In un recente rapporto di ricerca, Token Terminal rileva che ci sono tre cause principali di DeFi exploit e la rimozione delle vulnerabilità degli smart contract è di gran lunga la più impegnativa delle tre.
Dal momento che l'interesse per la finanza decentralizzata è salito alle stelle, anche il hack e rug pulls nel segmento con stimato 105 exploit on-chain che hanno portato al furto di quasi 4.2 miliardi di dollari da vari protocolli.
È interessante notare che la ricerca rileva che i più grandi hack, in media, provengono da ponti cross-chain e portafogli di scambio centrale (CEX), mentre gli aggregatori di rendimento e i protocolli di prestito sono più frequentemente utilizzati in modo abusato.
"Gli exploit più grandi tendono ad essere su più catene o sui principali ponti dell'ecosistema".
L'FBI lancia un nuovo avviso DeFi per investitori e piattaforme
I tre più grandi DeFi exploit fino ad oggi, Rete Ronin ($ 624 milioni), Poly Network (611 milioni di dollari) e Wormhole (326 milioni di dollari) sono tutti ponti a catena incrociata che dominano l'elenco degli exploit più grandi. I ponti in genere hanno perso oltre $ 188 milioni in ogni hack, osserva il rapporto.
Di recente, il Federal Bureau of Investigation (FBI) degli Stati Uniti ha messo in guardia gli investitori e le piattaforme su questi rischi nella DeFi in un servizio pubblico annuncio.
"I criminali informatici stanno sfruttando sempre più le vulnerabilità nei contratti intelligenti che regolano le piattaforme DeFi per rubare criptovaluta, facendo perdere denaro agli investitori", ha osservato l'agenzia. "I criminali informatici cercano di trarre vantaggio dal crescente interesse degli investitori per le criptovalute, nonché dalla complessità delle funzionalità cross-chain e dalla natura open source delle piattaforme DeFi".
Al contrario, gli aggregatori di rendimento e i protocolli di prestito sono i sistemi più frequentemente presi di mira dagli attacchi, tuttavia, spesso provocano perdite finanziarie minori per attacco come da Token Terminal. In generale, gli aggregatori di rendimenti e i protocolli di prestito sono stati abusati più frequentemente, mentre i bridge e i CEX in genere subiscono le maggiori perdite per exploit. I bridge cross-chain e gli hot wallet CEX rappresentano $ 2.2 miliardi di asset rubati, ovvero oltre il 52% dell'importo totale compromesso.
La custodia delle chiavi private è il piano di salvataggio più semplice
Le cause più comuni di questi exploit sono state approssimativamente classificate in scappatoie di contratti intelligenti, chiavi private compromesse e spoofing del frontend del protocollo. In particolare, le scappatoie nei contratti intelligenti, spesso associate a prestiti flash e manipolazione di oracoli, avrebbero rappresentato il 73% di tutti gli hack da settembre 2020. Ma la verifica formale automatizzata e la DeFi problemi di gli audit sono le due tecniche principali per la gestione di questi rischi di smart contract.
Il rapporto rileva inoltre che gli hack più grandi, con una media di 91 milioni di dollari ciascuno, sono causati da chiavi private compromesse, che vengono spesso ottenute tramite tentativi di spear-phishing. Ironia della sorte, questo vettore di attacco è anche il più evitabile proteggendo meglio le chiavi private e utilizzando piattaforme diverse per l'archiviazione.
Infine, il frontend spoofing è un metodo di attacco che va contro utenti specifici piuttosto che contro i fondi controllati dal protocollo, come nel caso dell'exploit BadgerDAO. In genere, ciò comporta l'utilizzo di tecniche come l'avvelenamento della cache DNS per sostituire l'indirizzo IP del sito Web del protocollo reale con un falso sosia.
Nel frattempo, secondo quanto riferito, gli sfruttatori stanno anche cercando nuove opzioni ora che i mezzi standard per incassare guadagni illeciti, tramite Tornado Cash, sono stati sospesi tramite sanzioni. Be[In]Crypto aveva segnalato che a seguito delle sanzioni contro Tornado Cash, un piccolo ma crescente numero di progetti di finanza decentralizzata (DeFi), tra cui dYdX, Liquidity, GMX, Kwenta e altri, stanno invece sviluppando frontend decentralizzati (DeFe).
Con ciò, l'FBI raccomanda anche che le piattaforme DeFi istituiscano analisi, monitoraggio e test rigorosi in tempo reale oltre a sviluppare una risposta agli incidenti per evitare tali exploit.
Tuttavia, Aztec Network, an Ethereumbasato su rollup che offre transazioni private utilizzando la tecnologia a conoscenza zero, è un possibile sostituto di Tornado Cash secondo il rapporto di ricerca.
Per le ultime novità di Be[In]Crypto Bitcoin (BTC) analisi, clicca qui.
Negazione di responsabilità
Tutte le informazioni contenute nel nostro sito web sono pubblicate in buona fede e solo a scopo di informazione generale. Qualsiasi azione intrapresa dal lettore sulle informazioni trovate sul nostro sito web è rigorosamente a proprio rischio.
Fonte: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/