ในรายงานการวิจัยล่าสุด Token Terminal พบว่ามีสาเหตุหลักสามประการของ Defi การหาประโยชน์และการลบช่องโหว่ของสัญญาอัจฉริยะเป็นสิ่งที่ท้าทายที่สุดในสามประการนี้
เนื่องจากความสนใจในการกระจายอำนาจทางการเงินได้พุ่งสูงขึ้น ดังนั้น แฮ็กและดึงพรมในส่วน ด้วย ประมาณ 105 ช่องโหว่บนเครือข่าย ส่งผลให้มีการขโมยเงินเกือบ 4.2 พันล้านดอลลาร์จากโปรโตคอลต่างๆ
ที่น่าสนใจคือ การวิจัยพบว่าการแฮ็กที่ใหญ่ที่สุดโดยเฉลี่ยมาจากสะพานข้ามสายโซ่และกระเป๋าเงินการแลกเปลี่ยนกลาง (CEX) ในขณะที่ผู้รวบรวมผลตอบแทนและโปรโตคอลการให้ยืมมักถูกใช้ในทางที่ผิด
"การหาประโยชน์ที่ใหญ่ที่สุดมักจะข้ามเครือข่ายหลายสายหรือบนสะพานระบบนิเวศที่สำคัญ"
FBI ออกคำเตือน DeFi ใหม่สำหรับนักลงทุนและแพลตฟอร์ม
สามที่ใหญ่ที่สุด Defi การหาประโยชน์จนถึงปัจจุบัน Ronin Network (624 ล้านเหรียญ), Poly Network (611 ล้านดอลลาร์) และ Wormhole (326 ล้านดอลลาร์) ล้วนเป็นสะพานข้ามสายโซ่ที่ครองรายการการหาประโยชน์ที่ใหญ่ที่สุด โดยทั่วไปแล้ว Bridges จะสูญเสียมากกว่า 188 ล้านดอลลาร์ในการแฮ็กทุกครั้ง รายงานระบุ
เมื่อเร็ว ๆ นี้สำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) ได้เตือนนักลงทุนและแพลตฟอร์มเกี่ยวกับความเสี่ยงเหล่านี้ใน DeFi ในบริการสาธารณะ การประกาศ.
“อาชญากรไซเบอร์กำลังใช้ประโยชน์จากช่องโหว่ในสัญญาอัจฉริยะที่ควบคุมแพลตฟอร์ม DeFi เพื่อขโมยสกุลเงินดิจิทัลมากขึ้นเรื่อย ๆ ทำให้นักลงทุนเสียเงิน” หน่วยงานกล่าว “อาชญากรไซเบอร์พยายามใช้ประโยชน์จากความสนใจที่เพิ่มขึ้นของนักลงทุนในสกุลเงินดิจิทัล เช่นเดียวกับความซับซ้อนของฟังก์ชันการทำงานข้ามสายโซ่และลักษณะโอเพนซอร์สของแพลตฟอร์ม DeFi”
ในทางกลับกัน โปรโตคอลรวบรวมผลตอบแทนและโปรโตคอลการให้ยืมเป็นระบบเป้าหมายบ่อยที่สุดจากการโจมตี อย่างไรก็ตาม มักส่งผลให้เกิดการสูญเสียทางการเงินน้อยลงต่อการโจมตีตาม Token Terminal โดยทั่วไป โปรแกรมรวบรวมผลตอบแทนและโปรโตคอลการให้ยืมมักถูกใช้ในทางที่ผิดมากกว่า ในขณะที่บริดจ์และ CEX มักจะประสบกับความสูญเสียครั้งใหญ่ที่สุดต่อการหาช่องโหว่ Cross-chain bridges และ CEX hot wallets มีมูลค่า 2.2 พันล้านดอลลาร์ในสินทรัพย์ที่ถูกขโมย หรือมากกว่า 52% ของจำนวนเงินทั้งหมดที่ถูกบุกรุก
การรักษากุญแจส่วนตัวอย่างปลอดภัยเป็นแผนการกู้ภัยที่ง่ายที่สุด
สาเหตุที่พบบ่อยที่สุดของการหาประโยชน์เหล่านี้ได้รับการจัดประเภทคร่าวๆ ออกเป็นช่องโหว่ของสัญญาอัจฉริยะ คีย์ส่วนตัวที่ถูกบุกรุก และการปลอมแปลงส่วนหน้าของโปรโตคอล โดยเฉพาะอย่างยิ่ง ช่องโหว่ในสัญญาอัจฉริยะ ซึ่งมักเกี่ยวข้องกับสินเชื่อแฟลชและการจัดการ Oracle คิดเป็น 73% ของการแฮ็กทั้งหมดตั้งแต่เดือนกันยายน 2020 แต่การตรวจสอบอย่างเป็นทางการโดยอัตโนมัติและ DeFi ความปลอดภัย การตรวจสอบเป็นสองเทคนิคหลักในการจัดการความเสี่ยงของสัญญาอัจฉริยะเหล่านี้
รายงานยังพบว่าการแฮ็กที่ใหญ่ที่สุด โดยเฉลี่ยครั้งละ 91 ล้านดอลลาร์ เกิดจากคีย์ส่วนตัวที่ถูกบุกรุก ซึ่งมักได้มาจากการพยายามฟิชชิ่งแบบหอก ที่น่าแปลกก็คือ เวกเตอร์การโจมตีนี้เป็นสิ่งที่หลีกเลี่ยงได้มากที่สุดด้วยการรักษาความปลอดภัยของคีย์ส่วนตัวให้ดียิ่งขึ้นและใช้แพลตฟอร์มต่างๆ ในการจัดเก็บ
สุดท้าย การปลอมแปลงส่วนหน้าเป็นวิธีการโจมตีที่ต่อต้านผู้ใช้เฉพาะเจาะจงมากกว่าเงินทุนที่โปรโตคอลควบคุม เช่นในกรณีของการใช้ประโยชน์จาก BadgerDAO โดยทั่วไปแล้วสิ่งนี้เกี่ยวข้องกับการใช้เทคนิคต่างๆ เช่น การวางยาพิษของแคช DNS เพื่อแทนที่ที่อยู่ IP ของเว็บไซต์โปรโตคอลจริงด้วยรูปลักษณ์ที่คล้ายคลึงกัน
ในขณะเดียวกัน มีรายงานว่าผู้บุกรุกกำลังมองหาทางเลือกใหม่ๆ ในขณะนี้ เนื่องจากวิธีการมาตรฐานในการถอนเงินที่ได้มาโดยไม่ได้ผลผ่าน Tornado Cash ได้ถูกยกเลิกผ่านการคว่ำบาตร Be[In]Crypto ได้รายงานแล้ว ที่ตามบทลงโทษต่อ Tornado Cash โครงการการเงินแบบกระจายอำนาจ (DeFi) จำนวนน้อยแต่เพิ่มขึ้น รวมถึง dYdX, Liquidity, GMX, Kwenta และอื่นๆ กำลังพัฒนาส่วนหน้าแบบกระจายศูนย์ (DeFe) แทน
ด้วยเหตุนี้ FBI ยังแนะนำให้แพลตฟอร์ม DeFi จัดทำการวิเคราะห์แบบเรียลไทม์ การเฝ้าติดตาม และการทดสอบที่เข้มงวด นอกเหนือจากการพัฒนาการตอบสนองต่อเหตุการณ์เพื่อหลีกเลี่ยงการโจมตีดังกล่าว
อย่างไรก็ตาม Aztec Network, an Ethereumโรลอัปแบบอิงที่นำเสนอธุรกรรมส่วนตัวโดยใช้เทคโนโลยีที่ไม่มีความรู้ เป็นทางเลือกหนึ่งที่สามารถทดแทนเงินสดทอร์นาโดได้ตามรายงานการวิจัย
For Be[In]Crypto's ใหม่ล่าสุด Bitcoin การวิเคราะห์ (BTC) คลิกที่นี่.
ข้อจำกัดความรับผิดชอบ
ข้อมูลทั้งหมดที่มีอยู่ในเว็บไซต์ของเราเผยแพร่โดยสุจริตและเพื่อวัตถุประสงค์ในการให้ข้อมูลทั่วไปเท่านั้น การดำเนินการใด ๆ ที่ผู้อ่านดำเนินการกับข้อมูลที่พบในเว็บไซต์ของเราถือเป็นความเสี่ยงของตนเอง
ที่มา: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/