У нядаўнім даследчым дакладзе Token Terminal знаходзіць тры асноўныя прычыны Defi эксплойты, і выдаленне ўразлівасцяў смарт-кантрактаў на сённяшні дзень з'яўляецца самай складанай з трох.
З таго часу, як цікавасць да дэцэнтралізаваных фінансаў рэзка ўзрасла, таксама выраслі хакі і дыван цягне ў сегменце з адзнака 105 эксплойтаў у ланцужку, якія прывялі да крадзяжу амаль 4.2 мільярда долараў з розных пратаколаў.
Цікава, што даследаванне паказвае, што найбольш буйныя ўзломы ў сярэднім адбываюцца праз крос-ланцуговыя масты і кашалькі цэнтральнай біржы (CEX), у той час як агрэгатары прыбытковасці і пратаколы крэдытавання часцей за ўсё злоўжываюць.
«Найбуйнейшыя эксплойты, як правіла, адбываюцца ў некалькіх ланцужках або на асноўных экасістэмных мастах».
ФБР выстаўляе новае папярэджанне DeFi для інвестараў і платформаў
Тры найбуйнейшыя Defi эксплойты на сённяшні дзень, Ronin Network ($624 мільёны), Poly Network (611 мільёнаў долараў) і Wormhole (326 мільёнаў долараў) — гэта перакрыжаваныя ланцуговыя масты, якія дамінуюць у спісе найбуйнейшых эксплойтаў. Брыджы звычайна губляюць больш за 188 мільёнаў долараў пры кожным узломе, адзначаецца ў справаздачы.
Нядаўна Федэральнае бюро расследаванняў ЗША (ФБР) папярэдзіла інвестараў і платформы аб гэтых рызыках у DeFi у дзяржаўнай службе аб'яву.
«Кіберзлачынцы ўсё часцей выкарыстоўваюць уразлівасці ў смарт-кантрактах, якія рэгулююць платформы DeFi, каб скрасці криптовалюту, у выніку чаго інвестары губляюць грошы», - адзначыла агенцтва. «Кіберзлачынцы імкнуцца скарыстацца павышанай цікавасцю інвестараў да крыптавалют, а таксама складанасцю крос-ланцуговай функцыянальнасці і адкрытым зыходным кодам платформаў DeFi».
І наадварот, агрэгатары прыбытковасці і пратаколы крэдытавання з'яўляюцца сістэмамі, якія часцей за ўсё падвяргаюцца атакам, аднак яны часта прыводзяць да меншых фінансавых страт за атаку ў адпаведнасці з тэрміналам токенаў. У цэлым агрэгатары прыбытковасці і пратаколы крэдытавання злоўжывалі часцей, у той час як брыджы і CEX звычайна нясуць найбольшыя страты за эксплойт. Межланцуговыя масты і гарачыя кашалькі CEX складаюць 2.2 мільярда долараў скрадзеных актываў, або больш за 52% ад агульнай сумы скампраметаваных.
Захаванне прыватных ключоў - самы просты план выратавання
Найбольш частыя прычыны гэтых эксплойтаў былі груба падзелены на шчыліны ў смарт-кантрактах, скампраметаваныя закрытыя ключы і спуфінг інтэрфейсу пратакола. Характэрна, што шчыліны ў смарт-кантрактах, часта звязаныя з флэш-пазыкамі і маніпуляцыямі з аракуламі, як паведамляецца, прывялі да 73% усіх узломаў з верасня 2020 г. Але аўтаматызаваная фармальная праверка і DeFi бяспеку аўдыт - два асноўныя метады кіравання гэтымі рызыкамі смарт-кантрактаў.
Справаздача таксама паказвае, што найбольш буйныя ўзломы, у сярэднім 91 мільён долараў кожны, выкліканы ўзламанымі прыватнымі ключамі, якія часта здабываюцца з дапамогай спроб фішынгу. Па іроніі лёсу, гэты вектар атакі таксама найбольш магчымы, каб лепш абараніць закрытыя ключы і выкарыстоўваць розныя платформы для захоўвання.
І, нарэшце, інтэрфейсны спуфінг - гэта метад атакі, які накіраваны супраць канкрэтных карыстальнікаў, а не супраць сродкаў, якімі кантралюе пратакол, як у выпадку з эксплойтам BadgerDAO. Як правіла, гэта цягне за сабой выкарыстанне такіх метадаў, як атручэнне кэша DNS, каб замяніць IP-адрас вэб-сайта з рэальным пратаколам на фальшывы двайнік.
Між тым, як паведамляецца, эксплуататары таксама шукаюць новыя варыянты цяпер, калі стандартны спосаб абнаявіць незаконна атрыманых даходаў праз Tornado Cash быў спынены праз санкцыі. Пра гэта паведамляе Be[In]Crypto што пасля штрафных санкцый супраць Tornado Cash невялікая, але расце колькасць праектаў дэцэнтралізаванага фінансавання (DeFi), у тым ліку dYdX, Liquidity, GMX, Kwenta і іншыя, распрацоўваюць замест гэтага дэцэнтралізаваныя інтэрфейсы (DeFe).
У сувязі з гэтым ФБР таксама рэкамендуе платформам DeFi увесці аналітыку ў рэжыме рэальнага часу, маніторынг і дбайнае тэсціраванне, акрамя распрацоўкі мер рэагавання на інцыдэнты, каб пазбегнуць такіх эксплойтаў.
Аднак Aztec Network, an ЭфириумаАб'яднанне, якое прапануе прыватныя транзакцыі з выкарыстаннем тэхналогіі нулявых ведаў, з'яўляецца адной з магчымых замен Tornado Cash, згодна з даследчай справаздачай.
Для Be[In]Crypto апошняе Bitcoin Аналіз (BTC), Клікніце тут.
адмова
Уся інфармацыя, размешчаная на нашым сайце, публікуецца добрасумленна і мае толькі агульны інфармацыйны характар. Любыя дзеянні, якія чытач ужывае з інфармацыяй, размешчанай на нашым сайце, строга на свой страх і рызыка.
Крыніца: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/