Research Finds Smart Contract Exploits Hardest to Eliminate as FBI Raises Warning

La investigación encuentra que las vulnerabilidades de Smart Contract son más difíciles de eliminar a medida que el FBI da la alarma

Publicado por
Comparte en redes sociales



En un informe de investigación reciente, Token Terminal señala que hay tres causas principales de los exploits de DeFi, y eliminar las vulnerabilidades de los contratos inteligentes es, con mucho, el más desafiante de los tres.

A medida que el interés en las finanzas descentralizadas se ha disparado, el hack and rug tira en el segmento con un valorado 105 exploits en cadena que resultaron en casi $ 4.2 mil millones robados de varios protocolos.

Curiosamente, la investigación encuentra que los mayores ataques, en promedio, provienen de los puentes de cadena cruzada y las billeteras de intercambio central (CEX), mientras que los agregadores de rendimiento y los protocolos de préstamo se usan indebidamente con mayor frecuencia.

«Las mayores hazañas tienden a estar en múltiples cadenas o puentes de ecosistemas importantes».

FBI lanza nueva alerta DeFi para inversores y plataformas

Los tres mayores exploits de DeFi hasta la fecha, Ronin Network ($ 624 millones), Poly Network ($ 611 millones) y Wormhole ($ 326 millones), son puentes cruzados que dominan la lista de los mayores exploits. Los puentes generalmente perdieron más de $ 188 millones en cada ataque, señala el informe.

Recientemente, la Oficina Federal de Investigaciones (FBI) de EE. UU. advirtió a inversores y plataformas sobre estos riesgos en DeFi en un servicio público anuncio.

«Los ciberdelincuentes explotan cada vez más las vulnerabilidades de los contratos inteligentes que rigen las plataformas DeFi para robar criptomonedas, lo que hace que los inversores pierdan dinero», señaló la agencia. «Los ciberdelincuentes buscan aprovechar el creciente interés de los inversores en las criptomonedas, así como la complejidad de la funcionalidad entre cadenas y la naturaleza de código abierto de las plataformas DeFi».

Leer también  Ethereum (ETH) lucha contra los problemas de impulso, Shiba Inu (SHIB) se prepara para la bifurcación dura del 2 de mayo, mientras que Furrever Token (FURR) ve un aumento en el entusiasmo por la preventa

Por el contrario, los agregadores de rendimiento y los protocolos de préstamo son los sistemas más frecuentemente atacados, sin embargo, a menudo resultan en pérdidas financieras menores por ataque, como desde Token Terminal. En general, los agregadores de rendimiento y los protocolos de préstamos han sido objeto de abusos con mayor frecuencia, mientras que los puentes y los CEX suelen sufrir las mayores pérdidas por explotación. Los puentes de cadena cruzada y las billeteras calientes CEX representan $ 2.2 mil millones en activos robados, que es más del 52% del monto total comprometido.

La custodia de claves privadas es el plan de rescate más sencillo

Las causas más comunes de estos exploits se han clasificado aproximadamente en lagunas de contratos inteligentes, claves privadas comprometidas y suplantación de identidad de protocolo. En particular, las lagunas en los contratos inteligentes, a menudo asociadas con préstamos rápidos y manipulación de Oracle, habrían representado el 73 % de todos los ataques en septiembre de 2020. Pero la verificación automatizada formal y las auditorías de seguridad de DeFi son las dos técnicas principales para gestionar estos riesgos de los contratos inteligentes. .

El informe también señala que los hacks más grandes, con un promedio de $ 91 millones cada uno, son causados ​​por claves privadas comprometidas, que a menudo se obtienen a través de intentos de phishing. Irónicamente, este vector de ataque también es el más evitable al proteger mejor las claves privadas y usar diferentes plataformas de almacenamiento.

Finalmente, la falsificación de frontend es un método de ataque que se dirige a usuarios específicos en lugar de fondos controlados por protocolo, como es el caso del exploit BadgerDAO. Por lo general, esto implica el uso de técnicas como el envenenamiento de caché de DNS para reemplazar la dirección IP del sitio web del protocolo real con un aspecto falso.

Leer también  1.690 millones de Shiba Inu (SHIB) quemados en abril: impacto en los precios

Mientras tanto, según los informes, los proxenetas también están buscando nuevas opciones ahora que el medio estándar para sacar provecho de las ganancias ilícitas, a través de Tornado Cash, se ha suspendido mediante sanciones. Ser – estar[In]Crypto informó que luego de las sanciones contra Tornado Cash, un número pequeño pero creciente de proyectos de finanzas descentralizadas (DeFi), incluidos dYdX, Liquidity, GMX, Kwenta y otros, están desarrollando interfaces descentralizadas (DeFe).

Con eso, el FBI también recomienda que las plataformas DeFi instituyan análisis, monitoreo y pruebas rigurosos en tiempo real, así como que desarrollen una respuesta a incidentes para evitar tales vulnerabilidades.

Sin embargo, Aztec Network, un paquete acumulativo basado en Ethereum que ofrece transacciones privadas utilizando tecnología de conocimiento cero, es un posible reemplazo de Tornado Cash según el informe de investigación.

Ser – estar[In]El último análisis de Bitcoin (BTC) de Crypto, haga clic aquí.

Descargo de responsabilidad

Toda la información contenida en nuestro sitio web se publica de buena fe y solo con fines de información general. Cualquier acción realizada por el lector sobre la información que se encuentra en nuestro sitio web es estrictamente bajo su propio riesgo.



Source link

Si quiere puede hacernos una donación por el trabajo que hacemos, lo apreciaremos mucho.

Direcciones de Billetera:

- BTC: 14xsuQRtT3Abek4zgDWZxJXs9VRdwxyPUS 

- USDT: TQmV9FyrcpeaZMro3M1yeEHnNjv7xKZDNe 

- BNB: 0x2fdb9034507b6d505d351a6f59d877040d0edb0f

- DOGE: D5SZesmFQGYVkE5trYYLF8hNPBgXgYcmrx 

También puede seguirnos en nuestras Redes sociales para mantenerse al tanto de los últimos post de la web:

-Twitter

- Telegram

Disclaimer: En Cryptoshitcompra.com no nos hacemos responsables de ninguna inversión de ningún visitante, nosotros simplemente damos información sobre Tokens, juegos NFT y criptomonedas, no recomendamos inversiones

Leer también  zkSync (ZK) se activa; Bonk ve rojo; ¿Por qué las ballenas acuden en masa a esta nueva memecoin de GameFi?

Dejar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *