Кофі Куфуор, партнёр крыптаінвестыцыі ў цяжкай вазе 1confirmation, дзеліцца падрабязным аналізам нападаў на крыптапратаколы
Кофі Куфуор прапанаваў уласную класіфікацыю нападаў на пратаколы дэцэнтралізаванага фінансавання (DeFi) і ўказаў на асноўныя ўразлівасці, якім падвяргаецца гэты турбулентны сегмент.
Чатыры асноўныя тыпы нападаў у DeFi
Згодна з яго падрабязным паведамленнем, усе атакі, якія прывялі да крадзяжу грошай з крыптапратаколаў, можна падзяліць на чатыры тыпу на аснове «стэка ўразлівасцяў».
1/ Я сабраў даныя пра ўзломы крыптапрыкладанняў больш чым на 4 мільярды долараў
У гэтай частцы я расказваю пра тое, як выконваліся ўзломы, інструменты, якія ёсць у нас, каб прадухіліць паўтарэнне гісторыі, і прагнозы на будучыню крыптабяспекіhttps://t.co/W2A9lPz69O
— Кофі (@0xKofi) Кастрычнік 6, 2022
Пры гэтым усе нядаўнія атакі праводзяцца супраць экасістэмы, пратакола, мовы смарт-кантракту або інфраструктуры. Атакі на інфраструктуру накіраваны на слабыя месцы кансенсусу, інтэрнэт-сістэмы, якія стаяць за DeFis, закрытыя ключы і гэтак далей.
Моўныя атакі смарт-кантрактаў выкарыстоўваюць недахопы дызайну моў праграмавання, якія выкарыстоўваюцца для стварэння смарт-кантрактаў. Атакі на логіку пратаколу выконваюцца з-за дрэннай бізнес-логікі і недахопаў токеномікі.
І апошняе, але не менш важнае: атакі на экасістэмы накіраваны на ўзаемадзеянне паміж рознымі пратаколамі DeFi: каб ініцыяваць атаку (або ўзмацніць яе), зламыснікі пазычаюць грошы ў аднаго пратакола і ўводзяць іх у пулы ліквіднасці іншага DeFi.
Шматланцуговыя праграмы і масты пад агнём
Атакі на экасістэмы з'яўляюцца найбольш частымі: больш за 41% усіх узломаў DeFi належаць да гэтай групы. У той жа час, калі выключыць з аналізу тры найбольш разбуральныя ўзломы (Ronin Bridge, Poly Network, BNB Chain bridge), найбольшыя страты прывялі інфраструктурныя атакі.
З узломаў экасістэм найбольш частымі з'яўляюцца атакі на флэш-пазыкі з аракуламі цэн; разнастайныя атакі на закрытыя ключы (фішынг, грубая сіла, скампраметаваныя ключы і гэтак далей) з'яўляюцца дамінуючымі ў антыінфраструктурных узломах.
Праграмы на аснове Ethereum сталі сведкамі скрадзеных сродкаў на 2 мільярды долараў. Больш за палову нападаў у 2020-2022 гадах былі накіраваны на міжсеткавыя масты і шматблокчэйн-праграмы.
Крыніца: https://u.today/over-50-of-attacks-on-defi-ecosystems-use-this-vector-researcher