Dalam laporan penyelidikan baru-baru ini, Terminal Token mendapati bahawa terdapat tiga punca utama DeFi eksploitasi, dan menghapuskan kelemahan kontrak pintar adalah yang paling mencabar daripada ketiga-tiganya.
Oleh kerana minat dalam kewangan terdesentralisasi telah melonjak, begitu juga dengan godam dan tarik permaidani dalam segmen dengan dianggarkan 105 eksploitasi dalam rantaian mengakibatkan kecurian hampir $4.2 bilion daripada pelbagai protokol.
Menariknya, penyelidikan mendapati bahawa penggodaman terbesar, secara purata, datang melalui jambatan rantaian silang dan dompet pertukaran pusat (CEX), manakala pengagregat hasil dan protokol pemberian pinjaman paling kerap disalahgunakan.
"Eksploitasi terbesar cenderung merentasi pelbagai rantaian atau pada jambatan ekosistem utama."
FBI menaikkan amaran DeFi baharu untuk pelabur dan platform
Tiga terbesar DeFi eksploitasi sehingga kini, Rangkaian Ronin ($624 juta), Poly Network ($611 juta), dan Wormhole ($326 juta), semuanya merupakan jambatan silang rantai yang mendominasi senarai eksploitasi terbesar. Bridges biasanya kehilangan lebih $188 juta dalam setiap hack, kata laporan itu.
Baru-baru ini, Biro Penyiasatan Persekutuan (FBI) AS memberi amaran kepada pelabur dan platform tentang risiko ini dalam DeFi dalam perkhidmatan awam pengumuman.
“Penjenayah siber semakin mengeksploitasi kelemahan dalam kontrak pintar yang mengawal platform DeFi untuk mencuri mata wang kripto, menyebabkan pelabur kehilangan wang,” kata agensi itu. “Penjenayah siber berusaha untuk mengambil kesempatan daripada peningkatan minat pelabur terhadap mata wang kripto, serta kerumitan fungsi rentas rantai dan sifat sumber terbuka platform DeFi.”
Sebaliknya, pengagregat hasil dan protokol pemberian pinjaman ialah sistem yang paling kerap disasarkan oleh serangan, namun, ia kerap mengakibatkan kerugian kewangan yang lebih kecil bagi setiap serangan seperti di Terminal Token. Secara umum, pengagregat hasil dan protokol pemberian pinjaman lebih kerap disalahgunakan, manakala jambatan dan CEX biasanya mengalami kerugian terbesar bagi setiap eksploitasi. Jambatan silang rantai dan dompet panas CEX menyumbang $2.2 bilion dalam aset yang dicuri, atau lebih 52% daripada jumlah keseluruhan yang terjejas.
Penyimpanan kunci persendirian dengan selamat ialah pelan menyelamat yang paling mudah
Punca paling biasa bagi eksploitasi ini secara kasarnya telah dikategorikan ke dalam kelemahan kontrak pintar, kunci persendirian yang terjejas dan pemalsuan bahagian hadapan protokol. Terutama, kelemahan dalam kontrak pintar, yang sering dikaitkan dengan pinjaman kilat dan manipulasi oracle, dilaporkan menyumbang 73% daripada semua penggodaman sejak September 2020. Tetapi, pengesahan rasmi automatik dan DeFi keselamatan audit ialah dua teknik utama untuk menguruskan risiko kontrak pintar ini.
Laporan itu juga mendapati bahawa penggodaman terbesar, dengan purata $91 juta setiap satu, disebabkan oleh kunci persendirian yang terjejas, yang sering diperoleh menggunakan percubaan pancingan lembing. Ironinya, vektor serangan ini juga paling boleh dielakkan dengan mengamankan kunci persendirian dengan lebih baik dan menggunakan platform yang berbeza untuk penyimpanan.
Akhir sekali, spoofing bahagian hadapan ialah kaedah serangan yang menentang pengguna tertentu dan bukannya dana yang dikawal oleh protokol, seperti dalam kes eksploitasi BadgerDAO. Biasanya, ini melibatkan penggunaan teknik seperti keracunan cache DNS untuk menggantikan alamat IP tapak web protokol sebenar dengan rupa palsu.
Sementara itu, pengeksploitasi juga dilaporkan sedang mencari pilihan baharu kerana kaedah standard untuk mengeluarkan keuntungan yang diperoleh secara haram, melalui Tornado Cash, telah dihentikan melalui sekatan. Be[In]Crypto telah melaporkan bahawa berikutan penalti terhadap Tornado Cash, bilangan projek kewangan terdesentralisasi (DeFi) yang kecil tetapi semakin meningkat, termasuk dYdX, Kecairan, GMX, Kwenta dan lain-lain, sebaliknya sedang membangunkan bahagian hadapan terdesentralisasi (DeFe).
Dengan itu, FBI juga mengesyorkan agar platform DeFi melaksanakan analisis masa nyata, pemantauan dan ujian yang ketat selain daripada membangunkan tindak balas insiden untuk mengelakkan eksploitasi sedemikian.
Walau bagaimanapun, Aztec Network, sebuah Ethereumrollup berasaskan yang menawarkan urus niaga peribadi menggunakan teknologi pengetahuan sifar, adalah satu kemungkinan pengganti kepada Tornado Cash seperti dalam laporan penyelidikan.
For Be[In]Crypto terbaharu Bitcoin (BTC) analisis, tekan di sini.
Penafian
Semua maklumat yang terdapat di laman web kami diterbitkan dengan niat baik dan hanya untuk tujuan maklumat umum. Segala tindakan yang diambil oleh pembaca terhadap maklumat yang terdapat di laman web kami adalah dengan risiko mereka sendiri.
Sumber: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/