Deszentralizatutako finantzak (defi) protokoloek finantza-zerbitzu deszentralizatuak eskaintzen dizkie erabiltzaileei, transakzioak egiteko eta beste parte-hartzaile batzuekin akordioak egiteko aukera emanez. DeFi protokoloek erabiltzaileei plataforma seguru eta fidagarria eskaintzea helburu duten arren, azken urteotan hainbat ustiapenek funts galera handiak eragin dituzte. Artikulu honek azkenaldian gertatu diren DeFi ustiapen zabalenetako batzuk eztabaidatuko ditu.
Hona hemen Web8ko 3 crypto DeFi ustiapen nagusiak itzulitako funtsak kendu ondoren:
Ronin Katea - 600 milioi $
2023ko martxoa hilabete gorabeheratsua izan zen kriptografiako moneta espazioarentzat, Axie Infinity Ronin zubiaren hack-a 612 milioi dolarreko zerrendaren buruan.
Ronin zubia bat da Ethereum Axie Infinity jolasteko joko ezagunean erabiltzen den alboko katea.
Lazarus ziberdelituen taldeak, Ipar Koreako konexioak zituela susmatzen zuenak, bederatzi transakzioen baliozkotzaileen gako pribatuetara sarbidea lortu zuen, bi transakzio handi onartzeko eta funtsak beren zorroko helbidetik mugitzeko aukera emanez. Zorionez, agintarien, segurtasun-enpresen eta kriptomoneta-trukeen arteko lankidetza batek funts horietako batzuen jarraipena egin ahal izan zuen hacker-ek Tornado cash - kode irekiko kriptografia tumbler - eta beste truke batzuetara eraman ondoren.
Wormhole zubia - 323 milioi dolar
2022ko otsailean, zorigaiztoko gertakari bat gertatu zen kriptografia-hacker-ek harra-zulo baten kodea ustiatu baitzuen 326 milioi dolar balio zuen kriptoarekin ateratzeko.
Zizare zuloa Solana eta Ethereum arteko zubi adierazgarria da, zoritxarrez erasoa saihestu ez duena. Sinaduraren egiaztapena saihestu eta sinadura-ordezken katea gaitu zuen funtzio zaharkitu/ziurgabe batek egin zuen posible.
Adituak cyber segurtasun iradokitzen dute garatzaileek erasoa saihestu zezaketela "kodetze praktika seguruak" praktikatu izan balute, non parametro guztiak egiaztatu behar dituzten. Egiaztapenak baliozko helbideen autentifikazioa berma zezakeen eta, beraz, iturri ez legitimoak kateko aktiboetara sartzea baztertu zezakeen.
Beanstalk - 181 milioi dolar
2022ko apirileko asteburu zoritxarrean, hacker batek kriptografia komunitatea astindu zuen eraso bat askatu zuen. Flash mailegu bat erabiliz - finantza deszentralizatuen (DeFi) protokoloen ezaugarria - 182 milioi dolar lapurtzea lortu zuten ETH, BEAN stablecoin eta Beanstalk stablecoin protokoloko beste aktibo batzuk.
Hacker-ek bi proposamen gaizto aurkeztu zizkion Beanstalk DAO-ri bere larrialdi-konpromisoaren funtzioaren bidez, ⅔ botoa behar duena 24 ordu igaro ondoren ezarri aurretik. Erasotzaileak flash mailegu teknologia erabili zuen tokenen % 79aren kontrola lortzeko bi proposamenak gainditzeko eta bere plana arrakastaz exekutatzeko.
Funtsak protokoloaren barruan bidali ziren flash mailegua ordaintzeko, eta gainerakoa Ukrainan oinarritutako larrialdi-funts bati lotutako helbide batera sartu zen. Guztira, 76 milioi dolar hartu ditu ekintza ausart honen arduradunak.
Nomada - 155 milioi dolar
Nomad bridge hack nahasgarria izan zen titularrak 1ko abuztuaren 2022ean gertatu zenean. Asko harritu zituen. blockchain zaleek erasotzaile gisa ahultasun bat aprobetxatu zuten kate anitzeko zubi gurutzatuan gordetako Ethereum-en oinarritutako aktiboak $ 190M baino gehiago husteko.
Hackerrak azkar eta amorruz mugitu ziren, ehunka diru-zorro 960 transakziotan parte hartu zuten zubiaren Total Value Locked (TVL) 1,175 banakako erretiratzea eraginez. Dena ordu gutxira.
Hack honen alderdi nahasi bat izan zen erabiltzaileek zubi-funtsak pirateatzeko egin behar izan zutela jatorrizko hacker-aren transakzio-deien datuak kopiatu-itsatsi, jatorrizko helbidea pertsonal batekin ordezkatu eta transakzioa osatuko zela.
Hackeak shock-uhinak bidali zituen finantza deszentralizatuen (DeFi) komunitatean, eta frogatu zuen hacker-ek urrats bat aurrera jarraitzen dutela kodean hutsuneak ustiatzen dituztenean. Nomad zubiak adibide argigarri bat eskaintzen du, kodeketa seguruaren praktiken garrantzia erakusten duena eta segurtasunak zergatik jarraitzen duen indartzen du gaur egun blockchain proiektuetarako.
CREAM Finantza - 130.8 milioi $
2021eko urrian CREAM-en aurkako erasoa flash mailegu-lapurreta handienetako bat izan bazen ere, ez zen gertakari isolatu bat izan. Flash mailegu-erasoek likideziazko "flash mailegu" bat erabiltzea dakar, mailegatzea eta finantzaketa azkar hori lehenetsita, dena transakzio bakar baten barruan.
Prezioak kalkulatzeko akatsak baliatuz, hackerrek azkar irabazi ditzakete maileguetatik. Esate baterako, CREAM-en kasuan, bi helbide ezberdinek bere yUSDVault-ekin elkarreragin zuten crYUSD token kopuru handi bat egiteko. Akzio horien balioa bikoiztuko lukeen ahultasun bat baliatu zuten. 130 milioi dolarreko funtsak arrakastaz lortu zituzten arren, erabilgarri dauden bermeen ~ 1 milioi dolar kopuru hori baino askoz gehiago har lezake.
Flash mailegu-erasoak gero eta ugariagoak dira, eta komunitateak galderak egin beharko lituzke etorkizunean segurtasun-hauste gehiago nola saihestu ditzaketen jakiteko.
BSC token zentroa - 127 milioi dolar
2022ko urrian, BSC Beacon zubi gurutzatuaren kodean ahultasun kritikoa ustiatzen zuten hackerrek 570 milioi dolar ziren kripto-aktiboekin kendu zituzten.
BSc Beacon katea, Token Hub bezala ere ezaguna, BNB Beacon Chain (BEP2) eta BNB Chain (BEP20/BSC) lotzen dituen kate arteko zubi bat da.
Hacker-ek Merkle frogak izeneko froga kriptografikoak faltsutu zituen, hala nola transakzioak bezalako datuen baliozkotasuna baieztatzeko. Aldi berean, Merkle froga faltsu hauek BSC Beacon-eko zubi gurutzatuaren funtsak beste kate batzuetara transferitzeko erabili zituzten.
Tether-ek erasotzaileen helbidea blokeatu bezain laster, ekintza azkarrak jarraitu zituen BNB katetik 7 milioi dolar baino gehiago mugitu zirelarik, gaizki lortutako funts gehienak konfiskatuz.
Harmony Horizon - 100 milioi dolar
2022ko ekainean, Harmony Horizon Bridge proiektua arriskuan jarri zen hackerrek bere bost baliozkotzaileen gako pribatuetatik bi lapurtu zituztenean, iruzurgileei 100 milioi dolar token transferitzeko aukera emanez.
Segurtasun-arazo hau zubia jartzeko moduagatik izan zen, 2tik 5 balioztatze eskemarekin. Ondorioz, erasotzaileak bi onarpen baino ez zituen behar maltzurren transakzio balioztatzeko. Haien arrastoak estaltzeko, erasotzaileek Tornado Cash erabili zuten gaizki lortutako irabazi batzuk garbitzeko.
Hasiera batean konfigurazio hau segurua iruditu zitekeen arren, aktore txarrentzako helburu irabazia izan zen eta harrapatutakoentzako bloke-kateen segurtasunari buruzko ikasgai garestia izan zen.
Rari- $ 91 m
Berriro sartzeko erasoak Ethereum-en hasieratik izan dira. Kontratuaren ahuleziak erabili dituzte behin eta berriz fondoak ateratzeko jatorrizko transakzioa onartu edo baztertu aurretik.
2022ko maiatzean, bi finantza-plataforma deszentralizatuak arriskuan jarri ziren horrela, hackerrek 90 milioi dolar lapurtu baitzituzten. Rari Capital-eko Jack Longarzo-k esan zuen erasotzaileak konpainia ustiatu zuela, eta Rari Capital-ekin bat egin zuen Fei Protokoloak 10 milioi dolarreko saria eskaini zion hackerri.
Blockchain segurtasun konpainia BlockSec azaldu zuen hacker-ek berriro sartzeko ahultasun bat erabili zutela.
Garatzaileek eraso mota hauek saihestu ditzakete Ethereum blockchain-en zabaldu aurretik kontratuak behar bezala probatu eta ikuskatuz.
Nola babestu DeFi ustiapenetatik
DeFi protokoloak gero eta ezagunagoak eta konplexuagoak dira, hackerrentzako helburu erakargarriak bihurtuz. DeFi ustiapenetatik babesten laguntzeko zazpi aholku hauek dira:
- Egin behar den diligentzia sakona edozein proiektutan inbertitu aurretik. Egiaztatu plataformaren kodea, webgunea, taldekideak eta sare sozialak bandera gorriak ikusteko.
- Ziurtatu iturri fidagarri batek interakzioan dituzun kontratuak ikuskatzen dituela eta auditoretzaren emaitzak publikoki eskuragarri daudela.
- Ez gorde funts kopuru handirik DeFi kontratu batean, erasoen aurrean zaurgarriagoa bihurtuz.
- Egon eguneratuta segurtasun-albisteekin ustiapen berriak ezagutzeko.
- Ezarri autentifikazio- eta baimen-prozedura egokiak DeFi protokoloekin elkarreragiten duten kontu guztietan.
- Ziurtatu diru-zorroa seguru dagoela eta erabili bi faktoreko autentifikazioa ahal den guztietan.
- Aldian-aldian kontrolatu zure fondoak eta transakzioak blockchain-en edozein jarduera susmagarri edo baimenik gabeko erretiratzea detektatzeko.
Aholku hauek jarraituz DeFi ustiapenetatik babesten lagunduko dizu eta zure fondoak seguru daudela ziurtatzen du finantza-protokolo deszentralizatuekin elkarreraginean. Dena den, garrantzitsua da gogoratzea ere sistemarik ez dela hutsezina, beraz, beti komeni da kontu handiz hartzea aktibo digitalekin tratatzerakoan.
Ondorioa
Oro har, segurtasuna kontu garrantzitsuenetako bat da kriptografia-moneta eta DeFi protokoloak tratatzerakoan. Zoritxarrez, industriak hazten jarraitzen duen heinean, jarduera maltzurren arriskuak ere bai. Segurtasun osoa bermatzea ezinezkoa den arren, aholku hauek jarraituz DeFi ustiapenetatik babesten eta funtsak seguru mantentzen lagun zaitzake.
Blockchain-en segurtasunaren azken garapenak eguneratuta egonez eta kontu guztietan autentifikazio-prozedura egokiak ezarrita daudela ziurtatuz, zure aktibo digitalak seguru mantentzen lagunduko duzu.
Iturria: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/