V nedavnem raziskovalnem poročilu Token Terminal ugotavlja, da obstajajo trije glavni vzroki za Defi izkorišča, odstranjevanje ranljivosti pametnih pogodb pa je daleč najzahtevnejše od treh.
Ker je zanimanje za decentralizirane finance skokovito naraslo, se je povečalo tudi vdori in vlečenje preprog v segmentu s ocenjeni 105 izkoriščanj v verigi, ki so povzročili krajo skoraj 4.2 milijarde dolarjev iz različnih protokolov.
Zanimivo je, da raziskava ugotavlja, da največji vdori v povprečju pridejo prek medverižnih mostov in denarnic centralne borze (CEX), medtem ko so zbiralniki donosov in protokoli posojanja najpogosteje zlorabljeni.
"Največji podvigi so običajno v več verigah ali na glavnih mostovih ekosistemov."
FBI izda novo opozorilo DeFi za vlagatelje in platforme
Trije največji Defi izkorišča do danes, Ronin Network (624 milijonov dolarjev), Poly Network (611 milijonov USD) in Wormhole (326 milijonov USD) so medverižni mostovi, ki prevladujejo na seznamu največjih podvigov. Bridges je običajno izgubil več kot 188 milijonov dolarjev pri vsakem vdoru, ugotavlja poročilo.
Pred kratkim je ameriški Zvezni preiskovalni urad (FBI) vlagatelje in platforme opozoril na ta tveganja v DeFi v javni storitvi Objava.
"Kiber kriminalci vedno bolj izkoriščajo ranljivosti v pametnih pogodbah, ki urejajo platforme DeFi, za krajo kriptovalute, zaradi česar vlagatelji izgubljajo denar," ugotavlja agencija. "Kiber kriminalci želijo izkoristiti povečano zanimanje vlagateljev za kriptovalute, pa tudi kompleksnost medverižne funkcionalnosti in odprtokodne narave platform DeFi."
Nasprotno pa so agregatorji donosa in protokoli posojanja najpogosteje napadeni sistemi, vendar pogosto povzročijo manjše finančne izgube na napad glede na terminal žetonov. Na splošno so bili agregatorji donosa in protokoli posojanja zlorabljeni pogosteje, medtem ko mostovi in CEX običajno utrpijo največje izgube na izkoriščanje. Mostovi navzkrižnih verig in vroče denarnice CEX predstavljajo 2.2 milijarde dolarjev ukradenih sredstev ali več kot 52 % celotnega ogroženega zneska.
Varnost zasebnih ključev je najenostavnejši načrt reševanja
Najpogostejši vzroki za ta izkoriščanja so v grobem razvrščeni v vrzeli v pametnih pogodbah, ogrožene zasebne ključe in ponarejanje vmesnika protokola. Zlasti vrzeli v pametnih pogodbah, ki so pogosto povezane s hitrimi posojili in manipulacijo z orakli, naj bi predstavljale 73 % vseh vdorov od septembra 2020. Toda avtomatizirano uradno preverjanje in DeFi varnost revizije sta dve glavni tehniki za obvladovanje teh tveganj pametnih pogodb.
Poročilo tudi ugotavlja, da so največji vdori, v povprečju 91 milijonov dolarjev vsak, povzročeni z ogroženimi zasebnimi ključi, ki se pogosto pridobijo s poskusi lažnega predstavljanja. Ironično je, da se je temu vektorju napadov tudi najlaže izogniti z boljšo zaščito zasebnih ključev in uporabo različnih platform za shranjevanje.
Nazadnje, ponarejanje na sprednji strani je metoda napada, ki je usmerjena proti določenim uporabnikom in ne proti sredstvom, ki jih nadzoruje protokol, kot v primeru izkoriščanja BadgerDAO. Običajno to vključuje uporabo tehnik, kot je zastrupitev predpomnilnika DNS, za zamenjavo IP-naslova spletnega mesta pravega protokola z lažnim podobnim.
Medtem izkoriščevalci menda iščejo nove možnosti zdaj, ko je bil standardni način unovčevanja nezakonito pridobljenih dobičkov prek Tornado Cash prek sankcij opuščen. Be[In]Crypto je poročal da po kaznih zoper Tornado Cash majhno, a naraščajoče število projektov decentraliziranega financiranja (DeFi), vključno z dYdX, Liquidity, GMX, Kwenta in drugimi, namesto tega razvijajo decentralizirane vmesnike (DeFe).
S tem FBI tudi priporoča, da platforme DeFi uvedejo analitiko v realnem času, spremljanje in strogo testiranje, poleg razvoja odziva na incidente, da bi se izognili takšnim izkoriščanjem.
Vendar pa Aztec Network, an EthereumPoročilo o raziskavi je eden od možnih nadomestkov za Tornado Cash, ki ponuja zasebne transakcije z uporabo tehnologije brez znanja.
Za najnovejšo različico Be[In]Crypto Bitcoin (BTC) analiza, Klikni tukaj.
Zavrnitev odgovornosti
Vse informacije na našem spletnem mestu so objavljene v dobri veri in zgolj za splošne informacije. Vsako dejanje, ki ga bralec izvede na podlagi informacij na naši spletni strani, je izključno na lastno odgovornost.
Vir: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/