En un informe de investigación reciente, Token Terminal encuentra que hay tres causas principales de DeFi exploits, y eliminar las vulnerabilidades de los contratos inteligentes es, con mucho, el más desafiante de los tres.
Dado que el interés en las finanzas descentralizadas se ha disparado, también lo han hecho hacks y tirones de alfombra en el segmento con una estimado 105 exploits en cadena que resultaron en el robo de casi $ 4.2 mil millones de varios protocolos.
Curiosamente, la investigación encuentra que los mayores ataques, en promedio, se producen a través de puentes de cadena cruzada y carteras de intercambio central (CEX), mientras que los agregadores de rendimiento y los protocolos de préstamos son los que se abusan con mayor frecuencia.
“Los exploits más grandes tienden a estar en múltiples cadenas o en los principales puentes de ecosistemas”.
El FBI lanza una nueva advertencia de DeFi para inversores y plataformas
Los tres más grandes DeFi explota hasta la fecha, Red Ronin ($ 624 millones), Poly Network ($ 611 millones) y Wormhole ($ 326 millones), son todos puentes de cadena cruzada que dominan la lista de las mayores hazañas. Los puentes generalmente perdieron más de $ 188 millones en cada pirateo, señaló el informe.
Recientemente, la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió a los inversores y plataformas sobre estos riesgos en DeFi en un servicio público. anuncio.
“Los ciberdelincuentes están explotando cada vez más las vulnerabilidades en los contratos inteligentes que rigen las plataformas DeFi para robar criptomonedas, lo que hace que los inversores pierdan dinero”, señaló la agencia. "Los ciberdelincuentes buscan aprovechar el mayor interés de los inversores en las criptomonedas, así como la complejidad de la funcionalidad de cadena cruzada y la naturaleza de código abierto de las plataformas DeFi".
Por el contrario, los agregadores de rendimiento y los protocolos de préstamo son los sistemas más frecuentemente atacados, sin embargo, con frecuencia resultan en pérdidas financieras más pequeñas por ataque según Token Terminal. En general, los agregadores de rendimiento y los protocolos de préstamo fueron abusados con mayor frecuencia, mientras que los puentes y CEX suelen sufrir las mayores pérdidas por explotación. Los puentes de cadena cruzada y las billeteras calientes CEX representan $ 2.2 millones en activos robados, o más del 52 % del monto total comprometido.
La custodia de claves privadas es el plan de rescate más sencillo
Las causas más comunes de estos exploits se han clasificado aproximadamente en lagunas de contratos inteligentes, claves privadas comprometidas y suplantación de identidad de protocolo. En particular, las lagunas en los contratos inteligentes, frecuentemente asociadas con préstamos rápidos y manipulación de oráculos, supuestamente representaron el 73 % de todos los ataques desde septiembre de 2020. Pero, la verificación formal automatizada y DeFi EN LINEA las auditorías son las dos técnicas principales para gestionar estos riesgos de contratos inteligentes.
El informe también encuentra que los hacks más grandes, con un promedio de $ 91 millones cada uno, son causados por claves privadas comprometidas, que a menudo se obtienen mediante intentos de phishing. Irónicamente, este vector de ataque también es el más evitable al asegurar mejor las claves privadas y usar diferentes plataformas de almacenamiento.
Por último, la falsificación de frontend es un método de ataque que va en contra de usuarios específicos en lugar de los fondos que controla el protocolo, como en el caso del exploit BadgerDAO. Por lo general, esto implica el uso de técnicas como el envenenamiento de caché de DNS para reemplazar la dirección IP del sitio web del protocolo real con un aspecto falso.
Mientras tanto, según los informes, los explotadores también están buscando nuevas opciones ahora que el medio estándar de cobrar las ganancias obtenidas ilícitamente, a través de Tornado Cash, ha sido descontinuado a través de sanciones. Be[In]Crypto había informado que luego de las sanciones contra Tornado Cash, un número pequeño pero creciente de proyectos de finanzas descentralizadas (DeFi), incluidos dYdX, Liquidity, GMX, Kwenta y otros, están desarrollando interfaces descentralizadas (DeFe) en su lugar.
Con eso, el FBI también recomienda que las plataformas DeFi instituyan análisis, monitoreo y pruebas rigurosas en tiempo real, además de desarrollar una respuesta a incidentes para evitar tales vulnerabilidades.
Sin embargo, Aztec Network, una EthereumEl paquete acumulativo que ofrece transacciones privadas utilizando tecnología de conocimiento cero es un posible sustituto de Tornado Cash según el informe de investigación.
Para lo último de Be[In]Crypto Bitcoin (BTC) análisis, haga clic aquí.
Observación
Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción que el lector realice sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.
Fuente: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/