В недавнем исследовательском отчете Token Terminal обнаруживает три основные причины Defi эксплойтов, а устранение уязвимостей смарт-контрактов — безусловно, самая сложная из трех задач.
Поскольку интерес к децентрализованным финансам резко возрос, хаки и ковер тянет в сегменте с По оценкам, 105 ончейн-эксплойтов привели к краже почти 4.2 миллиарда долларов из различных протоколов.
Интересно, что исследование показывает, что самые крупные взломы в среднем происходят через кроссчейн-мосты и кошельки центральной биржи (CEX), тогда как чаще всего злоупотребляют агрегаторами доходности и протоколами кредитования.
«Самые крупные эксплойты, как правило, происходят в нескольких цепях или на основных мостах экосистемы».
ФБР выпускает новое предупреждение DeFi для инвесторов и платформ
Три крупнейших Defi подвиги на сегодняшний день, Ronin Network (624 миллиона долларов), Poly Network (611 миллионов долларов) и Wormhole (326 миллионов долларов) — все это мосты между цепями, которые доминируют в списке крупнейших эксплойтов. В отчете отмечается, что Bridges обычно теряли более 188 миллионов долларов в результате каждого взлома.
Недавно Федеральное бюро расследований США (ФБР) предупредило инвесторов и платформы об этих рисках в DeFi на государственной службе. объявление.
«Киберпреступники все чаще используют уязвимости в смарт-контрактах, управляющих платформами DeFi, для кражи криптовалюты, в результате чего инвесторы теряют деньги», — отметили в агентстве. «Киберпреступники стремятся воспользоваться повышенным интересом инвесторов к криптовалютам, а также сложностью межсетевых функций и открытым исходным кодом платформ DeFi».
И наоборот, агрегаторы доходности и протоколы кредитования являются наиболее часто подвергаемыми атакам системами, однако они часто приводят к меньшим финансовым потерям на атаку по сравнению с Token Terminal. В целом чаще всего злоупотребляли агрегаторы доходности и кредитные протоколы, в то время как мосты и CEX, как правило, несут самые большие потери из-за эксплойта. На межсетевые мосты и горячие кошельки CEX приходится 2.2 миллиарда долларов украденных активов, или более 52% от общей суммы скомпрометированных.
Безопасное хранение приватных ключей — самый простой план спасения
Наиболее распространенные причины этих эксплойтов были грубо разделены на лазейки в смарт-контрактах, скомпрометированные закрытые ключи и спуфинг интерфейса протокола. Примечательно, что лазейки в смарт-контрактах, часто связанные с быстрыми кредитами и манипуляциями с оракулами, по сообщениям, составляют 73% всех взломов с сентября 2020 года. Но автоматизированная формальная проверка и DeFi безопасность аудиты — это два основных метода управления рисками смарт-контрактов.
В отчете также указывается, что самые крупные взломы, каждый из которых в среднем стоит 91 миллион долларов, вызваны скомпрометированными закрытыми ключами, которые часто получают с помощью попыток целевого фишинга. По иронии судьбы, этого вектора атаки также легче всего избежать за счет лучшей защиты закрытых ключей и использования различных платформ для хранения.
Наконец, спуфинг интерфейса — это метод атаки, направленный против конкретных пользователей, а не средств, контролируемых протоколом, как в случае с эксплойтом BadgerDAO. Как правило, это влечет за собой использование таких методов, как отравление кэша DNS, для замены IP-адреса веб-сайта с реальным протоколом на фальшивый аналог.
Между тем, эксплуататоры также, как сообщается, ищут новые варианты теперь, когда стандартный способ обналичивания доходов, полученных нечестным путем, через Tornado Cash, был прекращен из-за санкций. Об этом сообщает Be[In]Crypto. что после санкций против Tornado Cash небольшое, но растущее число проектов децентрализованного финансирования (DeFi), включая dYdX, Liquidity, GMX, Kwenta и другие, вместо этого разрабатывают децентрализованные интерфейсы (DeFe).
При этом ФБР также рекомендует платформам DeFi внедрить аналитику, мониторинг и тщательное тестирование в реальном времени, помимо разработки реагирования на инциденты, чтобы избежать таких эксплойтов.
Тем не менее, Aztec Network, ЭфириумСогласно исследовательскому отчету, накопительный пакет, предлагающий частные транзакции с использованием технологии с нулевым разглашением, является одной из возможных замен Tornado Cash.
Последние новости Be[In]Crypto Bitcoin (BTC) анализ, нажмите здесь..
Отказ от ответственности
Вся информация, содержащаяся на нашем веб-сайте, публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, размещенной на нашем веб-сайте, совершаются исключительно на свой страх и риск.
Источник: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/