Financimi i decentralizuar (Defi) protokollet ofrojnë shërbime financiare të decentralizuara për përdoruesit, duke i lejuar ata të kryejnë transaksione dhe të hyjnë në marrëveshje me pjesëmarrësit e tjerë. Ndërsa protokollet DeFi synojnë të ofrojnë një platformë të sigurt dhe të besueshme për përdoruesit e tyre, disa shfrytëzime gjatë viteve të fundit kanë shkaktuar humbje të konsiderueshme fondesh. Ky artikull do të diskutojë disa nga shfrytëzimet më të gjera të DeFi që kanë ndodhur kohët e fundit.
Këtu janë 8 shfrytëzimet më të mira të kriptos DeFi në Web3 pas zbritjes së fondeve të kthyera:
Zinxhiri Ronin – 600 milionë dollarë
Marsi i vitit 2023 ishte një muaj plot ngjarje për hapësirën e kriptomonedhave, me hakimin e urës Axie Infinity Ronin që kryeson listën me 612 milionë dollarë.
Ura Ronin është një Ethereum zinxhir anësor i përdorur në lojën popullore "luaj për të fituar" Axie Infinity.
Grupi i krimit kibernetik Lazarus, i dyshuar se kishte lidhje me Korenë e Veriut, arriti të fitonte akses në nëntë çelësat privatë të verifikuesve të transaksioneve, duke i lejuar ata të miratonin dy transaksione të mëdha dhe të zhvendosnin fondet nga adresa e portofolit të tyre. Për fat të mirë, një bashkëpunim midis autoriteteve, firmave të sigurisë dhe shkëmbimeve të kriptomonedhave ishte në gjendje të ndihmonte në gjurmimin e disa prej këtyre fondeve pasi hakerët i dërguan ato në para të gatshme Tornado - një kripto kriptomonedhë me burim të hapur - dhe shkëmbime të tjera.
Ura e vrimës së krimbit - 323 milion dollarë
Në shkurt 2022, një incident i pafat ndodhi pasi hakerat e kriptove shfrytëzuan kodin e një vrime krimbi për t'u hequr me kripto me vlerë 326 milionë dollarë.
Një vrimë krimbi është një urë simbolike midis Solana dhe Ethereum, e cila fatkeqësisht nuk arriti të parandalonte sulmin. Ajo u bë e mundur nga një funksion i vjetëruar/i vdekur i pasigurt që anashkaloi verifikimin e nënshkrimit dhe mundësoi zinxhirin e delegimeve të nënshkrimeve.
Ekspertët në siguria kibernetike sugjerojnë që zhvilluesit mund ta kishin parandaluar sulmin nëse do të kishin praktikuar 'praktikat e sigurta të kodimit' ku duhet të kontrollonin të gjithë parametrat. Kontrolli mund të kishte siguruar vërtetimin e adresave të vlefshme dhe kështu të përjashtonte burimet e paligjshme nga aksesi i aseteve në zinxhir.
Beanstalk - 181 milion dollarë
Në një fundjavë fatale në prill 2022, një haker lëshoi një sulm që tronditi komunitetin e kriptove. Duke përdorur një kredi flash – një veçori e protokolleve të financave të decentralizuara (DeFi) – ata arritën të vidhnin 182 milionë dollarë në ETH, BEAN stablecoin dhe asete të tjera nga protokolli Beanstalk stablecoin.
Hakerët i paraqitën dy propozime me qëllim të keq Beanstalk DAO përmes funksionit të tij të kryerjes së urgjencës, i cili kërkon ⅔ votë përpara zbatimit pas 24 orësh. Sulmuesi përdori teknologjinë e kredisë flash për të fituar kontrollin e 79% të argumenteve për të kaluar të dy propozimet dhe për të ekzekutuar me sukses planin e tyre.
Fondet u dërguan nga brenda protokollit për të shlyer kredinë e shpejtë, me pjesën e mbetur në një adresë të lidhur me një fond emergjence me bazë në Ukrainë. Në total, deri në 76 milionë dollarë janë marrë nga personi përgjegjës për këtë akt të guximshëm.
Nomad – 155 milionë dollarë
Hakimi hutues i urës Nomad bëri bujë kur ndodhi më 1 gusht 2022. Ajo tronditi shumë Blockchain entuziastët si sulmues përfituan nga një dobësi për të shpenzuar mbi 190 milion dollarë asete të bazuara në Ethereum të ruajtura në urën e kryqëzuar me shumë zinxhirë.
Hakerët lëvizën shpejt dhe tërbuar, me qindra kuleta të përfshira në 960 transaksione që rezultuan në 1,175 tërheqje individuale nga vlera totale e mbyllur e urës (TVL). Të gjitha brenda orëve.
Një aspekt i ndërlikuar i këtij hakimi ishte se e gjithë përdoruesit që duhej të bënin për të hakuar fondet e urës ishte kopjimi-ngjisja e të dhënave origjinale të thirrjes së transaksionit të hakerit, zëvendësimi i adresës origjinale me një personale dhe transaksioni do të përfundonte.
Hakeri dërgoi valë tronditëse në të gjithë komunitetin e financave të decentralizuara (DeFi), duke dëshmuar se hakerët mbeten një hap përpara kur shfrytëzojnë zbrazëtitë në kod. Ura Nomad ofron një shembull ilustrues që tregon rëndësinë e praktikave të sigurta të kodimit dhe përforcon pse siguria mbetet një sfidë e vazhdueshme për projektet blockchain sot.
CREAM Finance – 130.8 milion dollarë
Megjithëse sulmi ndaj CREAM në tetor 2021 ishte një nga vjedhjet më të mëdha të huasë, sigurisht që nuk ishte një incident i izoluar. Sulmet e kredive të shpejta përfshijnë përdorimin e një 'huaje të shpejtë' të likuiditetit, huamarrjen dhe mospagimin e këtij financimi të shpejtë, të gjitha brenda një transaksioni të vetëm.
Duke shfrytëzuar gabimet e llogaritjes së çmimeve, hakerët mund të përfitojnë shpejt nga huazimet e tyre. Për shembull, në rastin e CREAM, dy adresa të ndryshme ndërvepruan me yUSDVault-in e tij për të krijuar një numër të madh tokenash crYUSD. Ata shfrytëzuan një dobësi që do të dyfishonte vlerën e këtyre aksioneve. Megjithëse ata siguruan me sukses fonde me vlerë 130 milionë dollarë, kolaterali prej 1 miliardë dollarësh mund të marrë shumë më tepër se kjo shumë.
Sulmet e kredisë së shpejtë po bëhen gjithnjë e më të përhapura dhe komuniteti duhet të bëjë pyetje se si mund të parandalojnë shkelje të mëtejshme të sigurisë në të ardhmen.
Qendra e shenjave BSC – 127 milion dollarë
Në tetor 2022, hakerët që shfrytëzonin një dobësi kritike në kodin e urës së kryqëzuar të BSC Beacon, u larguan me asete kriptosh që arrinin në 570 milionë dollarë.
Zinxhiri BSc Beacon, i njohur gjithashtu si Token Hub, është një urë ndërzinxhirore që lidh zinxhirin BNB Beacon (BEP2) dhe Zinxhirin BNB (BEP20/BSC).
Hakeri falsifikoi provat kriptografike të quajtura prova Merkle që synonin të konfirmonin vlefshmërinë e të dhënave të tilla si transaksionet. Nga ana tjetër, ata përdorën këto prova të rreme Merkle për të transferuar fonde nga BSC Beacon cross-bridge në zinxhirë të tjerë.
Sapo Tether bllokoi adresën e sulmuesve, pasuan veprime të shpejta me mbi 7 milionë dollarë të zhvendosura nga zinxhiri BNB të ngrira, duke konfiskuar shumicën e fondeve të tyre të marra në mënyrë të paligjshme.
Harmony Horizon – 100 milionë dollarë
Në qershor 2022, projekti Harmony Horizon Bridge u komprometua kur hakerët vodhën dy nga pesë çelësat privatë të verifikuesit të tij, duke lejuar mashtruesit të transferojnë tokena me vlerë 100 milionë dollarë.
Ky problem sigurie ishte për shkak të mënyrës se si ishte vendosur ura, me një skemë validimi 2 nga 5. Si rezultat, sulmuesit i nevojiteshin vetëm dy miratime që çdo transaksion me qëllim të keq të vërtetohej. Për të mbuluar gjurmët e tyre, sulmuesit përdorën Tornado Cash për të pastruar disa nga fitimet e tyre të paligjshme.
Megjithëse ky organizim mund të jetë dukur i sigurt fillimisht, ai u dëshmua si një objektiv fitimprurës për aktorët e këqij dhe një mësim i shtrenjtë në sigurinë e blockchain për ata që kapeshin.
Rari- 91 milion dollarë
Sulmet e rihyrjes kanë qenë rreth e rrotull që në ditët e para të Ethereum. Ata kanë përdorur dobësitë e kontratës për të tërhequr në mënyrë të përsëritur fonde përpara se transaksioni origjinal të miratohet ose të refuzohet.
Në maj 2022, dy platforma të decentralizuara të financave u komprometuan në këtë mënyrë, me hakerat që vodhën 90 milionë dollarë. Jack Longarzo i Rari Capital tha se sulmuesi shfrytëzoi kompaninë dhe Fei Protocol, i cili u bashkua me Rari Capital, i ofroi hakerit një shpërblim prej 10 milionë dollarësh.
Kompania e sigurisë Blockchain BlockSec shpjegoi se hakerët përdorën një cenueshmëri të rihyrjes.
Zhvilluesit mund t'i parandalojnë këto lloj sulmesh duke testuar dhe audituar siç duhet kontratat përpara vendosjes në zinxhirin e bllokut Ethereum.
Si të mbroheni nga shfrytëzimet e DeFi
Protokollet DeFi janë bërë gjithnjë e më të njohura dhe komplekse, duke i bërë ato objektiva tërheqëse për hakerat. Më poshtë janë shtatë këshilla për t'ju ndihmuar të mbroni veten nga shfrytëzimet e DeFi:
- Kryeni kujdesin e plotë të duhur për çdo projekt përpara se të investoni. Kontrolloni kodin e platformës, faqen e internetit, anëtarët e ekipit dhe kanalet sociale për flamuj të kuq.
- Sigurohuni që një burim i besuar të auditojë kontratat me të cilat ndërveproni dhe që rezultatet e auditimit të jenë të disponueshme publikisht.
- Mos ruani sasi të mëdha fondesh në një kontratë DeFi, duke e bërë atë më të prekshëm ndaj sulmeve.
- Qëndroni të përditësuar me lajmet më të fundit të sigurisë për të mësuar rreth shfrytëzimeve të reja.
- Zbatoni procedurat e duhura të vërtetimit dhe autorizimit për të gjitha llogaritë që ndërveprojnë me protokollet DeFi.
- Sigurohuni që portofoli juaj të jetë i sigurt dhe përdorni vërtetimin me dy faktorë kurdo që të jetë e mundur.
- Monitoroni rregullisht fondet dhe transaksionet tuaja në blockchain për të zbuluar çdo aktivitet të dyshimtë ose tërheqje të paautorizuar.
Ndjekja e këtyre këshillave mund t'ju ndihmojë të mbroheni nga shfrytëzimet e DeFi dhe të siguroheni që fondet tuaja të jenë të sigurta kur ndërveproni me protokollet e financave të decentralizuara. Megjithatë, është gjithashtu e rëndësishme të mbani mend se asnjë sistem nuk është i pagabueshëm, kështu që është gjithmonë praktika më e mirë që të keni kujdes shtesë kur keni të bëni me asetet dixhitale.
Përfundim
Në përgjithësi, siguria është një nga konsideratat më të rëndësishme kur kemi të bëjmë me kriptovalutat dhe protokollet DeFi. Fatkeqësisht, ndërsa industria vazhdon të rritet, rriten edhe rreziqet e aktivitetit keqdashës. Ndërsa është e pamundur të garantosh sigurinë totale, ndjekja e këtyre këshillave mund t'ju ndihmojë të mbroni veten nga shfrytëzimet e DeFi dhe t'i mbani fondet tuaja të sigurta.
Duke qëndruar aktual në zhvillimet më të fundit në sigurinë e blockchain dhe duke siguruar që procedurat e duhura të vërtetimit janë në vend për të gjitha llogaritë, ju mund të ndihmoni të siguroheni që asetet tuaja dixhitale të mbeten të sigurta.
Burimi: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/