Децентрализирано финансирање (на определен обем,) протоколите нудат децентрализирани финансиски услуги на корисниците, овозможувајќи им да вршат трансакции и да склучуваат договори со други учесници. Додека DeFi протоколите имаат за цел да обезбедат сигурна и сигурна платформа за нивните корисници, неколку експлоатирања во изминатите неколку години предизвикаа значителни загуби на средства. Оваа статија ќе разговара за некои од најобемните DeFi експлоатирања што се случија неодамна.
Еве ги најдобрите 8 крипто DeFi експлоатирања во Web3 по одбивањето на вратените средства:
Синџир Ронин – 600 милиони долари
Март 2023 година беше месец со настани за просторот за криптовалути, при што хакирањето на мостот Axie Infinity Ronin беше на врвот на листата со 612 милиони долари.
Мостот Ронин е Ethereum страничен ланец што се користи во популарната игра за заработка Axie Infinity.
Групата за сајбер криминал Лазарус, за која постои сомневање дека има врски со Северна Кореја, успеа да добие пристап до приватните клучеви на девет валидатори на трансакции, овозможувајќи им да одобрат две големи трансакции и да ги преместат средствата од адресата на нивниот паричник. За среќа, соработката помеѓу властите, фирмите за безбедност и берзите за криптовалути беше во можност да помогне да се пронајдат некои од овие средства откако хакерите ги поттикнаа на готовина Tornado - крипто-транспорт со отворен код - и други размени.
Мостот Wormhole – 323 милиони долари
Во февруари 2022 година, се случи несреќен инцидент кога крипто хакери го искористија кодот на црвоточината за да се симнат со крипто во вредност од 326 милиони долари.
Црвата дупка е симболичен мост помеѓу Солана и Етереум, кој за жал не успеа да го спречи нападот. Тоа беше овозможено со застарена/мртва несигурна функција која ја заобиколи верификацијата на потписот и го овозможи синџирот на делегации на потписи.
Експертите во сајбер безбедноста сугерираат дека програмерите би можеле да го спречат нападот доколку практикувале „безбедни практики за кодирање“ каде што мора да ги проверат сите параметри. Проверката можеше да обезбеди автентикација на валидни адреси и на тој начин да ги исклучи нелегитимните извори од пристап до средствата на синџирот.
Beanstalk – 181 милиони долари
На кобниот викенд во април 2022 година, хакер изврши напад што ја потресе крипто заедницата. Користејќи флеш заем - карактеристика на протоколите за децентрализирани финансии (DeFi) - тие успеаја да украдат 182 милиони американски долари во ETH, BEAN stablecoin и други средства од протоколот за стабилна коин Beanstalk.
Хакерите претставија два малициозни предлози до Beanstalk DAO преку неговата функција за итни случаи, за која е потребно ⅔ гласање пред имплементација по 24 часа. Напаѓачот користел технологија за флеш заем за да добие контрола над 79% од токените за да ги помине двата предлози и успешно да го изврши нивниот план.
Средствата беа испратени од протоколот за отплата на блицот заем, а остатокот одеше на адреса поврзана со фонд за итни случаи со седиште во Украина. Севкупно, до 76 милиони долари се земени од поединецот одговорен за овој храбар чин.
Номад – 155 милиони долари
Збунувачкиот хакирање на мостот Номад стана на насловните страници кога се случи на 1 август 2022 година. Шокираше многумина blockchain ентузијастите како напаѓачи ја искористија ранливоста за да ги исцрпат средствата базирани на Ethereum во вредност од над 190 милиони американски долари, складирани во вкрстениот мост со повеќе синџири.
Хакерите се движеа брзо и бесно, со стотици паричници вклучени во 960 трансакции што резултираа со 1,175 индивидуални повлекувања од Вкупната вредност на мостот (TVL). Се во рок од неколку часа.
Збунувачки аспект на овој хак беше тоа што сите корисници требаше да направат за да ги хакираат средствата од мостот беше да ги копираат-залепат оригиналните податоци за трансакциски повици на хакерот, да ја заменат оригиналната адреса со лична и трансакцијата ќе заврши.
Хакерот испрати шокантни бранови низ заедницата за децентрализирани финансии (DeFi), докажувајќи дека хакерите остануваат чекор понапред кога ги искористуваат дупките во кодот. Мостот Номад дава илустративен пример кој ја покажува важноста на безбедните практики за кодирање и ја зајакнува причината зошто безбедноста останува тековен предизвик за блокчејн проектите денес.
CREAM Finance – 130.8 милиони долари
Иако нападот врз CREAM во октомври 2021 година беше еден од најголемите грабежи на заеми, тоа секако не беше изолиран инцидент. Нападите на блиц заеми вклучуваат користење на „флеш заем“ на ликвидност, задолжување и неплаќање на ова брзо финансирање, сето тоа во рамките на една трансакција.
Со искористување на грешките во пресметките на цената, хакерите можат брзо да профитираат од нивните заеми. На пример, во случајот со CREAM, две различни адреси комуницираа со неговиот yUSDVault за да наметнат голем број crYUSD токени. Тие ја искористија ранливоста што ќе ја удвои вредноста на овие акции. Иако тие успешно обезбедија средства во вредност од 130 милиони долари, расположливиот колатерал од околу 1 милијарда долари може да потрае многу повеќе од оваа сума.
Нападите со блиски заеми стануваат сè поприсутни и заедницата треба да поставува прашања за тоа како можат да спречат понатамошни нарушувања на безбедноста во иднина.
BSC token hub – 127 милиони долари
Во октомври 2022 година, хакерите кои ја искористија критичната ранливост во кодот за вкрстени мостови на BSC Beacon, отфрлија крипто средства во вкупна вредност од 570 милиони долари.
Синџирот BSc Beacon, исто така познат како Token Hub, е меѓусинџирски мост што ги поврзува BNB Beacon Chain (BEP2) и BNB Chain (BEP20/BSC).
Хакерот ги фалсификувал криптографските докази наречени докази на Меркл, наменети да ја потврдат валидноста на податоците како што се трансакциите. За возврат, тие ги користеа овие лажни докази за Меркл за да префрлат средства од вкрстениот мост BSC Beacon на други синџири.
Веднаш штом Тетер ја блокираше адресата на напаѓачите, следеше брза акција со префрлени над 7 милиони долари од синџирот БНБ замрзнати, конфискувајќи им ги повеќето од незаконски стекнатите средства.
Хармонија Хоризонт – 100 милиони долари
Во јуни 2022 година, проектот Harmony Horizon Bridge беше компромитиран кога хакерите украдоа два од неговите пет приватни клучеви за валидатори, дозволувајќи им на измамниците да префрлат токени во вредност од 100 милиони долари.
Овој безбедносен проблем се должи на начинот на кој беше поставен мостот, со шема за валидација 2 од 5. Како резултат на тоа, на напаѓачот му беа потребни само две одобренија за да се потврди каква било злонамерна трансакција. За да ги прикријат своите траги, напаѓачите користеле Торнадо Кеш за да исперат дел од нивните незаконски стекнати добивки.
Иако оваа поставка можеби на почетокот изгледаше безбедна, се покажа како профитабилна цел за лошите актери и скапа лекција за безбедноста на блокчејн за оние кои беа фатени.
Рари - 91 мил
Нападите за повторно влегување постојат уште од раните денови на Ethereum. Тие ги користеа ранливостите на договорот за постојано повлекување средства пред да биде одобрена или одбиена оригиналната трансакција.
Во мај 2022 година, две децентрализирани финансиски платформи беа компромитирани на овој начин, при што хакерите украдоа 90 милиони долари. Џек Лонгарзо од Rari Capital рече дека напаѓачот ја експлоатирал компанијата, а Fei Protocol, кој се спои со Rari Capital, му понудил на хакерот награда од 10 милиони долари.
Компанијата за безбедност на блокчејн BlockSec објасни дека хакерите користеле ранливост за повторно влегување.
Програмерите можат да ги спречат овие типови на напади со соодветно тестирање и ревизија на договорите пред распоредувањето на блокчејнот Ethereum.
Како да се заштитите од експлоатирањата на DeFi
Протоколите DeFi стануваат сè попопуларни и сложени, што ги прави атрактивни цели за хакерите. Следниве се седум совети кои ќе ви помогнат да се заштитите од експлоатирањата на DeFi:
- Направете темелна анализа на кој било проект пред да инвестирате. Проверете го кодот на платформата, веб-страницата, членовите на тимот и социјалните канали за црвени знамиња.
- Погрижете се доверлив извор да ги ревидира договорите со кои комуницирате и дека резултатите од ревизијата се јавно достапни.
- Не чувајте големи количини на средства во еден договор со DeFi, што го прави поранлив на напади.
- Останете во тек со најновите безбедносни вести за да дознаете за новите експлоатирања.
- Спроведување на соодветни процедури за автентикација и овластување за сите сметки што имаат интеракција со протоколите DeFi.
- Проверете дали вашиот паричник е безбеден и користете двофакторна автентикација секогаш кога е можно.
- Редовно следете ги вашите средства и трансакции на блокчејнот за да откриете каква било сомнителна активност или неовластено повлекување.
Следењето на овие совети може да помогне да се заштитите од експлоатирањата на DeFi и да се осигурате дека вашите средства се безбедни кога комуницирате со децентрализирани финансиски протоколи. Сепак, исто така е важно да се запамети дека ниту еден систем не е непогрешлив, затоа секогаш е најдобра практика да се внимава кога се работи со дигитални средства.
Заклучок
Генерално, безбедноста е една од најважните размислувања кога се работи со криптовалути и протоколи DeFi. За жал, како што индустријата продолжува да расте, така растат и ризиците од злонамерни активности. Иако е невозможно да се гарантира целосна безбедност, следењето на овие совети може да ви помогне да се заштитите од експлоатирањата на DeFi и да ги заштитите вашите средства.
Со тоа што ќе останете актуелни на најновите случувања во безбедноста на блокчејнот и со обезбедување на соодветни процедури за автентикација за сите сметки, можете да помогнете да се осигурате дека вашите дигитални средства ќе останат безбедни.
Извор: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/