Desentralisadong pananalapi (DeFi) ang mga protocol ay nag-aalok ng mga desentralisadong serbisyo sa pananalapi sa mga user, na nagpapahintulot sa kanila na gumawa ng mga transaksyon at pumasok sa mga kasunduan sa ibang mga kalahok. Habang ang mga protocol ng DeFi ay naglalayong magbigay ng isang secure at maaasahang platform para sa kanilang mga user, maraming mga pagsasamantala sa loob ng nakaraang ilang taon ang nagdulot ng malaking pagkalugi ng mga pondo. Tatalakayin ng artikulong ito ang ilan sa mga pinakamalawak na pagsasamantala sa DeFi na naganap kamakailan.
Narito ang nangungunang 8 crypto DeFi exploit sa Web3 pagkatapos ibawas ang mga ibinalik na pondo:
Ronin Chain – $600m
Ang Marso 2023 ay isang mahalagang buwan para sa cryptocurrency space, kung saan ang Axie Infinity Ronin bridge hack ang nangunguna sa listahan sa $612 milyon.
Ang tulay ng Ronin ay isang Ethereum side chain na ginamit sa sikat na play-to-earn game na Axie Infinity.
Ang cybercrime group na si Lazarus, na pinaghihinalaang may koneksyon sa North Korean, ay nakakuha ng access sa siyam na mga validator ng transaksyon sa pribadong susi, na nagpapahintulot sa kanila na aprubahan ang dalawang malalaking transaksyon at ilipat ang mga pondo mula sa kanilang address ng wallet. Sa kabutihang palad, ang pakikipagtulungan sa pagitan ng mga awtoridad, mga kumpanya ng seguridad, at mga palitan ng cryptocurrency ay nakatulong sa pagsubaybay sa ilan sa mga pondong ito matapos silang bigyan ng lakas ng loob ng mga hacker sa Tornado cash - isang open-source na crypto tumbler - at iba pang mga palitan.
Wormhole bridge – $323m
Noong Pebrero 2022, isang hindi magandang insidente ang naganap habang sinamantala ng mga crypto hacker ang code ng isang wormhole upang mag-alis gamit ang crypto na nagkakahalaga ng $326 milyon.
Ang wormhole ay isang token bridge sa pagitan ng Solana at Ethereum, na sa kasamaang-palad ay nabigo na pigilan ang pag-atake. Ginawa itong posible sa pamamagitan ng isang hindi na ginagamit/patay na hindi secure na function na lumampas sa pag-verify ng lagda at pinagana ang hanay ng mga delegasyon ng mga lagda.
Mga eksperto sa cyber seguridad Iminumungkahi na maiiwasan ng mga developer ang pag-atake kung nagsagawa sila ng 'secure coding practices' kung saan dapat nilang suriin ang lahat ng parameter. Maaaring matiyak ng tseke ang pagpapatotoo ng mga wastong address at sa gayon ay pinasiyahan ang mga hindi lehitimong mapagkukunan sa pag-access ng mga asset sa chain.
Beanstalk - $181m
Sa isang nakamamatay na katapusan ng linggo noong Abril 2022, isang hacker ang nagpakawala ng isang pag-atake na yumanig sa komunidad ng crypto. Gamit ang isang flash loan - isang tampok ng mga protocol ng decentralized finance (DeFi) - nagawa nilang magnakaw ng $182 milyon sa ETH, BEAN stablecoin, at iba pang mga asset mula sa Beanstalk stablecoin protocol.
Ang mga hacker ay nagpakita ng dalawang malisyosong panukala sa Beanstalk DAO sa pamamagitan ng emergency commit function nito, na nangangailangan ng ⅔ boto bago ang pagpapatupad pagkatapos ng 24 na oras. Gumamit ang attacker ng teknolohiya ng flash loan upang makontrol ang 79% ng mga token upang maipasa ang parehong mga panukala at matagumpay na maisakatuparan ang kanilang plano.
Ang mga pondo ay ipinadala mula sa loob ng protocol upang bayaran ang flash loan, kasama ang natitira sa isang address na nauugnay sa isang emergency fund na nakabase sa Ukraine. Sa kabuuan, aabot sa $76 milyon ang nakuha ng indibidwal na responsable para sa matapang na pagkilos na ito.
Nomad – $155m
Ang nakalilito na Nomad bridge hack ay naging headline nang mangyari ito noong Agosto 1, 2022. Ikinagulat nito ang marami blockchain sinamantala ng mga mahilig sa mga umaatake ang isang kahinaan upang maubos ang mahigit $190M na halaga ng mga asset na nakabatay sa Ethereum na nakaimbak sa multi-chain cross-bridge.
Ang mga hacker ay kumilos nang mabilis at galit, na may daan-daang wallet na nakikibahagi sa 960 na mga transaksyon na nagresulta sa 1,175 indibidwal na pag-withdraw mula sa Total Value Locked (TVL) ng tulay. Lahat sa loob ng ilang oras.
Ang isang nakalilitong aspeto ng pag-hack na ito ay ang lahat ng mga user na kailangang gawin upang i-hack ang mga pondo ng tulay ay i-copy-paste ang data ng tawag sa transaksyon ng orihinal na hacker, palitan ang orihinal na address ng isang personal, at makumpleto ang transaksyon.
Ang hack ay nagpadala ng mga shockwaves sa buong komunidad ng desentralisadong pananalapi (DeFi), na nagpapatunay na ang mga hacker ay nananatiling isang hakbang sa unahan kapag sinasamantala ang mga butas sa code. Ang Nomad bridge ay nagbibigay ng isang mapaglarawang halimbawa na nagpapakita ng kahalagahan ng mga secure na coding practices at nagpapatibay kung bakit ang seguridad ay nananatiling isang patuloy na hamon para sa mga proyekto ng blockchain ngayon.
CREAM Pananalapi – $130.8m
Kahit na ang pag-atake sa CREAM noong Oktubre 2021 ay isa sa pinakamalaking flash loan heists, tiyak na hindi ito isang nakahiwalay na insidente. Kasama sa mga pag-atake ng flash loan ang paggamit ng 'flash loan' ng pagkatubig, paghiram, at pag-default sa mabilis na pagpopondo na ito, lahat sa loob ng iisang transaksyon.
Sa pamamagitan ng pagsasamantala sa mga error sa pagkalkula ng presyo, mabilis na kumikita ang mga hacker mula sa kanilang mga paghiram. Halimbawa, sa kaso ng CREAM, dalawang magkaibang address ang nakipag-ugnayan sa yUSDVault nito upang gumawa ng malaking bilang ng mga token ng crYUSD. Sinamantala nila ang isang kahinaan na magdodoble sa halaga ng mga bahaging ito. Bagama't matagumpay silang nakakuha ng $130 milyon na halaga ng mga pondo, ang ~$1 bilyon na magagamit na collateral ay maaaring tumagal nang higit pa sa halagang ito.
Lalong lumalaganap ang mga pag-atake ng flash loan, at dapat magtanong ang komunidad tungkol sa kung paano nila mapipigilan ang mga karagdagang paglabag sa seguridad sa hinaharap.
BSC token hub – $127m
Noong Oktubre 2022, ang mga hacker na nagsasamantala sa isang kritikal na kahinaan sa BSC Beacon cross-bridge code ay natanggal sa mga crypto asset na may kabuuang $570 milyon.
Ang BSc Beacon chain, na kilala rin bilang Token Hub, ay isang inter-chain bridge na nagkokonekta sa BNB Beacon Chain (BEP2) at BNB Chain (BEP20/BSC).
Ang hacker ay nagpalsify ng mga cryptographic na patunay na tinatawag na Merkle proofs na sinadya upang kumpirmahin ang bisa ng data tulad ng mga transaksyon. Sa turn, ginamit nila ang mga huwad na patunay ng Merkle na ito upang ilipat ang mga pondo mula sa BSC Beacon cross-bridge patungo sa ibang mga chain.
Sa sandaling i-blocklist ni Tether ang address ng mga umaatake, sinundan ng mabilis na pagkilos ang mahigit $7 milyon na inilipat mula sa chain ng BNB na frozen, na kinumpiska ang karamihan sa kanilang mga ill-gotten na pondo.
Harmony Horizon – $100m
Noong Hunyo 2022, nakompromiso ang proyekto ng Harmony Horizon Bridge nang ninakaw ng mga hacker ang dalawa sa limang validator private key nito, na nagpapahintulot sa mga manloloko na maglipat ng $100 milyon na halaga ng mga token.
Ang problema sa seguridad na ito ay dahil sa paraan ng pagkaka-set up ng tulay, na may 2 of 5 validation scheme. Bilang resulta, kailangan lang ng attacker ng dalawang pag-apruba para ma-validate ang anumang nakakahamak na transaksyon. Upang takpan ang kanilang mga landas, ginamit ng mga umaatake ang Tornado Cash para i-launder ang ilan sa kanilang mga nakuhang hindi nakuha.
Bagama't ang setup na ito ay maaaring mukhang secure sa simula, napatunayan nito ang isang kapaki-pakinabang na target para sa mga masasamang aktor at isang mamahaling aral sa kaligtasan ng blockchain para sa mga nahuli.
Rari- $91 m
Ang mga pag-atake ng reentrancy ay umiikot mula pa noong mga unang araw ng Ethereum. Gumamit sila ng mga kahinaan sa kontrata upang paulit-ulit na mag-withdraw ng mga pondo bago maaprubahan o tinanggihan ang orihinal na transaksyon.
Noong Mayo 2022, dalawang desentralisadong platform ng pananalapi ang nakompromiso sa ganitong paraan, kung saan ang mga hacker ay nagnanakaw ng $90 milyon. Sinabi ni Jack Longarzo ng Rari Capital na sinamantala ng umaatake ang kumpanya, at ang Fei Protocol, na pinagsama sa Rari Capital, ay nag-alok sa hacker ng $10 milyon na pabuya.
Ipinaliwanag ng kumpanya ng seguridad ng Blockchain na BlockSec na ang mga hacker ay gumamit ng reentrancy vulnerability.
Maaaring pigilan ng mga developer ang mga ganitong uri ng pag-atake sa pamamagitan ng maayos na pagsubok at pag-audit ng mga kontrata bago i-deploy sa Ethereum blockchain.
Paano protektahan ang iyong sarili mula sa mga pagsasamantala ng DeFi
Ang mga protocol ng DeFi ay naging lalong popular at kumplikado, na ginagawa itong mga kaakit-akit na target para sa mga hacker. Ang sumusunod ay pitong tip upang matulungan kang protektahan ang iyong sarili mula sa mga pagsasamantala ng DeFi:
- Magsagawa ng masusing due diligence sa anumang proyekto bago mamuhunan. Tingnan ang code ng platform, website, mga miyembro ng koponan, at mga social channel para sa mga pulang bandila.
- Tiyaking ina-audit ng pinagkakatiwalaang source ang mga kontratang nakikipag-ugnayan ka at ang mga resulta ng pag-audit ay available sa publiko.
- Huwag mag-imbak ng malaking halaga ng mga pondo sa isang kontrata ng DeFi, na ginagawa itong mas madaling maapektuhan ng pag-atake.
- Manatiling updated sa mga pinakabagong balita sa seguridad upang malaman ang tungkol sa mga bagong pagsasamantala.
- Magpatupad ng wastong mga pamamaraan ng pagpapatotoo at pagpapahintulot para sa lahat ng account na nakikipag-ugnayan sa mga protocol ng DeFi.
- Tiyaking secure ang iyong wallet, at gumamit ng two-factor authentication hangga't maaari.
- Regular na subaybayan ang iyong mga pondo at transaksyon sa blockchain upang makita ang anumang kahina-hinalang aktibidad o hindi awtorisadong pag-withdraw.
Makakatulong ang pagsunod sa mga tip na ito na protektahan ka mula sa mga pagsasamantala sa DeFi at matiyak na ligtas ang iyong mga pondo kapag nakikipag-ugnayan sa mga desentralisadong protocol sa pananalapi. Gayunpaman, mahalagang tandaan na walang sistemang hindi nagkakamali, kaya laging pinakamabuting kasanayan na mag-ingat kapag nakikitungo sa mga digital na asset.
Konklusyon
Sa pangkalahatan, ang seguridad ay isa sa pinakamahalagang pagsasaalang-alang kapag nakikitungo sa mga cryptocurrencies at DeFi protocol. Sa kasamaang palad, habang ang industriya ay patuloy na lumalaki, gayundin ang mga panganib ng malisyosong aktibidad. Bagama't imposibleng magarantiya ang kabuuang kaligtasan, ang pagsunod sa mga tip na ito ay makakatulong sa iyong protektahan ang iyong sarili mula sa mga pagsasamantala ng DeFi at panatilihing secure ang iyong mga pondo.
Sa pamamagitan ng pananatiling napapanahon sa pinakabagong mga pag-unlad sa seguridad ng blockchain at pagtiyak na ang mga wastong pamamaraan ng pagpapatunay ay nasa lugar para sa lahat ng mga account, makakatulong kang matiyak na ang iyong mga digital na asset ay mananatiling ligtas.
Pinagmulan: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/