Nesenā pētījuma ziņojumā Token Terminal atklāj, ka ir trīs galvenie cēloņi DEFI izmanto, un viedo līgumu ievainojamību novēršana ir visgrūtākā no trim.
Kopš interese par decentralizētajām finansēm ir strauji pieaugusi, tā ir palielinājusies hacks un paklāju velk segmentā ar novērtēts 105 ķēdes darbības, kuru rezultātā no dažādiem protokoliem tika nozagti gandrīz 4.2 miljardi ASV dolāru.
Interesanti, ka pētījums atklāj, ka vidēji lielākās uzlaušanas tiek veiktas, izmantojot pārrobežu ķēžu tiltus un centrālās apmaiņas (CEX) maciņus, savukārt ienesīguma apkopotāji un aizdevuma protokoli visbiežāk tiek ļaunprātīgi izmantoti.
"Lielākie ekspluatācijas gadījumi parasti notiek vairākās ķēdēs vai uz galvenajiem ekosistēmu tiltiem."
FIB izvirza jaunu DeFi brīdinājumu investoriem un platformām
Trīs lielākie DEFI līdzšinējie varoņdarbi, Ronin Network (624 miljoni USD), Poly Network (611 miljoni USD) un Wormhole (326 miljoni USD) ir šķērsķēžu tilti, kas dominē lielāko ekspluatāciju sarakstā. Tilti parasti zaudēja vairāk nekā 188 miljonus USD katrā uzlaušanas reizē, norādīts ziņojumā.
Nesen ASV Federālais izmeklēšanas birojs (FIB) sabiedriskajā dienestā brīdināja investorus un platformas par šiem riskiem DeFi. paziņojums.
"Kibernoziedznieki arvien vairāk izmanto viedo līgumu ievainojamības, kas regulē DeFi platformas, lai nozagtu kriptovalūtu, liekot investoriem zaudēt naudu," norādīja aģentūra. "Kibernoziedznieki cenšas izmantot investoru pieaugošo interesi par kriptovalūtām, kā arī DeFi platformu starpķēžu funkcionalitātes sarežģītību un atvērtā koda raksturu."
Un otrādi, ienesīguma apkopotāji un aizdošanas protokoli ir sistēmas, uz kurām visbiežāk tiek vērsti uzbrukumi, tomēr tie bieži rada mazākus finansiālos zaudējumus par katru uzbrukumu saskaņā ar Token Terminal. Kopumā ienesīguma apkopotāji un aizdevuma protokoli tika ļaunprātīgi izmantoti biežāk, savukārt tilti un CEX parasti cieš lielākos zaudējumus katrā ekspluatācijā. Cross-chain tilti un CEX karstie maki veido 2.2 miljardus dolāru nozagtos aktīvos jeb vairāk nekā 52% no kopējās apdraudētās summas.
Privāto atslēgu glabāšana ir vienkāršākais glābšanas plāns
Visizplatītākie šo ļaunprātīgo darbību cēloņi ir aptuveni iedalīti viedo līgumu nepilnībās, apdraudētās privātajās atslēgās un protokola priekšgala viltošanā. Proti, nepilnības viedajos līgumos, kas bieži ir saistītas ar zibatmiņas aizdevumiem un orākula manipulācijām, ir veidojušas 73% no visiem uzlaušanas gadījumiem kopš 2020. gada septembra. Taču automatizēta formāla pārbaude un DeFi drošība auditi ir divi galvenie paņēmieni šo viedo līgumu risku pārvaldībai.
Ziņojumā arī konstatēts, ka lielākās uzlaušanas, vidēji 91 miljonu ASV dolāru apmērā katra, izraisa apdraudētas privātās atslēgas, kuras bieži tiek iegūtas, izmantojot pikšķerēšanas mēģinājumus. Ironiski, ka šis uzbrukuma vektors ir arī visvairāk novēršams, labāk aizsargājot privātās atslēgas un glabāšanai izmantojot dažādas platformas.
Visbeidzot, priekšgala viltošana ir uzbrukuma metode, kas vērsta pret konkrētiem lietotājiem, nevis līdzekļiem, ko kontrolē protokols, piemēram, BadgerDAO izmantošanas gadījumā. Parasti tas nozīmē, ka tiek izmantotas tādas metodes kā DNS kešatmiņas saindēšana, lai aizstātu reālās protokola vietnes IP adresi ar neīstu līdzīgu.
Tikmēr tiek ziņots, ka ekspluatētāji arī meklē jaunas iespējas tagad, kad standarta veids nelikumīgi iegūto ienākumu izmaksai, izmantojot Tornado Cash, ir pārtraukts ar sankciju palīdzību. Be[In]Crypto ziņoja ka pēc Tornado Cash sodiem neliels, bet pieaugošs skaits decentralizēto finanšu (DeFi) projektu, tostarp dYdX, Liquidity, GMX, Kwenta un citi, tā vietā izstrādā decentralizētas priekšgals (DeFe).
Līdz ar to FIB arī iesaka DeFi platformām ieviest reāllaika analīzi, uzraudzību un stingru testēšanu, ne tikai izstrādājot reaģēšanu uz incidentiem, lai izvairītos no šādām darbībām.
Tomēr Aztec Network, an EthereumSaskaņā ar pētījuma ziņojumu viens no iespējamiem Tornado Cash aizstājējiem ir uz apkopojums, kas piedāvā privātus darījumus, izmantojot nulles zināšanu tehnoloģiju.
Par Be[In]Crypto jaunāko Bitcoin (BTC) analīze, noklikšķiniet šeit.
Atbildības noraidīšana
Visa mūsu vietnē esošā informācija tiek publicēta godprātīgi un tikai vispārējas informācijas nolūkos. Jebkura darbība, ko lasītājs veic, izmantojot mūsu vietnē atrodamo informāciju, ir stingri atkarīgs no viņa paša.
Avots: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/