Em um relatório de pesquisa recente, o Token Terminal descobriu que existem três causas principais de DeFi exploits e remover vulnerabilidades de contratos inteligentes é de longe o mais desafiador dos três.
Como o interesse em finanças descentralizadas disparou, o mesmo aconteceu com o hacks e puxadores de tapetes no segmento com um estimado 105 explorações on-chain resultando no roubo de quase US$ 4.2 bilhões de vários protocolos.
Curiosamente, a pesquisa descobriu que os maiores hacks, em média, vêm por meio de pontes de cadeia cruzada e carteiras de câmbio central (CEX), enquanto agregadores de rendimento e protocolos de empréstimo são mais frequentemente abusados.
“As maiores explorações tendem a ocorrer em várias cadeias ou em grandes pontes do ecossistema.”
FBI levanta novo alerta DeFi para investidores e plataformas
Os três maiores DeFi façanhas até hoje, Rede Ronin (US$ 624 milhões), Poly Network (US$ 611 milhões) e Wormhole (US$ 326 milhões), são todas pontes de cadeia cruzada que dominam a lista das maiores explorações. Bridges normalmente perdeu mais de US$ 188 milhões em cada hack, observou o relatório.
Recentemente, o Federal Bureau of Investigation (FBI) dos EUA alertou os investidores e plataformas sobre esses riscos em DeFi em um serviço público anúncio.
“Os criminosos cibernéticos estão explorando cada vez mais vulnerabilidades nos contratos inteligentes que regem as plataformas DeFi para roubar criptomoedas, fazendo com que os investidores percam dinheiro”, observou a agência. “Os criminosos cibernéticos procuram tirar proveito do crescente interesse dos investidores em criptomoedas, bem como a complexidade da funcionalidade de cadeia cruzada e a natureza de código aberto das plataformas DeFi.”
Por outro lado, agregadores de rendimento e protocolos de empréstimo são os sistemas mais visados por ataques, no entanto, eles frequentemente resultam em perdas financeiras menores por ataque de acordo com o Token Terminal. Em geral, agregadores de rendimento e protocolos de empréstimo foram abusados com mais frequência, enquanto pontes e CEXs normalmente sofrem as maiores perdas por exploração. Pontes de cadeia cruzada e carteiras quentes CEX representam US$ 2.2 bilhões em ativos roubados, ou mais de 52% do valor total comprometido.
A guarda de chaves privadas é o plano de resgate mais simples
As causas mais comuns dessas explorações foram categorizadas aproximadamente em brechas de contrato inteligente, chaves privadas comprometidas e falsificação de front-end de protocolo. Notavelmente, brechas nos contratos inteligentes, frequentemente associados a empréstimos em flash e manipulação de oráculos, supostamente representaram 73% de todos os hacks desde setembro de 2020. Mas, verificação formal automatizada e DeFi segurança auditorias são as duas principais técnicas para gerenciar esses riscos de contratos inteligentes.
O relatório também descobriu que os maiores hacks, com média de US$ 91 milhões cada, são causados por chaves privadas comprometidas, que geralmente são obtidas por meio de tentativas de spear phishing. Ironicamente, esse vetor de ataque também é o mais evitável, protegendo melhor as chaves privadas e usando diferentes plataformas de armazenamento.
Por fim, o frontend spoofing é um método de ataque que vai contra usuários específicos e não contra os fundos que o protocolo controla, como no caso do exploit BadgerDAO. Normalmente, isso envolve o uso de técnicas como envenenamento de cache DNS para substituir o endereço IP do site de protocolo real por um falso semelhante.
Enquanto isso, os exploradores também estão procurando novas opções agora que o meio padrão de sacar ganhos ilícitos, através do Tornado Cash, foi descontinuado por meio de sanções. Be[In]Crypto havia relatado que, após as penalidades contra o Tornado Cash, um número pequeno, mas crescente de projetos de finanças descentralizadas (DeFi), incluindo dYdX, Liquidity, GMX, Kwenta e outros, estão desenvolvendo frontends descentralizados (DeFe).
Com isso, o FBI também recomenda que as plataformas DeFi instituam análises em tempo real, monitoramento e testes rigorosos, além de desenvolver uma resposta a incidentes para evitar tais explorações.
No entanto, a Rede Aztec, uma EthereumO rollup baseado em dinheiro que oferece transações privadas usando tecnologia de conhecimento zero é um possível substituto para o Tornado Cash, de acordo com o relatório de pesquisa.
Para o mais recente da Be[In]Crypto Bitcoin (BTC) análise, clique aqui.
Aviso Legal
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
Fonte: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/