U nedavnom istraživačkom izvješću, Token Terminal otkriva da postoje tri temeljna uzroka defi iskorištavanja, a uklanjanje ranjivosti pametnih ugovora daleko je najizazovnije od ova tri.
Budući da je interes za decentralizirane financije naglo porastao, porastao je i hakiranja i povlačenja tepiha u segmentu s procijenjen 105 on-chain exploita koji su rezultirali krađom od gotovo 4.2 milijarde dolara iz različitih protokola.
Zanimljivo je da istraživanje otkriva da najveći hakiranja, u prosjeku, dolaze preko cross-chain mostova i novčanika središnje razmjene (CEX), dok se najčešće zlorabe agregatori prinosa i protokoli za posuđivanje.
"Najveće eksploatacije obično su u više lanaca ili na glavnim mostovima ekosustava."
FBI izdaje novo DeFi upozorenje za investitore i platforme
Tri najveća defi iskorištava do danas, Ronin Network (624 milijuna dolara), Poly Network (611 milijuna USD) i Wormhole (326 milijuna USD), sve su lančani mostovi koji dominiraju popisom najvećih podviga. Bridges je obično izgubio preko 188 milijuna dolara u svakom hakiranju, navodi se u izvješću.
Nedavno je američki Federalni istražni ured (FBI) upozorio ulagače i platforme na ove rizike u DeFi-ju u javnoj službi objava.
"Cyber kriminalci sve više iskorištavaju ranjivosti u pametnim ugovorima koji upravljaju DeFi platformama kako bi ukrali kriptovalute, zbog čega investitori gube novac", primijetila je agencija. “Cyber kriminalci nastoje iskoristiti povećani interes ulagača za kriptovalute, kao i složenost međulančane funkcionalnosti i prirodu otvorenog koda DeFi platformi.”
Suprotno tome, agregatori prinosa i protokoli za posuđivanje najčešće su ciljani sustavi napada, međutim, oni često rezultiraju manjim financijskim gubicima po napadu prema Token Terminalu. Općenito, agregatori prinosa i protokoli posudbe bili su češće zlouporabljavani, dok mostovi i CEX obično trpe najveće gubitke po iskorištavanju. Cross-chain mostovi i CEX vrući novčanici čine 2.2 milijarde dolara ukradene imovine ili preko 52% ukupnog iznosa koji je ugrožen.
Čuvanje privatnih ključeva je najjednostavniji plan spašavanja
Najčešći uzroci ovih eksploatacija grubo su kategorizirani u rupe u zakonu u pametnim ugovorima, kompromitirane privatne ključeve i lažiranje sučelja protokola. Naime, rupe u pametnim ugovorima, često povezane s brzim zajmovima i manipulacijom Oracleom, navodno čine 73% svih hakiranja od rujna 2020. No, automatizirana formalna provjera i DeFi sigurnosti revizije su dvije osnovne tehnike za upravljanje tim rizicima pametnih ugovora.
Izvješće također otkriva da su najveći hakovi, u prosjeku 91 milijun dolara svaki, uzrokovani kompromitiranim privatnim ključevima, koji se često dobivaju pokušajima spear-phishinga. Ironično, ovaj vektor napada također je moguće izbjeći boljim osiguranjem privatnih ključeva i korištenjem različitih platformi za pohranu.
Na kraju, lažiranje sučelja metoda je napada koja ide protiv određenih korisnika, a ne protiv sredstava koja protokol kontrolira, kao u slučaju iskorištavanja BadgerDAO. Obično to podrazumijeva korištenje tehnika kao što je trovanje predmemorije DNS-a kako bi se IP adresa web stranice stvarnog protokola zamijenila lažnom dvojnicom.
U međuvremenu, eksploatatori također navodno traže nove opcije sada kada je standardni način unovčavanja nezakonito stečene dobiti, putem Tornado Casha, ukinut putem sankcija. Be[In]Crypto je izvijestio da nakon kazni protiv Tornado Casha, mali, ali sve veći broj projekata decentraliziranog financiranja (DeFi), uključujući dYdX, Liquidity, GMX, Kwenta i druge, umjesto toga razvija decentralizirana sučelja (DeFe).
Uz to, FBI također preporučuje da DeFi platforme uvedu analitiku u stvarnom vremenu, nadzor i rigorozna testiranja osim razvoja odgovora na incidente kako bi se izbjegle takve eksploatacije.
Međutim, Aztec Network, an Ethereumzbirni paket koji nudi privatne transakcije korištenjem tehnologije bez znanja jedna je od mogućih zamjena za Tornado Cash prema izvješću o istraživanju.
Za Be[In]Crypto najnovije Bitcoin (BTC) analiza, kliknite ovdje.
Izjava o odricanju od odgovornosti
Svi podaci sadržani na našoj web stranici objavljeni su u dobroj namjeri i samo u opće informativne svrhe. Svaka radnja koju čitatelj poduzme na informacijama koje se nalaze na našoj web stranici strogo je na vlastiti rizik.
Izvor: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/