Industri kewangan terdesentralisasi (DeFi) telah kehilangan lebih satu bilion dolar kepada penggodam dalam beberapa bulan yang lalu, dan keadaan nampaknya semakin tidak terkawal.
Menurut statistik terkini, kira-kira $1.6 bilion dalam mata wang kripto telah dicuri daripada platform DeFi pada suku pertama 2022. Tambahan pula, lebih 90% daripada semua kripto yang dicuri adalah daripada protokol DeFi yang digodam.
Angka-angka ini menyerlahkan situasi mengerikan yang mungkin berterusan dalam jangka panjang jika diabaikan.
Mengapa penggodam lebih suka platform DeFi
Dalam beberapa tahun kebelakangan ini, penggodam telah meningkatkan operasi yang menyasarkan sistem DeFi. Satu sebab utama mengapa kumpulan ini tertarik kepada sektor ini ialah jumlah dana yang dipegang oleh platform kewangan terdesentralisasi. Platform DeFi teratas memproses transaksi berbilion dolar setiap bulan. Oleh itu, ganjaran yang tinggi untuk penggodam yang mampu melakukan serangan yang berjaya.
Hakikat bahawa kebanyakan kod protokol DeFi adalah sumber terbuka juga menjadikannya lebih terdedah kepada ancaman keselamatan siber.
Ini kerana program sumber terbuka tersedia untuk diteliti oleh orang ramai dan boleh diaudit oleh sesiapa sahaja yang mempunyai sambungan internet. Oleh itu, mereka mudah diburu untuk eksploitasi. Sifat yang wujud ini membolehkan penggodam menganalisis aplikasi DeFi untuk isu integriti dan merancang rompakan terlebih dahulu.
Beberapa pembangun DeFi juga telah menyumbang kepada keadaan dengan sengaja mengabaikan laporan audit keselamatan platform yang diterbitkan oleh firma keselamatan siber yang diperakui. Sesetengah pasukan pembangunan juga melancarkan projek DeFi tanpa tertakluk kepada analisis keselamatan yang meluas. Ini meningkatkan kebarangkalian kecacatan pengekodan.
Satu lagi kerosakan pada perisai apabila ia berkaitan dengan keselamatan DeFi ialah kesalinghubungan ekosistem. Platform DeFi biasanya saling bersambung menggunakan jambatan silang, yang meningkatkan kemudahan dan serba boleh.
Walaupun jambatan silang menyediakan pengalaman pengguna yang dipertingkatkan, coretan kod penting ini menghubungkan rangkaian besar lejar teragih dengan pelbagai tahap keselamatan. Konfigurasi multipleks ini membolehkan penggodam DeFi memanfaatkan keupayaan berbilang platform untuk menguatkan serangan pada platform tertentu. Ia juga membolehkan mereka memindahkan dana yang diperoleh dengan cepat merentasi pelbagai rangkaian terdesentralisasi dengan lancar.
Selain daripada risiko yang disebutkan di atas, platform DeFi juga terdedah kepada sabotaj orang dalam.
Pelanggaran keselamatan
Penggodam menggunakan pelbagai teknik untuk menyusup ke sistem perimeter DeFi yang terdedah.
Pelanggaran keselamatan adalah perkara biasa dalam sektor DeFi. Menurut kepada analisis rantaian 2022 laporan, kira-kira 35% daripada semua kripto yang dicuri dalam dua tahun lalu adalah disebabkan oleh pelanggaran keselamatan.
Kebanyakannya berlaku kerana kod yang rosak. Penggodam biasanya mendedikasikan sumber penting untuk mencari ralat pengekodan sistemik yang membolehkan mereka melakukan jenis serangan ini dan biasanya menggunakan alat penjejak pepijat lanjutan untuk membantu mereka dalam hal ini.
Satu lagi taktik biasa yang digunakan oleh pelaku ancaman untuk mencari platform yang terdedah ialah menjejaki rangkaian dengan isu keselamatan yang belum ditambal yang telah pun terdedah tetapi masih belum dilaksanakan.
Penggodam di sebalik serangan penggodaman Wormhole DeFi baru-baru ini yang membawa kepada kerugian kira-kira $ 325 juta dalam token digital dilaporkan telah menggunakan strategi ini. Analisis komit kod mendedahkan bahawa tampung kerentanan yang dimuat naik ke repositori GitHub platform telah dieksploitasi sebelum tampung itu digunakan.
Kesilapan itu membolehkan penceroboh memalsukan tandatangan sistem yang membenarkan penempaan 120,000 syiling Wrapped Ether (wETH) bernilai $325 juta. Penggodam kemudian menjual wETH untuk kira-kira $250 juta dalam Ether (ETH). Syiling Ethereum yang ditukar diperoleh daripada rizab penyelesaian platform, dengan itu membawa kepada kerugian.
Perkhidmatan Wormhole bertindak sebagai jambatan antara rantai. Ia membolehkan pengguna membelanjakan mata wang kripto yang didepositkan dalam token yang dibungkus merentasi rantai. Ini dicapai dengan mencetak token berbalut Wormhole, yang mengurangkan keperluan untuk menukar atau menukar syiling yang didepositkan secara langsung.
Terbaru: Bagaimana arkib blockchain boleh mengubah cara kami merekodkan sejarah semasa perang
Serangan pinjaman kilat
Pinjaman kilat ialah pinjaman DeFi tidak bercagar yang tidak memerlukan semakan kredit. Mereka membolehkan pelabur dan peniaga meminjam dana serta-merta.
Kerana kemudahannya, pinjaman kilat biasanya digunakan untuk memanfaatkan peluang arbitraj dalam ekosistem DeFi yang bersambung.
Dalam serangan pinjaman kilat, protokol pemberian pinjaman disasarkan dan dikompromi menggunakan teknik manipulasi harga yang mewujudkan percanggahan harga tiruan. Ini membolehkan pelakon jahat membeli aset pada kadar diskaun yang besar. Kebanyakan serangan pinjaman kilat mengambil masa beberapa minit dan kadangkala beberapa saat untuk dilaksanakan dan melibatkan beberapa protokol DeFi yang saling berkait.
Satu cara penyerang memanipulasi harga aset ialah dengan menyasarkan ramalan harga yang boleh diserang. Peramal harga DeFi, sebagai contoh, mengambil kadar mereka daripada sumber luar seperti bursa bereputasi dan tapak perdagangan. Penggodam boleh, sebagai contoh, memanipulasi tapak sumber untuk menipu peramal agar menurunkan nilai kadar aset yang disasarkan seketika supaya mereka berdagang pada harga yang lebih rendah berbanding dengan pasaran yang lebih luas.
Penyerang kemudiannya membeli aset pada kadar kempis dan cepat menjualnya pada kadar pertukaran terapung mereka. Menggunakan token berleveraj yang diperoleh melalui pinjaman kilat membolehkan mereka membesarkan keuntungan.
Selain memanipulasi harga, beberapa penyerang telah dapat melakukan serangan pinjaman kilat dengan merampas proses pengundian DeFi. Terkini, Beanstalk DeFi mengalami kerugian $182 juta selepas penyerang mengambil kesempatan daripada kelemahan dalam sistem tadbir urusnya.
Pasukan pembangunan Beanstalk telah memasukkan mekanisme tadbir urus yang membenarkan peserta mengundi untuk perubahan platform sebagai fungsi teras. Persediaan ini popular dalam industri DeFi kerana ia menegakkan demokrasi. Hak mengundi pada platform ditetapkan supaya berkadar dengan nilai token asli yang dipegang.
Analisis pelanggaran mendedahkan bahawa penyerang memperoleh pinjaman kilat daripada protokol Aave DeFi untuk mendapatkan hampir $1 bilion dalam aset. Ini membolehkan mereka mendapat majoriti 67% dalam sistem tadbir urus pengundian dan membolehkan mereka meluluskan pemindahan aset secara unilateral ke alamat mereka. Pelaku berjaya memperoleh kira-kira $80 juta dalam mata wang digital selepas membayar balik pinjaman kilat dan surcaj berkaitan.
Kira-kira $360 juta syiling crypto telah dicuri daripada platform DeFi pada tahun 2021 menggunakan pinjaman kilat, menurut Chainalysis.
Ke mana perginya crypto yang dicuri?
Untuk masa yang lama sekarang, penggodam telah menggunakan pertukaran terpusat untuk mencuci dana yang dicuri, tetapi penjenayah siber mula membuangnya untuk platform DeFi. Pada tahun 2021, penjenayah siber menghantar kira-kira 17% daripada semua kripto haram kepada rangkaian DeFi, yang merupakan lonjakan ketara daripada 2% pada tahun 2020.
Pakar pasaran berteori bahawa peralihan kepada protokol DeFi adalah kerana pelaksanaan yang lebih luas bagi proses Kenali Pelanggan Anda (KYC) dan Pencegahan Pengubahan Wang Haram (AML) yang lebih ketat. Prosedur itu menjejaskan kerahsiaan yang dicari oleh penjenayah siber. Kebanyakan platform DeFi melepaskan proses penting ini.
Kerjasama dengan pihak berkuasa
Pertukaran berpusat juga, kini lebih daripada sebelumnya, bekerjasama dengan pihak berkuasa untuk memerangi jenayah siber. Pada bulan April, pertukaran Binance memainkan peranan penting dalam pemulihan $5.8 juta dalam mata wang kripto yang dicuri itu adalah sebahagian daripada simpanan $625 juta yang dicuri daripada Axie Infinity. Wang itu pada mulanya telah dihantar ke Tornado Cash.
Tornado Cash ialah perkhidmatan anonimasi token yang mengaburkan asal dana dengan memecah-belah pautan dalam rantaian yang digunakan untuk mengesan alamat transaksi.
Walau bagaimanapun, sebahagian daripada dana yang dicuri telah dijejaki oleh firma analitik blockchain kepada Binance. Rampasan itu diadakan di 86 alamat di bursa.
Selepas kejadian itu, jurucakap Jabatan Perbendaharaan Amerika Syarikat menggariskan bahawa pertukaran kripto yang mengendalikan wang daripada sekatan risiko alamat kripto yang disenaraihitamkan.
Tornado Cash juga nampaknya bekerjasama dengan pihak berkuasa untuk menghentikan pemindahan dana yang dicuri ke rangkaiannya. Syarikat itu telah berkata bahawa ia akan melaksanakan alat pemantauan untuk membantu mengenal pasti dan menyekat dompet embargo.
Nampaknya ada kemajuan dalam rampasan aset yang digertak oleh pihak berkuasa. Awal tahun ini, Jabatan Kehakiman AS mengumumkan penyitaan $3.6 bilion dalam bentuk kripto dan menahan dua orang yang terlibat dalam pengubahan wang haram. Wang itu adalah sebahagian daripada $4.5 bilion yang diambil daripada pertukaran crypto Bitfinex pada 2016.
Rampasan kripto adalah antara yang terbesar pernah direkodkan.
Ketua Pegawai Eksekutif DeFi bercakap tentang situasi semasa
Bercakap secara eksklusif kepada Cointelegraph awal minggu ini, Eric Chen, Ketua Pegawai Eksekutif dan pengasas bersama Injective Labs - platform kontrak pintar boleh kendali yang dioptimumkan untuk aplikasi kewangan terdesentralisasi - berkata bahawa terdapat harapan bahawa masalah akan reda.
“Kami melihat air pasang terus surut, apabila piawaian keselamatan yang lebih teguh dilaksanakan. Dengan ujian yang betul dan infrastruktur keselamatan selanjutnya dilaksanakan, projek DeFi akan dapat menghalang risiko eksploitasi biasa pada masa hadapan,” katanya.
Mengenai langkah yang diambil oleh rangkaiannya untuk mengelak serangan penggodaman, Chen memberikan garis besar:
“Injektif memastikan model keselamatan tertumpu aplikasi yang lebih jelas berbanding dengan aplikasi DeFi berasaskan Mesin Maya Ethereum tradisional. Reka bentuk rantaian blok dan logik modul teras melindungi Injektif daripada eksploitasi biasa seperti kemasukan semula, nilai boleh ekstrak maksimum dan pinjaman kilat. Aplikasi yang dibina di atas Injektif dapat mendapat manfaat daripada langkah keselamatan yang dilaksanakan dalam rantaian blok pada tahap konsensus.”
Cointelegraph juga berpeluang bercakap dengan Konstantin Boyko-Romanovsky, Ketua Pegawai Eksekutif dan pengasas Allnodes — platform pengehosan dan pertaruhan bukan jagaan — tentang peningkatan dalam insiden penggodaman. Mengenai pemangkin utama di sebalik trend, beliau berkata:
“Tidak syak lagi ia akan mengambil sedikit masa untuk mengurangkan risiko penggodaman DeFi. Walau bagaimanapun, tidak mungkin ia akan berlaku dalam sekelip mata. Terdapat rasa perlumbaan yang berlarutan dalam DeFi. Semua orang kelihatan tergesa-gesa, termasuk pengasas projek. Pasaran berkembang lebih pantas daripada kelajuan pengaturcara menulis kod. Pemain bagus yang mengambil setiap langkah berjaga-jaga berada dalam minoriti.”
Beliau juga memberikan beberapa pandangan tentang prosedur yang akan membantu mengatasi masalah:
“Kod mesti menjadi lebih baik dan kontrak pintar mesti diaudit secara menyeluruh, itu sudah pasti. Di samping itu, pengguna harus sentiasa diingatkan tentang etika berhati-hati dalam talian. Mengenal pasti sebarang kelemahan boleh diberi insentif yang menarik. Ini, seterusnya, mungkin menggalakkan tingkah laku yang lebih sihat merentasi protokol tertentu."
Industri DeFi mengalami kesukaran untuk menggagalkan serangan penggodaman. Walau bagaimanapun, terdapat harapan bahawa peningkatan pemantauan daripada pihak berkuasa dan kerjasama yang lebih erat di kalangan pertukaran akan membantu membendung wabak itu.
Sumber: https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide