У нещодавньому дослідницькому звіті Token Terminal виявив, що існує три основні причини Defi експлойтів, і усунення вразливостей смарт-контрактів є, безумовно, найскладнішим із трьох.
Оскільки інтерес до децентралізованих фінансів стрімко зріс, зріс і інтерес до нього хаки та килимок тягне в сегменті з оцінка 105 мережевих експлойтів, які призвели до крадіжки майже 4.2 мільярда доларів з різних протоколів.
Цікаво, що дослідження показує, що найбільші хакерські атаки в середньому здійснюються через міжланцюгові мости та гаманці центральної біржі (CEX), тоді як найчастіше зловживають агрегаторами доходності та протоколами кредитування.
«Найбільші експлойти, як правило, відбуваються в кількох ланцюгах або на основних екосистемних мостах».
ФБР оголошує нове попередження DeFi для інвесторів і платформ
Три найбільші Defi подвиги на сьогоднішній день, Ronin Network ($624 млн), Poly Network ($611 млн) і Wormhole ($326 млн) — це міжланцюгові мости, які домінують у списку найбільших експлойтів. Як зазначається у звіті, Bridges зазвичай втрачає понад 188 мільйонів доларів за кожен злом.
Нещодавно Федеральне бюро розслідувань США (ФБР) попередило інвесторів і платформи про ці ризики в DeFi у державній службі оголошення.
«Кіберзлочинці все частіше використовують уразливості в смарт-контрактах, які керують платформами DeFi, щоб викрасти криптовалюту, змушуючи інвесторів втрачати гроші», — зазначило агентство. «Кіберзлочинці прагнуть скористатися підвищеним інтересом інвесторів до криптовалют, а також складністю крос-ланцюжкової функціональності та відкритим вихідним кодом платформ DeFi».
І навпаки, агрегатори дохідності та протоколи кредитування є найбільш часто атакуваними системами для атак, однак вони часто призводять до менших фінансових втрат за атаку відповідно до Token Terminal. Загалом агрегатори дохідності та протоколи кредитування зловживали частіше, тоді як мости та CEX зазвичай зазнають найбільших втрат за експлойт. Перехресні ланцюгові мости та гарячі гаманці CEX складають 2.2 мільярда доларів США у вигляді викрадених активів, або понад 52% від загальної суми зламаних активів.
Зберігання особистих ключів — найпростіший план порятунку
Найпоширеніші причини цих експлойтів були приблизно класифіковані на лазівки в смарт-контрактах, скомпрометовані закриті ключі та спуфінг інтерфейсу протоколу. Примітно, що лазівки в смарт-контрактах, які часто пов’язані з миттєвими позиками та маніпуляціями з оракулами, як повідомляється, спричинили 73% усіх зломів з вересня 2020 року. Але автоматизована формальна перевірка та DeFi безпеку аудити є двома основними методами управління цими ризиками смарт-контрактів.
У звіті також зазначено, що найбільші хакерські атаки, в середньому 91 мільйон доларів кожен, викликані зламаними приватними ключами, які часто отримують за допомогою спроб фішингу. За іронією долі, цього вектора атаки також найкраще уникнути, якщо краще захистити приватні ключі та використовувати різні платформи для зберігання.
Нарешті, інтерфейсний спуфінг — це метод атаки, спрямований проти конкретних користувачів, а не проти коштів, які контролює протокол, як у випадку з експлойтом BadgerDAO. Як правило, це передбачає використання таких методів, як отруєння кешу DNS, щоб замінити IP-адресу веб-сайту справжнього протоколу на фальшиву.
Тим часом, як повідомляється, експлуататори також шукають нові варіанти тепер, коли стандартний спосіб переведення в готівку незаконно отриманих доходів через Tornado Cash було припинено через санкції. Про це повідомляє Be[In]Crypto що після штрафних санкцій проти Tornado Cash невелика, але зростаюча кількість проектів децентралізованого фінансування (DeFi), включаючи dYdX, Liquidity, GMX, Kwenta та інші, замість цього розробляють децентралізовані інтерфейси (DeFe).
При цьому ФБР також рекомендує платформам DeFi запровадити аналітику в реальному часі, моніторинг і суворе тестування, окрім розробки реагування на інциденти, щоб уникнути подібних експлойтів.
Однак Aztec Network, an EthereumВідповідно до дослідницького звіту, зведений пакет, який пропонує приватні транзакції з використанням технології нульового знання, є однією з можливих замін Tornado Cash.
Для останнього Be[In]Crypto Біткойн (BTC) аналіз, натисніть тут.
відмова
Вся інформація, що міститься на нашому веб-сайті, публікується добросовісно та лише для загальної інформації. Будь-які дії, які читач вживає щодо інформації, розміщеної на нашому веб-сайті, суворо на свій страх і ризик.
Джерело: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/