I en nylig forskningsrapport finder Token Terminal, at der er tre grundlæggende årsager til Defi udnytter, og fjernelse af smart kontraktsårbarheder er langt den mest udfordrende af de tre.
Siden interessen for decentral finansiering er steget i vejret, er det også blevet til hacks og tæppetræk i segmentet med en anslået 105 on-chain exploits, der resulterede i tyveri af næsten 4.2 milliarder dollars fra forskellige protokoller.
Interessant nok finder forskningen ud af, at de største hacks i gennemsnit kommer via cross-chain bridges og central exchange (CEX) wallets, hvorimod afkastaggregatorer og udlånsprotokoller oftest misbruges.
"De største udnyttelser har en tendens til at være på tværs af flere kæder eller på store økosystembroer."
FBI rejser ny DeFi-advarsel til investorer og platforme
De tre største Defi udnyttelser til dato, Ronin Network ($624 millioner), Poly Network ($611 millioner) og Wormhole ($326 millioner), er alle krydskædede broer, der dominerer listen over de største bedrifter. Bridges tabte typisk over 188 millioner dollars i hvert hack, bemærkede rapporten.
For nylig advarede US Federal Bureau of Investigation (FBI) investorerne og platformene om disse risici i DeFi i en offentlig tjeneste meddelelse.
"Cyberkriminelle udnytter i stigende grad sårbarheder i de smarte kontrakter, der styrer DeFi-platforme til at stjæle kryptovaluta, hvilket får investorer til at tabe penge," bemærkede agenturet. "Cyberkriminelle søger at drage fordel af investorernes øgede interesse for kryptovalutaer, såvel som kompleksiteten af cross-chain funktionalitet og open source karakter af DeFi platforme."
Omvendt er udbytteaggregatorer og udlånsprotokoller de mest målrettede systemer ved angreb, men de resulterer ofte i mindre økonomiske tab pr. angreb ifølge Token Terminal. Generelt blev udbytteaggregatorer og udlånsprotokoller misbrugt hyppigere, mens broer og CEX'er typisk lider de største tab pr. udnyttelse. Cross-chain broer og CEX hot wallets tegner sig for $2.2 milliarder i stjålne aktiver, eller over 52% af det samlede kompromitterede beløb.
Sikker opbevaring af private nøgler er den enkleste redningsplan
De mest almindelige årsager til disse udnyttelser er groft blevet kategoriseret i smarte kontraktsmuthuller, kompromitterede private nøgler og protokolfrontend-spoofing. Navnlig udgjorde smuthuller i smarte kontrakter, ofte forbundet med flashlån og orakelmanipulation, angiveligt 73 % af alle hacks siden september 2020. Men automatiseret formel verifikation og DeFi sikkerhed audits er de to primære teknikker til at håndtere disse smarte kontraktrisici.
Rapporten finder også, at de største hacks, i gennemsnit $91 millioner hver, er forårsaget af kompromitterede private nøgler, som ofte opnås ved hjælp af spyd-phishing-forsøg. Ironisk nok er denne angrebsvektor også den mest undgåelige ved bedre at sikre de private nøgler og bruge forskellige platforme til opbevaring.
Endelig er frontend-spoofing en angrebsmetode, der går imod specifikke brugere snarere end de midler, som protokollen kontrollerer, som i tilfældet med BadgerDAO-udnyttelsen. Typisk indebærer dette brug af teknikker som DNS-cache-forgiftning til at erstatte det rigtige protokolwebsteds IP-adresse med en falsk lookalike.
I mellemtiden leder udbyttere også efter sigende efter nye muligheder, nu hvor standardmetoden til at udbetale dårligt opnåede gevinster, gennem Tornado Cash, er blevet afbrudt via sanktioner. Be[In]Crypto havde rapporteret at efter sanktionerne mod Tornado Cash, udvikler et lille, men stigende antal decentraliserede finansieringsprojekter (DeFi), inklusive dYdX, Liquidity, GMX, Kwenta og andre decentraliserede frontends (DeFe) i stedet.
Med det anbefaler FBI også, at DeFi-platforme indfører realtidsanalyser, overvågning og strenge tests bortset fra at udvikle en hændelsesrespons for at undgå sådanne udnyttelser.
Men Aztec Network, en Ethereum-baseret rollup, der tilbyder private transaktioner ved hjælp af nul-viden teknologi, er en mulig erstatning for Tornado Cash ifølge forskningsrapporten.
For Be[In]Cryptos seneste Bitcoin (BTC) analyse, Klik her.
Ansvarsfraskrivelse
Alle oplysninger på vores websted offentliggøres i god tro og kun til generelle informationsformål. Enhver handling, som læseren foretager sig på oplysningerne på vores websted, er strengt på deres egen risiko.
Kilde: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/