Sa isang kamakailang ulat ng pananaliksik, nalaman ng Token Terminal na mayroong tatlong pangunahing sanhi ng DeFi pagsasamantala, at ang pag-alis ng mga kahinaan sa matalinong kontrata ang pinakamahirap sa tatlo.
Dahil ang interes sa desentralisadong pananalapi ay tumaas, gayon din ang mga hack at rug pulls sa segment may isang tinatantya 105 on-chain na pagsasamantala na nagresulta sa pagnanakaw ng halos $4.2 bilyon mula sa iba't ibang protocol.
Kapansin-pansin, natuklasan ng pananaliksik na ang pinakamalaking mga hack, sa karaniwan, ay dumarating sa pamamagitan ng mga cross-chain bridge at central exchange (CEX) na mga wallet, samantalang ang mga yield aggregator at lending protocol ay kadalasang inaabuso.
"Ang pinakamalaking pagsasamantala ay kadalasang nasa maraming chain o sa mga pangunahing tulay ng ecosystem."
Nagtaas ang FBI ng bagong babala sa DeFi para sa mga mamumuhunan at platform
Ang tatlong pinakamalaki DeFi pagsasamantala hanggang sa kasalukuyan, Ronin Network ($624 milyon), Poly Network ($611 milyon), at Wormhole ($326 milyon), ay lahat ng cross-chain na tulay na nangingibabaw sa listahan ng pinakamalaking pagsasamantala. Karaniwang nawawala ang mga tulay ng higit sa $188 milyon sa bawat hack, ang sabi ng ulat.
Kamakailan, binalaan ng US Federal Bureau of Investigation (FBI) ang mga mamumuhunan at platform tungkol sa mga panganib na ito sa DeFi sa isang pampublikong serbisyo anunsyo.
"Ang mga kriminal sa cyber ay lalong nagsasamantala sa mga kahinaan sa mga matalinong kontrata na namamahala sa mga platform ng DeFi upang magnakaw ng cryptocurrency, na nagiging sanhi ng mga mamumuhunan na mawalan ng pera," sabi ng ahensya. “Hinihanap ng mga cyber criminal na samantalahin ang tumaas na interes ng mga namumuhunan sa mga cryptocurrencies, pati na rin ang pagiging kumplikado ng cross-chain functionality at open source na kalikasan ng mga DeFi platform.”
Sa kabaligtaran, ang mga yield aggregator at lending protocol ay ang pinakamadalas na na-target na mga system sa pamamagitan ng mga pag-atake, gayunpaman, madalas silang nagreresulta sa mas maliliit na pagkalugi sa pananalapi bawat pag-atake ayon sa Token Terminal. Sa pangkalahatan, ang mga yield aggregator at lending protocol ay mas madalas na inaabuso, habang ang mga tulay at CEX ay karaniwang dumaranas ng pinakamalaking pagkalugi sa bawat pagsasamantala. Ang mga cross-chain bridge at CEX hot wallet ay nagkakahalaga ng $2.2 bilyon sa mga ninakaw na asset, o higit sa 52% ng kabuuang halagang nakompromiso.
Ang ligtas na pag-iingat ng mga pribadong susi ay ang pinakasimpleng plano sa pagsagip
Ang mga pinakakaraniwang sanhi ng mga pagsasamantalang ito ay halos nakategorya sa mga butas ng matalinong kontrata, mga nakompromisong pribadong key, at panggagaya sa frontend ng protocol. Kapansin-pansin, ang mga butas sa mga matalinong kontrata, na kadalasang nauugnay sa mga flash loan at pagmamanipula ng oracle, ay naiulat na umabot sa 73% ng lahat ng mga hack mula noong Setyembre 2020. Ngunit, ang awtomatikong pormal na pag-verify at DeFi katiwasayan ang mga pag-audit ay ang dalawang pangunahing pamamaraan para sa pamamahala sa mga panganib sa matalinong kontrata na ito.
Nalaman din ng ulat na ang pinakamalaking mga hack, na may average na $91 milyon bawat isa, ay sanhi ng mga nakompromisong pribadong key, na kadalasang nakukuha gamit ang mga pagtatangka sa spear-phishing. Kabalintunaan, ang vector ng pag-atake na ito ay ang pinaka-maiiwasan din sa pamamagitan ng mas mahusay na pag-secure ng mga pribadong key at paggamit ng iba't ibang mga platform para sa imbakan.
Panghuli, ang frontend spoofing ay isang paraan ng pag-atake na lumalaban sa mga partikular na user kaysa sa mga pondong kinokontrol ng protocol, tulad ng sa kaso ng pagsasamantala ng BadgerDAO. Kadalasan, ito ay nangangailangan ng paggamit ng mga diskarte tulad ng DNS cache poisoning upang palitan ang IP address ng totoong protocol na website ng isang huwad na kamukha.
Samantala, ang mga mapagsamantala ay iniulat din na naghahanap ng mga bagong opsyon ngayon na ang karaniwang paraan ng pag-cash out ng mga ill-gotten gains, sa pamamagitan ng Tornado Cash, ay hindi na ipinagpatuloy sa pamamagitan ng mga parusa. Ang Be[In]Crypto ay nag-ulat na kasunod ng mga parusa laban sa Tornado Cash, ang maliit ngunit tumataas na bilang ng mga decentralized finance (DeFi) na proyekto, kabilang ang dYdX, Liquidity, GMX, Kwenta, at iba pa, ay bumubuo sa halip ng mga decentralized frontends (DeFe).
Sa pamamagitan nito, inirerekomenda din ng FBI na ang mga platform ng DeFi ay magsagawa ng real-time na analytics, pagsubaybay, at mahigpit na pagsubok bukod sa pagbuo ng tugon sa insidente upang maiwasan ang mga ganitong pagsasamantala.
Gayunpaman, ang Aztec Network, isang Ethereum-based rollup na nag-aalok ng mga pribadong transaksyon gamit ang zero-knowledge technology, ay isang posibleng kapalit sa Tornado Cash ayon sa ulat ng pananaliksik.
For Be[In]Crypto's latest Bitcoin (BTC) pagtatasa, pindutin dito.
Pagtanggi sa pananagutan
Ang lahat ng impormasyon na nilalaman sa aming website ay nai-publish sa mabuting pananampalataya at para sa pangkalahatang mga layunin ng impormasyon lamang. Anumang pagkilos na gagawin ng mambabasa sa impormasyong matatagpuan sa aming website ay mahigpit na nasa kanilang sariling peligro.
Pinagmulan: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/