Într-un raport de cercetare recent, Token Terminal constată că există trei cauze fundamentale ale DEFI exploatările, iar eliminarea vulnerabilităților contractelor inteligente este de departe cea mai dificilă dintre cele trei.
Deoarece interesul pentru finanțele descentralizate a crescut vertiginos, la fel și hack-uri și covorașe în segment cu o estimativ 105 exploit-uri în lanț care au dus la furtul a aproape 4.2 miliarde de dolari din diferite protocoale.
În mod interesant, cercetarea constată că cele mai mari hack-uri, în medie, vin prin intermediul punților încrucișate și al portofelelor de schimb central (CEX), în timp ce agregatorii de randament și protocoalele de creditare sunt cel mai frecvent abuzate.
„Cele mai mari exploatări tind să fie pe mai multe lanțuri sau pe punți majore ale ecosistemelor.”
FBI lansează un nou avertisment DeFi pentru investitori și platforme
Cele trei cele mai mari DEFI exploatările până în prezent, Rețeaua Ronin (624 milioane USD), Poly Network (611 milioane USD) și Wormhole (326 milioane USD), sunt toate punți încrucișate care domină lista celor mai mari exploit-uri. Bridges a pierdut de obicei peste 188 de milioane de dolari la fiecare hack, se arată în raport.
Recent, Biroul Federal de Investigații al SUA (FBI) a avertizat investitorii și platformele cu privire la aceste riscuri în DeFi într-un serviciu public anunț.
„Infractorii cibernetici exploatează din ce în ce mai mult vulnerabilitățile din contractele inteligente care guvernează platformele DeFi pentru a fura criptomonede, determinând investitorii să piardă bani”, a menționat agenția. „Infractorii cibernetici caută să profite de interesul sporit al investitorilor pentru criptomonede, precum și de complexitatea funcționalității cross-chain și a naturii open source a platformelor DeFi.”
În schimb, agregatorii de randament și protocoalele de împrumut sunt sistemele cel mai frecvent vizate de atacuri, cu toate acestea, ele duc frecvent la pierderi financiare mai mici per atac conform Token Terminal. În general, agregatorii de randament și protocoalele de creditare au fost abuzate mai frecvent, în timp ce podurile și CEX-urile suferă de obicei cele mai mari pierderi per exploit. Punțile încrucișate și portofelele calde CEX reprezintă 2.2 miliarde de dolari în active furate, sau peste 52% din suma totală compromisă.
Păstrarea în siguranță a cheilor private este cel mai simplu plan de salvare
Cele mai frecvente cauze ale acestor exploit-uri au fost clasificate în general în lacune ale contractelor inteligente, chei private compromise și falsificare de front-end de protocol. În special, lacunele din contractele inteligente, asociate frecvent cu împrumuturile flash și manipularea oracolului, au reprezentat 73% din toate hackurile din septembrie 2020. Dar, verificarea formală automată și DeFi securitate Auditurile sunt cele două tehnici principale pentru gestionarea acestor riscuri ale contractelor inteligente.
Raportul mai arată că cele mai mari hack-uri, cu o medie de 91 de milioane de dolari fiecare, sunt cauzate de chei private compromise, care sunt adesea obținute prin încercări de spear-phishing. În mod ironic, acest vector de atac este și cel mai evitabil prin securizarea mai bună a cheilor private și utilizarea diferitelor platforme pentru stocare.
În cele din urmă, spoofingul frontend este o metodă de atac care merge împotriva anumitor utilizatori, mai degrabă decât a fondurilor pe care protocolul le controlează, ca în cazul exploatării BadgerDAO. De obicei, acest lucru implică utilizarea unor tehnici precum otrăvirea cache-ului DNS pentru a înlocui adresa IP a site-ului web de protocol real cu un aspect fals.
Între timp, exploatatorii caută, de asemenea, noi opțiuni acum, că mijloacele standard de a încasa câștigurile obținute ilegal, prin Tornado Cash, au fost întrerupte prin sancțiuni. Be[In]Crypto raportase că, în urma sancțiunilor împotriva Tornado Cash, un număr mic, dar în creștere de proiecte de finanțare descentralizată (DeFi), inclusiv dYdX, Liquidity, GMX, Kwenta și altele, dezvoltă în schimb front-end-uri descentralizate (DeFe).
Prin urmare, FBI recomandă, de asemenea, ca platformele DeFi să instituie analize în timp real, monitorizare și testare riguroasă, pe lângă dezvoltarea unui răspuns la incident pentru a evita astfel de exploatări.
Cu toate acestea, Aztec Network, an EthereumUn pachet complet care oferă tranzacții private folosind tehnologia fără cunoștințe este un posibil substitut pentru Tornado Cash conform raportului de cercetare.
Pentru noutățile Be[In]Crypto Bitcoin (BTC) analiza, click aici.
Declinare a responsabilităţii
Toate informațiile conținute pe site-ul nostru web sunt publicate cu bună-credință și numai în scopuri generale. Orice acțiune pe care cititorul o ia asupra informațiilor găsite pe site-ul nostru este strict pe propria răspundere.
Sursa: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/