V nedávnej výskumnej správe Token Terminal zistil, že existujú tri hlavné príčiny defi exploity a odstraňovanie zraniteľností smart kontraktov je zďaleka najnáročnejšie z týchto troch.
Keďže záujem o decentralizované financie prudko stúpol, stúpol aj záujem hacky a koberce ťahá v segmente s odhadované 105 on-chain exploitov, ktoré viedli ku krádeži takmer 4.2 miliardy dolárov z rôznych protokolov.
Je zaujímavé, že výskum zistil, že najväčšie hacky v priemere prichádzajú cez cross-chain mosty a peňaženky centrálnej výmeny (CEX), zatiaľ čo agregátory výnosov a požičiavacie protokoly sú najčastejšie zneužívané.
"Najväčšie využitie má tendenciu prebiehať vo viacerých reťazcoch alebo na veľkých mostoch ekosystémov."
FBI zvyšuje nové varovanie DeFi pre investorov a platformy
Tri najväčšie defi doterajšie využitie, Ronin Network (624 miliónov dolárov), Poly Network (611 miliónov dolárov) a Wormhole (326 miliónov dolárov), to všetko sú krížové mosty, ktoré dominujú zoznamu najväčších exploitov. Bridges zvyčajne stratil viac ako 188 miliónov dolárov pri každom hackovaní, uvádza správa.
Nedávno americký Federálny úrad pre vyšetrovanie (FBI) varoval investorov a platformy pred týmito rizikami v DeFi vo verejnej službe. oznámenia.
„Kybernetickí zločinci čoraz viac využívajú zraniteľné miesta v inteligentných zmluvách, ktorými sa riadia platformy DeFi, na krádež kryptomien, čo spôsobuje, že investori prichádzajú o peniaze,“ poznamenala agentúra. "Kybernetickí zločinci sa snažia využiť zvýšený záujem investorov o kryptomeny, ako aj zložitosť cross-chain funkčnosti a open source charakter platforiem DeFi."
Naopak, agregátory výnosov a požičiavacie protokoly sú najčastejšie cielené systémy útokov, avšak často vedú k menším finančným stratám na útok podľa Token Terminálu. Vo všeobecnosti boli agregátory výnosov a protokoly požičiavania zneužívané častejšie, zatiaľ čo mosty a CEX zvyčajne utrpia najväčšie straty na zneužitie. Cross-chain bridges a CEX hot wallet predstavujú 2.2 miliardy dolárov v ukradnutých aktívach, alebo viac ako 52% z celkovej ohrozenej sumy.
Bezpečné uchovávanie súkromných kľúčov je najjednoduchším záchranným plánom
Najbežnejšie príčiny týchto zneužití boli zhruba rozdelené do medzier v inteligentných zmluvách, kompromitovaných súkromných kľúčov a falšovania frontendu protokolu. Najmä medzery v inteligentných zmluvách, ktoré sú často spojené s bleskovými pôžičkami a manipuláciou veštcov, údajne predstavovali 73 % všetkých hackov od septembra 2020. Ale automatizované formálne overovanie a DeFi zabezpečenia audity sú dve primárne techniky riadenia týchto rizík inteligentnej zmluvy.
Správa tiež zistila, že najväčšie hacky, každý v priemere 91 miliónov dolárov, sú spôsobené kompromitovanými súkromnými kľúčmi, ktoré sa často získavajú pomocou spear-phishingových pokusov. Je iróniou, že tomuto vektoru útoku sa dá najviac vyhnúť lepším zabezpečením súkromných kľúčov a používaním rôznych platforiem na ukladanie.
A nakoniec, frontend spoofing je metóda útoku, ktorá ide skôr proti konkrétnym používateľom než proti prostriedkom, ktoré protokol kontroluje, ako v prípade zneužitia BadgerDAO. Zvyčajne to znamená použitie techník, ako je otrava vyrovnávacej pamäte DNS na nahradenie adresy IP webovej stránky skutočného protokolu falošnou podobou.
Medzitým vykorisťovatelia údajne tiež hľadajú nové možnosti, pretože štandardný spôsob vyplácania nezákonne získaných ziskov prostredníctvom Tornado Cash bol ukončený prostredníctvom sankcií. Be[In]Crypto informovalo že po sankciách proti Tornado Cash, malý, ale rastúci počet projektov decentralizovaných financií (DeFi), vrátane dYdX, Liquidity, GMX, Kwenta a ďalších, namiesto toho vyvíja decentralizované frontendy (DeFe).
Na základe toho FBI tiež odporúča, aby platformy DeFi zaviedli analýzu, monitorovanie a prísne testovanie v reálnom čase, okrem vývoja reakcie na incidenty, aby sa zabránilo takýmto zneužitiam.
Spoločnosť Aztec Network, an Ethereum-založená rollup, ktorá ponúka súkromné transakcie pomocou technológie s nulovými znalosťami, je jednou z možných náhrad za Tornado Cash podľa výskumnej správy.
Pre najnovšie Be[In]Crypto Bitcoin (BTC) analýza, kliknite tu.
Vylúčenie zodpovednosti
Všetky informácie uvedené na našej webovej stránke sú zverejnené v dobrej viere a iba na všeobecné informačné účely. Akékoľvek kroky, ktoré čitateľ vykoná na základe informácií nájdených na našej webovej stránke, sú výlučne na jeho vlastné riziko.
Zdroj: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/