Kewangan terpusat (DeFi) protokol menawarkan perkhidmatan kewangan terdesentralisasi kepada pengguna, membolehkan mereka membuat transaksi dan membuat perjanjian dengan peserta lain. Walaupun protokol DeFi bertujuan untuk menyediakan platform yang selamat dan boleh dipercayai untuk pengguna mereka, beberapa eksploitasi dalam beberapa tahun kebelakangan ini telah menyebabkan kerugian dana yang ketara. Artikel ini akan membincangkan beberapa eksploitasi DeFi yang paling meluas yang telah berlaku baru-baru ini.
Berikut ialah 8 eksploitasi DeFi crypto teratas dalam Web3 selepas menolak dana yang dikembalikan:
Rantai Ronin - $600m
Mac 2023 adalah bulan yang penuh peristiwa untuk ruang mata wang kripto, dengan peretasan jambatan Axie Infinity Ronin mendahului senarai pada $612 juta.
Jambatan Ronin ialah sebuah Ethereum rantai sisi yang digunakan dalam permainan main-untuk-dapatkan Axie Infinity yang popular.
Kumpulan jenayah siber Lazarus, yang disyaki mempunyai hubungan Korea Utara, berjaya mendapatkan akses kepada sembilan kunci peribadi pengesah transaksi, membolehkan mereka meluluskan dua transaksi besar dan memindahkan dana dari alamat dompet mereka. Mujurlah, kerjasama antara pihak berkuasa, firma keselamatan, dan pertukaran mata wang kripto dapat membantu menjejaki beberapa dana ini selepas penggodam memberi semangat kepada mereka untuk mendapatkan wang tunai Tornado – sebuah tumbler crypto sumber terbuka – dan pertukaran lain.
Jambatan lubang cacing - $323j
Pada Februari 2022, insiden malang berlaku apabila penggodam crypto mengeksploitasi kod lubang cacing untuk berlepas dengan crypto bernilai $326 juta.
Lubang cacing ialah jambatan tanda antara Solana dan Ethereum, yang malangnya gagal menghalang serangan itu. Ia dimungkinkan oleh fungsi tidak selamat/mati tidak selamat yang memintas pengesahan tandatangan dan mendayakan rantaian perwakilan tandatangan.
Pakar di keselamatan siber mencadangkan bahawa pembangun boleh menghalang serangan jika mereka telah mengamalkan 'amalan pengekodan selamat' di mana mereka mesti menyemak semua parameter. Semakan itu mungkin memastikan pengesahan alamat yang sah dan dengan itu menolak sumber yang tidak sah daripada mengakses aset pada rantaian.
Tangkai kacang – $181j
Pada hujung minggu yang menentukan pada April 2022, seorang penggodam melancarkan serangan yang menggegarkan komuniti crypto. Menggunakan pinjaman kilat – ciri protokol kewangan terdesentralisasi (DeFi) – mereka berjaya mencuri $182 juta dalam ETH, BEAN stablecoin dan aset lain daripada protokol stablecoin Beanstalk.
Penggodam membentangkan dua cadangan berniat jahat kepada Beanstalk DAO melalui fungsi komit kecemasannya, yang memerlukan ⅔ undi sebelum pelaksanaan selepas 24 jam. Penyerang menggunakan teknologi pinjaman kilat untuk mengawal 79% token untuk meluluskan kedua-dua cadangan dan melaksanakan rancangan mereka dengan jayanya.
Dana itu dihantar dari dalam protokol untuk membayar pinjaman kilat, dengan selebihnya pergi ke alamat yang dikaitkan dengan dana kecemasan yang berpangkalan di Ukraine. Secara keseluruhan, sehingga $76 juta telah diambil oleh individu yang bertanggungjawab atas tindakan berani ini.
Nomad - $155j
Penggodaman jambatan Nomad yang membingungkan menjadi tajuk utama apabila ia berlaku pada 1 Ogos 2022. Ia mengejutkan ramai orang blockchain peminat sebagai penyerang mengambil kesempatan daripada kelemahan untuk menghabiskan lebih daripada $190 juta aset berasaskan Ethereum yang disimpan dalam jambatan silang berbilang rantai.
Penggodam bergerak pantas dan marah, dengan ratusan dompet terlibat dalam 960 transaksi menyebabkan 1,175 pengeluaran individu daripada Jumlah Nilai Terkunci (TVL) jambatan itu. Semua dalam masa beberapa jam.
Aspek yang membingungkan dalam penggodaman ini ialah semua pengguna perlu lakukan untuk menggodam dana jambatan ialah menyalin-tampal data panggilan transaksi penggodam asal, menggantikan alamat asal dengan alamat peribadi dan urus niaga akan selesai.
Penggodaman itu menghantar gelombang kejutan ke seluruh komuniti kewangan terdesentralisasi (DeFi), membuktikan bahawa penggodam kekal selangkah ke hadapan apabila mengeksploitasi kelemahan dalam kod. Jambatan Nomad menyediakan contoh ilustrasi yang menunjukkan kepentingan amalan pengekodan selamat dan mengukuhkan sebab keselamatan kekal sebagai cabaran berterusan untuk projek blockchain hari ini.
CREAM Finance – $130.8j
Walaupun serangan ke atas CREAM pada Oktober 2021 merupakan salah satu rompakan pinjaman kilat terbesar, ia pastinya bukan insiden terpencil. Serangan pinjaman kilat melibatkan penggunaan 'pinjaman kilat' kecairan, peminjaman dan keingkaran pada pembiayaan pantas ini, semuanya dalam satu transaksi.
Dengan mengeksploitasi ralat pengiraan harga, penggodam boleh mendapat keuntungan dengan cepat daripada pinjaman mereka. Contohnya, dalam kes CREAM, dua alamat berbeza berinteraksi dengan yUSDVaultnya untuk menghasilkan sejumlah besar token crYUSD. Mereka mengeksploitasi kelemahan yang akan menggandakan nilai saham ini. Walaupun mereka berjaya memperoleh dana bernilai $130 juta, cagaran yang ada ~$1 bilion mungkin memerlukan lebih banyak daripada jumlah ini.
Serangan pinjaman kilat semakin berleluasa, dan komuniti harus bertanya soalan tentang cara mereka boleh menghalang pelanggaran keselamatan selanjutnya pada masa hadapan.
Hab token BSC – $127j
Pada Oktober 2022, penggodam yang mengeksploitasi kerentanan kritikal dalam kod jambatan silang BSC Beacon yang menghilangkan aset kripto berjumlah $570 juta.
Rantaian Beacon BSc, juga dikenali sebagai Hab Token, ialah jambatan antara rantai yang menghubungkan Rantaian Suar BNB (BEP2) dan Rantaian BNB (BEP20/BSC).
Penggodam itu telah memalsukan bukti kriptografi yang dipanggil bukti Merkle bertujuan untuk mengesahkan kesahihan data seperti transaksi. Sebaliknya, mereka menggunakan bukti Merkle palsu ini untuk memindahkan dana daripada jambatan silang Beacon BSC ke rantaian lain.
Sebaik sahaja Tether menyenaraikan alamat penyerang, tindakan pantas diikuti dengan lebih $7 juta dipindahkan daripada rantaian BNB dibekukan, merampas sebahagian besar dana yang diperoleh secara haram.
Harmony Horizon - $100m
Pada Jun 2022, projek Harmony Horizon Bridge telah terjejas apabila penggodam mencuri dua daripada lima kunci peribadi pengesahnya, membenarkan penipu memindahkan token bernilai $100 juta.
Masalah keselamatan ini adalah disebabkan oleh cara jambatan itu telah disediakan, dengan skim pengesahan 2 daripada 5. Akibatnya, penyerang hanya memerlukan dua kelulusan untuk sebarang transaksi berniat jahat untuk disahkan. Untuk menutup jejak mereka, penyerang menggunakan Tornado Cash untuk mencuci beberapa keuntungan yang mereka perolehi.
Walaupun persediaan ini mungkin kelihatan selamat pada mulanya, ia membuktikan sasaran yang menguntungkan untuk pelakon jahat dan pelajaran mahal dalam keselamatan blockchain bagi mereka yang ditangkap.
Rari- $91 m
Serangan kemasukan semula telah wujud sejak zaman awal Ethereum. Mereka telah menggunakan kelemahan kontrak untuk mengeluarkan dana berulang kali sebelum transaksi asal diluluskan atau ditolak.
Pada Mei 2022, dua platform kewangan terdesentralisasi telah terjejas dengan cara ini, dengan penggodam mencuri $90 juta. Jack Longarzo dari Rari Capital berkata penyerang mengeksploitasi syarikat itu, dan Fei Protocol, yang bergabung dengan Rari Capital, menawarkan penggodam hadiah $10 juta.
Syarikat keselamatan Blockchain BlockSec menjelaskan bahawa penggodam menggunakan kerentanan kemasukan semula.
Pembangun boleh menghalang jenis serangan ini dengan menguji dan mengaudit kontrak dengan betul sebelum digunakan pada blockchain Ethereum.
Bagaimana untuk melindungi diri anda daripada eksploitasi DeFi
Protokol DeFi telah menjadi semakin popular dan kompleks, menjadikannya sasaran yang menarik untuk penggodam. Berikut ialah tujuh petua untuk membantu anda melindungi diri anda daripada eksploitasi DeFi:
- Lakukan usaha wajar yang menyeluruh pada mana-mana projek sebelum melabur. Semak kod platform, tapak web, ahli pasukan dan saluran sosial untuk tanda merah.
- Pastikan sumber yang dipercayai mengaudit kontrak yang anda berinteraksi dan keputusan audit tersedia secara terbuka.
- Jangan simpan sejumlah besar dana dalam satu kontrak DeFi, menjadikannya lebih terdedah kepada serangan.
- Kekal dikemas kini dengan berita keselamatan terkini untuk mengetahui tentang eksploitasi baharu.
- Laksanakan prosedur pengesahan dan kebenaran yang betul untuk semua akaun yang berinteraksi dengan protokol DeFi.
- Pastikan dompet anda selamat, dan gunakan pengesahan dua faktor apabila boleh.
- Pantau dana dan urus niaga anda secara berkala pada rantaian blok untuk mengesan sebarang aktiviti yang mencurigakan atau pengeluaran tanpa kebenaran.
Mengikuti petua ini boleh membantu melindungi anda daripada eksploitasi DeFi dan memastikan dana anda selamat apabila berinteraksi dengan protokol kewangan terdesentralisasi. Walau bagaimanapun, adalah penting juga untuk diingat bahawa tiada sistem yang maksum, jadi sentiasa menjadi amalan terbaik untuk mengambil lebih berhati-hati apabila berurusan dengan aset digital.
Kesimpulan
Secara keseluruhan, keselamatan adalah salah satu pertimbangan yang paling penting apabila berurusan dengan mata wang kripto dan protokol DeFi. Malangnya, apabila industri terus berkembang, begitu juga dengan risiko aktiviti berniat jahat. Walaupun mustahil untuk menjamin keselamatan sepenuhnya, mengikuti petua ini boleh membantu anda melindungi diri anda daripada eksploitasi DeFi dan memastikan dana anda selamat.
Dengan mengikuti perkembangan terkini dalam keselamatan blockchain dan memastikan prosedur pengesahan yang betul disediakan untuk semua akaun, anda boleh membantu memastikan aset digital anda kekal selamat.
Sumber: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/