es
Volver a la lista

¿Cómo se piratean los protocolos DeFi?

Seguridad

noticiasbitcoinhoy.com 14 Agosto 2021 12:35, UTC
  
Tiempo de lectura: ~6 m

El sector financiero descentralizado está creciendo a un ritmo vertiginoso. Hace tres abriles, el valencia total bloqueado en DeFi era de tan pronto como 800 millones de dólares. Para febrero de 2021, la emblema había aumentado a $ 40 mil millones en abril de 2021, alcanzó un hito de $ 80 mil millones y ahora se sitúa por encima de los 140.000 millones de dólares. Un crecimiento tan rápido en un nuevo mercado no podía dejar de atraer la atención de todo tipo de piratas informáticos y estafadores.

Según un referencia de la compañía de investigación de criptografía, desde 2019, el sector DeFi ha perdido más o menos de $ 284,9 millones en hacks y otros ataques de explotación. Los hacks de los ecosistemas blockchain son un medio best de ganancia desde el punto de audiencia de los hackers. Correcto a que estos sistemas son anónimos, tienen patrimonio que perder y cualquier pirateo puede probarse y ajustarse sin el conocimiento de la víctima. En los primeros cuatro meses de 2021, las pérdidas ascendieron a 240 millones de dólares. Y estos son solo los casos conocidos públicamente. Estimamos pérdidas reales en miles de millones de dólares.

¿Cómo se roba el patrimonio de los protocolos DeFi? Hemos analizado varias docenas de ataques de piratas informáticos e identificado los problemas más comunes que conducen a los ataques de piratas informáticos.

Uso indebido de protocolos de terceros y errores de razonamiento empresarial

Cualquier ataque comienza principalmente con el prospección de la víctima. La tecnología Blockchain ofrece muchas oportunidades para el ajuste inevitable y la simulación de escenarios de piratería. Para que un ataque sea rápido e invisible, el atacante debe tener las habilidades de programación necesarias y el conocimiento de cómo funcionan los contratos inteligentes. El conjunto de herramientas peculiar de un pirata informático les permite descargar su propia copia completa de una cautiverio de bloques desde la lectura principal de la pink y luego ajustar completamente el proceso de un ataque como si la transacción se estuviera llevando a parte en una crimson authentic.

A continuación, el atacante debe estudiar el maniquí de negocio del plan y los servicios externos utilizados. Los errores en los modelos matemáticos de la razonamiento empresarial y los servicios de terceros son dos de los problemas más comúnmente explotados por los piratas informáticos.

Los desarrolladores de contratos inteligentes a menudo requieren más datos relevantes en el momento de una transacción de los que pueden poseer en un momento transmitido. Por lo tanto, se ven obligados a utilizar servicios externos, por ejemplo, oráculos. Estos servicios no están diseñados para proceder en un entorno sin confianza, por lo que su uso implica riesgos adicionales. Según las estadísticas de un año calendario (desde el verano de 2020), el tipo de peligro transmitido representó el porcentaje más pequeño de pérdidas: solo 10 hacks, lo que resultó en pérdidas por un overall de aproximadamente $ 50 millones.

Errores de codificación

Los contratos inteligentes son un concepto relativamente nuevo en el mundo de las tecnologías de la información. A pesar de su simplicidad, los lenguajes de programación para contratos inteligentes requieren un modelo de avance completamente diferente. Los desarrolladores a menudo simplemente no tienen las habilidades de codificación necesarias y cometen errores graves que conducen a inmensas pérdidas para los usuarios.

Las auditorías de seguridad eliminan solo una parte de este tipo de peligro, ya que la mayoría de las empresas auditoras del mercado no tienen ninguna responsabilidad por la calidad del trabajo que realizan y solo están interesadas en el aspecto financiero. Más de 100 proyectos fueron pirateados adecuado a errores de codificación, lo que provocó un bombeo total de pérdidas de más o menos de $ 500 millones. Un claro ejemplo es el hackeo de dForce que tuvo circunscripción el 19 de abril de 2020. Los piratas informáticos utilizaron una vulnerabilidad en el standard de token ERC-777 contiguo con un ataque de reentrada y se salieron con la suya con 25 millones de dólares.

Préstamos flash, manipulación de precios y ataques mineros

La información proporcionada al pacto inteligente es relevante solo en el momento de la ejecución de una transacción. Por defecto, el pacto no es inmune a una posible manipulación externa de la información contenida en él. Esto hace posible todo un espectro de ataques.

Los préstamos flash son préstamos sin aval, pero conllevan la obligación de devolver la criptomoneda prestada internamente de la misma transacción. Si el prestatario no devuelve los fondos, la transacción se cancela (revierte). Dichos préstamos permiten al prestatario aceptar grandes cantidades de criptomonedas y utilizarlas para sus propios fines. Por lo standard, los ataques de préstamos urgentes implican manipulación de precios. Un atacante puede traicionar primero una gran cantidad de tokens prestados internamente de una transacción, reduciendo así su precio, y luego realizar una serie de acciones a un valencia muy bajo del token antiguamente de retornar a comprarlos.

Un ataque de minero es un análogo de un ataque de préstamo flash en blockchains que funciona sobre la foundation del operación de consenso de prueba de trabajo. Este tipo de ataque es más enredado y costoso, pero puede eludir algunas de las capas de protección de los préstamos flash. Así es como funciona: el atacante alquila capacidades de minería y forma un pedrusco que contiene solo las transacciones que necesita. Interiormente del pedrusco transmitido, primero pueden pedir prestados tokens, manipular los precios y luego devolver los tokens prestados. Cedido que el atacante forma las transacciones que se ingresan en el pedrusco de forma independiente, así como su secuencia, el ataque es efectivamente atómico (ninguna otra transacción puede “encajar” en el ataque), como en el caso de los préstamos flash. Este tipo de ataque se ha utilizado para piratear más de 100 proyectos, con pérdidas por un complete de más o menos de $ 1 mil millones.

El número medio de hacks ha ido aumentando con el tiempo. A principios de 2020, un robo representó cientos de miles de dólares. Al ultimate del año, las cantidades habían aumentado a decenas de millones de dólares.

Incompetencia del desarrollador

El tipo de peligro más peligroso involucra el issue de mistake humano. La familia recurre a DeFi en sondeo de patrimonio rápido. Muchos desarrolladores están poco calificados, pero aún intentan divulgar proyectos rápidamente. Los contratos inteligentes son de código despejado y, por lo tanto, los piratas informáticos los copian y modifican fácilmente en pequeñas formas. Si el plan first contiene los primeros tres tipos de vulnerabilidades, se extienden a cientos de proyectos clonados. RFI SafeMoon es un buen ejemplo, ya que contiene una vulnerabilidad crítica que se ha superpuesto a más de cien proyectos, lo que lleva a pérdidas potenciales que ascienden a más de $ 2 mil millones.


   Fuente
Volver a la lista