Hajautettu rahoitus (defi) -protokollat tarjoavat käyttäjille hajautettuja rahoituspalveluita, joiden avulla he voivat tehdä liiketoimia ja tehdä sopimuksia muiden osallistujien kanssa. Vaikka DeFi-protokollat pyrkivät tarjoamaan käyttäjilleen turvallisen ja luotettavan alustan, useat viime vuosien hyväksikäytöt ovat aiheuttaneet merkittäviä varojen menetyksiä. Tässä artikkelissa käsitellään joitain laajimmista viime aikoina tapahtuneista DeFi-hyödykkeistä.
Tässä on 8 suosituinta krypto DeFi -hyödyntämistä Web3:ssa palautettujen varojen vähentämisen jälkeen:
Ronin-ketju – 600 miljoonaa dollaria
Maaliskuu 2023 oli tapahtumarikas kuukausi kryptovaluutta-avaruudessa, ja Axie Infinity Ronin -siltahakkerointi oli listan kärjessä 612 miljoonalla dollarilla.
Roninin silta on Ethereum sivuketju, jota käytetään suositussa Axie Infinity -pelissä.
Kyberrikollisryhmä Lazarus, jolla epäillään olevan yhteyksiä Pohjois-Koreaan, onnistui saamaan pääsyn yhdeksän tapahtumavalidaattorin yksityiseen avaimeen, mikä antoi heille mahdollisuuden hyväksyä kaksi suurta tapahtumaa ja siirtää varat lompakkoosoitteestaan. Onneksi viranomaisten, tietoturvayritysten ja kryptovaluuttapörssien välinen yhteistyö auttoi jäljittämään osan näistä varoista sen jälkeen, kun hakkerit ohjasivat ne Tornado-rahaan – avoimen lähdekoodin kryptovaluuttapyöriin – ja muihin pörsseihin.
Madonreiän silta – 323 miljoonaa dollaria
Helmikuussa 2022 tapahtui valitettava tapaus, kun kryptohakkerit käyttivät madonreiän koodia 326 miljoonan dollarin arvoisen krypton kanssa.
Madonreikä on merkkisilta Solanan ja Ethereumin välillä, joka valitettavasti ei onnistunut estämään hyökkäystä. Sen teki mahdolliseksi vanhentunut/kuollut turvaton toiminto, joka ohitti allekirjoituksen tarkistuksen ja mahdollisti allekirjoitusten delegointiketjun.
Asiantuntijat tietoverkkoturvallisuus ehdottavat, että kehittäjät olisivat voineet estää hyökkäyksen, jos he olisivat harjoittaneet "turvallisia koodauskäytäntöjä", joissa heidän on tarkistettava kaikki parametrit. Tarkastus olisi voinut varmistaa kelvollisten osoitteiden todentamisen ja siten sulkea pois laittomien lähteiden pääsyn ketjun omaisuuteen.
Pavunvarsi – 181 miljoonaa dollaria
Kohtalokkaana viikonloppuna huhtikuussa 2022 hakkeri päästi valloilleen hyökkäyksen, joka järkytti kryptoyhteisöä. Käyttämällä flash-lainaa – joka on hajautetun rahoitusprotokollan (DeFi) ominaisuus – he onnistuivat varastamaan 182 miljoonaa dollaria ETH-, BEAN-stablecoin- ja muuta omaisuutta Beanstalkin stablecoin-protokollasta.
Hakkerit esittivät Beanstalk DAO:lle kaksi haitallista ehdotusta sen hätätoimitustoiminnon kautta, joka edellyttää ⅔ ääntä ennen käyttöönottoa 24 tunnin kuluttua. Hyökkääjä käytti flash-lainatekniikkaa saadakseen hallintaansa 79 % tunnuksista läpäistäkseen molemmat ehdotukset ja toteuttaakseen suunnitelmansa onnistuneesti.
Varat lähetettiin protokollan sisällä pikalainan maksamiseen, ja loput menivät Ukrainassa sijaitsevaan hätärahastoon liittyvään osoitteeseen. Tästä rohkeasta teosta vastuussa oleva henkilö on ottanut yhteensä jopa 76 miljoonaa dollaria.
Nomad - 155 miljoonaa dollaria
Hämmentävä Nomad-sillan hakkerointi nousi otsikoihin, kun se tapahtui 1. elokuuta 2022. Se järkytti monia blockchain harrastajat hyökkääjinä käyttivät hyväkseen haavoittuvuutta tyhjentääkseen yli 190 miljoonan dollarin arvosta Ethereum-pohjaista omaisuutta, joka oli tallennettu moniketjuiseen ristiin.
Hakkerit liikkuivat nopeasti ja raivoissaan, ja sadat lompakot osallistuivat 960 tapahtumaan, mikä johti 1,175 XNUMX yksittäiseen nostoon sillan Total Value Locked (TVL) -arvosta. Kaikki muutamassa tunnissa.
Hämmentävä puoli tässä hakkeroinnissa oli se, että käyttäjien täytyi vain kopioida ja liittää alkuperäisen hakkerin tapahtumapuhelutiedot, korvata alkuperäinen osoite henkilökohtaisella, ja tapahtuma saatiin päätökseen.
Hakkerointi aiheutti shokkiaaltoja koko hajautetun rahoitusyhteisön (DeFi) piirissä, mikä osoitti, että hakkerit ovat askeleen edellä hyödyntäessään koodin porsaanreikiä. Nomad-silta on havainnollistava esimerkki, joka osoittaa turvallisten koodauskäytäntöjen tärkeyden ja vahvistaa, miksi turvallisuus on edelleen jatkuva haaste lohkoketjuprojekteille tänä päivänä.
CREAM Finance – 130.8 miljoonaa dollaria
Vaikka CREAM-hyökkäys lokakuussa 2021 oli yksi suurimmista pikalainan ryöstöistä, se ei todellakaan ollut yksittäistapaus. Pikalainahyökkäykset sisältävät likviditeetin "flash-lainan" käyttämisen, lainaamisen ja tämän nopean rahoituksen laiminlyönnin, kaikki yhdessä tapahtumassa.
Hyödyntämällä hinnanlaskentavirheitä hakkerit voivat nopeasti hyötyä lainoistaan. Esimerkiksi CREAMin tapauksessa kaksi eri osoitetta olivat vuorovaikutuksessa sen yUSDVaultin kanssa suuren määrän crYUSD-tunnuksia varten. He käyttivät hyväkseen haavoittuvuutta, joka kaksinkertaistaisi näiden osakkeiden arvon. Vaikka he saivat onnistuneesti 130 miljoonan dollarin arvosta varoja, ~1 miljardin dollarin vakuus voi viedä paljon enemmän kuin tämä summa.
Flash-lainahyökkäykset yleistyvät, ja yhteisön tulisi kysyä, kuinka he voivat estää uusia tietoturvaloukkauksia tulevaisuudessa.
BSC token hub – 127 miljoonaa dollaria
Lokakuussa 2022 hakkerit, jotka käyttivät hyväkseen BSC Beacon cross-bridge -koodin kriittistä haavoittuvuutta, tekivät salausomaisuuksia yhteensä 570 miljoonan dollarin arvosta.
BSc Beacon -ketju, joka tunnetaan myös nimellä Token Hub, on ketjujen välinen silta, joka yhdistää BNB Beacon Chainin (BEP2) ja BNB Chainin (BEP20/BSC).
Hakkeri väärensi kryptografisia todisteita, joita kutsutaan Merkle-todistuksiksi, joiden tarkoituksena oli vahvistaa tietojen, kuten tapahtumien, oikeellisuus. He vuorostaan käyttivät näitä vääriä Merkle-todistuksia siirtääkseen varoja BSC Beaconin ristisillasta muille ketjuille.
Heti kun Tether sulki hyökkääjien osoitteen, seurasi nopeaa toimintaa ja yli 7 miljoonaa dollaria siirrettiin BNB-ketjusta jäädytettynä, mikä takavarikoi suurimman osan heidän väärin hankituista varoistaan.
Harmony Horizon - 100 miljoonaa dollaria
Kesäkuussa 2022 Harmony Horizon Bridge -projekti vaarantui, kun hakkerit varastivat kaksi sen viidestä validaattorin yksityisestä avaimesta, jolloin huijarit pystyivät siirtämään 100 miljoonan dollarin arvoisia rahakkeita.
Tämä turvallisuusongelma johtui tavasta, jolla silta oli pystytetty, validointimenetelmällä 2/5. Tämän seurauksena hyökkääjä tarvitsi vain kaksi hyväksyntää minkä tahansa haitallisen tapahtuman vahvistamiseen. Peittääkseen jälkensä hyökkääjät käyttivät Tornado Cashia pestäkseen osan väärin hankituista tuloistaan.
Vaikka tämä asennus saattoi aluksi tuntua turvalliselta, se osoittautui tuottoisaksi kohteeksi huonoille näyttelijöille ja kalliiksi oppitunniksi lohkoketjujen turvallisuudesta kiinni jääneille.
Rari - 91 miljoonaa dollaria
Palautumishyökkäykset ovat olleet olemassa Ethereumin alkuajoista lähtien. He ovat käyttäneet sopimushaavoittuvuuksia nostaakseen varoja toistuvasti ennen kuin alkuperäinen tapahtuma on hyväksytty tai hylätty.
Toukokuussa 2022 kaksi hajautettua rahoitusalustaa vaarantui tällä tavalla, ja hakkerit varastivat 90 miljoonaa dollaria. Rari Capitalin Jack Longarzo sanoi, että hyökkääjä käytti yritystä hyväkseen, ja Rari Capitaliin sulautunut Fei Protocol tarjosi hakkerille 10 miljoonan dollarin palkkion.
Blockchain-tietoturvayhtiö BlockSec selitti, että hakkerit käyttivät sisäänpääsyn haavoittuvuutta.
Kehittäjät voivat estää tämäntyyppiset hyökkäykset testaamalla ja tarkastamalla sopimukset kunnolla ennen käyttöönottoa Ethereum-lohkoketjussa.
Kuinka suojautua DeFi-hyökkäyksiltä
DeFi-protokollat ovat tulleet yhä suositummiksi ja monimutkaisemmiksi, mikä tekee niistä houkuttelevia kohteita hakkereille. Seuraavassa on seitsemän vinkkiä, jotka auttavat sinua suojautumaan DeFi-hyökkäyksiltä:
- Suorita perusteellinen due diligence kaikista projekteista ennen sijoittamista. Tarkista alustan koodi, verkkosivusto, tiimin jäsenet ja sosiaaliset kanavat punaisten lippujen varalta.
- Varmista, että luotettava lähde tarkastaa sopimukset, joiden kanssa olet vuorovaikutuksessa, ja että tarkastuksen tulokset ovat julkisesti saatavilla.
- Älä säilytä suuria summia varoja yhteen DeFi-sopimukseen, jolloin se on alttiimpi hyökkäyksille.
- Pysy ajan tasalla viimeisimmistä tietoturvauutisista saadaksesi tietoa uusista hyödyistä.
- Ota käyttöön asianmukaiset todennus- ja valtuutusmenettelyt kaikille tileille, jotka ovat vuorovaikutuksessa DeFi-protokollien kanssa.
- Varmista, että lompakkosi on suojattu, ja käytä kaksivaiheista todennusta aina kun mahdollista.
- Seuraa säännöllisesti varojasi ja tapahtumiasi lohkoketjussa havaitaksesi kaikki epäilyttävät toiminnot tai luvattomat nostot.
Näiden vihjeiden noudattaminen voi auttaa sinua suojaamaan DeFi-hyökkäyksiä vastaan ja varmistamaan, että varat ovat turvassa, kun käytät hajautettuja rahoitusprotokollia. On kuitenkin myös tärkeää muistaa, että mikään järjestelmä ei ole erehtymätön, joten on aina parasta olla erityisen varovainen käsitellessäsi digitaalista omaisuutta.
Yhteenveto
Kaiken kaikkiaan turvallisuus on yksi tärkeimmistä näkökohdista kryptovaluuttoja ja DeFi-protokollia käsiteltäessä. Valitettavasti alan kasvaessa edelleen haitallisen toiminnan riskit kasvavat. Vaikka on mahdotonta taata täydellistä turvallisuutta, näiden vinkkien noudattaminen voi auttaa sinua suojautumaan DeFin hyväksikäytöltä ja pitämään rahasi turvassa.
Pysymällä ajan tasalla viimeisimmistä lohkoketjun tietoturvan kehityksestä ja varmistamalla, että kaikilla tileillä on asianmukaiset todennusmenettelyt, voit auttaa varmistamaan, että digitaaliset omaisuutesi pysyvät turvassa.
Lähde: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/