在最近的调查报告中,TokenTerminal发现DeFi运用漏洞有三个根本原因,到现在为止,清除智能合约漏洞是三者中最具挑战性的。
由于对分散金融的兴趣猛增,黑客和地毯在这一领域的吸引力仍在飙涨。据估计,105次连锁进攻造成各种协议偷盗近42亿美金。
有趣的是,研究发现,最大的黑客攻击来自跨链桥和中央交易所(CEX)钱夹,而收益聚合器和贷款协议最常被乱用。
“一般跨越多个链条或主要生态体系桥梁最大的使用率。”
FBI向投资者和平台传出新的信息DeFi警示
到现在为止,三个最大的DeFi漏洞检测,RoninNetwork(6.24亿美元),PolyNetwork(6.11亿美元)和Wormhole(3.26亿美金),都是跨链桥梁,在最大的漏洞使用列表中占据主导地位。报告指出,Bridges一般来说,每次黑客攻击的损失超出1.88亿美元。
近期,美国联邦调查局(FBI)提示投资者和平台在公共服务公告中注意DeFi这些风险。
该机构指出:“网络犯罪分子越来越多地运用管理DeFi平台智能合约漏洞盗取数字货币,给投资者造成损失。”“网络犯罪分子尝试运用投资者对数字货币日益增长的兴趣以及跨链的功能复杂性和复杂性DeFi开源平台的特征。”
相反,收益聚合器和贷款协议是最常受到攻击的目标系统。然而,根据令牌终端,它们通常会在每次进攻中导致较小的财务损失。一般来说,收益聚合器和贷款协议的应用更频繁,而网桥和CEX一般遭受每次使用的最大损失。跨链桥和CEX热钱包占被盗资产的22亿美金,占被盗资产的52%以上。
保管好私钥是最简单的援救方案
利用这些漏洞最常见的原因大致可分为智能合约漏洞、私钥泄露和协议前端欺骗。值得注意的是,据报道,自2020年9月至今,与闪电贷款和预测机操纵有关的智能合约漏洞占全部黑客的73%。然而,自动形式验证DeFi安全审计是管理这些智能合约风险的两大技术。
报告还发现,最大的黑客攻击,均值每次9100万美金,是由泄露的私钥引起的,一般是由鱼叉钓鱼攻击获得的。具有讽刺意味的是,这类进攻向量也是最可避免的,通过更好地保护私钥和使用不同的储存平台。
最后,前端欺诈是一种进攻特定客户而非协议控制的资金的形式,如同进攻特定客户一样BadgerDAO运用漏洞的情况是一样的。一般来说,这需要使用,比如DNS缓存中毒等技术将是真正的协议网站IP用虚假的类似地址更换地址。
与此同时,据报道,剥削者仍在寻找新的挑选,由于TornadoCash因制裁而停止了兑现不义之财的标准方法。Be[In]Crypto有报道说,是的TornadoCash处罚以后,包含dYdX,Liquidity,GMX,Kwenta其中一小部分是分散的金融(DeFi)项目正在开发分散的前端项目(DeFe)。
因此,FBI还建议DeFi除了制订事件响应以防止此类进攻外,平台还应进行实时分析、监控和严格检验。
然而,根据调查报告,AztecNetwork它是基于以太坊的归纳,运用零知识技术提供个人交易TornadoCash一种可能的代替品。
