I en färsk forskningsrapport finner Token Terminal att det finns tre grundorsaker till Defi utnyttjar och att ta bort sårbarheter i smarta kontrakt är den överlägset mest utmanande av de tre.
Eftersom intresset för decentraliserad finans har skjutit i höjden, har det också gjort hackar och mattdrag i segmentet med en beräknad 105 on-chain exploateringar som resulterade i stöld av nästan 4.2 miljarder dollar från olika protokoll.
Intressant nog finner forskningen att de största hacken i genomsnitt kommer via bryggor över kedjor och centrala börser (CEX), medan avkastningsaggregatorer och utlåningsprotokoll oftast missbrukas.
"De största exploateringen tenderar att vara över flera kedjor eller på stora ekosystembroar."
FBI tar upp en ny DeFi-varning för investerare och plattformar
De tre största Defi utnyttjar hittills, Ronin Network (624 miljoner USD), Poly Network ($611 miljoner) och Wormhole ($326 miljoner), är alla tvärkedjebroar som dominerar listan över de största bedrifterna. Bridges förlorade vanligtvis över 188 miljoner dollar i varje hack, noterade rapporten.
Nyligen varnade US Federal Bureau of Investigation (FBI) investerarna och plattformarna för dessa risker i DeFi i en offentlig tjänst meddelande.
"Cyberbrottslingar utnyttjar alltmer sårbarheter i de smarta kontrakten som styr DeFi-plattformar för att stjäla kryptovaluta, vilket gör att investerare förlorar pengar", noterade byrån. "Cyberbrottslingar försöker dra nytta av investerarnas ökade intresse för kryptovalutor, såväl som komplexiteten i funktionalitet över kedjan och öppen källkod hos DeFi-plattformar."
Omvänt är avkastningsaggregatorer och utlåningsprotokoll de mest riktade systemen genom attacker, men de resulterar ofta i mindre ekonomiska förluster per attack enligt Token Terminal. I allmänhet missbrukades avkastningsaggregatorer och utlåningsprotokoll oftare, medan bryggor och CEX vanligtvis drabbas av de största förlusterna per exploatering. Cross-chain broar och CEX hot wallets står för 2.2 miljarder dollar i stulna tillgångar, eller över 52% av det totala beloppet som äventyras.
Att förvara privata nycklar är den enklaste räddningsplanen
De vanligaste orsakerna till dessa utnyttjande har grovt kategoriserats i kryphål i smarta kontrakt, komprometterade privata nycklar och protokollförfalskning. Noterbart är att kryphål i smarta kontrakt, ofta förknippade med snabblån och orakelmanipulation, enligt uppgift svarade för 73 % av alla hacks sedan september 2020. Men automatiserad formell verifiering och DeFi säkerhet revisioner är de två primära teknikerna för att hantera dessa smarta kontraktsrisker.
Rapporten finner också att de största hacken, i genomsnitt $91 miljoner vardera, orsakas av komprometterade privata nycklar, som ofta erhålls med hjälp av spjutfiskeförsök. Ironiskt nog är denna attackvektor också den mest undvikbara genom att bättre säkra de privata nycklarna och använda olika plattformar för lagring.
Slutligen är frontend-spoofing en attackmetod som går emot specifika användare snarare än de medel som protokollet kontrollerar, som i fallet med BadgerDAO-exploateringen. Vanligtvis innebär detta att man använder tekniker som DNS-cacheförgiftning för att ersätta den riktiga protokollwebbplatsens IP-adress med en falsk lookalike.
Samtidigt sägs det att exploatörer också letar efter nya alternativ nu när standardmetoden för att ta ut illa vunna vinster, genom Tornado Cash, har avbrutits via sanktioner. Be[In]Crypto hade rapporterat att efter straffen mot Tornado Cash, utvecklar ett litet men ökande antal decentraliserade finansprojekt (DeFi), inklusive dYdX, Liquidity, GMX, Kwenta och andra, istället decentraliserade frontends (DeFe).
Med det rekommenderar FBI också att DeFi-plattformar inrättar realtidsanalys, övervakning och rigorösa tester förutom att utveckla en incidentrespons för att undvika sådana utnyttjande.
Men Aztec Network, en Ethereum-Based rollup som erbjuder privata transaktioner med hjälp av noll-kunskapsteknologi, är ett möjligt substitut till Tornado Cash enligt forskningsrapporten.
För Be[In]Cryptos senaste Bitcoin (BTC) analys, Klicka här.
Villkor
All information på vår webbplats publiceras i god tro och endast för allmän information. Alla åtgärder som läsaren vidtar på informationen på vår webbplats är strikt på deras egen risk.
Källa: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/