Decentralizált pénzügy (Defi) protokollok decentralizált pénzügyi szolgáltatásokat kínálnak a felhasználóknak, lehetővé téve számukra, hogy tranzakciókat hajtsanak végre és megállapodásokat kössenek más résztvevőkkel. Míg a DeFi protokollok célja, hogy biztonságos és megbízható platformot nyújtsanak felhasználóik számára, az elmúlt néhány évben számos kizsákmányolás jelentős forráskiesést okozott. Ez a cikk a közelmúltban előforduló legkiterjedtebb DeFi-kizsákmányolásokat tárgyalja.
Íme a 8 legjobb crypto DeFi kihasználás a Web3-ban, miután levontuk a visszaküldött összegeket:
Ronin lánc – 600 millió dollár
2023 márciusa eseménydús hónap volt a kriptovaluta piac számára, az Axie Infinity Ronin bridge hack 612 millió dollárral vezette a listát.
A Ronin híd egy Ethereum oldallánc, amelyet a népszerű keresni akaró Axie Infinity játékban használnak.
A feltehetően észak-koreai kapcsolatokkal rendelkező kiberbűnözői csoportnak, a Lazarusnak sikerült hozzájutnia kilenc tranzakció-ellenőrző magánkulcsához, lehetővé téve számukra két nagy tranzakció jóváhagyását és a pénzeszközök áthelyezését a pénztárca címéről. Szerencsére a hatóságok, a biztonsági cégek és a kriptovaluta tőzsdék közötti együttműködés segítségével sikerült felkutatni ezeket az alapokat, miután a hackerek Tornado készpénzre – egy nyílt forráskódú kriptovaluta pohárra – és más tőzsdékre ösztönözték őket.
Féreglyuk híd – 323 millió dollár
2022 februárjában egy sajnálatos incidens történt, amikor a kriptohackerek egy féreglyuk kódját kihasználva 326 millió dollár értékű kriptográfiai készletet szereztek.
A féreglyuk egy jelképes híd Solana és Ethereum között, ami sajnos nem tudta megakadályozni a támadást. Ezt egy elavult/halott nem biztonságos funkció tette lehetővé, amely megkerülte az aláírás-ellenőrzést, és lehetővé tette az aláírások delegálásának láncát.
Szakértők a kiberbiztonság azt sugallják, hogy a fejlesztők megakadályozhatták volna a támadást, ha „biztonságos kódolási gyakorlatot” alkalmaztak volna, ahol minden paramétert ellenőrizniük kell. Az ellenőrzés biztosíthatta volna az érvényes címek hitelesítését, és így kizárhatta volna, hogy illegitim források hozzáférjenek a láncon lévő eszközökhöz.
Beanstalk – 181 millió dollár
2022 áprilisának egy végzetes hétvégéjén egy hacker támadást indított el, amely megrázta a kriptográfiai közösséget. Egy gyorskölcsön segítségével – a decentralizált pénzügyi (DeFi) protokollok egyik jellemzője – 182 millió dollárnyi ETH-t, BEAN stablecoint és egyéb eszközöket sikerült ellopniuk a Beanstalk stablecoin protokollból.
A hackerek két rosszindulatú javaslatot nyújtottak be a Beanstalk DAO-nak a vészhelyzeti véglegesítési funkción keresztül, amelyhez ⅔ szavazat szükséges a 24 óra elteltével történő megvalósítás előtt. A támadó flash kölcsön technológiát használt, hogy megszerezze az irányítást a tokenek 79%-a felett, hogy átadja mindkét javaslatot és sikeresen végrehajtsa tervét.
Az összeget a protokollon belül küldték a gyorskölcsön kifizetésére, a fennmaradó összeget pedig egy ukrajnai székhelyű segélyalaphoz kapcsolódó címre küldték. Összességében 76 millió dollárt vitt el az a személy, aki felelős ezért a bátor tettért.
Nomad – 155 millió dollár
A zavarba ejtő Nomád híd feltörése 1. augusztus 2022-jén került a címlapokra. Sokakat sokkolt blockchain A rajongók támadóként kihasználták a sérülékenységet, hogy több mint 190 millió dollár értékű Ethereum-alapú eszközöket ürítsenek ki a több láncból álló kereszthídban.
A hackerek gyorsan és dühösen mozogtak, és több száz pénztárcát bonyolítottak le 960 tranzakcióban, ami 1,175 egyéni pénzkivonást eredményezett a híd teljes értékének zárolt értékéből (TVL). Mindezt órákon belül.
A feltörés zavarba ejtő aspektusa az volt, hogy a felhasználóknak csak annyit kellett tenniük, hogy feltörjék az áthidaló pénzeszközöket, csak másolják be az eredeti hacker tranzakciós hívási adatait, cseréljék ki az eredeti címet egy személyes címre, és a tranzakció befejeződött.
A feltörés sokkoló hullámot indított el a decentralizált pénzügyi (DeFi) közösségben, bizonyítva, hogy a hackerek továbbra is egy lépéssel előrébb járnak, amikor kihasználják a kód kiskapuit. A Nomad híd szemléltető példát nyújt a biztonságos kódolási gyakorlatok fontosságára, és megerősíti, hogy a biztonság miért továbbra is folyamatos kihívás a blokklánc-projektek számára.
CREAM Finance – 130.8 millió dollár
Noha a CREAM elleni támadás 2021 októberében az egyik legnagyobb gyorskölcsön-rablás volt, ez természetesen nem volt egyedi eset. A gyorshitel-támadások magukban foglalják a likviditást biztosító „gyorskölcsön” felhasználását, a kölcsönfelvételt és a gyorsfinanszírozás nemteljesítését, mindezt egyetlen tranzakción belül.
Az árszámítási hibákat kihasználva a hackerek gyorsan profitálhatnak kölcsöneikből. Például a CREAM esetében két különböző cím lépett kölcsönhatásba a yUSDVault-tal, hogy nagyszámú crYUSD tokent menthessen. Kihasználtak egy sebezhetőséget, amely megduplázná e részvények értékét. Noha sikeresen biztosítottak 130 millió dollár értékű forrást, a ~1 milliárd dollárnyi rendelkezésre álló biztosíték ennél az összegnél jóval többet igényelhet.
A gyorskölcsönzési támadások egyre elterjedtebbek, és a közösségnek kérdéseket kell feltennie arról, hogyan akadályozhatják meg a jövőben a további biztonsági megsértéseket.
BSC token hub – 127 millió dollár
2022 októberében a hackerek, akik kihasználták a BSC Beacon cross-bridge kód kritikus sebezhetőségét, összesen 570 millió dollár értékű kriptovagyont tettek ki.
A BSc Beacon lánc, más néven Token Hub, egy láncok közötti híd, amely összeköti a BNB Beacon láncot (BEP2) és a BNB láncot (BEP20/BSC).
A hacker meghamisította a Merkle-bizonyítékoknak nevezett kriptográfiai bizonyítékokat, amelyek célja az adatok, például a tranzakciók érvényességének megerősítése volt. Viszont ezeket a hamis Merkle-bizonyítékokat arra használták, hogy pénzeszközöket utaljanak át a BSC Beacon kereszthídról más láncokhoz.
Amint a Tether letiltotta a támadók címét, gyors intézkedés következett, és több mint 7 millió dollárt helyeztek át a BNB-láncból, amivel elkobozták jogtalanul szerzett pénzük nagy részét.
Harmony Horizon – 100 millió dollár
2022 júniusában a Harmony Horizon Bridge projekt veszélybe került, amikor a hackerek elloptak kettőt az öt ellenőrző privát kulcsból, így a csalók 100 millió dollár értékű tokeneket tudtak átutalni.
Ezt a biztonsági problémát a híd felállításának módja okozta, 2/5 érvényesítési sémával. Ennek eredményeként a támadónak mindössze két jóváhagyásra volt szüksége a rosszindulatú tranzakciók érvényesítéséhez. A támadók Tornado Cash-t használták, hogy elfedjék a nyomaikat, hogy tisztára mossák jogtalanul szerzett nyereségüket.
Bár ez a beállítás kezdetben biztonságosnak tűnt, jövedelmező célpontnak bizonyult a rossz színészek számára, és drága leckének bizonyult a blokklánc biztonságáról az elkapottak számára.
Rari- 91 millió dollár
A visszatérő támadások az Ethereum korai napjai óta léteznek. Szerződéses sebezhetőségeket használtak fel arra, hogy ismételten pénzt vonjanak ki az eredeti tranzakció jóváhagyása vagy elutasítása előtt.
2022 májusában két decentralizált pénzügyi platform is kompromittálódott ilyen módon, és a hackerek 90 millió dollárt loptak el. A Rari Capital munkatársa, Jack Longarzo szerint a támadó kihasználta a céget, a Rari Capital-nal egyesült Fei Protocol pedig 10 millió dollár jutalmat ajánlott fel a hackernek.
A blokklánc biztonsági cég, a BlockSec kifejtette, hogy a hackerek egy reentancy sebezhetőséget használtak.
A fejlesztők megakadályozhatják az ilyen típusú támadásokat a szerződések megfelelő tesztelésével és auditálásával az Ethereum blokkláncon való telepítés előtt.
Hogyan védekezhet a DeFi kizsákmányolása ellen
A DeFi protokollok egyre népszerűbbek és összetettebbek, így vonzó célpontokká váltak a hackerek számára. Az alábbi hét tipp segít megvédeni magát a DeFi kizsákmányolásától:
- Befektetés előtt végezzen alapos átvilágítást minden projektnél. Ellenőrizze a platform kódját, a webhelyet, a csapattagokat és a közösségi csatornákat, hogy vannak-e piros zászlók.
- Győződjön meg arról, hogy egy megbízható forrás ellenőrzi azokat a szerződéseket, amelyekkel kapcsolatba lép, és hogy az ellenőrzési eredmények nyilvánosak legyenek.
- Ne tároljon nagy mennyiségű pénzt egyetlen DeFi-szerződésben, így sebezhetőbbé válik a támadásokkal szemben.
- Legyen naprakész a legfrissebb biztonsági hírekkel, hogy megismerje az új kizsákmányolásokat.
- Megfelelő hitelesítési és engedélyezési eljárásokat hajtson végre minden olyan fióknál, amely együttműködik a DeFi protokollokkal.
- Győződjön meg arról, hogy pénztárcája biztonságos, és lehetőség szerint használjon kéttényezős hitelesítést.
- Rendszeresen figyelje pénzeszközeit és tranzakcióit a blokkláncon, hogy észleljen minden gyanús tevékenységet vagy jogosulatlan kifizetést.
Az alábbi tippek követése segíthet megvédeni Önt a DeFi kizsákmányolásától, és biztosíthatja pénzeszközeinek biztonságát a decentralizált pénzügyi protokollokkal való együttműködés során. Ugyanakkor azt is fontos megjegyezni, hogy egyetlen rendszer sem tévedhetetlen, ezért mindig a legjobb gyakorlat, ha fokozott óvatossággal kezeli a digitális eszközöket.
Következtetés
Összességében a biztonság az egyik legfontosabb szempont a kriptovaluták és a DeFi protokollok kezelésekor. Sajnos, ahogy az iparág folyamatosan növekszik, úgy nőnek a rosszindulatú tevékenységek kockázatai is. Bár lehetetlen garantálni a teljes biztonságot, ezeknek a tippeknek a követésével megvédheti magát a DeFi kizsákmányolásától, és megőrizheti pénzeszközeinek biztonságát.
Ha naprakész marad a blokklánc biztonságának legújabb fejleményeivel kapcsolatban, és biztosítja, hogy minden fiókra megfelelő hitelesítési eljárások vonatkozzanak, akkor hozzájárulhat digitális eszközei biztonságának megőrzéséhez.
Forrás: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/