טק

התקפות DeFi נמצאות במגמת עלייה - האם התעשייה תצליח לבלום את הגאות?

05/14/2022
חדשות Ethereum של ביטקוין

תעשיית הפיננסים המבוזרים (DeFi) הפסידה יותר ממיליארד דולר להאקרים בחודשיים האחרונים, ונראה שהמצב יוצא מכלל שליטה.

על פי הסטטיסטיקה העדכנית ביותר, כ-1.6 מיליארד דולר מטבעות קריפטוגרפיים נגנבו מפלטפורמות DeFi ברבעון הראשון של 2022. יתר על כן, למעלה מ-90% מכל הקריפטו שנגנב הוא מפרוטוקולי DeFi שנפרצו.

נתונים אלה מדגישים מצב חמור שסביר שיימשך בטווח הארוך אם יתעלמו ממנו.

מדוע האקרים מעדיפים פלטפורמות DeFi

בשנים האחרונות האקרים הגבירו את הפעילות המכוונת למערכות DeFi. אחת הסיבות העיקריות לכך שהקבוצות הללו נמשכות למגזר היא כמות הכספים העצומה שפלטפורמות פיננסיות מבוזרות מחזיקות בהן. פלטפורמות DeFi המובילות מעבדות מיליארדי דולרים בעסקאות מדי חודש. ככזה, התגמול גבוה עבור האקרים שמסוגלים לבצע התקפות מוצלחות.

העובדה שרוב קודי הפרוטוקול של DeFi הם קוד פתוח הופכת אותם אפילו יותר מועדים לאיומי אבטחת סייבר.

הסיבה לכך היא שתוכניות קוד פתוח זמינות לבדיקה של הציבור וניתן לביקורת על ידי כל אחד עם חיבור לאינטרנט. ככאלה, הם נסרקים בקלות לאיתור מעללים. תכונה אינהרנטית זו מאפשרת להאקרים לנתח יישומי DeFi עבור בעיות שלמות ולתכנן שוד מראש.

כמה מפתחי DeFi גם תרמו למצב בכך שהם התעלמו בכוונה מדוחות ביקורת אבטחת פלטפורמה שפורסמו על ידי חברות אבטחת סייבר מוסמכות. כמה צוותי פיתוח משיקים גם פרויקטים של DeFi מבלי להכפיף אותם לניתוח אבטחה מקיף. זה מגדיל את ההסתברות לליקויים בקידוד.

שקע נוסף בשריון בכל הנוגע לאבטחת DeFi הוא הקישוריות של מערכות אקולוגיות. פלטפורמות DeFi מחוברות בדרך כלל באמצעות גשרים צולבים, אשר מחזקים את הנוחות והרבגוניות.

בעוד שגשרים צולבים מספקים חווית משתמש משופרת, קטעי קוד חיוניים אלה מחברים רשתות ענק של ספרי חשבונות מבוזרים עם רמות אבטחה שונות. תצורת מרובה זו מאפשרת להאקרים של DeFi לרתום את היכולות של פלטפורמות מרובות כדי להגביר התקפות על פלטפורמות מסוימות. זה גם מאפשר להם להעביר במהירות כספים שהושגו בצורה לא נכונה על פני מספר רשתות מבוזרות בצורה חלקה.

תמונה

מלבד הסיכונים שהוזכרו לעיל, פלטפורמות DeFi נוטות גם לחבלה פנימית.

הפרות אבטחה

האקרים משתמשים במגוון רחב של טכניקות כדי לחדור למערכות היקפיות של DeFi פגיעות. 

פרצות אבטחה הן תופעה שכיחה במגזר DeFi. פי ל-Chainalysis 2022 דיווח, כ-35% מכלל הקריפטו שנגנב בשנתיים האחרונות מיוחס לפרצות אבטחה.

רבים מהם מתרחשים עקב קוד פגום. האקרים בדרך כלל מקדישים משאבים משמעותיים למציאת שגיאות קידוד מערכתיות המאפשרות להם לבצע סוגים אלו של התקפות ובדרך כלל משתמשים בכלים מתקדמים למעקב אחר באגים כדי לסייע להם בכך.

טקטיקה נפוצה נוספת המשמשת גורמי איומים כדי לחפש פלטפורמות פגיעות היא מעקב אחר רשתות עם בעיות אבטחה לא מתוקנות שכבר נחשפו אך טרם יושמו.

האקרים מאחורי מתקפת הפריצה האחרונה של Wormhole DeFi שהובילה ל- הפסד של כ -325 מיליון דולר באסימונים דיגיטליים מדווחים שהשתמשו באסטרטגיה זו. ניתוח של התחייבויות קוד גילה כי תיקון פגיעות שהועלה למאגר GitHub של הפלטפורמה נוצל לפני פריסת התיקון.

הטעות אפשרה לפולשים לזייף חתימת מערכת שאפשרה להטביע 120,000 מטבעות אתר עטוף (wETH) בשווי של 325 מיליון דולר. לאחר מכן מכרו ההאקרים את ה-wETH תמורת כ-250 מיליון דולר ב-Ether (ETH). מטבעות האת'ריום שהוחלפו נגזרו מעתודות ההתיישבות של הפלטפורמה, ובכך הובילו להפסדים.

שירות חור התולעת משמש כגשר בין רשתות. זה מאפשר למשתמשים להוציא מטבעות קריפטוגרפיים שהופקדו באסימונים עטופים על פני רשתות. זה מושג על ידי טביעת אסימונים עטופים בחור תולעת, אשר מקלים על הצורך להחליף או להמיר את המטבעות שהופקדו ישירות.

לאחרונה: כיצד ארכיוני בלוקצ'יין יכולים לשנות את האופן שבו אנו מתעדים היסטוריה בזמן מלחמה

התקפות הלוואות פלאש

הלוואות פלאש הן הלוואות DeFi לא מובטחות שאינן דורשות בדיקות אשראי. הם מאפשרים למשקיעים ולסוחרים ללוות כספים באופן מיידי.

בגלל הנוחות שלהם, הלוואות פלאש משמשות בדרך כלל כדי לנצל הזדמנויות ארביטראז' במערכות אקולוגיות מחוברות של DeFi.

בהתקפות הלוואות פלאש, פרוטוקולי ההלוואות ממוקדים ונפגעים תוך שימוש בטכניקות של מניפולציה של מחירים היוצרות פערי מחירים מלאכותיים. זה מאפשר לשחקנים גרועים לקנות נכסים בתעריפים מוזלים מאוד. רוב התקפות הלוואות הבזק לוקחות דקות ולפעמים שניות לביצוע וכוללות מספר פרוטוקולי DeFi מקושרים זה לזה.

אחת הדרכים שבהן תוקפים מתמרנים את מחירי הנכסים היא על ידי התמקדות באורקלות מחירים ניתנות לתקיפה. מחירי DeFi, למשל, שואבים את התעריפים שלהם ממקורות חיצוניים כמו בורסות מוכרות ואתרי סחר. האקרים יכולים, למשל, לתמרן את אתרי המקור כדי להערים על אורקל כדי להוריד לרגע את הערך של שיעורי נכסים ממוקדים, כך שהם נסחרים במחירים נמוכים יותר בהשוואה לשוק הרחב.

לאחר מכן, התוקפים קונים את הנכסים בשערים מופחתים ומוכרים אותם במהירות בשער החליפין הצף שלהם. שימוש באסימונים ממונפים שהושגו באמצעות הלוואות פלאש מאפשר להם להגדיל את הרווחים.

מלבד מניפולציה במחירים, חלק מהתוקפים הצליחו לבצע התקפות הלוואות בזק על ידי חטיפת תהליכי הצבעה של DeFi. לאחרונה, Beanstalk DeFi ספגה הפסד של 182 מיליון דולר לאחר שתוקף ניצל ליקוי במערכת הממשל שלו.

צוות הפיתוח של Beanstalk כלל מנגנון ממשל שאיפשר למשתתפים להצביע עבור שינויים בפלטפורמה כפונקציונליות ליבה. הגדרה זו פופולרית בתעשיית ה-DeFi מכיוון שהיא שומרת על דמוקרטיה. זכויות ההצבעה בפלטפורמה נקבעו להיות פרופורציונליות לערך האסימונים המקומיים המוחזקים.

ניתוח של הפרצה העלה כי התוקפים השיגו הלוואת הבזק מפרוטוקול Aave DeFi כדי לקבל כמעט מיליארד דולר בנכסים. זה איפשר להם לקבל רוב של 1% במערכת ניהול ההצבעה ואפשר להם לאשר באופן חד צדדי את העברת הנכסים לכתובתם. העבריינים יצאו עם כ-67 מיליון דולר במטבעות דיגיטליים לאחר החזר הלוואת הבזק וההיטלים הנלווים.

מטבעות קריפטו בשווי של כ-360 מיליון דולר נגנבו מפלטפורמות DeFi בשנת 2021 באמצעות הלוואות פלאש, לפי Chainalysis.

לאן הולך קריפטו גנוב?

כבר זמן רב, האקרים השתמשו בבורסות מרכזיות כדי להלבין כספים גנובים, אך פושעי סייבר מתחילים לנטוש אותם עבור פלטפורמות DeFi. בשנת 2021, פושעי סייבר נשלח כ-17% מכלל רשתות הקריפטו הבלתי חוקיות ל-DeFi, שזה זינוק משמעותי מ-2% ב-2020.

יודעי שוק חושבים שהמעבר לפרוטוקולי DeFi נובע מהטמעה רחבה יותר של תהליכי הכרת הלקוח שלך (KYC) ותהליכי איסור הלבנת הון (AML) מחמירים יותר. הנהלים פוגעים באנונימיות המבוקשים על ידי פושעי סייבר. רוב פלטפורמות ה-DeFi מוותרות על תהליכים חיוניים אלה.

שיתוף פעולה עם הרשויות

חילופי דברים מרכזיים פועלים כעת, יותר מתמיד, עם הרשויות כדי להתמודד עם פשעי סייבר. באפריל, בורסת Binance מילאה תפקיד מרכזי ב- שחזור של 5.8 מיליון דולר במטבעות קריפטוגרפיים גנובים זה היה חלק ממאגר של 625 מיליון דולר שנגנב מ-Axie Infinity. הכסף נשלח בתחילה לטורנדו קאש.

Tornado Cash הוא שירות אנונימיזציה סמלית המטשטש את מקור הכספים על ידי פיצול קישורים בשרשרת המשמשים למעקב אחר כתובות עסקאות.

עם זאת, חלק מהכספים הגנובים עוקבים על ידי חברות ניתוח בלוקצ'יין אל Binance. השלל הוחזק ב-86 כתובות בבורסה.

לאחר התקרית, דובר משרד האוצר של ארצות הברית הדגיש כי בורסות קריפטו המטפלות בכסף מרשימה שחורה של קריפטו נותנות סנקציות בסיכון.

נראה שגם טורנדו קאש משתפת פעולה עם הרשויות כדי לעצור את העברת הכספים הגנובים לרשת שלה. החברה אמרה שהיא תטמיע כלי ניטור שיעזור לזהות ולחסום ארנקים עליהם אמברגו.

נראה שיש התקדמות מסוימת בתחום תפיסת נכסים מזויפים על ידי הרשויות. מוקדם יותר השנה הודיע ​​משרד המשפטים האמריקאי על תפיסת 3.6 מיליארד דולר בקריפטו ועצר שני אנשים שהיו מעורבים בהלבנת הכספים. הכסף היה חלק מ-4.5 מיליארד הדולר שהופקו מבורסת הקריפטו Bitfinex ב-2016.

תפיסת הקריפטו הייתה מהגדולות שתועדו אי פעם.

מנכ"לי DeFi מדברים על המצב הנוכחי

בשיחה בלעדית לקוינטלגרף מוקדם יותר השבוע, אמר אריק צ'ן, מנכ"ל ומייסד שותף של Injective Labs - פלטפורמת חוזים חכמים הדדית המותאמת ליישומי פיננסים מבוזרים - כי יש תקווה שהבעיות יירגעו.

"אנו רואים את הגאות ממשיכה לשקוע, ככל שהוכנסו תקני אבטחה חזקים יותר. עם בדיקות מתאימות ותשתיות אבטחה נוספות שיוקמו, פרויקטי DeFi יוכלו למנוע סיכוני ניצול נפוצים בעתיד", אמר.

לגבי האמצעים שהרשת שלו נוקטת כדי למנוע התקפות פריצה, צ'ן סיפק מתווה:

"Injective מבטיחה מודל אבטחה ממוקד יישומים מוגדר יותר בהשוואה ליישומי DeFi המסורתיים מבוססי Ethereum Virtual Machine. העיצוב של הבלוקצ'יין וההיגיון של מודולי הליבה מגנים על Injective מפני ניצולים נפוצים כמו כניסה מחדש, ערך מרבי שניתן לחילוץ והלוואות פלאש. אפליקציות שנבנו על גבי Injective מסוגלות ליהנות מאמצעי האבטחה המיושמים בבלוקצ'יין ברמת הקונצנזוס".

לאחרונה: עמדות אימוץ גלובליות עולות בקריפטו בצורה מושלמת לשימוש בקמעונאות

ל-Cointelegraph הייתה גם הזדמנות לדבר עם קונסטנטין בויקו-רומנובסקי, מנכ"ל ומייסד Allnodes - פלטפורמת אירוח והימורים לא משמורת - על העלייה במקרי פריצה. לגבי הזרזים העיקריים מאחורי המגמה, הוא אמר:

"אין ספק שייקח קצת זמן להוריד את הסיכון לפריצות של DeFi. עם זאת, לא סביר שזה יקרה בן לילה. יש תחושה מתמשכת של מירוץ ב-DeFi. נראה שכולם ממהרים, כולל מייסדי הפרויקט. השוק מתפתח מהר יותר מהמהירות שבה מתכנתים כותבים קוד. שחקנים טובים שנוקטים בכל אמצעי הזהירות הם במיעוט”.

הוא גם סיפק כמה תובנות לגבי נהלים שיעזרו לנטרל את הבעיה:

"הקוד חייב להשתפר וחוזים חכמים חייבים לעבור ביקורת יסודית, זה בטוח. בנוסף, יש להזכיר למשתמשים כל הזמן התנהגות זהירה באינטרנט. ניתן לתמרץ בצורה אטרקטיבית זיהוי פגמים כלשהם. זה, בתורו, עשוי לקדם התנהגות בריאה יותר על פני פרוטוקול מסוים."

תעשיית ה-DeFi מתקשה לסכל התקפות פריצה. עם זאת, יש תקווה שהגברת הניטור מצד הרשויות ושיתוף פעולה רב יותר בין הבורסה יסייעו בבלימת הנגע.