ბოლო კვლევის ანგარიშში, Token Terminal აღმოაჩენს, რომ არსებობს სამი ძირითადი მიზეზი Defi ექსპლოიტები და ჭკვიანი კონტრაქტის მოწყვლადობის მოხსნა სამიდან ყველაზე რთულია.
მას შემდეგ, რაც ინტერესი დეცენტრალიზებული ფინანსების მიმართ გაიზარდა, ასევე გაიზარდა ჰაკები და ხალიჩები სეგმენტში ერთად სავარაუდო 105 ჯაჭვური ექსპლოიტი, რამაც გამოიწვია თითქმის 4.2 მილიარდი დოლარის მოპარვა სხვადასხვა პროტოკოლებიდან.
საინტერესოა, რომ კვლევამ აჩვენა, რომ ყველაზე დიდი ჰაკები, საშუალოდ, ხდება ჯვარედინი ხიდებისა და ცენტრალური ბირჟის (CEX) საფულეების მეშვეობით, მაშინ როცა შემოსავლის აგრეგატორები და სესხის გაცემის პროტოკოლები ყველაზე ხშირად ბოროტად გამოიყენება.
”ყველაზე დიდი ექსპლოიტეტი, როგორც წესი, ხდება მრავალი ჯაჭვის გასწვრივ ან ეკოსისტემის მთავარ ხიდებზე.”
FBI ავრცელებს ახალ DeFi გაფრთხილებას ინვესტორებისთვის და პლატფორმებისთვის
სამი უდიდესი Defi დღემდე ექსპლოიტეტები, Ronin Network ($624 მილიონი), Poly Network ($611 მილიონი) და Wormhole ($326 მილიონი), ყველა ჯაჭვის ხიდებია, რომლებიც დომინირებენ უდიდესი ექსპლოიტების სიაში. მოხსენებაში აღნიშნულია, რომ ხიდებმა, როგორც წესი, 188 მილიონ დოლარზე მეტი დაკარგეს ყოველი ჰაკინგი.
ცოტა ხნის წინ, აშშ-ს გამოძიების ფედერალურმა ბიურომ (FBI) გააფრთხილა ინვესტორები და პლატფორმები ამ რისკების შესახებ DeFi-ში საჯარო სამსახურში. განცხადება.
„კიბერ კრიმინალები სულ უფრო ხშირად იყენებენ დაუცველობას DeFi პლატფორმების მარეგულირებელ სმარტ კონტრაქტებში, რათა მოიპარონ კრიპტოვალუტა, რაც იწვევს ინვესტორებს ფულის დაკარგვას“, - აღნიშნავს სააგენტო. „კიბერ კრიმინალები ცდილობენ ისარგებლონ ინვესტორების გაზრდილი ინტერესით კრიპტოვალუტების მიმართ, ისევე როგორც ჯვარედინი ჯაჭვის ფუნქციონირების სირთულე და DeFi პლატფორმების ღია კოდის ბუნება“.
პირიქით, შემოსავლის აგრეგატორები და სესხის გაცემის პროტოკოლები ყველაზე ხშირად მიზნობრივი სისტემებია თავდასხმების მიერ, თუმცა, ისინი ხშირად იწვევს მცირე ფინანსურ ზარალს თავდასხმაზე, როგორც Token Terminal-ის მიხედვით. ზოგადად, შემოსავლიანობის აგრეგატორებისა და სესხის გაცემის პროტოკოლების ბოროტად გამოყენება უფრო ხშირად ხდებოდა, მაშინ როცა ხიდები და CEX, როგორც წესი, განიცდიან ყველაზე დიდ ზარალს თითო ექსპლოატზე. ჯვარედინი ჯაჭვის ხიდები და CEX ცხელი საფულეები შეადგენს 2.2 მილიარდ დოლარს მოპარულ აქტივებში, ანუ მთლიანი კომპრომეტირებული თანხის 52%-ზე მეტს.
პირადი გასაღებების უსაფრთხოდ შენახვა უმარტივესი სამაშველო გეგმაა
ამ ექსპლოიტების ყველაზე გავრცელებული მიზეზები უხეშად იყოფა ჭკვიან კონტრაქტის ხარვეზებად, კომპრომეტირებულ პირად გასაღებებად და პროტოკოლის წინა ნაწილის გაყალბებაში. აღსანიშნავია, რომ ჭკვიან კონტრაქტებში არსებული ხარვეზები, რომლებიც ხშირად ასოცირდება ფლეშ სესხებთან და ორაკულის მანიპულირებასთან, 73 წლის სექტემბრის შემდეგ ყველა ჰაკერების 2020%-ს შეადგენს. უსაფრთხოების აუდიტი არის ორი ძირითადი ტექნიკა ამ ჭკვიანი კონტრაქტის რისკების მართვისთვის.
მოხსენებაში ასევე ნათქვამია, რომ ყველაზე დიდი ჰაკები, თითოეული საშუალოდ 91 მილიონი დოლარის ოდენობით, გამოწვეულია გატეხილი პირადი გასაღებებით, რომლებიც ხშირად მიიღება ფიშინგის მცდელობების გამოყენებით. ბედის ირონიით, ეს თავდასხმის ვექტორი ასევე არის ყველაზე აცილებული პირადი გასაღებების უკეთ დაცვით და შესანახად სხვადასხვა პლატფორმების გამოყენებით.
და ბოლოს, frontend spoofing არის თავდასხმის მეთოდი, რომელიც ეწინააღმდეგება კონკრეტულ მომხმარებლებს და არა იმ სახსრებს, რომლებსაც პროტოკოლი აკონტროლებს, მაგალითად, BadgerDAO-ს ექსპლუატაციის შემთხვევაში. როგორც წესი, ეს გულისხმობს ისეთი ტექნიკის გამოყენებას, როგორიცაა DNS ქეშის მოწამვლა, რათა შეცვალოს რეალური პროტოკოლის ვებსაიტის IP მისამართი ყალბი მსგავსით.
იმავდროულად, გავრცელებული ინფორმაციით, ექსპლუატატორები ასევე ეძებენ ახალ ვარიანტებს ახლა, როდესაც უკანონოდ მიღებული შემოსავლების განაღდების სტანდარტული საშუალებები Tornado Cash-ის მეშვეობით, სანქციების საშუალებით შეწყდა. Be[In]Crypto-მ იტყობინება რომ Tornado Cash-ის წინააღმდეგ დაწესებული ჯარიმების შემდეგ, დეცენტრალიზებული ფინანსური (DeFi) პროექტების მცირე, მაგრამ მზარდი რაოდენობა, მათ შორის dYdX, Liquidity, GMX, Kwenta და სხვები, ავითარებენ დეცენტრალიზებულ ფრონტენტებს (DeFe).
ამასთან, FBI ასევე რეკომენდაციას უწევს, რომ DeFi პლატფორმებმა განახორციელონ რეალურ დროში ანალიტიკა, მონიტორინგი და მკაცრი ტესტირება, გარდა ინციდენტზე რეაგირების შემუშავებისა, რათა თავიდან იქნას აცილებული ასეთი ექსპლოიტეტები.
თუმცა, აცტეკთა ქსელი, ა Ethereum- დაფუძნებული გაერთიანება, რომელიც გთავაზობთ კერძო ტრანზაქციებს ნულოვანი ცოდნის ტექნოლოგიის გამოყენებით, არის Tornado Cash-ის ერთ-ერთი შესაძლო შემცვლელი კვლევის ანგარიშის მიხედვით.
Be[In]Crypto-ს უახლესი სიახლეებისთვის ვიკიპედია (BTC) ანალიზი, დააკლიკე აქ.
პასუხისმგებლობის შეზღუდვის განაცხადი
ჩვენს ვებგვერდზე განთავსებული ყველა ინფორმაცია კეთილსინდისიერად ქვეყნდება და მხოლოდ ზოგადი ინფორმაციის მისაღებად. ნებისმიერი ქმედება, რომელიც მკითხველმა განახორციელებს ჩვენს ვებგვერდზე განთავსებულ ინფორმაციასთან დაკავშირებით, მკაცრად ემუქრება მათ რისკს.
წყარო: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/