Борборлоштурулган каржылоо (толугу менен) протоколдор колдонуучуларга борбордон ажыратылган финансылык кызматтарды сунуштайт, алар транзакцияларды жүргүзүүгө жана башка катышуучулар менен келишим түзүүгө мүмкүндүк берет. DeFi протоколдору өз колдонуучулары үчүн коопсуз жана ишенимдүү платформаны камсыз кылууну максат кылганы менен, акыркы бир нече жыл ичинде бир нече эксплуатация олуттуу каражаттарды жоготууга алып келди. Бул макалада акыркы кездеги DeFi эксплуатацияларынын айрымдары талкууланат.
Бул жерде кайтарылган каражаттарды чыгарып салгандан кийин Web8деги эң мыкты 3 крипто DeFi эксплуатациялары:
Ронин чынжырчасы – 600 миллион доллар
2023-жылдын март айы криптовалюта мейкиндиги үчүн окуяларга бай ай болду, Axie Infinity Ronin көпүрөсү 612 миллион доллар менен тизменин башында.
Ронин көпүрөсү болуп саналат Ethereum каптал чынжыр популярдуу Axie Infinity оюнунда колдонулган.
Түндүк Корея менен байланышы бар деп шектелген «Лазарус» киберкылмыш тобу тогуз транзакциянын валидаторлорунун купуя ачкычтарына кирүү мүмкүнчүлүгүнө ээ болуп, аларга эки чоң транзакцияны бекитүүгө жана акча каражаттарын капчык дарегине которууга мүмкүндүк берген. Бактыга жараша, бийликтердин, коопсуздук фирмаларынын жана криптовалюталык биржалардын ортосундагы кызматташтык хакерлер аларды Tornado cash - ачык булактуу крипто-тумблер - жана башка биржаларга киргизгенден кийин, бул каражаттардын бир бөлүгүн издөөгө жардам берди.
Wormhole көпүрө – $323 млн
2022-жылдын февралында крипто хакерлер 326 миллион долларлык крипто менен алып кетүү үчүн курт тешикинин кодун пайдаланып, бактысыз окуя болду.
Курт тешиги - бул Solana менен Ethereum ортосундагы энбелгилүү көпүрө, тилекке каршы, чабуулдун алдын ала алган жок. Ал колтамгаларды текшерүүнү кыйгап өтүп, кол топтоо тизмегин иштеткен эскирген/өлүк кооптуу функция аркылуу мүмкүн болду.
Эксперттер кибер коопсуздук иштеп чыгуучулар бардык параметрлерди текшерип турушу керек болгон "коопсуз коддоо практикасын" колдонушса, чабуулдун алдын алмак деп болжолдойт. Текшерүү жарактуу даректердин аутентификациясын камсыз кылып, чынжырдагы активдерге кирүүнү мыйзамсыз булактардан жокко чыгара алмак.
Beanstalk – 181 миллион доллар
2022-жылдын апрель айындагы тагдырлуу дем алыш күнүндө хакер крипто коомчулугун дүрбөлөңгө салган чабуулду ишке ашырды. Флэш насыяны колдонуу - борбордон ажыратылган каржылоо (DeFi) протоколдорунун өзгөчөлүгү - алар Beanstalk stablecoin протоколунан 182 миллион доллар ETH, BEAN stablecoin жана башка активдерди уурдап кетишти.
Хакерлер Beanstalk DAO компаниясына 24 сааттан кийин аткарылганга чейин ⅔ добуш берүүнү талап кылган өзгөчө кырдаалды аткаруу функциясы аркылуу эки зыяндуу сунуштарды беришкен. Чабуулчу эки сунушту тең өткөрүп, планын ийгиликтүү ишке ашыруу үчүн токендердин 79% көзөмөлгө алуу үчүн флеш кредит технологиясын колдонгон.
Каражаттар флеш кредитти төлөө үчүн протоколдун ичинен жөнөтүлгөн, калганы Украинадагы өзгөчө кырдаалдар фондуна тиешелүү дарекке которулган. Жалпысынан бул эрдик үчүн жооптуу адам тарабынан 76 миллион долларга чейин акча алынган.
Көчмөн – $155 млн
1-жылдын 2022-августунда болгон таң калыштуу Nomad bridge хакердик окуясы көпчүлүктү таң калтырды. blockchain чабуулчулар катары энтузиасттар алсыздыктан пайдаланып, көп чынжырлуу кайчылаш көпүрөдө сакталган 190 миллион долларлык Ethereum негизиндеги активдерди төгүп салышкан.
Хакерлер тез жана ачууланышты, жүздөгөн капчыктар 960 транзакцияга катышып, натыйжада көпүрөнүн Total Value Locked (TVL) тизмесинен 1,175 жеке акча чыгарылды. Баары бир нече сааттын ичинде.
Бул хакерликтин таң калыштуу жагы, бардык колдонуучулар көпүрөнүн каражаттарын бузуш үчүн оригиналдуу хакердин транзакцияга чалуу маалыматтарын көчүрүп, чаптап, түпнуска даректи жеке дарекке алмаштырып, транзакция аягына чыгышы керек болчу.
Хак борбордон ажыратылган каржы (DeFi) коомчулугун дүрбөлөңгө салып, коддогу боштуктарды пайдаланууда хакерлер бир кадам алдыда экенин далилдеди. Көчмөн көпүрөсү коопсуз коддоо практикасынын маанилүүлүгүн көрсөткөн иллюстративдик мисалды келтирет жана эмне үчүн коопсуздук бүгүн блокчейн долбоорлору үчүн туруктуу көйгөй бойдон калууда.
CREAM Finance – 130.8 миллион доллар
2021-жылдын октябрь айында CREAMге кол салуу эң ири флеш кредиттик тоноолордун бири болгонуна карабастан, бул өзүнчө эле окуя эмес. Флеш кредиттик чабуулдар бир транзакциянын ичинде ликвиддүүлүктүн "флеш кредитин" колдонууну, карыз алууну жана бул тез каржылоо боюнча дефолтту камтыйт.
Бааларды эсептөөдөгү каталарды пайдалануу менен хакерлер өз карыздарынан тез эле пайда таба алышат. Мисалы, CREAM учурда, эки башка дарек анын yUSDVault менен иштешип, көп сандагы crYUSD энбелгилерин чыгарган. Алар бул үлүштөрдүн наркын эки эсеге көтөрө турган аялуу жеринен пайдаланышкан. Алар 130 миллион долларлык каражаттарды ийгиликтүү камсыз кылышса да, жеткиликтүү болгон ~ 1 миллиард доллар күрөө бул суммадан алда канча көптү талап кылышы мүмкүн.
Флеш кредиттик чабуулдар барган сайын кеңири жайылууда жана коомчулук келечекте коопсуздуктун мындан аркы бузулушун алдын алуу боюнча суроолорду бериши керек.
BSC токен борбору – 127 миллион доллар
2022-жылдын октябрында, BSC Beacon кросс-көпүрө кодунун олуттуу кемчилигин пайдаланган хакерлер жалпы суммасы 570 миллион долларды түзгөн крипто активдерин жок кылышкан.
BSc Beacon чынжыры, ошондой эле Token Hub катары белгилүү, BNB Маяк чынжырын (BEP2) жана BNB чынжырын (BEP20/BSC) бириктирген чынжырлар аралык көпүрө.
Хакер транзакциялар сыяктуу маалыматтардын аныктыгын тастыктоо үчүн Merkle далили деп аталган криптографиялык далилдерди бурмалаган. Өз кезегинде, алар BSC Beacon кайчылаш көпүрөсүнөн башка чынжырларга каражаттарды которуу үчүн бул жалган Merkle далилдерин колдонушкан.
Тетер чабуулчулардын дарегин бөгөттөп салгандан кийин, тез чара көрүлүп, BNB чынжырынан 7 миллион доллардан ашык акча которулуп, алардын мыйзамсыз акчаларынын көбү конфискацияланган.
Гармония Горизонт – 100 миллион доллар
2022-жылдын июнь айында Harmony Horizon Bridge долбоору хакерлер анын беш валидатордун эки купуя ачкычын уурдап кеткенде бузулуп, алдамчыларга 100 миллион долларлык токендерди которууга мүмкүндүк берген.
Бул коопсуздук көйгөйү көпүрөнүн 2ден 5 текшерүү схемасы менен орнотулганына байланыштуу болгон. Натыйжада, чабуулчу ар кандай зыяндуу транзакцияны текшерүү үчүн эки гана уруксат керек болчу. Кол салгандар изин жашыруу үчүн Tornado Cash аркылуу мыйзамсыз кирешелеринин бир бөлүгүн адалдоо үчүн колдонушкан.
Бул жөндөө башында коопсуз сезилгени менен, ал жаман актерлор үчүн кирешелүү максат жана кармалгандар үчүн блокчейн коопсуздугу боюнча кымбат сабак болду.
Рари – $91 млн
Reentrancy чабуулдары Ethereumдун алгачкы күндөрүнөн бери болуп келген. Алар баштапкы транзакция жактырылганга же четке кагылганга чейин каражаттарды кайра-кайра алуу үчүн келишимдин алсыз жактарын колдонушкан.
2022-жылдын май айында эки борбордон ажыратылган каржы платформасы ушундай жол менен бузулуп, хакерлер 90 миллион долларды уурдап кетишкен. Rari Capital компаниясынан Джек Лонгарзо чабуулчу компанияны пайдаланганын айтып, Rari Capital менен бириккен Fei Protocol хакерге 10 миллион доллар сыйлык сунуштаган.
Blockchain коопсуздук компаниясы BlockSec хакерлер reentrancy алсыздыгын колдонгон деп түшүндүрдү.
Иштеп чыгуучулар Ethereum блокчейнинде жайылтуудан мурун контракттарды туура тестирлөө жана текшерүү аркылуу мындай чабуулдардын алдын ала алышат.
DeFi эксплоиттеринен кантип коргонуу керек
DeFi протоколдору барган сайын популярдуу жана татаал болуп калды, бул аларды хакерлер үчүн жагымдуу бутага айланды. Төмөндө DeFi эксплоиттеринен коргонууга жардам бере турган жети кеңеш берилген:
- Инвестициялоодон мурун кандайдыр бир долбоор боюнча кылдат текшерүү жүргүзүңүз. Платформанын кодун, веб-сайтын, команда мүчөлөрүн жана коомдук каналдарды кызыл желектер үчүн текшериңиз.
- Ишенимдүү булак сиз менен иштешкен келишимдерди текшерип, аудиттин натыйжалары жалпыга ачык болушун камсыз кылыңыз.
- Чоң суммадагы каражаттарды бир DeFi келишиминде сактабаңыз, бул аны чабуулга алсыз кылуу.
- Жаңы эксплуатациялар жөнүндө билүү үчүн акыркы коопсуздук жаңылыктары менен кабардар болуп туруңуз.
- DeFi протоколдору менен өз ара аракеттенген бардык аккаунттар үчүн туура аутентификация жана авторизация процедураларын ишке ашырыңыз.
- Капчыгыңыз коопсуз экенин текшериңиз жана мүмкүн болушунча эки факторлуу аутентификацияны колдонуңуз.
- Ар кандай шектүү аракеттерди же уруксатсыз алууларды аныктоо үчүн блокчейндеги каражаттарыңызды жана транзакцияларыңызды үзгүлтүксүз көзөмөлдөңүз.
Бул кеңештерди аткаруу DeFi эксплуатацияларынан коргоого жардам берет жана борбордон ажыратылган каржы протоколдору менен өз ара аракеттенүүдө каражаттарыңыздын коопсуздугун камсыздай алат. Бирок, бир дагы система жаңылбас экенин эстен чыгарбоо керек, андыктан санариптик активдер менен иштөөдө өзгөчө этияттык менен мамиле кылуу ар дайым эң жакшы практика.
жыйынтыктоо
Жалпысынан алганда, коопсуздук криптовалюталар жана DeFi протоколдору менен иштөөдө эң маанилүү маселелердин бири. Тилекке каршы, өнөр жай өсүп жаткан сайын, зыяндуу иш-аракеттердин тобокелдиктери да өсүүдө. Толук коопсуздукту кепилдөө мүмкүн болбосо да, бул кеңештерге баш ийүү DeFi эксплуатацияларынан коргонууга жана каражаттарыңызды коопсуз сактоого жардам берет.
Блокчейн коопсуздугу боюнча акыркы окуялардан кабардар болуу жана бардык аккаунттар үчүн туура аутентификация процедураларын камсыз кылуу менен, сиз санариптик активдериңиздин коопсуз бойдон калышына жардам бере аласыз.
Булак: https://www.cryptopolitan.com/defi-exploits-in-web3-prevention-tips/