Σε μια πρόσφατη έκθεση έρευνας, το Token Terminal διαπιστώνει ότι υπάρχουν τρεις βασικές αιτίες Defi εκμεταλλεύσεις και η άρση των ευπαθειών των έξυπνων συμβολαίων είναι μακράν η πιο δύσκολη από τις τρεις.
Δεδομένου ότι το ενδιαφέρον για την αποκεντρωμένη χρηματοδότηση έχει εκτοξευθεί στα ύψη, το ίδιο έχουν εκτοξευθεί αμυχές και τραβήγματα στο τμήμα με ένα αναμενόμενη 105 on-chain exploits με αποτέλεσμα την κλοπή σχεδόν 4.2 δισεκατομμυρίων δολαρίων από διάφορα πρωτόκολλα.
Είναι ενδιαφέρον ότι η έρευνα διαπιστώνει ότι οι μεγαλύτερες εισβολές, κατά μέσο όρο, προέρχονται μέσω γεφυρών cross-chain και πορτοφολιών κεντρικής ανταλλαγής (CEX), ενώ οι συσσωρευτές αποδόσεων και τα πρωτόκολλα δανεισμού γίνονται πιο συχνά κατάχρηση.
«Τα μεγαλύτερα πλεονεκτήματα τείνουν να γίνονται σε πολλαπλές αλυσίδες ή σε μεγάλες γέφυρες οικοσυστήματος».
Το FBI θέτει νέα προειδοποίηση DeFi για επενδυτές και πλατφόρμες
Τα τρία μεγαλύτερα Defi κατορθώματα μέχρι σήμερα, Ronin Network (624 εκατομμύρια δολάρια), το Poly Network (611 εκατομμύρια δολάρια) και το Wormhole (326 εκατομμύρια δολάρια), είναι όλες γέφυρες cross-chain που κυριαρχούν στη λίστα με τα μεγαλύτερα κατορθώματα. Οι γέφυρες έχασαν συνήθως πάνω από 188 εκατομμύρια δολάρια σε κάθε hack, σημειώνει η έκθεση.
Πρόσφατα, το Ομοσπονδιακό Γραφείο Ερευνών των ΗΠΑ (FBI) προειδοποίησε τους επενδυτές και τις πλατφόρμες σχετικά με αυτούς τους κινδύνους στο DeFi σε μια δημόσια υπηρεσία ανακοίνωση.
«Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται όλο και περισσότερο τις ευπάθειες στα έξυπνα συμβόλαια που διέπουν τις πλατφόρμες DeFi για να κλέψουν κρυπτονομίσματα, με αποτέλεσμα οι επενδυτές να χάσουν χρήματα», σημείωσε η υπηρεσία. «Οι εγκληματίες του κυβερνοχώρου επιδιώκουν να επωφεληθούν από το αυξημένο ενδιαφέρον των επενδυτών για τα κρυπτονομίσματα, καθώς και την πολυπλοκότητα της λειτουργικότητας διασταυρούμενων αλυσίδων και τη φύση ανοιχτού κώδικα των πλατφορμών DeFi».
Αντίθετα, οι συσσωρευτές απόδοσης και τα πρωτόκολλα δανεισμού είναι τα πιο συχνά στοχευμένα συστήματα από επιθέσεις, ωστόσο, συχνά οδηγούν σε μικρότερες οικονομικές απώλειες ανά επίθεση σύμφωνα με το Token Terminal. Γενικά, οι συσσωρευτές απόδοσης και τα πρωτόκολλα δανεισμού καταχράστηκαν συχνότερα, ενώ οι γέφυρες και τα CEX συνήθως υφίστανται τις μεγαλύτερες απώλειες ανά εκμετάλλευση. Οι γέφυρες cross-chain και τα hot πορτοφόλια CEX αντιστοιχούν σε 2.2 δισεκατομμύρια δολάρια σε κλεμμένα περιουσιακά στοιχεία, ή πάνω από το 52% του συνολικού ποσού που διακυβεύτηκε.
Η ασφαλής φύλαξη των ιδιωτικών κλειδιών είναι το απλούστερο σχέδιο διάσωσης
Οι πιο συνηθισμένες αιτίες αυτών των εκμεταλλεύσεων έχουν κατηγοριοποιηθεί χονδρικά σε κενά έξυπνων συμβολαίων, παραβιασμένα ιδιωτικά κλειδιά και πλαστογράφηση του frontend πρωτοκόλλου. Συγκεκριμένα, τα κενά στα έξυπνα συμβόλαια, που συχνά σχετίζονται με δάνεια flash και χειραγώγηση μαντείου, φέρεται να αντιπροσώπευαν το 73% όλων των hack από τον Σεπτέμβριο του 2020. Ωστόσο, η αυτοματοποιημένη επίσημη επαλήθευση και το DeFi ασφάλεια Οι έλεγχοι είναι οι δύο κύριες τεχνικές για τη διαχείριση αυτών των κινδύνων έξυπνων συμβολαίων.
Η έκθεση διαπιστώνει επίσης ότι τα μεγαλύτερα hacks, κατά μέσο όρο 91 εκατομμυρίων δολαρίων το καθένα, προκαλούνται από παραβιασμένα ιδιωτικά κλειδιά, τα οποία συχνά λαμβάνονται με απόπειρες ψαρέματος με δόρυ. Κατά ειρωνικό τρόπο, αυτό το διάνυσμα επίθεσης είναι επίσης το πιο αποτρεπτικό με την καλύτερη ασφάλεια των ιδιωτικών κλειδιών και τη χρήση διαφορετικών πλατφορμών για αποθήκευση.
Τέλος, το frontend spoofing είναι μια μέθοδος επίθεσης που στρέφεται ενάντια σε συγκεκριμένους χρήστες και όχι στα κεφάλαια που ελέγχει το πρωτόκολλο, όπως στην περίπτωση του BadgerDAO. Συνήθως, αυτό συνεπάγεται τη χρήση τεχνικών όπως η δηλητηρίαση της κρυφής μνήμης DNS για την αντικατάσταση της διεύθυνσης IP του πραγματικού πρωτοκόλλου ιστότοπου με μια ψεύτικη όμοια.
Εν τω μεταξύ, οι εκμεταλλευτές φέρεται να αναζητούν νέες επιλογές τώρα που τα καθιερωμένα μέσα εξαργύρωσης των παράνομα κερδών, μέσω του Tornado Cash, έχουν σταματήσει μέσω κυρώσεων. Το Be[In]Crypto είχε αναφέρει ότι μετά τις κυρώσεις κατά του Tornado Cash, ένας μικρός αλλά αυξανόμενος αριθμός έργων αποκεντρωμένης χρηματοδότησης (DeFi), συμπεριλαμβανομένων των dYdX, Liquidity, GMX, Kwenta και άλλων, αναπτύσσουν αντ' αυτού αποκεντρωμένα frontends (DeFe).
Με αυτό, το FBI συνιστά επίσης οι πλατφόρμες DeFi να θεσμοθετούν αναλύσεις, παρακολούθηση και αυστηρές δοκιμές σε πραγματικό χρόνο, εκτός από την ανάπτυξη ανταπόκρισης σε περιστατικά για την αποφυγή τέτοιων εκμεταλλεύσεων.
Ωστόσο, το δίκτυο των Αζτέκων, ένα Ethereum-Η συνάθροιση που βασίζεται σε ιδιωτικές συναλλαγές με χρήση τεχνολογίας μηδενικής γνώσης, είναι ένα πιθανό υποκατάστατο του Tornado Cash σύμφωνα με την έκθεση έρευνας.
Για το πιο πρόσφατο Be[In]Crypto Bitcoin (BTC) ανάλυση, κάντε κλικ εδώ.
Αποποίηση ευθυνών
Όλες οι πληροφορίες που περιέχονται στον ιστότοπό μας δημοσιεύονται με καλή πίστη και μόνο για σκοπούς γενικής πληροφόρησης. Οποιαδήποτε ενέργεια αναλαμβάνει ο αναγνώστης στις πληροφορίες που βρίσκονται στον ιστότοπό μας είναι αυστηρά με δική τους ευθύνη.
Πηγή: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/