I en fersk forskningsrapport finner Token Terminal at det er tre grunnleggende årsaker til Defi utnytter, og å fjerne sårbarheter i smartkontrakter er den desidert mest utfordrende av de tre.
Siden interessen for desentralisert finans har skutt i været, har det også vært hacks og teppetrekk i segmentet med en anslått 105 utnyttelser i kjeden som resulterte i tyveri av nesten 4.2 milliarder dollar fra ulike protokoller.
Interessant nok finner forskningen at de største hackene i gjennomsnitt kommer via krysskjedebroer og sentralbørs (CEX) lommebøker, mens avkastningsaggregatorer og utlånsprotokoller oftest misbrukes.
"De største utnyttelsene har en tendens til å være på tvers av flere kjeder eller på store økosystembroer."
FBI reiser ny DeFi-advarsel for investorer og plattformer
De tre største Defi utnyttelser til dags dato, Ronin Network ($624 millioner), Poly Network ($611 millioner) og Wormhole ($326 millioner), er alle krysskjedebroer som dominerer listen over de største utnyttelsene. Bridges tapte vanligvis over 188 millioner dollar i hvert hack, bemerket rapporten.
Nylig advarte US Federal Bureau of Investigation (FBI) investorene og plattformene om disse risikoene i DeFi i en offentlig tjeneste kunngjøring.
"Cyberkriminelle utnytter i økende grad sårbarheter i de smarte kontraktene som styrer DeFi-plattformer for å stjele kryptovaluta, noe som får investorer til å tape penger," bemerket byrået. "Cyberkriminelle søker å dra nytte av investorers økte interesse for kryptovalutaer, så vel som kompleksiteten til funksjonalitet på tvers av kjeder og åpen kildekode-naturen til DeFi-plattformer."
Motsatt er avkastningsaggregatorer og utlånsprotokoller de mest målrettede systemene ved angrep, men de resulterer ofte i mindre økonomiske tap per angrep i henhold til Token Terminal. Generelt ble avkastningsaggregatorer og utlånsprotokoller misbrukt oftere, mens broer og CEX-er vanligvis lider de største tapene per utnyttelse. Cross-chain broer og CEX hot wallets står for 2.2 milliarder dollar i stjålne eiendeler, eller over 52% av det totale beløpet som er kompromittert.
Oppbevaring av private nøkler er den enkleste redningsplanen
De vanligste årsakene til disse utnyttelsene har blitt grovt kategorisert i smutthull i smarte kontrakter, kompromitterte private nøkler og protokollfrontend-spoofing. Spesielt er smutthull i smarte kontrakter, ofte assosiert med flashlån og orakelmanipulasjon, angivelig stått for 73 % av alle hacks siden september 2020. Men automatisert formell verifisering og DeFi sikkerhet revisjoner er de to primære teknikkene for å håndtere disse smarte kontraktsrisikoene.
Rapporten finner også at de største hackene, i snitt $91 millioner hver, er forårsaket av kompromitterte private nøkler, som ofte oppnås ved å bruke spyd-phishing-forsøk. Ironisk nok er denne angrepsvektoren også den mest unngåelige ved å sikre de private nøklene bedre og bruke forskjellige plattformer for lagring.
Til slutt er frontend-spoofing en angrepsmetode som går mot spesifikke brukere i stedet for midlene som protokollen kontrollerer, som i tilfellet med BadgerDAO-utnyttelsen. Vanligvis innebærer dette bruk av teknikker som DNS-cache-forgiftning for å erstatte den virkelige protokollnettstedets IP-adresse med en falsk lookalike.
I mellomtiden er det også rapportert at utnyttere leter etter nye alternativer nå som standardmetoden for å ta ut dårlig oppnådde gevinster, gjennom Tornado Cash, har blitt avviklet via sanksjoner. Be[In]Crypto hadde rapportert at etter straffene mot Tornado Cash, utvikler et lite, men økende antall desentraliserte finansprosjekter (DeFi), inkludert dYdX, Liquidity, GMX, Kwenta og andre desentraliserte frontends (DeFe) i stedet.
Med det anbefaler FBI også at DeFi-plattformer innfører sanntidsanalyser, overvåking og strenge tester bortsett fra å utvikle en hendelsesrespons for å unngå slike utnyttelser.
Imidlertid Aztec Network, en Ethereum-basert sammendrag som tilbyr private transaksjoner ved bruk av nullkunnskapsteknologi, er en mulig erstatning for Tornado Cash i henhold til forskningsrapporten.
For Be[In]Cryptos siste Bitcoin (BTC) analyse, Klikk her.
Ansvarsfraskrivelse
All informasjonen på nettstedet vårt er kun publisert i god tro og kun for generell informasjon. Enhver handling som leseren tar på informasjonen som finnes på nettstedet vårt, er strengt på egen risiko.
Kilde: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/