V nedávné výzkumné zprávě Token Terminal zjistil, že existují tři hlavní příčiny DeFi exploity a odstranění zranitelností inteligentních kontraktů je zdaleka nejnáročnější ze všech tří.
Vzhledem k tomu, že zájem o decentralizované finance prudce vzrostl, vzrostl i zájem o decentralizované finance hacky a koberce v segmentu s odhadované 105 on-chain exploitů vedoucích ke krádeži téměř 4.2 miliardy dolarů z různých protokolů.
Je zajímavé, že výzkum zjistil, že největší hacky v průměru přicházejí přes cross-chain bridge a peněženky centrální výměny (CEX), zatímco agregátory výnosů a půjčovací protokoly jsou nejčastěji zneužívány.
"Největší exploatace bývají napříč několika řetězci nebo na hlavních ekosystémových mostech."
FBI vydává nové varování DeFi pro investory a platformy
Tři největší DeFi využívá k dnešnímu dni, Ronin Network (624 milionů $), Poly Network (611 milionů $) a Wormhole (326 milionů $), to vše jsou křížové mosty, které dominují seznamu největších exploitů. Bridges obvykle při každém hacku ztratil přes 188 milionů dolarů, uvádí zpráva.
Nedávno americký Federální úřad pro vyšetřování (FBI) varoval investory a platformy před těmito riziky v DeFi ve veřejné službě. oznámení.
„Kybernetičtí zločinci stále více využívají zranitelnosti v chytrých smlouvách, kterými se řídí platformy DeFi, ke krádeži kryptoměn, což způsobuje, že investoři přicházejí o peníze,“ poznamenala agentura. "Kybernetičtí zločinci se snaží využít zvýšeného zájmu investorů o kryptoměny, stejně jako složitosti cross-chain funkčnosti a open source povahy platforem DeFi."
Naopak, agregátory výnosů a výpůjční protokoly jsou systémy, na které se útoky nejčastěji zaměřují, často však vedou k menším finančním ztrátám na útok podle Token Terminálu. Obecně byly agregátory výnosů a půjčovací protokoly zneužívány častěji, zatímco mosty a CEX obvykle utrpí největší ztráty na zneužití. Cross-chain bridge a CEX hot peněženky představují 2.2 miliardy dolarů v odcizených aktivech, což je více než 52 % z celkové kompromitované částky.
Úschova soukromých klíčů je nejjednodušší záchranný plán
Nejběžnější příčiny těchto zneužití byly zhruba kategorizovány do mezer v inteligentních smlouvách, kompromitované soukromé klíče a falšování frontendu protokolu. Zejména mezery v chytrých smlouvách, často spojené s bleskovými půjčkami a manipulací orákula, údajně tvořily 73 % všech hacků od září 2020. Ale automatizované formální ověřování a DeFi zabezpečení audity jsou dvě primární techniky pro řízení těchto rizik inteligentních smluv.
Zpráva také zjistila, že největší hacky, každý v průměru 91 milionů dolarů, jsou způsobeny kompromitovanými soukromými klíči, které jsou často získávány pomocí pokusů o spear-phishing. Je ironií, že tomuto vektoru útoku se lze také nejlépe vyhnout lepším zabezpečením soukromých klíčů a používáním různých platforem pro ukládání.
A konečně, frontend spoofing je metoda útoku, která jde spíše proti konkrétním uživatelům než proti prostředkům, které protokol kontroluje, jako v případě zneužití BadgerDAO. Obvykle to znamená použití technik, jako je otrava mezipaměti DNS k nahrazení IP adresy skutečného protokolu webové stránky falešnou podobou.
Mezitím vykořisťovatelé také údajně hledají nové možnosti nyní, když byl standardní způsob vyplácení neoprávněně získaných zisků prostřednictvím Tornado Cash ukončen prostřednictvím sankcí. Be[In]Crypto informovalo že po sankcích proti Tornado Cash malý, ale rostoucí počet projektů decentralizovaného financování (DeFi), včetně dYdX, Liquidity, GMX, Kwenta a dalších, vyvíjí decentralizované frontendy (DeFe).
S tím FBI také doporučuje, aby platformy DeFi zavedly analýzu, monitorování a přísné testování v reálném čase, kromě vývoje reakce na incidenty, aby se zabránilo takovému zneužití.
Společnost Aztec Network, an Ethereum-založená rollup, která nabízí soukromé transakce pomocí technologie nulových znalostí, je jednou možnou náhradou Tornado Cash podle výzkumné zprávy.
Pro nejnovější Be[In]Crypto Bitcoin (BTC) analýza, klikněte zde.
Odmítnutí odpovědnosti
Veškeré informace obsažené na našich webových stránkách jsou publikovány v dobré víře a pouze pro obecné informační účely. Jakákoli akce, kterou čtenář provede na základě informací nalezených na našich webových stránkách, je výhradně na jeho vlastní riziko.
Zdroj: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/