επίσης πιο επιρρεπείς σε απειλές για την ασφάλεια στον κυβερνοχώρο.
Αυτό συμβαίνει επειδή τα προγράμματα ανοιχτού κώδικα είναι διαθέσιμα για έλεγχο από το κοινό και μπορούν να ελεγχθούν από οποιονδήποτε έχει σύνδεση στο Διαδίκτυο. Ως εκ τούτου, καθαρίζονται εύκολα για κατορθώματα. Αυτή η εγγενής ιδιότητα επιτρέπει στους χάκερ να αναλύουν εφαρμογές DeFi για ζητήματα ακεραιότητας και να σχεδιάζουν εκ των προτέρων ληστείες.
Ορισμένοι προγραμματιστές DeFi συνέβαλαν επίσης στην κατάσταση, αγνοώντας σκόπιμα τις εκθέσεις ελέγχου ασφαλείας της πλατφόρμας που δημοσιεύονται από πιστοποιημένες εταιρείες κυβερνοασφάλειας. Ορισμένες ομάδες ανάπτυξης ξεκινούν επίσης έργα DeFi χωρίς να τα υποβάλλουν σε εκτενή ανάλυση ασφαλείας. Αυτό αυξάνει την πιθανότητα ελαττωμάτων κωδικοποίησης.
Ένα άλλο πρόβλημα στην πανοπλία όσον αφορά την ασφάλεια DeFi είναι η διασυνδεσιμότητα των οικοσυστημάτων. Οι πλατφόρμες DeFi συνήθως διασυνδέονται χρησιμοποιώντας διασταυρούμενες γέφυρες, οι οποίες ενισχύουν την ευκολία και την ευελιξία.
Ενώ οι cross-bridges παρέχουν βελτιωμένη εμπειρία χρήστη, αυτά τα κρίσιμα αποσπάσματα κώδικα συνδέουν τεράστια δίκτυα κατανεμημένων λογιστικών βιβλίων με διαφορετικά επίπεδα ασφάλειας. Αυτή η διαμόρφωση πολυπλεξίας επιτρέπει στους χάκερ DeFi να εκμεταλλευτούν τις δυνατότητες πολλαπλών πλατφορμών για να ενισχύσουν τις επιθέσεις σε ορισμένες πλατφόρμες. Τους επιτρέπει επίσης να μεταφέρουν γρήγορα παράνομα κεφάλαια σε πολλαπλά αποκεντρωμένα δίκτυα απρόσκοπτα.
Εκτός από τους προαναφερθέντες κινδύνους, οι πλατφόρμες DeFi είναι επίσης επιρρεπείς σε δολιοφθορές εκ των έσω.
Παραβιάσεις ασφάλειας
Οι χάκερ χρησιμοποιούν ένα ευρύ φάσμα τεχνικών για να διεισδύσουν σε ευάλωτα περιμετρικά συστήματα DeFi.
Οι παραβιάσεις ασφαλείας είναι σύνηθες φαινόμενο στον τομέα του DeFi. Σύμφωνα με στην Chainalysis του 2022 αναφορά, περίπου το 35% όλων των κλεμμένων κρυπτονομισμάτων τα τελευταία δύο χρόνια αποδίδεται σε παραβιάσεις ασφάλειας.
Πολλά από αυτά συμβαίνουν λόγω ελαττωματικού κώδικα. Οι χάκερ συνήθως αφιερώνουν σημαντικούς πόρους για την εύρεση συστημικών σφαλμάτων κωδικοποίησης που τους επιτρέπουν να πραγματοποιούν αυτούς τους τύπους επιθέσεων και συνήθως χρησιμοποιούν προηγμένα εργαλεία παρακολούθησης σφαλμάτων για να τους βοηθήσουν σε αυτό.
Μια άλλη κοινή τακτική που χρησιμοποιείται από τους παράγοντες απειλών για την αναζήτηση ευάλωτων πλατφορμών είναι ο εντοπισμός δικτύων με μη επιδιορθωμένα ζητήματα ασφάλειας που έχουν ήδη εκτεθεί αλλά δεν έχουν ακόμη εφαρμοστεί.
Οι χάκερ πίσω από την πρόσφατη επίθεση hack Wormhole DeFi που οδήγησε στην απώλεια περίπου 325 εκατομμυρίων δολαρίων σε ψηφιακά διακριτικά αναφέρεται ότι έχουν χρησιμοποιήσει αυτή τη στρατηγική. Μια ανάλυση των δεσμεύσεων κώδικα αποκάλυψε ότι μια ενημέρωση κώδικα ευπάθειας που ανέβηκε στο αποθετήριο GitHub της πλατφόρμας έγινε αντικείμενο εκμετάλλευσης πριν από την ανάπτυξη της ενημέρωσης κώδικα.
Το λάθος έδωσε τη δυνατότητα στους εισβολείς να σφυρηλατήσουν μια υπογραφή συστήματος που επέτρεπε την κοπή 120,000 κερμάτων Wrapped Ether (wETH) αξίας 325 εκατομμυρίων δολαρίων. Στη συνέχεια οι χάκερ πούλησαν το wETH για περίπου 250 εκατομμύρια δολάρια σε Ether (ETH). Τα ανταλλασσόμενα νομίσματα Ethereum προήλθαν από τα αποθεματικά διακανονισμού της πλατφόρμας, οδηγώντας έτσι σε απώλειες.
Η υπηρεσία Wormhole λειτουργεί ως γέφυρα μεταξύ των αλυσίδων. Επιτρέπει στους χρήστες να ξοδεύουν κατατεθειμένα κρυπτονομίσματα σε τυλιγμένα μάρκες σε αλυσίδες. Αυτό επιτυγχάνεται με την κοπή κουπονιών τυλιγμένων με σκουληκότρυπα, τα οποία μειώνουν την ανάγκη να ανταλλάξετε ή να μετατρέψετε απευθείας τα κατατεθέντα νομίσματα.
Flash επιθέσεις δανείων
Τα δάνεια flash είναι ακάλυπτα δάνεια DeFi που δεν απαιτούν πιστωτικούς ελέγχους. Επιτρέπουν στους επενδυτές και τους εμπόρους να δανείζονται κεφάλαια άμεσα.
Λόγω της ευκολίας τους, τα δάνεια flash χρησιμοποιούνται συνήθως για την αξιοποίηση ευκαιριών arbitrage σε συνδεδεμένα οικοσυστήματα DeFi.
Σε επιθέσεις φλας δανείου, τα πρωτόκολλα δανεισμού στοχεύονται και παραβιάζονται χρησιμοποιώντας τεχνικές χειραγώγησης τιμών που δημιουργούν τεχνητές αποκλίσεις τιμών. Αυτό επιτρέπει στους κακούς ηθοποιούς να αγοράζουν περιουσιακά στοιχεία σε εξαιρετικά μειωμένες τιμές. Οι περισσότερες επιθέσεις δανείου flash χρειάζονται λεπτά και μερικές φορές δευτερόλεπτα για να εκτελεστούν και περιλαμβάνουν πολλά διασυνδεδεμένα πρωτόκολλα DeFi.
Ένας τρόπος μέσω του οποίου οι επιτιθέμενοι χειραγωγούν τις τιμές των περιουσιακών στοιχείων είναι η στόχευση των χρησμών που μπορούν να επιτεθούν. Οι χρησμοί τιμών DeFi, για παράδειγμα, αντλούν τις τιμές τους από εξωτερικές πηγές, όπως αξιόπιστα χρηματιστήρια και εμπορικούς ιστότοπους. Οι χάκερ μπορούν, για παράδειγμα, να χειραγωγήσουν τις τοποθεσίες πηγής για να ξεγελάσουν τους χρησμούς ώστε να ρίξουν στιγμιαία την αξία των στοχευμένων επιτοκίων περιουσιακών στοιχείων, ώστε να διαπραγματεύονται σε χαμηλότερες τιμές σε σύγκριση με την ευρύτερη αγορά.
Στη συνέχεια, οι εισβολείς αγοράζουν τα περιουσιακά στοιχεία σε αποπληθωρισμένες ισοτιμίες και τα πουλούν γρήγορα στην κυμαινόμενη συναλλαγματική τους ισοτιμία. Η χρήση μοχλευμένων κουπονιών που αποκτώνται μέσω φλας δανείων τους επιτρέπει να μεγεθύνουν τα κέρδη.
Εκτός από τη χειραγώγηση των τιμών, ορισμένοι επιτιθέμενοι μπόρεσαν να πραγματοποιήσουν επεισόδια φλας με δάνεια παραβιάζοντας τις διαδικασίες ψηφοφορίας DeFi. Πιο πρόσφατα, Το Beanstalk DeFi υπέστη ζημιά 182 εκατομμυρίων δολαρίων αφού ένας εισβολέας εκμεταλλεύτηκε μια αδυναμία στο σύστημα διακυβέρνησής του.
Η ομάδα ανάπτυξης του Beanstalk είχε συμπεριλάβει έναν μηχανισμό διακυβέρνησης που επέτρεπε στους συμμετέχοντες να ψηφίσουν για αλλαγές πλατφόρμας ως βασική λειτουργικότητα. Αυτή η ρύθμιση είναι δημοφιλής στον κλάδο του DeFi επειδή προστατεύει τη δημοκρατία. Τα δικαιώματα ψήφου στην πλατφόρμα ορίστηκαν να είναι ανάλογα με την αξία των εγγενών διακριτικών που κατέχονται.
Μια ανάλυση της παραβίασης αποκάλυψε ότι οι εισβολείς έλαβαν ένα στιγμιαίο δάνειο από το πρωτόκολλο Aave DeFi για να αποκτήσουν σχεδόν 1 δισεκατομμύριο δολάρια σε περιουσιακά στοιχεία. Αυτό τους επέτρεψε να αποκτήσουν πλειοψηφία 67% στο σύστημα διακυβέρνησης ψηφοφορίας και τους επέτρεψε να εγκρίνουν μονομερώς τη μεταφορά περιουσιακών στοιχείων στη διεύθυνσή τους. Οι δράστες αποχώρησαν με περίπου 80 εκατομμύρια δολάρια σε ψηφιακά νομίσματα μετά την αποπληρωμή του δανείου και των σχετικών προσαυξήσεων.
Κέρματα κρυπτονομισμάτων αξίας περίπου 360 εκατομμυρίων δολαρίων κλάπηκαν από πλατφόρμες DeFi το 2021 χρησιμοποιώντας δάνεια flash, σύμφωνα με το Chainalysis.
Πού πάει η κλεμμένη κρυπτογράφηση;
Εδώ και πολύ καιρό, οι χάκερ χρησιμοποιούν κεντρικές ανταλλαγές για να ξεπλύνουν κλεμμένα κεφάλαια, αλλά οι εγκληματίες του κυβερνοχώρου αρχίζουν να τα εγκαταλείπουν για τις πλατφόρμες DeFi. Το 2021, κυβερνοεγκληματίες αποστέλλονται περίπου το 17% όλων των παράνομων κρυπτογράφησης σε δίκτυα DeFi, που είναι ένα σημαντικό άλμα από το 2% το 2020.
Οι ειδικοί της αγοράς θεωρούν ότι η στροφή προς τα πρωτόκολλα DeFi οφείλεται στην ευρύτερη εφαρμογή των πιο αυστηρών διαδικασιών Know Your Customer (KYC) και Anti-Money Laundering (AML). Οι διαδικασίες θέτουν σε κίνδυνο την ανωνυμία που αναζητούν οι εγκληματίες του κυβερνοχώρου. Οι περισσότερες πλατφόρμες DeFi παραιτούνται από αυτές τις κρίσιμες διαδικασίες.
Συνεργασία με τις αρχές
Οι κεντρικές ανταλλαγές συνεργάζονται επίσης, τώρα περισσότερο από ποτέ, με τις αρχές για την καταπολέμηση του εγκλήματος στον κυβερνοχώρο. Τον Απρίλιο, η ανταλλαγή Binance έπαιξε καθοριστικό ρόλο στο ανάκτηση 5.8 εκατομμυρίων δολαρίων σε κλεμμένα κρυπτονομίσματα ήταν μέρος μιας απόρριψης 625 εκατομμυρίων δολαρίων που κλάπηκε από το Axie Infinity. Τα χρήματα είχαν αρχικά σταλεί στην Tornado Cash.
Το Tornado Cash είναι μια υπηρεσία ανωνυμοποίησης διακριτικών που συγκαλύπτει την προέλευση των κεφαλαίων κατακερματίζοντας συνδέσμους στην αλυσίδα που χρησιμοποιούνται για τον εντοπισμό διευθύνσεων συναλλαγών.
Ωστόσο, ένα μέρος των κλεμμένων κεφαλαίων παρακολουθήθηκε από εταιρείες ανάλυσης blockchain στην Binance. Το loot κρατήθηκε σε 86 διευθύνσεις στο χρηματιστήριο.
Στον απόηχο του συμβάντος, ένας εκπρόσωπος του Υπουργείου Οικονομικών των Ηνωμένων Πολιτειών υπογράμμισε ότι τα ανταλλακτήρια κρυπτονομισμάτων που διαχειρίζονται χρήματα από τα κρυπτονομίσματα που περιλαμβάνονται στη μαύρη λίστα αντιμετωπίζουν κυρώσεις.
Η Tornado Cash φαίνεται επίσης να συνεργάζεται με τις αρχές για να σταματήσει τη μεταφορά κλεμμένων κεφαλαίων στο δίκτυό της. Η εταιρεία είπε ότι θα εφαρμόσει ένα εργαλείο παρακολούθησης για να βοηθήσει στον εντοπισμό και τον αποκλεισμό πορτοφολιών που έχουν τεθεί σε εμπάργκο.
Φαίνεται ότι υπάρχει κάποια πρόοδος στο κατάσχεση περιουσιακών στοιχείων από τις αρχές. Νωρίτερα φέτος, το Υπουργείο Δικαιοσύνης των ΗΠΑ ανακοίνωσε την κατάσχεση 3.6 δισεκατομμυρίων δολαρίων σε κρυπτογράφηση και συνέλαβε δύο άτομα που συμμετείχαν στο ξέπλυμα των κεφαλαίων. Τα χρήματα ήταν μέρος των 4.5 δισεκατομμυρίων δολαρίων που αποσπάστηκαν από το χρηματιστήριο κρυπτογράφησης Bitfinex το 2016.
Η κατάσχεση κρυπτονομισμάτων ήταν από τις μεγαλύτερες που έχουν καταγραφεί ποτέ.
Οι CEO της DeFi μιλούν για την τρέχουσα κατάσταση
Μιλώντας αποκλειστικά στην Cointelegraph νωρίτερα αυτή την εβδομάδα, ο Eric Chen, Διευθύνων Σύμβουλος και συνιδρυτής της Injective Labs - μια διαλειτουργική πλατφόρμα έξυπνων συμβάσεων βελτιστοποιημένη για αποκεντρωμένες εφαρμογές χρηματοδότησης - είπε ότι υπάρχει ελπίδα ότι τα προβλήματα θα υποχωρήσουν.
«Βλέπουμε ότι η παλίρροια συνεχίζει να υποχωρεί, καθώς εφαρμόζονται πιο ισχυρά πρότυπα ασφαλείας. Με τις κατάλληλες δοκιμές και τη δημιουργία περαιτέρω υποδομών ασφάλειας, τα έργα DeFi θα είναι σε θέση να αποτρέψουν κοινούς κινδύνους εκμετάλλευσης στο μέλλον», είπε.
Σχετικά με τα μέτρα που λάμβανε το δίκτυό του για να αποτρέψει επιθέσεις χάκερ, ο Τσεν παρείχε ένα περίγραμμα:
«Το Injective διασφαλίζει ένα πιο αυστηρά καθορισμένο μοντέλο ασφάλειας με επίκεντρο την εφαρμογή σε σύγκριση με τις παραδοσιακές εφαρμογές DeFi που βασίζονται σε εικονική μηχανή Ethereum. Ο σχεδιασμός του blockchain και η λογική των βασικών μονάδων προστατεύουν το Injective από κοινά exploit όπως η επανεισαγωγή, η μέγιστη εξαγώγιμη αξία και τα δάνεια flash. Οι εφαρμογές που έχουν δημιουργηθεί πάνω από το Injective μπορούν να επωφεληθούν από τα μέτρα ασφαλείας που εφαρμόζονται στο blockchain σε επίπεδο συναίνεσης».
Η Cointelegraph είχε επίσης την ευκαιρία να μιλήσει με τον Konstantin Boyko-Romanovsky, Διευθύνοντα Σύμβουλο και ιδρυτή της Allnodes -μιας πλατφόρμας φιλοξενίας και στοιχηματισμού που δεν έχει φυλάκιση- σχετικά με την αύξηση των κρουσμάτων hack. Σχετικά με τους κύριους καταλύτες πίσω από την τάση, είπε:
«Δεν υπάρχει αμφιβολία ότι θα χρειαστεί λίγος χρόνος για να μειωθεί ο κίνδυνος hacks του DeFi. Είναι απίθανο, ωστόσο, να συμβεί εν μία νυκτί. Υπάρχει μια παρατεταμένη αίσθηση ενός αγώνα στο DeFi. Όλοι φαίνεται να βιάζονται, συμπεριλαμβανομένων των ιδρυτών του έργου. Η αγορά εξελίσσεται ταχύτερα από την ταχύτητα με την οποία οι προγραμματιστές γράφουν κώδικα. Οι καλοί παίκτες που παίρνουν κάθε προφύλαξη είναι μειοψηφία».
Παρείχε επίσης κάποιες πληροφορίες σχετικά με τις διαδικασίες που θα βοηθούσαν στην αντιμετώπιση του προβλήματος:
«Ο κώδικας πρέπει να γίνει καλύτερος και τα έξυπνα συμβόλαια πρέπει να ελέγχονται διεξοδικά, αυτό είναι σίγουρο. Επιπλέον, θα πρέπει να υπενθυμίζεται συνεχώς στους χρήστες η προσεκτική εθιμοτυπία στο διαδίκτυο. Ο εντοπισμός τυχόν ελαττωμάτων μπορεί να παρακινηθεί ελκυστικά. Αυτό, με τη σειρά του, θα μπορούσε να προωθήσει μια πιο υγιεινή συμπεριφορά σε ένα συγκεκριμένο πρωτόκολλο».
Ο κλάδος του DeFi δυσκολεύεται να αποτρέψει επιθέσεις hack. Υπάρχει, ωστόσο, ελπίδα ότι η αυξημένη παρακολούθηση από τις αρχές και η μεγαλύτερη συνεργασία μεταξύ των ανταλλαγών θα συμβάλουν στον περιορισμό της μάστιγας.
Πηγή: https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide