Dans un rapport de recherche récent, Token Terminal constate qu'il existe trois causes profondes de DeFi exploits, et la suppression des vulnérabilités des contrats intelligents est de loin la plus difficile des trois.
Depuis que l'intérêt pour la finance décentralisée est monté en flèche, les hacks et tirages de tapis dans le segment peut comprendre un atténuateur. estimé 105 exploits en chaîne entraînant le vol de près de 4.2 milliards de dollars de divers protocoles.
Fait intéressant, la recherche révèle que les plus gros piratages, en moyenne, proviennent de ponts inter-chaînes et de portefeuilles d'échange central (CEX), tandis que les agrégateurs de rendement et les protocoles de prêt sont le plus souvent abusés.
"Les plus grands exploits ont tendance à se produire sur plusieurs chaînes ou sur les principaux ponts de l'écosystème."
Le FBI lance un nouvel avertissement DeFi pour les investisseurs et les plateformes
Les trois plus grands DeFi exploits à ce jour, Réseau Ronin (624 millions de dollars), Poly Network (611 millions de dollars) et Wormhole (326 millions de dollars) sont tous des ponts inter-chaînes qui dominent la liste des plus grands exploits. Les ponts ont généralement perdu plus de 188 millions de dollars à chaque piratage, note le rapport.
Récemment, le Federal Bureau of Investigation (FBI) américain a mis en garde les investisseurs et les plateformes sur ces risques en DeFi dans un service public annonce.
"Les cybercriminels exploitent de plus en plus les vulnérabilités des contrats intelligents régissant les plateformes DeFi pour voler la crypto-monnaie, faisant perdre de l'argent aux investisseurs", a noté l'agence. "Les cybercriminels cherchent à tirer parti de l'intérêt accru des investisseurs pour les crypto-monnaies, ainsi que de la complexité des fonctionnalités inter-chaînes et de la nature open source des plateformes DeFi."
Inversement, les agrégateurs de rendement et les protocoles de prêt sont les systèmes les plus fréquemment ciblés par les attaques, cependant, ils entraînent souvent des pertes financières moindres par attaque selon Token Terminal. En général, les agrégateurs de rendement et les protocoles de prêt ont été abusés plus fréquemment, tandis que les ponts et les CEX subissent généralement les pertes les plus importantes par exploit. Les ponts inter-chaînes et les portefeuilles chauds CEX représentent 2.2 milliards de dollars d'actifs volés, soit plus de 52 % du montant total compromis.
La conservation des clés privées est le plan de sauvetage le plus simple
Les causes les plus courantes de ces exploits ont été grossièrement classées en failles de contrat intelligentes, clés privées compromises et usurpation d'interface de protocole. Notamment, les failles dans les contrats intelligents, fréquemment associées aux prêts flash et à la manipulation d'oracle, auraient représenté 73 % de tous les piratages depuis septembre 2020. Mais, la vérification formelle automatisée et DeFi sécurité les audits sont les deux principales techniques de gestion de ces risques liés aux contrats intelligents.
Le rapport révèle également que les plus gros piratages, d'une valeur moyenne de 91 millions de dollars chacun, sont causés par des clés privées compromises, qui sont souvent obtenues à l'aide de tentatives de harponnage. Ironiquement, ce vecteur d'attaque est aussi le plus évitable en sécurisant mieux les clés privées et en utilisant différentes plateformes de stockage.
Enfin, l'usurpation frontale est une méthode d'attaque qui s'attaque à des utilisateurs spécifiques plutôt qu'aux fonds contrôlés par le protocole, comme dans le cas de l'exploit BadgerDAO. En règle générale, cela implique l'utilisation de techniques telles que l'empoisonnement du cache DNS pour remplacer l'adresse IP du site Web du protocole réel par un faux sosie.
Pendant ce temps, les exploiteurs seraient également à la recherche de nouvelles options maintenant que le moyen standard d'encaisser les gains mal acquis, via Tornado Cash, a été interrompu par des sanctions. Be[In]Crypto avait signalé qu'à la suite des sanctions contre Tornado Cash, un nombre restreint mais croissant de projets de financement décentralisé (DeFi), notamment dYdX, Liquidity, GMX, Kwenta et d'autres, développent à la place des interfaces décentralisées (DeFe).
Avec cela, le FBI recommande également que les plates-formes DeFi instituent des analyses, une surveillance et des tests rigoureux en temps réel en plus de développer une réponse aux incidents pour éviter de tels exploits.
Cependant, Aztec Network, un Ethereumbasé sur le rollup qui offre des transactions privées utilisant une technologie à connaissance nulle, est un substitut possible à Tornado Cash selon le rapport de recherche.
Pour les dernières nouveautés de Be[In]Crypto Bitcoin (BTC) analyse, cliquez ici .
Clause de non-responsabilité
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d'information générale uniquement. Toute action prise par le lecteur sur les informations présentes sur notre site Web est strictement à ses propres risques.
Source : https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/