В недавнем исследовательском отчете Token Terminal обнаруживается, что существуют три основные причины эксплойтов DeFi, и устранение уязвимостей в смарт-контрактах, безусловно, является самой сложной из трех. Поскольку интерес к децентрализованным финансам резко возрос, взломы и махинации также были в этом сегменте: около 105 сетевых эксплойтов привели к краже почти 4,2 миллиарда долларов из различных протоколов. Интересно, что исследование показывает, что самые крупные взломы в среднем происходят через кроссчейн-мосты и кошельки центральной биржи (CEX), в то время как агрегаторы возврата и протоколы кредитования чаще всего используются не по назначению. «Самые большие эксплойты, как правило, происходят в нескольких цепях или на больших мостах экосистемы».
ФБР выпускает новое предупреждение DeFi для инвесторов и платформ
Три крупнейших на сегодняшний день эксплойта DeFi: Ronin Network (624 миллиона долларов), Poly Network (611 миллионов долларов) и Wormhole (326 миллионов долларов) — все они представляют собой межсетевые мосты, которые доминируют в списке крупнейших эксплойтов. В отчете отмечается, что Bridges обычно теряли более 188 миллионов долларов в результате каждого взлома. Недавно Федеральное бюро расследований США (ФБР) предупредило инвесторов и платформы об этих рисках в DeFi в публичном сообщении. «Киберпреступники все чаще используют уязвимости в смарт-контрактах, управляющих платформами DeFi, для кражи криптовалюты, в результате чего инвесторы теряют деньги», — отметили в агентстве. «Киберпреступники стремятся воспользоваться повышенным интересом инвесторов к криптовалютам, а также сложностью межсетевых функций и открытым исходным кодом платформ DeFi». И наоборот, агрегаторы доходности и протоколы кредитования являются наиболее целевыми системами при атаках, но они часто приводят к меньшим финансовым потерям на атаку, согласно данным Token Terminal. В целом чаще всего злоупотребляли агрегаторы доходности и кредитные протоколы, в то время как мосты и CEX, как правило, несут самые большие потери в связи с эксплойтом. На межсетевые мосты и горячие кошельки CEX приходится 2,2 миллиарда долларов украденных активов, или более 52% от общей суммы скомпрометированных.
Хранение приватных ключей — простейший план спасения
Наиболее распространенные причины этих эксплойтов были грубо разделены на лазейки в смарт-контрактах, скомпрометированные закрытые ключи и спуфинг интерфейса протокола. В частности, лазейки в смарт-контрактах, часто связанные с флэш-кредитованием и манипулированием оракулом, по сообщениям, составляли 73% всех взломов с сентября 2020 года. Однако автоматизированная формальная проверка и аудит безопасности DeFi являются двумя основными методами устранения этих рисков смарт-контрактов. В отчете также указывается, что самые крупные взломы, каждый из которых в среднем стоит 91 миллион долларов, вызваны скомпрометированными закрытыми ключами, которые часто получают с помощью попыток целевого фишинга. По иронии судьбы, этого вектора атаки также легче всего избежать за счет лучшей защиты закрытых ключей и использования различных платформ для хранения. Наконец, спуфинг интерфейса — это метод атаки, нацеленный на конкретных пользователей, а не на средства, контролируемые протоколом, как в случае с эксплойтом BadgerDAO. Как правило, это включает в себя использование таких методов, как отравление кеша DNS, чтобы заменить IP-адрес сайта реального протокола поддельным аналогом. Между тем, эксплуататоры также ищут новые варианты теперь, когда стандартный метод вывода средств, полученных нечестным путем, через Tornado Cash был постепенно отменен из-за санкций. Быть[In]Crypto сообщила, что после штрафов Tornado Cash небольшое, но растущее число проектов децентрализованного финансирования (DeFi), включая dYdX, Liquidity, GMX, Kwenta и другие, вместо этого разрабатывают децентрализованные интерфейсы (DeFe). При этом ФБР также рекомендует платформам DeFi внедрять аналитику в реальном времени, мониторинг и тщательное тестирование, помимо разработки реагирования на инциденты, чтобы избежать таких эксплойтов. Тем не менее, Aztec Network, хэш на основе Ethereum, который предлагает частные транзакции с использованием технологии с нулевым разглашением, является возможной заменой Tornado Cash, согласно исследовательскому отчету. Для быть[In]Последний анализ Crypto Bitcoin (BTC), нажмите здесь.
Отказ от ответственности
Вся информация на нашем веб-сайте публикуется добросовестно и только для общих информационных целей. Любые действия, которые читатель предпринимает в отношении информации, содержащейся на нашем веб-сайте, осуществляются строго на его страх и риск.
