การเงินแบบกระจายอำนาจ (Defi) โปรโตคอลนำเสนอบริการทางการเงินแบบกระจายอำนาจแก่ผู้ใช้ ช่วยให้พวกเขาทำธุรกรรมและทำข้อตกลงกับผู้เข้าร่วมรายอื่นได้ แม้ว่าโปรโตคอล DeFi มีเป้าหมายเพื่อมอบแพลตฟอร์มที่ปลอดภัยและเชื่อถือได้ให้กับผู้ใช้ แต่การแสวงหาผลประโยชน์หลายครั้งในช่วงไม่กี่ปีที่ผ่านมาได้ก่อให้เกิดการสูญเสียเงินทุนจำนวนมาก บทความนี้จะกล่าวถึงการใช้ประโยชน์จาก DeFi อย่างกว้างขวางที่สุดบางส่วนซึ่งเกิดขึ้นเมื่อเร็วๆ นี้
นี่คือ 8 อันดับแรกของการใช้ประโยชน์จากการเข้ารหัสลับ DeFi ใน Web3 หลังจากหักเงินที่ส่งคืน:
โรนิน เชน – 600 ล้านเหรียญ
มีนาคม 2023 เป็นเดือนที่มีเหตุการณ์สำคัญสำหรับพื้นที่ cryptocurrency โดยสะพาน Axie Infinity Ronin ถูกแฮกที่ 612 ล้านดอลลาร์
สะพานโรนินคือ Ethereum ห่วงโซ่ด้านข้างที่ใช้ในเกม Axie Infinity ที่เล่นเพื่อหารายได้ยอดนิยม
กลุ่มอาชญากรไซเบอร์ Lazarus ซึ่งสงสัยว่ามีความเกี่ยวข้องกับเกาหลีเหนือ สามารถเข้าถึงคีย์ส่วนตัวของผู้ตรวจสอบการทำธุรกรรมเก้ารายการ ทำให้พวกเขาสามารถอนุมัติธุรกรรมขนาดใหญ่สองรายการและย้ายเงินจากที่อยู่กระเป๋าเงินของพวกเขา โชคดีที่การทำงานร่วมกันระหว่างเจ้าหน้าที่ บริษัทรักษาความปลอดภัย และการแลกเปลี่ยนสกุลเงินดิจิทัลสามารถช่วยติดตามเงินเหล่านี้บางส่วนได้ หลังจากที่แฮ็กเกอร์กระตุ้นให้พวกเขากลายเป็น Tornado cash – crypto tumbler แบบโอเพ่นซอร์ส – และการแลกเปลี่ยนอื่น ๆ
สะพานหนอน – 323 ล้านเหรียญ
ในเดือนกุมภาพันธ์ พ.ศ. 2022 เหตุการณ์ที่โชคร้ายเกิดขึ้นเมื่อแฮ็กเกอร์คริปโตใช้ประโยชน์จากรหัสของรูหนอนเพื่อกำจัดคริปโตมูลค่า 326 ล้านดอลลาร์
รูหนอนเป็นสะพานโทเค็นระหว่าง Solana และ Ethereum ซึ่งน่าเสียดายที่ล้มเหลวในการป้องกันการโจมตี เป็นไปได้ด้วยฟังก์ชันที่ไม่ปลอดภัยที่เลิกใช้แล้ว/ตาย ซึ่งข้ามการตรวจสอบลายเซ็นและเปิดใช้สายการมอบหมายของลายเซ็น
ผู้เชี่ยวชาญใน การรักษาความปลอดภัยในโลกไซเบอร์ แนะนำว่านักพัฒนาสามารถป้องกันการโจมตีได้หากพวกเขาฝึกฝน 'การเข้ารหัสที่ปลอดภัย' ซึ่งพวกเขาต้องตรวจสอบพารามิเตอร์ทั้งหมด การตรวจสอบสามารถรับรองความถูกต้องของที่อยู่ที่ถูกต้องและตัดแหล่งที่มาที่ผิดกฎหมายออกจากการเข้าถึงทรัพย์สินในห่วงโซ่
ฝักถั่ว – 181 ล้านเหรียญ
ในสุดสัปดาห์แห่งโชคชะตาในเดือนเมษายน 2022 แฮ็กเกอร์ได้ปล่อยการโจมตีที่สั่นสะเทือนชุมชนคริปโต การใช้เงินกู้แบบแฟลช – คุณลักษณะของโปรโตคอลการเงินแบบกระจายอำนาจ (DeFi) – พวกเขาสามารถขโมย ETH, BEAN Stablecoin มูลค่า 182 ล้านดอลลาร์ และทรัพย์สินอื่น ๆ จากโปรโตคอล Stablecoin ของ Beanstalk
แฮ็กเกอร์ได้นำเสนอข้อเสนอที่เป็นอันตราย 24 ข้อต่อ Beanstalk DAO ผ่านทางฟังก์ชันคอมมิตฉุกเฉิน ซึ่งต้องใช้ ⅔ โหวตก่อนนำไปใช้งานหลังจากผ่านไป 79 ชั่วโมง ผู้โจมตีใช้เทคโนโลยีการยืมแฟลชเพื่อควบคุม XNUMX% ของโทเค็นเพื่อให้ผ่านข้อเสนอทั้งสองและดำเนินการตามแผนได้สำเร็จ
เงินถูกส่งจากภายในโปรโตคอลเพื่อชำระเงินกู้แฟลช โดยส่วนที่เหลือจะถูกส่งไปยังที่อยู่ที่เกี่ยวข้องกับกองทุนฉุกเฉินในยูเครน โดยรวมแล้วบุคคลผู้รับผิดชอบการกระทำที่กล้าหาญนี้ได้รับเงินสูงถึง 76 ล้านดอลลาร์
Nomad – 155 ล้านเหรียญ
การแฮ็คสะพาน Nomad ที่น่างงงวยกลายเป็นข่าวเมื่อมันเกิดขึ้นในวันที่ 1 สิงหาคม 2022 มันทำให้หลายคนตกใจ blockchain ผู้ที่ชื่นชอบการโจมตีใช้ประโยชน์จากช่องโหว่เพื่อระบายสินทรัพย์มูลค่ากว่า $190M ของ Ethereum ที่เก็บไว้ในสะพานข้ามหลายสาย
แฮ็กเกอร์เคลื่อนไหวอย่างรวดเร็วและรุนแรง โดยมีกระเป๋าเงินหลายร้อยใบที่มีส่วนร่วมในธุรกรรม 960 รายการ ส่งผลให้มีการถอนเงินทีละ 1,175 รายการจาก Total Value Locked (TVL) ของบริดจ์ ภายในไม่กี่ชั่วโมง
แง่มุมที่น่าฉงนของการแฮ็กนี้คือผู้ใช้ทั้งหมดต้องทำเพื่อแฮ็ก Bridge Fund คือคัดลอกและวางข้อมูลการโทรธุรกรรมของแฮ็กเกอร์ดั้งเดิม แทนที่ที่อยู่เดิมด้วยที่อยู่ส่วนบุคคล และธุรกรรมจะเสร็จสมบูรณ์
การแฮ็กส่งคลื่นกระแทกไปทั่วชุมชนการเงินแบบกระจายอำนาจ (DeFi) ซึ่งพิสูจน์ให้เห็นว่าแฮ็กเกอร์ยังคงนำหน้าอยู่หนึ่งก้าวเมื่อใช้ประโยชน์จากช่องโหว่ในโค้ด สะพาน Nomad เป็นตัวอย่างที่แสดงให้เห็นถึงความสำคัญของหลักปฏิบัติการเข้ารหัสที่ปลอดภัยและตอกย้ำว่าทำไมการรักษาความปลอดภัยยังคงเป็นความท้าทายอย่างต่อเนื่องสำหรับโครงการบล็อกเชนในปัจจุบัน
ครีมการเงิน – $130.8m
แม้ว่าการโจมตี CREAM ในเดือนตุลาคม 2021 จะเป็นหนึ่งในการปล้นสินเชื่อแฟลชที่ใหญ่ที่สุด แต่ก็ไม่ใช่เหตุการณ์ที่เกิดขึ้นอย่างโดดเดี่ยวอย่างแน่นอน การโจมตีเงินกู้ด่วนเกี่ยวข้องกับการใช้ 'เงินกู้ด่วน' เพื่อสภาพคล่อง การกู้ยืม และการผิดนัดในการระดมทุนอย่างรวดเร็ว ทั้งหมดนี้ทำได้ภายในธุรกรรมเดียว
ด้วยการใช้ประโยชน์จากข้อผิดพลาดในการคำนวณราคา แฮ็กเกอร์สามารถทำกำไรได้อย่างรวดเร็วจากการยืมของพวกเขา ตัวอย่างเช่น ในกรณีของ CREAM ที่อยู่ที่แตกต่างกันสองแห่งโต้ตอบกับ yUSDVault เพื่อสร้างโทเค็น crYUSD จำนวนมาก พวกเขาใช้ประโยชน์จากช่องโหว่ที่จะทำให้มูลค่าของหุ้นเหล่านี้เพิ่มขึ้นเป็นสองเท่า แม้ว่าพวกเขาจะประสบความสำเร็จในการจัดหาเงินทุนมูลค่า 130 ล้านดอลลาร์ แต่หลักประกันที่มีอยู่ประมาณ 1 พันล้านดอลลาร์ก็อาจใช้เงินมากกว่าจำนวนนี้มาก
การโจมตีด้วยเงินกู้แฟลชเริ่มแพร่หลายมากขึ้น และชุมชนควรถามคำถามเกี่ยวกับวิธีป้องกันการละเมิดความปลอดภัยเพิ่มเติมในอนาคต
ฮับโทเค็น BSC – $127m
ในเดือนตุลาคม 2022 แฮ็กเกอร์ใช้ประโยชน์จากช่องโหว่ที่สำคัญในรหัสสะพานข้าม BSC Beacon ซึ่งสกัดเอาสินทรัพย์ดิจิทัลมูลค่ารวม 570 ล้านดอลลาร์
BSc Beacon chain หรือที่เรียกว่า Token Hub เป็นสะพานเชื่อมระหว่าง BNB Beacon Chain (BEP2) และ BNB Chain (BEP20/BSC)
แฮ็กเกอร์ทำการปลอมหลักฐานการเข้ารหัสที่เรียกว่า Merkle Proofs ซึ่งหมายถึงการยืนยันความถูกต้องของข้อมูล เช่น การทำธุรกรรม ในทางกลับกัน พวกเขาใช้หลักฐานปลอมของ Merkle เพื่อโอนเงินจากสะพานข้าม BSC Beacon ไปยังเครือข่ายอื่นๆ
ทันทีที่ Tether บล็อกรายชื่อที่อยู่ของผู้โจมตี การดำเนินการอย่างรวดเร็วตามมาด้วยเงินกว่า 7 ล้านดอลลาร์ที่ย้ายจากเครือข่าย BNB ที่ถูกแช่แข็ง และยึดเงินส่วนใหญ่ที่ได้มาโดยมิชอบ
ฮาร์โมนี่ ฮอไรซอน – 100 ล้านเหรียญ
ในเดือนมิถุนายน พ.ศ. 2022 โครงการ Harmony Horizon Bridge ถูกบุกรุกเมื่อแฮ็กเกอร์ขโมยคีย์ส่วนตัวสำหรับตรวจสอบความถูกต้องไป 100 ใน XNUMX อัน ทำให้ผู้โจมตีสามารถโอนโทเค็นมูลค่า XNUMX ล้านดอลลาร์ได้
ปัญหาด้านความปลอดภัยนี้เกิดจากวิธีการตั้งค่าสะพาน โดยมีรูปแบบการตรวจสอบ 2 ใน 5 เป็นผลให้ผู้โจมตีต้องการเพียงการอนุมัติสองครั้งสำหรับการทำธุรกรรมที่เป็นอันตรายใด ๆ ที่จะได้รับการตรวจสอบ เพื่อปกปิดร่องรอย ผู้โจมตีใช้ Tornado Cash เพื่อซักฟอกกำไรที่ได้มาอย่างไม่ถูกต้อง
แม้ว่าการตั้งค่านี้อาจดูเหมือนปลอดภัยในตอนแรก แต่ก็พิสูจน์แล้วว่าเป้าหมายที่ร่ำรวยสำหรับผู้กระทำการที่ไม่ดี และบทเรียนราคาแพงเกี่ยวกับความปลอดภัยของบล็อคเชนสำหรับผู้ที่ถูกจับได้
Rari- $91 ม
การโจมตีแบบ Reentrancy มีมาตั้งแต่สมัย Ethereum แรกๆ พวกเขาใช้ช่องโหว่ของสัญญาเพื่อถอนเงินซ้ำ ๆ ก่อนที่ธุรกรรมดั้งเดิมจะได้รับการอนุมัติหรือปฏิเสธ
ในเดือนพฤษภาคม พ.ศ. 2022 แพลตฟอร์มการเงินแบบกระจายศูนย์สองแห่งถูกบุกรุกในลักษณะนี้ โดยแฮ็กเกอร์ขโมยเงินไป 90 ล้านดอลลาร์ Jack Longarzo จาก Rari Capital กล่าวว่าผู้โจมตีใช้ประโยชน์จากบริษัท และ Fei Protocol ซึ่งควบรวมกิจการกับ Rari Capital ได้เสนอค่าหัวให้แฮ็กเกอร์ 10 ล้านดอลลาร์
บริษัทด้านความปลอดภัย Blockchain BlockSec อธิบายว่าแฮ็กเกอร์ใช้ช่องโหว่ในการกลับเข้ามาใหม่
นักพัฒนาสามารถป้องกันการโจมตีประเภทนี้ได้โดยการทดสอบและตรวจสอบสัญญาอย่างเหมาะสมก่อนที่จะปรับใช้บน Ethereum blockchain
วิธีป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi
โปรโตคอล DeFi ได้รับความนิยมและซับซ้อนมากขึ้นเรื่อยๆ ทำให้เป็นเป้าหมายที่น่าสนใจสำหรับแฮ็กเกอร์ ต่อไปนี้เป็นเคล็ดลับ XNUMX ข้อที่จะช่วยป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi:
- ดำเนินการตรวจสอบสถานะอย่างถี่ถ้วนในทุกโครงการก่อนตัดสินใจลงทุน ตรวจสอบรหัสของแพลตฟอร์ม เว็บไซต์ สมาชิกในทีม และช่องทางโซเชียลเพื่อหาธงแดง
- ตรวจสอบให้แน่ใจว่าแหล่งที่เชื่อถือได้ตรวจสอบสัญญาที่คุณโต้ตอบด้วยและผลการตรวจสอบนั้นเปิดเผยต่อสาธารณะ
- อย่าเก็บเงินจำนวนมากไว้ในสัญญา DeFi อันเดียว ทำให้เสี่ยงต่อการถูกโจมตี
- ติดตามข่าวสารด้านความปลอดภัยล่าสุดอยู่เสมอเพื่อเรียนรู้เกี่ยวกับช่องโหว่ใหม่ๆ
- ใช้ขั้นตอนการพิสูจน์ตัวตนและการอนุญาตที่เหมาะสมสำหรับทุกบัญชีที่โต้ตอบกับโปรโตคอล DeFi
- ตรวจสอบให้แน่ใจว่ากระเป๋าเงินของคุณปลอดภัย และใช้การตรวจสอบสิทธิ์แบบสองปัจจัยทุกครั้งที่ทำได้
- ตรวจสอบเงินและธุรกรรมของคุณบนบล็อกเชนเป็นประจำเพื่อตรวจหากิจกรรมที่น่าสงสัยหรือการถอนเงินที่ไม่ได้รับอนุญาต
การปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยปกป้องคุณจากการใช้ประโยชน์จาก DeFi และรับประกันว่าเงินของคุณจะปลอดภัยเมื่อโต้ตอบกับโปรโตคอลการเงินแบบกระจายอำนาจ อย่างไรก็ตาม สิ่งสำคัญคือต้องจำไว้ว่าไม่มีระบบใดผิดพลาดได้ ดังนั้นจึงควรระมัดระวังเป็นพิเศษเสมอเมื่อต้องจัดการกับสินทรัพย์ดิจิทัล
สรุป
โดยรวมแล้ว ความปลอดภัยเป็นหนึ่งในข้อพิจารณาที่สำคัญที่สุดเมื่อต้องรับมือกับ cryptocurrencies และโปรโตคอล DeFi น่าเสียดายที่ในขณะที่อุตสาหกรรมยังคงเติบโต ความเสี่ยงของกิจกรรมที่เป็นอันตรายก็เช่นกัน แม้ว่าจะไม่สามารถรับประกันความปลอดภัยได้ทั้งหมด แต่การปฏิบัติตามคำแนะนำเหล่านี้สามารถช่วยให้คุณป้องกันตัวเองจากการใช้ประโยชน์จาก DeFi และรักษาเงินของคุณให้ปลอดภัย
การติดตามข่าวสารล่าสุดเกี่ยวกับการพัฒนาด้านความปลอดภัยของบล็อกเชนและการตรวจสอบให้แน่ใจว่ามีขั้นตอนการตรวจสอบสิทธิ์ที่เหมาะสมสำหรับบัญชีทั้งหมด คุณสามารถช่วยให้แน่ใจว่าสินทรัพย์ดิจิทัลของคุณยังคงปลอดภัย
ที่มา: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/