Кофи Куфуор предложил собственную классификацию атак на протоколы децентрализованных финансов (DeFi) и указал основные уязвимости, которым подвержен этот неспокойный сегмент. Получайте биткоин бесплатно на кране криптовалют фрибиткоин — до 200$ ежечасно.
Четыре основных типа атак на DeFi
Согласно его подробному посту, все атаки, которые привели к краже денег из криптопротоколов, можно разделить на четыре типа на основе «стека уязвимостей».
1/ Я собрал данные о взломах криптоприложений на сумму более $4 млрд.
В этом материале я рассказываю о том, как осуществлялись взломы, какие инструменты у нас есть, чтобы история не повторилась, и о прогнозах на будущее криптобезопасностиhttps://t.co/W2A9lPz69O.
— Kofi (@0xKofi) 6 октября 2022 г.
Итак, все последние атаки были направлены либо против экосистемы, протокола, языка смарт-контрактов, либо против инфраструктуры. Атаки на инфраструктуру направлены на слабые места консенсуса, интернет-систем, стоящих за DeFis, закрытых ключей и так далее.
Атаки на язык смарт-контрактов используют недостатки языков программирования, используемых для создания смарт-контрактов. Атаки на логику протокола осуществляются на основе плохой бизнес-логики и слабостей токеномики.
И, наконец, экосистемные атаки направлены на взаимодействие между различными протоколами DeFi: чтобы инициировать атаку (или усилить ее), злоумышленники берут деньги из одного протокола и вливают их в пулы ликвидности другого DeFi.
Многоцепочечные приложения и мосты под огнем
Атаки на экосистемы являются наиболее частыми: более 41% всех взломов DeFi относятся к этой группе. В то же время, если исключить из анализа три самых разрушительных взлома (Ronin Bridge, Poly Network, BNB Chain bridge), инфраструктурные атаки привели к самым большим потерям.
Среди экосистемных взломов наиболее частыми являются атаки на флэш-кредиты с использованием ценовых оракулов; среди инфраструктурных взломов преобладают различные атаки на закрытые ключи (фишинг, перебор, скомпрометированные ключи и так далее).
Приложения на базе Ethereum стали свидетелями кражи средств на сумму 2 млрд долларов. Более половины атак в 2020-2022 годах были направлены на межсетевые мосты и приложения с несколькими блокчейнами.