Mewn adroddiad ymchwil diweddar, mae Token Terminal yn canfod bod tri achos sylfaenol o Defi campau, a chael gwared ar wendidau contract clyfar yw'r mwyaf heriol o bell ffordd o'r tri.
Gan fod diddordeb mewn cyllid datganoledig wedi cynyddu'n aruthrol, felly hefyd y haciau a ryg yn tynnu yn y segment gyda amcangyfrif 105 o orchestion ar-gadwyn gan arwain at ddwyn bron i $4.2 biliwn o brotocolau amrywiol.
Yn ddiddorol, mae'r ymchwil yn canfod bod yr haciau mwyaf, ar gyfartaledd, yn dod trwy bontydd traws-gadwyn a waledi cyfnewid canolog (CEX), tra bod cydgrynwyr cynnyrch a phrotocolau benthyca yn cael eu cam-drin amlaf.
“Mae’r gorchestion mwyaf yn tueddu i fod ar draws cadwyni lluosog neu ar bontydd ecosystem mawr.”
Mae FBI yn codi rhybudd DeFi newydd i fuddsoddwyr a llwyfannau
Y tri mwyaf Defi campau hyd yn hyn, Rhwydwaith Ronin ($624 miliwn), Poly Network ($611 miliwn), a Wormhole ($326 miliwn), i gyd yn bontydd trawsgadwyn sy'n dominyddu'r rhestr o'r campau mwyaf. Yn nodweddiadol, collodd pontydd dros $ 188 miliwn ym mhob darnia, nododd yr adroddiad.
Yn ddiweddar, rhybuddiodd Swyddfa Ymchwilio Ffederal yr UD (FBI) y buddsoddwyr a'r llwyfannau am y risgiau hyn yn DeFi mewn gwasanaeth cyhoeddus cyhoeddiad.
“Mae troseddwyr seiber yn manteisio fwyfwy ar wendidau yn y contractau smart sy’n rheoli llwyfannau DeFi i ddwyn arian cyfred digidol, gan achosi i fuddsoddwyr golli arian,” nododd yr asiantaeth. “Mae troseddwyr seiber yn ceisio manteisio ar ddiddordeb cynyddol buddsoddwyr mewn arian cyfred digidol, yn ogystal â chymhlethdod ymarferoldeb traws-gadwyn a natur ffynhonnell agored platfformau DeFi.”
I'r gwrthwyneb, cydgrynwyr cynnyrch a phrotocolau benthyca yw'r systemau a dargedir amlaf gan ymosodiadau, fodd bynnag, maent yn aml yn arwain at golledion ariannol llai fesul ymosodiad yn unol â Therfynell Token. Yn gyffredinol, roedd cydgrynwyr cynnyrch a phrotocolau benthyca yn cael eu cam-drin yn amlach, tra bod pontydd a CEXs fel arfer yn dioddef y colledion mwyaf fesul camfanteisio. Mae pontydd traws-gadwyn a waledi poeth CEX yn cyfrif am $2.2 biliwn mewn asedau wedi'u dwyn, neu dros 52% o'r cyfanswm a gyfaddawdwyd.
Cadw allweddi preifat yn ddiogel yw'r cynllun achub symlaf
Mae achosion mwyaf cyffredin y gorchestion hyn wedi'u categoreiddio'n fras i fylchau contract clyfar, allweddi preifat dan fygythiad, a ffugio blaen protocol. Yn nodedig, dywedir bod bylchau mewn contractau smart, a gysylltir yn aml â benthyciadau fflach a thrin oracl, yn cyfrif am 73% o'r holl haciau ers mis Medi 2020. Ond, dilysu ffurfiol awtomataidd a DeFi diogelwch archwiliadau yw'r ddwy brif dechneg ar gyfer rheoli'r risgiau contract clyfar hyn.
Mae'r adroddiad hefyd yn canfod bod yr haciau mwyaf, sef $91 miliwn yr un ar gyfartaledd, yn cael eu hachosi gan allweddi preifat dan fygythiad, a geir yn aml gan ddefnyddio ymdrechion gwe-rwydo gwaywffon. Yn eironig, y fector ymosodiad hwn hefyd yw'r mwyaf y gellir ei osgoi trwy sicrhau'r allweddi preifat yn well a defnyddio gwahanol lwyfannau ar gyfer storio.
Yn olaf, mae ffugio blaen yn ddull ymosod sy'n mynd yn erbyn defnyddwyr penodol yn hytrach na'r arian y mae'r protocol yn ei reoli, fel yn achos y BadgerDAO yn manteisio arno. Yn nodweddiadol, mae hyn yn golygu defnyddio technegau fel gwenwyno cache DNS i ddisodli cyfeiriad IP gwefan y protocol go iawn gyda golwg ffug.
Yn y cyfamser, dywedir bod ecsbloetwyr hefyd yn chwilio am opsiynau newydd nawr bod y dull safonol o gyfnewid enillion annoeth, trwy Tornado Cash, wedi dod i ben trwy sancsiynau. Roedd Be[In]Crypto wedi adrodd yn dilyn y cosbau yn erbyn Tornado Cash, bod nifer fach ond cynyddol o brosiectau cyllid datganoledig (DeFi), gan gynnwys dYdX, Liquidity, GMX, Kwenta, ac eraill, yn datblygu blaenau datganoledig (DeFe) yn lle hynny.
Gyda hynny, mae'r FBI hefyd yn argymell bod llwyfannau DeFi yn sefydlu dadansoddeg amser real, monitro, a phrofion trwyadl ar wahân i ddatblygu ymateb i ddigwyddiad er mwyn osgoi campau o'r fath.
Fodd bynnag, Rhwydwaith Aztec, an Ethereum-rollup seiliedig sy'n cynnig trafodion preifat gan ddefnyddio technoleg sero-wybodaeth, yn un lle posibl i Tornado Cash yn unol â'r adroddiad ymchwil.
Ar gyfer y diweddaraf Be[In]Crypto Bitcoin Dadansoddiad (BTC), cliciwch yma.
Ymwadiad
Cyhoeddir yr holl wybodaeth a gynhwysir ar ein gwefan yn ddidwyll ac at ddibenion gwybodaeth gyffredinol yn unig. Mae unrhyw gamau y mae'r darllenydd yn eu cymryd ar y wybodaeth a geir ar ein gwefan yn hollol ar ei risg ei hun.
Ffynhonnell: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/