Mae'r diwydiant cyllid datganoledig (DeFi) wedi colli dros biliwn o ddoleri i hacwyr yn ystod yr ychydig fisoedd diwethaf, ac mae'n ymddangos bod y sefyllfa'n mynd allan o reolaeth.
Yn ôl yr ystadegau diweddaraf, tua $1.6 biliwn i mewn cryptocurrencies ei ddwyn o lwyfannau DeFi yn chwarter cyntaf 2022. Ar ben hynny, mae dros 90% o'r holl crypto pilfered yn dod o brotocolau DeFi wedi'u hacio.
Mae’r ffigurau hyn yn amlygu sefyllfa enbyd sy’n debygol o barhau dros y tymor hir os caiff ei hanwybyddu.
Pam mae'n well gan hacwyr lwyfannau DeFi
Yn ystod y blynyddoedd diwethaf, mae hacwyr wedi cynyddu gweithrediadau sy'n targedu systemau DeFi. Un rheswm sylfaenol pam y caiff y grwpiau hyn eu denu i'r sector yw'r swm enfawr o arian sydd gan lwyfannau cyllid datganoledig. Mae platfformau DeFi gorau yn prosesu biliynau o ddoleri mewn trafodion bob mis. O'r herwydd, mae'r gwobrau'n uchel i hacwyr sy'n gallu cyflawni ymosodiadau llwyddiannus.
Mae'r ffaith bod y rhan fwyaf o godau protocol DeFi yn ffynhonnell agored hefyd yn eu gwneud hyd yn oed yn fwy agored i fygythiadau seiberddiogelwch.
Mae hyn oherwydd bod rhaglenni ffynhonnell agored ar gael i'r cyhoedd graffu arnynt a bod modd i unrhyw un sydd â chysylltiad rhyngrwyd eu harchwilio. O'r herwydd, maent yn hawdd eu sgwrio ar gyfer campau. Mae'r eiddo cynhenid hwn yn caniatáu i hacwyr ddadansoddi cymwysiadau DeFi am faterion uniondeb a chynllunio heists ymlaen llaw.
Mae rhai datblygwyr DeFi hefyd wedi cyfrannu at y sefyllfa trwy ddiystyru adroddiadau archwilio diogelwch platfformau a gyhoeddwyd gan gwmnïau seiberddiogelwch ardystiedig yn fwriadol. Mae rhai timau datblygu hefyd yn lansio prosiectau DeFi heb fod yn destun dadansoddiad diogelwch helaeth. Mae hyn yn cynyddu'r tebygolrwydd o ddiffygion codio.
Tolc arall yn yr arfwisg o ran diogelwch DeFi yw rhyng-gysylltedd ecosystemau. Mae platfformau DeFi fel arfer wedi'u rhyng-gysylltu gan ddefnyddio pontydd croes, sy'n hybu cyfleustra ac amlbwrpasedd.
Er bod pontydd yn darparu gwell profiad i ddefnyddwyr, mae'r pytiau hanfodol hyn o god yn cysylltu rhwydweithiau enfawr o gyfriflyfrau dosbarthedig gyda lefelau amrywiol o ddiogelwch. Mae'r cyfluniad amlblecs hwn yn caniatáu i hacwyr DeFi harneisio galluoedd llwyfannau lluosog i chwyddo ymosodiadau ar lwyfannau penodol. Mae hefyd yn caniatáu iddynt drosglwyddo arian nad yw wedi'i ennill yn gyflym ar draws sawl rhwydwaith datganoledig yn ddi-dor.
Heblaw am y risgiau a grybwyllwyd uchod, mae llwyfannau DeFi hefyd yn dueddol o ddioddef difrod mewnol.
Toriadau diogelwch
Mae hacwyr yn defnyddio ystod eang o dechnegau i ymdreiddio i systemau perimedr DeFi bregus.
Mae achosion o dorri diogelwch yn gyffredin yn y sector DeFi. Yn ôl i Chainlysis 2022 adroddiad, mae tua 35% o'r holl cripto a ddwynwyd yn ystod y ddwy flynedd ddiwethaf yn cael ei briodoli i doriadau diogelwch.
Mae llawer ohonynt yn digwydd oherwydd cod diffygiol. Mae hacwyr fel arfer yn neilltuo adnoddau sylweddol i ddod o hyd i wallau codio systemig sy'n caniatáu iddynt gyflawni'r mathau hyn o ymosodiadau ac fel arfer yn defnyddio offer olrhain bygiau datblygedig i'w cynorthwyo yn hyn o beth.
Tacteg gyffredin arall a ddefnyddir gan weithredwyr bygythiad i chwilio am lwyfannau bregus yw olrhain rhwydweithiau â materion diogelwch heb eu hail sydd eisoes wedi'u hamlygu ond sydd eto i'w gweithredu.
Hacwyr y tu ôl i'r ymosodiad darnia Wormhole DeFi diweddar a arweiniodd at y colled o tua $ 325 miliwn adroddir bod tocynnau digidol wedi defnyddio'r strategaeth hon. Datgelodd dadansoddiad o ymrwymiadau cod y defnyddiwyd clwt bregusrwydd a uwchlwythwyd i ystorfa GitHub y platfform cyn i'r clwt gael ei ddefnyddio.
Galluogodd y camgymeriad y tresmaswyr i ffugio llofnod system a oedd yn caniatáu bathu 120,000 o ddarnau arian Ether wedi'u Lapio (wETH) gwerth $325 miliwn. Yna gwerthodd yr hacwyr y wETH am tua $250 miliwn yn Ether (ETH). Roedd y darnau arian Ethereum a gyfnewidiwyd yn deillio o gronfeydd wrth gefn setliad y platfform, a thrwy hynny arwain at golledion.
Mae gwasanaeth Wormhole yn gweithredu fel pont rhwng cadwyni. Mae'n caniatáu i ddefnyddwyr wario arian cyfred digidol wedi'u hadneuo mewn tocynnau wedi'u lapio ar draws cadwyni. Cyflawnir hyn trwy bathu tocynnau lapio Wormhole, sy'n lleihau'r angen i gyfnewid neu drawsnewid y darnau arian a adneuwyd yn uniongyrchol.
Diweddar: Sut y gall archifau blockchain newid sut rydym yn cofnodi hanes yn ystod y rhyfel
Ymosodiadau benthyciad Flash
Mae benthyciadau fflach yn fenthyciadau DeFi heb eu gwarantu nad oes angen unrhyw wiriadau credyd arnynt. Maent yn galluogi buddsoddwyr a masnachwyr i fenthyca arian ar unwaith.
Oherwydd eu hwylustod, mae benthyciadau fflach fel arfer yn cael eu defnyddio i fanteisio ar gyfleoedd arbitrage mewn ecosystemau DeFi cysylltiedig.
Mewn ymosodiadau benthyciad fflach, mae protocolau benthyca yn cael eu targedu a'u peryglu gan ddefnyddio technegau trin prisiau sy'n creu anghysondebau pris artiffisial. Mae hyn yn caniatáu i actorion drwg brynu asedau am gyfraddau gostyngol aruthrol. Mae'r rhan fwyaf o ymosodiadau benthyciad fflach yn cymryd munudau ac weithiau eiliadau i'w gweithredu ac maent yn cynnwys sawl protocol DeFi rhyng-gysylltiedig.
Un ffordd y mae ymosodwyr yn trin prisiau asedau yw trwy dargedu oraclau pris assailable. Mae oraclau pris DeFi, er enghraifft, yn tynnu eu cyfraddau o ffynonellau allanol megis cyfnewidfeydd ag enw da a safleoedd masnach. Gall hacwyr, er enghraifft, drin y safleoedd ffynhonnell i dwyllo oraclau i ollwng gwerth cyfraddau asedau wedi'u targedu am funud fel eu bod yn masnachu am brisiau is o gymharu â'r farchnad ehangach.
Yna mae ymosodwyr yn prynu'r asedau ar gyfraddau datchwyddedig ac yn eu gwerthu'n gyflym ar eu cyfradd gyfnewid gyfnewidiol. Mae defnyddio tocynnau trosoledd a gafwyd trwy fenthyciadau fflach yn caniatáu iddynt chwyddo'r elw.
Ar wahân i drin prisiau, mae rhai ymosodwyr wedi gallu cynnal ymosodiadau benthyciad fflach trwy herwgipio prosesau pleidleisio DeFi. Yn fwyaf diweddar, Achosodd y goeden ffa DeFi golled o $182 miliwn ar ôl i ymosodwr fanteisio ar ddiffyg yn ei system lywodraethu.
Roedd tîm datblygu'r Goeden Ffa wedi cynnwys mecanwaith llywodraethu a oedd yn caniatáu i gyfranogwyr bleidleisio dros newidiadau platfform fel swyddogaeth graidd. Mae'r gosodiad hwn yn boblogaidd yn y diwydiant DeFi oherwydd ei fod yn cynnal democratiaeth. Pennwyd hawliau pleidleisio ar y platfform i fod yn gymesur â gwerth y tocynnau brodorol a ddelir.
Datgelodd dadansoddiad o'r toriad fod yr ymosodwyr wedi cael benthyciad fflach gan brotocol Aave DeFi i gael bron i $ 1 biliwn mewn asedau. Roedd hyn yn eu galluogi i gael mwyafrif o 67% yn y system llywodraethu pleidleisio ac yn caniatáu iddynt gymeradwyo'n unochrog trosglwyddo asedau i'w cyfeiriad. Llwyddodd y cyflawnwyr i ennill tua $80 miliwn mewn arian cyfred digidol ar ôl ad-dalu'r benthyciad fflach a'r gordaliadau cysylltiedig.
Cafodd gwerth tua $360 miliwn o ddarnau arian crypto ei ddwyn o lwyfannau DeFi yn 2021 gan ddefnyddio benthyciadau fflach, yn ôl Chainalysis.
Ble mae cripto wedi'i ddwyn yn mynd?
Ers amser maith bellach, mae hacwyr wedi defnyddio cyfnewidfeydd canolog i wyngalchu arian sydd wedi'i ddwyn, ond mae seiberdroseddwyr yn dechrau cael gwared arnynt ar gyfer llwyfannau DeFi. Yn 2021, seiberdroseddwyr anfon tua 17% o'r holl crypto anghyfreithlon i rwydweithiau DeFi, sy'n naid sylweddol o 2% yn 2020.
Mae sylwebwyr y farchnad yn damcaniaethu bod y newid i brotocolau DeFi oherwydd gweithrediad ehangach prosesau Adnabod Eich Cwsmer (KYC) a Gwrth-Gwyngalchu Arian (AML) llymach. Mae'r gweithdrefnau'n peryglu'r anhysbysrwydd y mae seiberdroseddwyr yn ei geisio. Mae'r rhan fwyaf o lwyfannau DeFi yn ildio'r prosesau hanfodol hyn.
Cydweithio gyda'r awdurdodau
Mae cyfnewidfeydd canolog hefyd, yn awr yn fwy nag erioed o'r blaen, yn gweithio gydag awdurdodau i atal seiberdroseddu. Ym mis Ebrill, chwaraeodd y gyfnewidfa Binance rôl allweddol yn y adferiad o $5.8 miliwn mewn arian cyfred digidol wedi'i ddwyn roedd hynny'n rhan o stash $625 miliwn a gafodd ei ddwyn gan Axie Infinity. Roedd yr arian wedi'i anfon i Tornado Cash i ddechrau.
Mae Tornado Cash yn wasanaeth anhysbysu symbolaidd sy'n rhwystro tarddiad arian trwy ddarnio dolenni ar gadwyn a ddefnyddir i olrhain cyfeiriadau trafodion.
Fodd bynnag, cafodd cyfran o'r arian a ddygwyd ei olrhain gan gwmnïau dadansoddol blockchain i Binance. Cynhaliwyd y loot mewn 86 o anerchiadau ar y gyfnewidfa.
Yn dilyn y digwyddiad, tanlinellodd llefarydd ar ran Adran Trysorlys yr Unol Daleithiau fod cyfnewidfeydd crypto sy'n trin arian o gyfeiriadau crypto ar y rhestr ddu yn peryglu sancsiynau.
Mae'n ymddangos bod Tornado Cash hefyd yn cydweithredu â'r awdurdodau i atal trosglwyddo arian wedi'i ddwyn i'w rwydwaith. Mae'r cwmni wedi dweud y bydd yn gweithredu teclyn monitro i helpu i adnabod a rhwystro waledi dan embargo.
Ymddengys fod peth cynnydd yn y atafaelu asedau wedi'u ffugio gan yr awdurdodau. Yn gynharach eleni, cyhoeddodd Adran Gyfiawnder yr Unol Daleithiau atafaelu $3.6 biliwn mewn crypto ac arestio dau berson a oedd yn gysylltiedig â gwyngalchu'r arian. Roedd yr arian yn rhan o'r $4.5 biliwn purloin o gyfnewidfa crypto Bitfinex yn 2016.
Roedd y trawiad crypto ymhlith y mwyaf a gofnodwyd erioed.
Mae Prif Weithredwyr DeFi yn siarad am y sefyllfa bresennol
Wrth siarad yn benodol â Cointelegraph yn gynharach yr wythnos hon, dywedodd Eric Chen, Prif Swyddog Gweithredol a chyd-sylfaenydd Injective Labs - platfform contractau smart rhyngweithredol sydd wedi'i optimeiddio ar gyfer ceisiadau cyllid datganoledig - fod gobaith y bydd y problemau'n cilio.
“Rydym yn gweld y llanw’n parhau i gilio, wrth i safonau diogelwch mwy cadarn gael eu rhoi ar waith. Gyda phrofion cywir a seilweithiau diogelwch pellach yn eu lle, bydd prosiectau DeFi yn gallu atal risgiau ecsbloetio cyffredin yn y dyfodol,” meddai.
Ar y mesurau yr oedd ei rwydwaith yn eu cymryd i osgoi ymosodiadau darnia, rhoddodd Chen amlinelliad:
“Mae chwistrelliad yn sicrhau model diogelwch sy'n canolbwyntio'n fwy manwl ar y cymhwysiad o'i gymharu â chymwysiadau DeFi traddodiadol sy'n seiliedig ar beiriannau rhithwir Ethereum. Mae dyluniad y blockchain a rhesymeg modiwlau craidd yn amddiffyn Injective rhag gorchestion cyffredin megis ailfynediad, gwerth echdynnu uchaf a benthyciadau fflach. Mae cymwysiadau sy'n cael eu hadeiladu ar ben Chwistrellu yn gallu elwa ar y mesurau diogelwch sy'n cael eu gweithredu yn y blockchain ar y lefel consensws. ”
Diweddar: Swyddi mabwysiadu byd-eang cynyddol crypto yn berffaith i'w defnyddio mewn manwerthu
Cafodd Cointelegraph gyfle hefyd i siarad â Konstantin Boyko-Romanovsky, Prif Swyddog Gweithredol a sylfaenydd Allnodes - platfform cynnal a chadw heb fod yn y ddalfa - am y cynnydd mewn achosion o hacwyr. O ran y prif gatalyddion y tu ôl i'r duedd, dywedodd:
“Heb os, bydd yn cymryd peth amser i leihau’r risg o haciau DeFi. Mae'n annhebygol, fodd bynnag, y bydd yn digwydd dros nos. Mae ymdeimlad parhaus o ras yn DeFi. Mae'n ymddangos bod pawb ar frys, gan gynnwys sylfaenwyr y prosiect. Mae'r farchnad yn esblygu'n gyflymach na'r cyflymder y mae rhaglenwyr yn ysgrifennu cod. Mae chwaraewyr da sy’n cymryd pob rhagofal yn y lleiafrif.”
Rhoddodd rywfaint o fewnwelediad hefyd i weithdrefnau a fyddai’n helpu i wrthweithio’r broblem:
“Mae'n rhaid i'r cod wella ac mae'n rhaid i gontractau smart gael eu harchwilio'n drylwyr, mae hynny'n sicr. Yn ogystal, dylid atgoffa defnyddwyr yn gyson o arferion gofalus ar-lein. Gall nodi unrhyw ddiffygion fod yn gymhelliant deniadol. Gallai hyn, yn ei dro, hybu ymddygiad iachach ar draws protocol penodol.”
Mae'r diwydiant DeFi yn cael amser caled yn rhwystro ymosodiadau hac. Fodd bynnag, mae gobaith y bydd mwy o fonitro gan yr awdurdodau a mwy o gydweithrediad rhwng cyfnewidfeydd yn helpu i ffrwyno'r ffrewyll.
Ffynhonnell: https://cointelegraph.com/news/defi-attacks-are-on-the-rise-will-the-industry-be-able-to-stem-the-tide