因 FBI 发出警告,研究发现智能合约漏洞最难消除
发布时间:2022/09/02 区块链新闻 浏览:178
据悉,在最近的一份研究报告中,TokenTerminal发现DeFi漏洞利用的三个根本原因,而消除智能合约漏洞是迄今为止三个中最具挑战性的。
由于对去中心化金融的兴趣猛增,黑客和地毯在该领域的吸引力也在飙升,估计有105次链上攻击导致各种协议盗窃近42亿美元。
有趣的是,研究发现,平均而言,最大的黑客攻击来自跨链桥和中央交易所(CEX)钱包,而收益聚合器和借贷协议最常被滥用。
“最大的利用往往跨越多个链或主要的生态系统桥梁。”
FBI向投资者和平台发出新的DeFi警告
迄今为止,三个最大的DeFi漏洞利用,RoninNetwork(6.24亿美元)、PolyNetwork(6.11亿美元)和Wormhole(3.26亿美元),都是在最大漏洞利用列表中占据主导地位的跨链桥梁。报告指出,Bridges通常在每次黑客攻击中损失超过1.88亿美元。
近日,美国联邦调查局(FBI)在公共服务公告中提醒投资者和平台注意DeFi中的这些风险。
该机构指出:“网络犯罪分子越来越多地利用管理DeFi平台的智能合约中的漏洞来窃取加密货币,导致投资者蒙受损失。”“网络犯罪分子试图利用投资者对加密货币日益增长的兴趣,以及跨链功能的复杂性和DeFi平台的开源性质。”
相反,收益聚合器和借贷协议是最常受到攻击的目标系统,但是,根据令牌终端,它们通常会导致每次攻击的财务损失较小。一般来说,收益聚合器和借贷协议被更频繁地滥用,而网桥和CEX通常遭受每次利用的最大损失。跨链桥和CEX热钱包占被盗资产22亿美元,占被盗资产总额的52%以上。
保管好私钥是最简单的救援方案
这些漏洞利用的最常见原因大致分为智能合约漏洞、泄露的私钥和协议前端欺骗。值得注意的是,据报道,自2020年9月以来,经常与闪电贷款和预言机操纵相关的智能合约漏洞占所有黑客攻击的73%。但是,自动形式验证和DeFi安全审计是管理这些智能合约风险的两种主要技术。
该报告还发现,最大的黑客攻击,平均每次9100万美元,是由泄露的私钥引起的,这些私钥通常是通过鱼叉式网络钓鱼尝试获得的。具有讽刺意味的是,通过更好地保护私钥和使用不同的存储平台,这种攻击向量也是最可以避免的。
最后,前端欺骗是一种针对特定用户而不是协议控制的资金的攻击方法,就像BadgerDAO漏洞利用的情况一样。通常,这需要使用诸如DNS缓存中毒之类的技术来将真实协议网站的IP地址替换为虚假的相似地址。
与此同时,据报道,剥削者也在寻找新的选择,因为通过TornadoCash兑现不义之财的标准手段已因制裁而停止。Be[In]Crypto曾报道称,在对TornadoCash进行处罚之后,包括dYdX、Liquidity、GMX、Kwenta等在内的一小部分去中心化金融(DeFi)项目正在开发去中心化前端(DeFe)。
因此,FBI还建议DeFi平台除了制定事件响应来避免此类攻击外,还应进行实时分析、监控和严格测试。
然而,根据研究报告,AztecNetwork是一个基于以太坊的汇总,使用零知识技术提供私人交易,是TornadoCash的一种可能替代品。