Hiljutises uurimisaruandes leiab Token Terminal, et sellel on kolm algpõhjust Defi ärakasutamist ja nutikate lepingute haavatavuste eemaldamine on neist kolmest kõige keerulisem.
Kuna huvi detsentraliseeritud rahanduse vastu on hüppeliselt tõusnud, on seda ka hacks ja vaip tõmbab segmendis koos Hinnanguliselt 105 ahelasisest ärakasutamist, mille tulemuseks on peaaegu 4.2 miljardi dollari vargus erinevatest protokollidest.
Huvitaval kombel leiab uuring, et suurimad häkkimised tulevad keskmiselt ahelatevaheliste sildade ja keskbörsi (CEX) rahakottide kaudu, samas kui tulude koondajaid ja laenuprotokolle kuritarvitatakse kõige sagedamini.
"Suurimad ekspluatatsioonid kipuvad olema üle mitme ahela või suurematel ökosüsteemi sildadel."
FBI tõstatab investoritele ja platvormidele uue DeFi hoiatuse
Kolm suurimat Defi senised ärakasutused, Ronini võrgustik (624 miljonit dollarit), Poly Network (611 miljonit dollarit) ja Wormhole (326 miljonit dollarit) on kõik ahelatevahelised sillad, mis domineerivad suurimate ärakasutamiste nimekirjas. Sillad kaotasid tavaliselt iga häkkimise korral üle 188 miljoni dollari, märgiti aruandes.
Hiljuti hoiatas USA Föderaalne Juurdlusbüroo (FBI) investoreid ja platvorme avaliku teenuse DeFi riskide eest. teadaanne.
"Küberkurjategijad kasutavad üha enam DeFi platvorme reguleerivate nutikate lepingute haavatavusi, et varastada krüptoraha, põhjustades investoritel raha kaotamist," märkis agentuur. "Küberkurjategijad püüavad ära kasutada investorite suurenenud huvi krüptovaluutade vastu, samuti ahelatevahelise funktsionaalsuse keerukust ja DeFi platvormide avatud lähtekoodiga olemust."
Vastupidi, tulude koondajad ja laenuprotokollid on rünnakute kõige sagedamini suunatud süsteemid, kuid need põhjustavad sageli väiksemat rahalist kahju rünnaku kohta vastavalt Token Terminalile. Üldiselt kuritarvitati tulude koondajaid ja laenuprotokolle sagedamini, samas kui sillad ja CEX-id kannatavad tavaliselt suurima kahjumi kasutamise kohta. Ristahelate sillad ja CEX-i kuumad rahakotid moodustavad varastatud varade väärtuses 2.2 miljardit dollarit ehk üle 52% ohustatud kogusummast.
Privaatvõtmete turvaline hoidmine on lihtsaim päästeplaan
Nende ärakasutamise kõige levinumad põhjused on jämedalt jaotatud nutikate lepinguaukude, ohustatud privaatvõtmete ja protokolli kasutajaliidese võltsimise alla. Nimelt moodustasid lüngad nutikates lepingutes, mida sageli seostatakse kiirlaenude ja oraakliga manipuleerimisega, väidetavalt 73% kõigist häkkimistest alates 2020. aasta septembrist. Kuid automaatne ametlik kinnitamine ja DeFi turvalisus auditid on nende nutikate lepingutega seotud riskide juhtimise kaks peamist tehnikat.
Aruandes leitakse ka, et suurimad häkkimised, igaüks keskmiselt 91 miljonit dollarit, on põhjustatud ohustatud privaatvõtmetest, mis saadakse sageli andmepüügikatsete abil. Irooniline, et see ründevektor on ka kõige paremini välditav, kaitstes paremini privaatvõtmeid ja kasutades salvestamiseks erinevaid platvorme.
Lõpuks on esiserva võltsimine ründemeetod, mis läheb pigem konkreetsete kasutajate kui protokolli kontrollitavate vahendite vastu, nagu BadgerDAO ärakasutamise puhul. Tavaliselt tähendab see selliste tehnikate kasutamist nagu DNS-i vahemälu mürgitamine, et asendada tegeliku protokolli veebisaidi IP-aadress võltsitud sarnasega.
Samal ajal otsivad ekspluateerijad väidetavalt ka uusi võimalusi nüüd, kui tavapärased vahendid ebaseaduslikult saadud kasumite väljamaksmiseks Tornado Cashi kaudu on sanktsioonide tõttu lõpetatud. Be[In]Crypto oli teatanud et pärast Tornado Cashi vastu määratud karistusi arendab väike, kuid kasvav arv detsentraliseeritud rahastamise (DeFi) projekte, sealhulgas dYdX, Liquidity, GMX, Kwenta ja teised, selle asemel detsentraliseeritud esiserve (DeFe).
Sellega seoses soovitab FBI ka, et DeFi platvormid rakendaksid selliste ärakasutamiste vältimiseks reaalajas analüüsi, jälgimist ja rangeid katseid, välja arvatud intsidentidele reageerimise väljatöötamine.
Siiski, Aztec Network, an EthereumUuringuaruande kohaselt on Tornado Cashi üks võimalik asendaja, mis pakub privaatseid tehinguid, kasutades nullteadmiste tehnoloogiat.
Be[In]Crypto uusimate jaoks Bitcoin (BTC) analüüs, kliki siia.
Kaebused
Kogu meie veebisaidil sisalduv teave avaldatakse heas usus ja ainult üldiseks teavitamiseks. Mis tahes toimingud, mida lugeja võtab meie veebisaidil leiduva teabe põhjal, on rangelt tema enda vastutusel.
Allikas: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/