Dalam laporan penelitian terbaru, Terminal Token menemukan bahwa ada tiga akar penyebab: Defi mengeksploitasi, dan menghapus kerentanan kontrak pintar sejauh ini adalah yang paling menantang dari ketiganya.
Karena minat pada keuangan terdesentralisasi telah meroket, demikian juga retasan dan permadani menarik di segmen itu dengan diperkirakan 105 eksploitasi on-chain yang mengakibatkan pencurian hampir $4.2 miliar dari berbagai protokol.
Menariknya, penelitian menemukan bahwa peretasan terbesar, rata-rata, datang melalui jembatan lintas rantai dan dompet pertukaran pusat (CEX), sedangkan agregator hasil dan protokol pinjaman paling sering disalahgunakan.
“Eksploitasi terbesar cenderung melintasi banyak rantai atau di jembatan ekosistem utama.”
FBI meningkatkan peringatan DeFi baru untuk investor dan platform
Tiga terbesar Defi eksploitasi hingga saat ini, Jaringan Ronin ($ 624 juta), Poly Network ($611 juta), dan Wormhole ($326 juta), semuanya merupakan jembatan lintas rantai yang mendominasi daftar eksploitasi terbesar. Bridges biasanya kehilangan lebih dari $ 188 juta dalam setiap peretasan, catat laporan itu.
Baru-baru ini, Biro Investigasi Federal AS (FBI) memperingatkan investor dan platform tentang risiko ini di DeFi dalam layanan publik pengumuman.
“Penjahat dunia maya semakin mengeksploitasi kerentanan dalam kontrak pintar yang mengatur platform DeFi untuk mencuri cryptocurrency, menyebabkan investor kehilangan uang,” kata agensi tersebut. “Penjahat dunia maya berusaha mengambil keuntungan dari meningkatnya minat investor terhadap cryptocurrency, serta kompleksitas fungsi lintas-rantai dan sifat open source dari platform DeFi.”
Sebaliknya, agregator hasil dan protokol peminjaman adalah sistem yang paling sering menjadi sasaran serangan, namun, mereka sering mengakibatkan kerugian finansial yang lebih kecil per serangan sesuai Terminal Token. Secara umum, agregator hasil dan protokol peminjaman lebih sering disalahgunakan, sementara jembatan dan CEX biasanya mengalami kerugian terbesar per eksploitasi. Jembatan lintas rantai dan dompet panas CEX menyumbang $2.2 miliar dalam aset curian, atau lebih dari 52% dari jumlah total yang dikompromikan.
Penyimpanan kunci pribadi yang aman adalah rencana penyelamatan paling sederhana
Penyebab paling umum dari eksploitasi ini secara kasar dikategorikan ke dalam celah kontrak pintar, kunci pribadi yang dikompromikan, dan spoofing frontend protokol. Khususnya, celah dalam kontrak pintar, yang sering dikaitkan dengan pinjaman kilat dan manipulasi oracle, dilaporkan menyumbang 73% dari semua peretasan sejak September 2020. Namun, verifikasi formal otomatis dan DeFi keamanan audit adalah dua teknik utama untuk mengelola risiko kontrak pintar ini.
Laporan tersebut juga menemukan bahwa peretasan terbesar, rata-rata masing-masing $91 juta, disebabkan oleh kunci pribadi yang disusupi, yang sering diperoleh dengan menggunakan upaya spear-phishing. Ironisnya, vektor serangan ini juga yang paling dapat dihindari dengan mengamankan kunci pribadi dengan lebih baik dan menggunakan platform yang berbeda untuk penyimpanan.
Terakhir, spoofing frontend adalah metode serangan yang melawan pengguna tertentu daripada dana yang dikontrol protokol, seperti dalam kasus eksploitasi BadgerDAO. Biasanya, ini memerlukan penggunaan teknik seperti keracunan cache DNS untuk mengganti alamat IP situs web protokol yang sebenarnya dengan yang mirip palsu.
Sementara itu, para pengeksploitasi juga dilaporkan mencari opsi baru sekarang karena cara standar untuk menguangkan keuntungan yang tidak sah, melalui Tornado Cash, telah dihentikan melalui sanksi. Be[In]Crypto telah melaporkan bahwa setelah hukuman terhadap Tornado Cash, sejumlah kecil proyek keuangan terdesentralisasi (DeFi), termasuk dYdX, Likuiditas, GMX, Kwenta, dan lainnya, sedang mengembangkan frontend terdesentralisasi (DeFe).
Dengan itu, FBI juga merekomendasikan agar platform DeFi melembagakan analitik waktu nyata, pemantauan, dan pengujian yang ketat selain mengembangkan respons insiden untuk menghindari eksploitasi semacam itu.
Namun, Jaringan Aztec, dan Ethereumrollup berbasis yang menawarkan transaksi pribadi menggunakan teknologi tanpa pengetahuan, adalah salah satu kemungkinan pengganti Tornado Cash sesuai dengan laporan penelitian.
Untuk Be[In]Crypto terbaru Bitcoin (BTC) analisis, klik disini.
Penolakan tanggung jawab
Semua informasi yang terkandung di situs web kami diterbitkan dengan itikad baik dan hanya untuk tujuan informasi umum. Tindakan apa pun yang dilakukan pembaca atas informasi yang ditemukan di situs web kami sepenuhnya merupakan risiko mereka sendiri.
Sumber: https://beincrypto.com/research-finds-smart-contract-exploits-hardest-to-eliminate-as-fbi-raises-warning/