Decentralizuotų finansų (DeFi) pramonė per pastaruosius porą mėnesių įsilaužėliams prarado daugiau nei milijardą dolerių ir atrodo, kad padėtis tampa nekontroliuojama.
Remiantis naujausia statistika, maždaug 1.6 mlrd kriptovaliutų buvo pavogta iš DeFi platformų 2022 m. pirmąjį ketvirtį. Be to, daugiau nei 90% visų apiplėštų kriptovaliutų yra iš įsilaužtų DeFi protokolų.
Šie skaičiai rodo baisią situaciją, kuri, jei nebus ignoruojama, gali išlikti ilgą laiką.
Kodėl įsilaužėliai teikia pirmenybę DeFi platformoms
Pastaraisiais metais įsilaužėliai suaktyvino operacijas, nukreiptas į DeFi sistemas. Viena iš pagrindinių priežasčių, kodėl šios grupės traukia į sektorių, yra didžiulis lėšų kiekis, kurį turi decentralizuotos finansų platformos. Populiariausios DeFi platformos kiekvieną mėnesį apdoroja milijardus dolerių sandorių. Todėl įsilaužėliams, kurie gali įvykdyti sėkmingas atakas, atlygis yra didelis.
Tai, kad dauguma DeFi protokolų kodų yra atvirojo kodo, taip pat daro juos dar labiau linkę į kibernetinio saugumo grėsmes.
Taip yra todėl, kad atvirojo kodo programas gali peržiūrėti visuomenė ir jas gali tikrinti visi, turintys interneto ryšį. Todėl jie lengvai apžiūrimi dėl išnaudojimų. Ši būdinga savybė leidžia įsilaužėliams analizuoti DeFi programas dėl vientisumo problemų ir iš anksto planuoti vagystes.
Kai kurie „DeFi“ kūrėjai taip pat prisidėjo prie situacijos, sąmoningai nepaisydami platformos saugumo audito ataskaitų, kurias paskelbė sertifikuotos kibernetinio saugumo įmonės. Kai kurios kūrėjų komandos taip pat pradeda DeFi projektus, neatlikdamos jų išsamios saugumo analizės. Tai padidina kodavimo defektų tikimybę.
Kitas „DeFi“ saugumo trūkumas yra ekosistemų tarpusavio ryšys. „DeFi“ platformos paprastai sujungiamos naudojant kryžminius tiltus, kurie padidina patogumą ir universalumą.
Nors kryžminiai tiltai suteikia geresnę vartotojo patirtį, šie esminiai kodo fragmentai sujungia didžiulius paskirstytų knygelių tinklus su skirtingu saugumo lygiu. Ši multipleksinė konfigūracija leidžia DeFi įsilaužėliams panaudoti kelių platformų galimybes, kad sustiprintų atakas prieš tam tikras platformas. Tai taip pat leidžia jiems greitai pervesti neteisėtai gautas lėšas per kelis decentralizuotus tinklus.
Be pirmiau minėtų pavojų, DeFi platformos taip pat yra linkusios į viešai neatskleistą sabotažą.
Saugumo pažeidimai
Įsilaužėliai naudoja daugybę metodų, kad įsiskverbtų į pažeidžiamas DeFi perimetro sistemas.
Saugumo pažeidimai yra dažnas reiškinys DeFi sektoriuje. Pagal iki 2022 m. grandininės analizės Ataskaitoje apie 35% visų pavogtų kriptovaliutų per pastaruosius dvejus metus buvo priskiriami saugumo pažeidimams.
Daugelis jų atsiranda dėl klaidingo kodo. Įsilaužėliai paprastai skiria daug išteklių, kad surastų sistemines kodavimo klaidas, leidžiančias vykdyti tokio tipo atakas, ir paprastai naudoja pažangius klaidų stebėjimo įrankius, kad padėtų jiems tai padaryti.
Kita įprasta taktika, kurią naudoja grėsmės veikėjai, ieškodami pažeidžiamų platformų, yra tinklų su nepataisytomis saugumo problemomis, kurios jau buvo atskleistos, bet dar neįgyvendintos, susekimas.
Piratai, už neseniai įvykusios Wormhole DeFi įsilaužimo atakos, paskatinusios nuostolių apie 325 mln pranešama, kad skaitmeniniuose žetonuose naudojo šią strategiją. Kodo įsipareigojimų analizė atskleidė, kad pažeidžiamumo pataisa, įkelta į platformos „GitHub“ saugyklą, buvo išnaudota prieš įdiegiant pataisą.
Dėl šios klaidos įsibrovėliai suklastojo sistemos parašą, leidžiantį nukaldinti 120,000 325 Wrapped Ether (wETH) monetų, kurių vertė siekia 250 mln. Tada įsilaužėliai pardavė WETH už maždaug XNUMX milijonų dolerių eteryje (ETH). Iškeistos Ethereum monetos buvo gautos iš platformos atsiskaitymų rezervų, todėl buvo patirti nuostoliai.
„Wormhole“ paslauga veikia kaip tiltas tarp grandinių. Tai leidžia vartotojams išleisti deponuotas kriptovaliutas suvyniotuose žetonuose visose grandinėse. Tai pasiekiama kaldinant kirmgrauža apvyniotus žetonus, kurie palengvina poreikį keisti arba konvertuoti įneštas monetas tiesiogiai.
Naujausi: Kaip „blockchain“ archyvai gali pakeisti tai, kaip įrašome istoriją karo metu
„Flash“ paskolų atakos
Greitos paskolos yra neužtikrintos DeFi paskolos, kurioms nereikia tikrinti kredito. Jie leidžia investuotojams ir prekiautojams akimirksniu pasiskolinti lėšų.
Dėl savo patogumo greitosios paskolos dažniausiai naudojamos norint pasinaudoti arbitražo galimybėmis sujungtose DeFi ekosistemose.
Greitųjų paskolų atakų metu skolinimo protokolai yra tikslingi ir pažeidžiami naudojant manipuliavimo kainomis būdus, kurie sukuria dirbtinius kainų neatitikimus. Tai leidžia blogiems veikėjams įsigyti turtą su labai nuolaidomis. Dauguma greitųjų paskolų atakų užtrunka kelias minutes, o kartais ir sekundes ir apima kelis tarpusavyje susijusius DeFi protokolus.
Vienas iš būdų, kuriais užpuolikai manipuliuoja turto kainomis, yra nukreipti į puolamus kainų orakulus. Pavyzdžiui, „DeFi“ kainų orakulai įkainius nustato iš išorinių šaltinių, tokių kaip geros reputacijos biržos ir prekybos svetainės. Pavyzdžiui, įsilaužėliai gali manipuliuoti šaltinio svetainėmis, kad apgautų orakulus, kad jie akimirksniu sumažintų tikslinių turto normų vertę, kad prekiautų mažesnėmis kainomis, palyginti su platesne rinka.
Tada užpuolikai perka turtą defliuotais kursais ir greitai parduoda juos kintamu valiutos kursu. Naudojant svertinius žetonus, gautus iš greitųjų paskolų, jie gali padidinti pelną.
Be manipuliavimo kainomis, kai kurie užpuolikai galėjo įvykdyti skubių paskolų atakas užgrobdami DeFi balsavimo procesus. Visai neseniai, „Beanstalk DeFi“ patyrė 182 mln. USD nuostolį užpuolikui pasinaudojus jo valdymo sistemos trūkumu.
„Beanstalk“ kūrimo komanda įtraukė valdymo mechanizmą, leidžiantį dalyviams balsuoti už platformos pakeitimus kaip pagrindinę funkciją. Ši sąranka yra populiari DeFi pramonėje, nes palaiko demokratiją. Balsavimo teisės platformoje buvo nustatytos proporcingos turimų vietinių žetonų vertei.
Pažeidimo analizė atskleidė, kad užpuolikai gavo greitą paskolą iš Aave DeFi protokolo, kad gautų beveik 1 milijardą dolerių turto. Tai leido jiems gauti 67 % balsų daugumą balsavimo valdymo sistemoje ir leido vienašališkai pritarti turto perkėlimui jų adresu. Nusikaltėliai atsipirko su maždaug 80 mln.
Remiantis „Chainalysis“ duomenimis, 360 m. naudojant „Flash“ paskolas iš „DeFi“ platformų buvo pavogta maždaug 2021 mln. USD vertės kriptovaliutų monetų.
Kur dingsta pavogtos kriptovaliutos?
Jau ilgą laiką įsilaužėliai naudojo centralizuotas biržas, kad išplautų pavogtas lėšas, tačiau kibernetiniai nusikaltėliai pradeda juos atsisakyti DeFi platformoms. Kibernetiniai nusikaltėliai 2021 m išsiuntė apie 17 % visų neteisėtų kriptovaliutų į DeFi tinklus, o tai yra reikšmingas šuolis nuo 2 % 2020 m.
Rinkos ekspertai teigia, kad perėjimas prie DeFi protokolų yra dėl platesnio griežtesnių „Pažink savo klientą“ (KYC) ir kovos su pinigų plovimu (AML) procesų įgyvendinimo. Procedūros pažeidžia anonimiškumą, kurio siekia kibernetiniai nusikaltėliai. Dauguma DeFi platformų atsisako šių svarbių procesų.
Bendradarbiavimas su valdžios institucijomis
Centralizuoti mainai dabar labiau nei bet kada anksčiau bendradarbiauja su valdžios institucijomis kovojant su elektroniniais nusikaltimais. Balandžio mėnesį Binance birža atliko svarbų vaidmenį vogtų kriptovaliutų atgauti 5.8 mln Tai buvo 625 milijonų dolerių vertės atsargos dalis, pavogta iš „Axie Infinity“. Pinigai iš pradžių buvo išsiųsti į „Tornado Cash“.
„Tornado Cash“ yra žetonų anonimizavimo paslauga, kuri užmaskuoja lėšų kilmę, suskaidydama grandinės nuorodas, naudojamas atsekti sandorių adresus.
Tačiau dalį pavogtų lėšų blokų grandinės analizės įmonės atsekdavo „Binance“. Grobis buvo laikomas 86 biržos adresais.
Po šio incidento Jungtinių Valstijų iždo departamento atstovas pabrėžė, kad kriptovaliutų biržose, kurios tvarko pinigus iš juodojo sąrašo kriptovaliutų, taikomos rizikos sankcijos.
Panašu, kad „Tornado Cash“ taip pat bendradarbiauja su valdžia, kad sustabdytų pavogtų lėšų perdavimą į savo tinklą. Bendrovė pranešė, kad įdiegs stebėjimo įrankį, kuris padės nustatyti ir blokuoti pinigines, kurioms taikomas embargas.
Atrodo, kad yra tam tikra pažanga valdžios vykdomas slapyvardžio turto areštas. Anksčiau šiais metais JAV teisingumo departamentas paskelbė apie 3.6 milijardo dolerių kriptovaliutų areštą ir suėmė du asmenis, kurie dalyvavo pinigų plovime. Pinigai buvo dalis 4.5 milijardo dolerių, paimtų iš Bitfinex kriptovaliutų biržos 2016 m.
Kriptovaliutų konfiskavimas buvo vienas didžiausių kada nors užregistruotų.
„DeFi“ vadovai kalba apie esamą situaciją
Anksčiau šią savaitę kalbėdamas išskirtinai su Cointelegraph, Injective Labs – sąveikios išmaniųjų sutarčių platformos, optimizuotos decentralizuotoms finansų programoms – generalinis direktorius ir vienas iš įkūrėjų Ericas Chenas teigė, kad yra vilties, kad problemos išnyks.
„Matome, kad potvynis ir toliau nyksta, nes įvedami griežtesni saugumo standartai. Tinkamai išbandę ir įdiegę tolesnę saugumo infrastruktūrą, DeFi projektai galės užkirsti kelią įprastoms išnaudojimo rizikoms ateityje“, – sakė jis.
Apie priemones, kurių jo tinklas ėmėsi siekdamas užkirsti kelią įsilaužimų atakoms, Chenas pateikė apžvalgą:
„Injective užtikrina griežčiau apibrėžtą į programas orientuotą saugos modelį, palyginti su tradicinėmis Ethereum virtualiosios mašinos pagrindu veikiančiomis DeFi programomis. Blokų grandinės dizainas ir pagrindinių modulių logika apsaugo Injective nuo įprastų išnaudojimų, tokių kaip pakartotinis įėjimas, maksimali išgaunama vertė ir greitos paskolos. Programos, sukurtos ant Injective, gali pasinaudoti saugumo priemonėmis, kurios yra įdiegtos blokų grandinėje konsensuso lygiu.
Naujausi: Didėjantis pasaulinis pritaikymas kriptovaliutų rinkai puikiai tinka naudoti mažmeninėje prekyboje
Cointelegraph taip pat turėjo galimybę pasikalbėti su Konstantinu Boyko-Romanovskiu, Allnodes – su laisvės atėmimu nesusijusios prieglobos ir statymo platformos – generaliniu direktoriumi ir įkūrėju, apie įsilaužimo atvejų padidėjimą. Kalbėdamas apie pagrindinius šios tendencijos katalizatorius, jis sakė:
„Be jokios abejonės, prireiks šiek tiek laiko, kad sumažėtų DeFi įsilaužimų rizika. Tačiau mažai tikėtina, kad tai įvyks per naktį. „DeFi“ tvyro lenktynių jausmas. Atrodo, visi skuba, taip pat ir projekto įkūrėjai. Rinka vystosi greičiau nei programuotojų kodo rašymo greitis. Geri žaidėjai, kurie imasi visų atsargumo priemonių, yra mažumoje.
Jis taip pat pateikė šiek tiek įžvalgų apie procedūras, kurios padėtų išspręsti šią problemą:
„Kodas turi būti geresnis, o išmaniosios sutartys turi būti kruopščiai patikrintos, tai tikrai. Be to, vartotojams reikėtų nuolat priminti apie atsargų etiketą internete. Bet kokių trūkumų nustatymas gali būti patraukliai paskatintas. Tai, savo ruožtu, gali skatinti sveikesnį elgesį pagal tam tikrą protokolą.
DeFi pramonei sunku sutrukdyti įsilaužimų atakoms. Tačiau yra vilties, kad sustiprintas valdžios institucijų stebėjimas ir didesnis mainų bendradarbiavimas padės pažaboti šią rykštę.
Šaltinis: https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide