In een recent onderzoeksrapport stelt Token Terminal vast dat er drie hoofdoorzaken zijn van: Defi exploits, en het verwijderen van kwetsbaarheden in slimme contracten is verreweg de grootste uitdaging van de drie.
Aangezien de belangstelling voor gedecentraliseerde financiën enorm is gestegen, hebben ook de hacks en tapijttrekkers in het segment een geschat 105 on-chain exploits resulterend in de diefstal van bijna $ 4.2 miljard uit verschillende protocollen.
Interessant is dat uit het onderzoek blijkt dat de grootste hacks gemiddeld via cross-chain bridges en central exchange (CEX) wallets komen, terwijl opbrengstaggregators en uitleenprotocollen het vaakst worden misbruikt.
"De grootste exploits bevinden zich meestal in meerdere ketens of op grote ecosysteembruggen."
FBI heft nieuwe DeFi-waarschuwing op voor investeerders en platforms
de drie grootste Defi exploits tot nu toe, Ronin-netwerk ($ 624 miljoen), Poly Network ($ 611 miljoen) en Wormhole ($ 326 miljoen), zijn allemaal cross-chain-bruggen die de lijst met de grootste exploits domineren. Bridges verloor doorgaans meer dan $ 188 miljoen bij elke hack, aldus het rapport.
Onlangs waarschuwde het Amerikaanse Federal Bureau of Investigation (FBI) de investeerders en platforms voor deze risico's in DeFi in een openbare dienst aankondiging.
"Cybercriminelen maken in toenemende mate misbruik van kwetsbaarheden in de slimme contracten die DeFi-platforms beheersen om cryptocurrency te stelen, waardoor investeerders geld verliezen", merkte het bureau op. "Cybercriminelen proberen te profiteren van de toegenomen interesse van investeerders in cryptocurrencies, evenals de complexiteit van cross-chain functionaliteit en open source karakter van DeFi-platforms."
Omgekeerd zijn opbrengstaggregators en uitleenprotocollen de systemen die het vaakst het doelwit zijn van aanvallen, maar ze resulteren vaak in kleinere financiële verliezen per aanval volgens Token Terminal. Over het algemeen werden rendementsaggregators en uitleenprotocollen vaker misbruikt, terwijl bridges en CEX's doorgaans de grootste verliezen per exploit lijden. Cross-chain bridges en CEX hot wallets zijn goed voor $ 2.2 miljard aan gestolen activa, of meer dan 52% van het totale gecompromitteerde bedrag.
Het veilig bewaren van privésleutels is het eenvoudigste reddingsplan
De meest voorkomende oorzaken van deze exploits zijn grofweg onderverdeeld in mazen in slimme contracten, gecompromitteerde privésleutels en spoofing van protocollen. Met name mazen in slimme contracten, vaak geassocieerd met flitsleningen en orakelmanipulatie, waren naar verluidt goed voor 73% van alle hacks sinds september 2020. Maar geautomatiseerde formele verificatie en DeFi veiligheid audits zijn de twee belangrijkste technieken om deze slimme contractrisico's te beheersen.
Het rapport stelt ook vast dat de grootste hacks, elk met een gemiddelde van $ 91 miljoen, worden veroorzaakt door gecompromitteerde privésleutels, die vaak worden verkregen met behulp van spear-phishing-pogingen. Ironisch genoeg is deze aanvalsvector ook het meest te vermijden door de privésleutels beter te beveiligen en verschillende platforms voor opslag te gebruiken.
Ten slotte is frontend-spoofing een aanvalsmethode die gericht is tegen specifieke gebruikers in plaats van tegen het geld dat het protocol beheert, zoals in het geval van de BadgerDAO-exploit. Meestal houdt dit in dat technieken zoals DNS-cachevergiftiging worden gebruikt om het IP-adres van de echte protocolwebsite te vervangen door een nep-lookalike.
Ondertussen zijn uitbuiters naar verluidt ook op zoek naar nieuwe opties nu de standaardmethode voor het uitbetalen van onrechtmatig verkregen winsten, via Tornado Cash, via sancties is stopgezet. Be[In]Crypto had gemeld dat na de sancties tegen Tornado Cash, een klein maar toenemend aantal gedecentraliseerde financieringsprojecten (DeFi), waaronder dYdX, Liquidity, GMX, Kwenta en anderen, in plaats daarvan gedecentraliseerde frontends (DeFe) ontwikkelt.
Daarmee beveelt de FBI ook aan dat DeFi-platforms realtime analyses, monitoring en rigoureuze tests uitvoeren, naast het ontwikkelen van een incidentrespons om dergelijke exploits te voorkomen.
Aztec Network, een Ethereum-gebaseerde rollup die privétransacties biedt met behulp van zero-knowledge-technologie, is een mogelijke vervanging voor Tornado Cash volgens het onderzoeksrapport.
Voor Be[In]Crypto's nieuwste Bitcoin (BTC) analyse, klik hier.
Disclaimer
Alle informatie op onze website wordt te goeder trouw en uitsluitend voor algemene informatiedoeleinden gepubliceerd. Elke actie die de lezer onderneemt naar aanleiding van de informatie op onze website, is strikt op eigen risico.
Bron: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/