في تقرير بحثي حديث ، وجدت Token Terminal أن هناك ثلاثة أسباب جذرية لـ الصدمة إكسبلويت ، وإزالة الثغرات الأمنية في العقود الذكية هو إلى حد بعيد التحدي الأكبر من بين الثلاثة.
نظرًا لأن الاهتمام بالتمويل اللامركزي قد ارتفع بشكل كبير ، فقد ارتفع الخارقة والبساط يسحب في الجزء مع مقدر 105 عمليات استغلال على السلسلة أدت إلى سرقة ما يقرب من 4.2 مليار دولار من بروتوكولات مختلفة.
ومن المثير للاهتمام ، أن البحث وجد أن أكبر الاختراقات ، في المتوسط ، تأتي عبر جسور عبر السلاسل ومحافظ للتبادل المركزي (CEX) ، في حين أن مجمعات العائد وبروتوكولات الإقراض يتم إساءة استخدامها بشكل متكرر.
"تميل أكبر عمليات الاستغلال إلى أن تكون عبر سلاسل متعددة أو على جسور النظام البيئي الرئيسية."
مكتب التحقيقات الفدرالي يرفع تحذير DeFi الجديد للمستثمرين والمنصات
أكبر ثلاثة الصدمة مآثر حتى الآن ، شبكة رونين (624 مليون دولار)و Poly Network (611 مليون دولار) و Wormhole (326 مليون دولار) ، كلها جسور عبر سلسلة تهيمن على قائمة أكبر مآثر. وأشار التقرير إلى أن الجسور عادة ما تخسر أكثر من 188 مليون دولار في كل عملية اختراق.
في الآونة الأخيرة ، حذر مكتب التحقيقات الفيدرالي الأمريكي (FBI) المستثمرين والمنصات من هذه المخاطر في DeFi في خدمة عامة إعلان.
وأشارت الوكالة إلى أن "مجرمي الإنترنت يستغلون بشكل متزايد نقاط الضعف في العقود الذكية التي تحكم منصات DeFi لسرقة العملة المشفرة ، مما يتسبب في خسارة المستثمرين للمال". "يسعى مجرمو الإنترنت إلى الاستفادة من اهتمام المستثمرين المتزايد بالعملات المشفرة ، بالإضافة إلى تعقيد الوظائف عبر السلاسل وطبيعة المصدر المفتوح لمنصات DeFi."
وعلى العكس من ذلك ، فإن مجمعات العائد وبروتوكولات الإقراض هي الأنظمة الأكثر استهدافًا من خلال الهجمات ، ومع ذلك ، فإنها تؤدي في كثير من الأحيان إلى خسائر مالية أقل لكل هجوم وفقًا لـ Token Terminal. بشكل عام ، تم إساءة استخدام مجمعات العائدات وبروتوكولات الإقراض بشكل متكرر ، بينما تعاني الجسور وتجارب العملاء عادةً من أكبر الخسائر لكل برمجية إكسبلويت. تمثل الجسور عبر السلسلة ومحافظ CEX الساخنة 2.2 مليار دولار من الأصول المسروقة ، أو أكثر من 52 ٪ من إجمالي المبلغ المخترق.
يعد حفظ المفاتيح الخاصة بأمان أبسط خطة إنقاذ
تم تصنيف الأسباب الأكثر شيوعًا لعمليات الاستغلال هذه تقريبًا إلى ثغرات عقد ذكية ومفاتيح خاصة مخترقة وتزييف في الواجهة الأمامية للبروتوكول. وتجدر الإشارة إلى أن الثغرات الموجودة في العقود الذكية ، المرتبطة كثيرًا بالقروض السريعة والتلاعب بأوراكل ، يُقال إنها تمثل 73٪ من جميع عمليات الاختراق منذ سبتمبر 2020. ولكن ، التحقق الرسمي الآلي و DeFi أمن عمليات التدقيق هما الأسلوبان الأساسيان لإدارة مخاطر العقود الذكية هذه.
وجد التقرير أيضًا أن أكبر عمليات الاختراق ، بمتوسط 91 مليون دولار لكل منها ، ناتجة عن المفاتيح الخاصة المخترقة ، والتي يتم الحصول عليها غالبًا باستخدام محاولات التصيد بالرمح. ومن المفارقات أن ناقل الهجوم هذا هو أيضًا الأكثر قابلية للتجنب من خلال تأمين المفاتيح الخاصة بشكل أفضل واستخدام منصات مختلفة للتخزين.
أخيرًا ، يعد انتحال الواجهة الأمامية طريقة هجوم تتعارض مع مستخدمين محددين بدلاً من الأموال التي يتحكم فيها البروتوكول ، كما في حالة استغلال BadgerDAO. عادةً ما يستلزم ذلك استخدام تقنيات مثل تسمم ذاكرة التخزين المؤقت لنظام أسماء النطاقات لاستبدال عنوان IP لموقع الويب الخاص بالبروتوكول الحقيقي بعنوان زائف مشابه.
وفي الوقت نفسه ، يقال إن المستغلين يبحثون أيضًا عن خيارات جديدة الآن بعد أن توقفت العقوبات عن الوسائل القياسية لصرف المكاسب غير المشروعة ، من خلال Tornado Cash. كن [في] قد ذكرت التشفير أنه بعد العقوبات المفروضة على Tornado Cash ، يقوم عدد صغير ولكن متزايد من مشاريع التمويل اللامركزي (DeFi) ، بما في ذلك dYdX و Liquidity و GMX و Kwenta وغيرها ، بتطوير واجهات أمامية لامركزية (DeFe) بدلاً من ذلك.
مع ذلك ، يوصي مكتب التحقيقات الفيدرالي أيضًا بأن تنشئ منصات DeFi تحليلات في الوقت الفعلي ، ومراقبة ، واختبارًا صارمًا بصرف النظر عن تطوير استجابة للحوادث لتجنب مثل هذه المآثر.
ومع ذلك ، شبكة Aztec ، و إثيريممجموعة التحديثات المستندة إلى التي تقدم معاملات خاصة باستخدام تقنية المعرفة الصفرية ، هي أحد البدائل الممكنة لـ Tornado Cash وفقًا لتقرير البحث.
ليكون [في] أحدث Crypto إلى البيتكوين (BTC) تحليل ، انقر هنا.
إخلاء المسئولية
يتم نشر جميع المعلومات الواردة على موقعنا بحسن نية ولأغراض المعلومات العامة فقط. أي إجراء يتخذه القارئ بشأن المعلومات الموجودة على موقعنا هو على مسؤوليته الخاصة.
المصدر: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/