Desentralisert økonomi (Defi)-protokoller tilbyr desentraliserte finansielle tjenester til brukere, slik at de kan foreta transaksjoner og inngå avtaler med andre deltakere. Mens DeFi-protokoller tar sikte på å gi brukerne en sikker og pålitelig plattform, har flere utnyttelser i løpet av de siste årene forårsaket betydelige tap av midler. Denne artikkelen vil diskutere noen av de mest omfattende DeFi-utnyttelsene som har skjedd nylig.
Her er de 8 beste krypto DeFi-utnyttelsene i Web3 etter fradrag av returnerte midler:
Ronin-kjede – 600 millioner dollar
Mars 2023 var en begivenhetsrik måned for kryptovaluta-området, med Axie Infinity Ronin-brohacket som toppet listen med $612 millioner.
Ronin bridge er en Ethereum sidekjede brukt i det populære play-to-earn-spillet Axie Infinity.
Nettkriminalitetsgruppen Lazarus, mistenkt for å ha nordkoreanske forbindelser, klarte å få tilgang til ni transaksjonsvalidatorers private nøkler, slik at de kunne godkjenne to store transaksjoner og flytte midlene fra lommebokadressen. Heldigvis var et samarbeid mellom myndigheter, sikkerhetsfirmaer og kryptovalutabørser i stand til å spore opp noen av disse midlene etter at hackerne drev dem til Tornado cash – en åpen kildekode-krypteringsboks – og andre børser.
Ormehullsbro – 323 millioner dollar
I februar 2022 skjedde en uheldig hendelse da kryptohackere utnyttet et ormehulls kode for å ta av med krypto verdt 326 millioner dollar.
Et ormehull er en symbolsk bro mellom Solana og Ethereum, som dessverre ikke klarte å forhindre angrepet. Det ble muliggjort av en utdatert/død usikker funksjon som omgikk signaturverifisering og muliggjorde kjeden av delegeringer av signaturer.
Eksperter i cybersikkerhet antyder at utviklere kunne ha forhindret angrepet hvis de hadde praktisert "sikker kodingspraksis" der de må sjekke alle parametere. Sjekken kunne ha sikret autentisering av gyldige adresser og dermed utelukket illegitime kilder fra å få tilgang til eiendeler i kjeden.
Bønnestengel – 181 millioner dollar
En skjebnesvanger helg i april 2022 slapp en hacker løs et angrep som rystet kryptosamfunnet. Ved å bruke et flashlån – en funksjon av desentraliserte finansprotokoller (DeFi) – klarte de å stjele 182 millioner dollar i ETH, BEAN stablecoin og andre eiendeler fra Beanstalk stablecoin-protokollen.
Hackerne presenterte to ondsinnede forslag til Beanstalk DAO via nødbekreftelsesfunksjonen, som krever ⅔ stemme før implementering etter 24 timer. Angriperen brukte flash-lånsteknologi for å få kontroll over 79 % av tokenene for å passere begge forslagene og gjennomføre planen deres.
Midlene ble sendt fra protokollen for å betale ned flashlånet, mens resten gikk inn på en adresse tilknyttet et Ukraina-basert nødfond. Totalt har opp til $76 millioner blitt tatt av personen som er ansvarlig for denne modige handlingen.
Nomad – 155 millioner dollar
Det forvirrende Nomad bridge-hakket skapte overskrifter da det skjedde 1. august 2022. Det sjokkerte mange blockchain entusiaster som angripere utnyttet en sårbarhet for å tappe over $190 millioner av Ethereum-baserte eiendeler lagret i flerkjede-kryssbroen.
Hackerne beveget seg raskt og rasende, med hundrevis av lommebøker engasjert i 960 transaksjoner som resulterte i 1,175 individuelle uttak fra broens Total Value Locked (TVL). Alt innen timer.
Et forvirrende aspekt ved dette hacket var at alt brukerne måtte gjøre for å hacke bridge-midler var å kopiere og lime inn den opprinnelige hackerens transaksjonsanropsdata, erstatte den opprinnelige adressen med en personlig, og transaksjonen ville fullføres.
Hacket sendte sjokkbølger gjennom hele det desentraliserte finanssamfunnet (DeFi), og beviste at hackere forblir et skritt foran når de utnytter smutthull i kode. Nomad-broen gir et illustrerende eksempel som viser viktigheten av sikker kodingspraksis og forsterker hvorfor sikkerhet fortsatt er en pågående utfordring for blokkjedeprosjekter i dag.
CREAM Finance – 130.8 millioner dollar
Selv om angrepet på CREAM i oktober 2021 var et av de største hurtiglånsranene, var det absolutt ikke en isolert hendelse. Flash-lånsangrep involverer bruk av et "flash-lån" av likviditet, lån og mislighold av denne raske finansieringen, alt innenfor en enkelt transaksjon.
Ved å utnytte prisberegningsfeil kan hackere raskt tjene på lånene sine. For eksempel, når det gjelder CREAM, samhandlet to forskjellige adresser med yUSDVault for å prege et stort antall crYUSD-tokens. De utnyttet en sårbarhet som ville doble verdien av disse aksjene. Selv om de har sikret midler verdt 130 millioner dollar, kan den tilgjengelige sikkerheten på ca. 1 milliard dollar ta langt mer enn dette beløpet.
Flash-lånsangrep blir stadig mer utbredt, og samfunnet bør stille spørsmål om hvordan de kan forhindre ytterligere sikkerhetsbrudd i fremtiden.
BSC token hub – 127 millioner dollar
I oktober 2022 gjorde hackere som utnyttet en kritisk sårbarhet i BSC Beacon cross-bridge-koden unna kryptoaktiva på til sammen 570 millioner dollar.
BSc Beacon-kjeden, også kjent som Token Hub, er en kjedebro som forbinder BNB Beacon Chain (BEP2) og BNB Chain (BEP20/BSC).
Hackeren forfalsket kryptografiske bevis kalt Merkle-bevis ment å bekrefte gyldigheten av data som transaksjoner. På sin side brukte de disse falske Merkle-bevisene for å overføre midler fra BSC Beacon-kryssbroen til andre kjeder.
Så snart Tether blokkerte angripernes adresse, fulgte rask handling med over 7 millioner dollar flyttet fra BNB-kjeden frosset, og konfiskerte mesteparten av deres dårlige midler.
Harmony Horizon – 100 millioner dollar
I juni 2022 ble Harmony Horizon Bridge-prosjektet kompromittert da hackere stjal to av de fem private validatornøklene, slik at svindlere kunne overføre tokens verdt 100 millioner dollar.
Dette sikkerhetsproblemet skyldtes måten broen var satt opp, med en 2 av 5 valideringsordning. Som et resultat trengte angriperen bare to godkjenninger for at enhver ondsinnet transaksjon skulle valideres. For å dekke sporene sine brukte angriperne Tornado Cash for å hvitvaske noen av deres dårlige gevinster.
Selv om dette oppsettet kan ha virket sikkert i utgangspunktet, viste det seg å være et lukrativt mål for dårlige skuespillere og en dyr leksjon i blokkjedesikkerhet for de som ble tatt.
Rari- 91 millioner dollar
Reentrancy-angrep har eksistert siden de første dagene av Ethereum. De har brukt kontraktssårbarheter til gjentatte ganger å ta ut penger før den opprinnelige transaksjonen er godkjent eller avslått.
I mai 2022 ble to desentraliserte finansplattformer kompromittert på denne måten, med hackere som stjal 90 millioner dollar. Rari Capitals Jack Longarzo sa at angriperen utnyttet selskapet, og Fei Protocol, som fusjonerte med Rari Capital, tilbød hackeren en dusør på 10 millioner dollar.
Blockchain-sikkerhetsselskapet BlockSec forklarte at hackerne brukte en sårbarhet for reentrancy.
Utviklere kan forhindre denne typen angrep ved å teste og revidere kontrakter på riktig måte før de distribueres på Ethereum-blokkjeden.
Hvordan beskytte deg mot DeFi-utnyttelser
DeFi-protokoller har blitt stadig mer populære og komplekse, noe som gjør dem attraktive mål for hackere. Følgende er syv tips for å hjelpe deg med å beskytte deg mot DeFi-utnyttelser:
- Utfør grundig due diligence på ethvert prosjekt før du investerer. Sjekk plattformens kode, nettside, teammedlemmer og sosiale kanaler for røde flagg.
- Sørg for at en pålitelig kilde reviderer kontraktene du samhandler med, og at revisjonsresultatene er offentlig tilgjengelige.
- Ikke lagre store mengder midler i én DeFi-kontrakt, noe som gjør den mer sårbar for angrep.
- Hold deg oppdatert med de siste sikkerhetsnyhetene for å lære om nye utnyttelser.
- Implementer riktige autentiserings- og autorisasjonsprosedyrer for alle kontoer som samhandler med DeFi-protokoller.
- Sørg for at lommeboken din er sikker, og bruk tofaktorautentisering når det er mulig.
- Overvåk regelmessig midlene og transaksjonene dine på blokkjeden for å oppdage mistenkelig aktivitet eller uautoriserte uttak.
Å følge disse tipsene kan bidra til å beskytte deg mot DeFi-utnyttelser og sikre at pengene dine er trygge når du samhandler med desentraliserte finansprotokoller. Det er imidlertid også viktig å huske at ingen systemer er ufeilbarlige, så det er alltid best praksis å være ekstra forsiktig når du arbeider med digitale eiendeler.
konklusjonen
Samlet sett er sikkerhet en av de viktigste hensynene når man arbeider med kryptovalutaer og DeFi-protokoller. Dessverre, ettersom industrien fortsetter å vokse, øker også risikoen for ondsinnet aktivitet. Selv om det er umulig å garantere total sikkerhet, kan det å følge disse tipsene hjelpe deg med å beskytte deg mot DeFi-utnyttelser og holde pengene dine sikre.
Ved å holde deg oppdatert på den siste utviklingen innen blockchain-sikkerhet og sørge for at riktige autentiseringsprosedyrer er på plass for alle kontoer, kan du bidra til at dine digitale eiendeler forblir trygge.
Kilde: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/