Curve Finance -hyökkäykset ja niiden haasteet
Curve Finance -yrityksen perustaja Michael Egorov kertoi Decryptille, että ”työhön palkatut” hakkerit koordinoivat hyökkäyksiään, mikä tekee hajautettujen rahoitusprojektien suojaamisesta yhä haastavampaa. Esimerkkinä hän mainitsi viime kuussa tapahtuneen DNS-hyökkäyksen Curve Financeen, jonka seurauksena hajautetun rahoituksen protokollan etusivun verkkosivusto joutui vaarantuneeksi, ja hyökkääjät pystyivät ohjaamaan käyttäjiä haitalliselle sivustolle.
Egorov selitti: ”Eri hakkerit voivat koordinoida ponnistuksiaan eri alustoilla, vaarantaen niitä suuremman vaikutuksen ja voiton saavuttamiseksi.”
Egorov kuvasi, kuinka äskettäin tapahtunut hyökkäys Curveen onnistui huolimatta siitä, että hänen tiiminsä käytti vahvoja salasanoja ja kaksivaiheista todennusta. Hyökkäys tapahtui, kun heidän rekisteröijänsä siirsi [Curven verkkotunnuksen] omistajuuden toiselle ilman sähköpostivaroitusta Curven johdolle, Egorov kertoi. Hän varoitti myös, että uhkatoimijat voivat osallistua ”laskelmoituun käyttäytymiseen”, joka on yleistymässä. Jotkut hakkerit saattavat jopa ottaa vastaan lahjuksia kohdistuakseen tiettyihin projekteihin, mikäli jokin taho on valmis maksamaan.
Egorov mainitsi: ”Hakkerit voivat koordinoida ponnistuksiaan eri alustoilla, tavoitteenaan suuremman vaikutuksen ja voiton saavuttaminen.”
Verrattuna kryptovaluuttojen turvallisuuteen perinteisestä infrastruktuurista, kuten perinteisestä pankkitoiminnasta, Egorov huomautti, että menetelmät kuten SMS-pohjainen kaksivaiheinen todennus ovat ”perustavanlaatuisesti epäturvallisia ja niitä tulisi välttää”. Kryptosektorilla panokset voivat olla radikaalisti erilaiset, ”koska kaikki transaktiot tulevat lähes välittömästi lopullisiksi,” Curve:n perustaja kertoi. Kun hyökkäys alkaa, se on ”korjaamaton suunnittelun vuoksi,” hän jatkoi. ”Turvallisuusstandardien rima on paljon korkeammalla, ja tämän päivän internetin infrastruktuuri ei yksinkertaisesti ole rakennettu täyttämään näitä vaatimuksia.”
Koodin haavoittuvuudet ja niiden vaikutukset
Egorovin varoitus tulee samaan aikaan, kun blockchain-turvallisuusfirma CertiKin toukokuun turvallisuusraportti paljasti, että koodin haavoittuvuudet ovat yleisin hyökkäystyyppi kryptosektorilla. Tämä oli ”kiinnostava poikkeama,” kirjoitti Natalie Newson, CertiKin vanhempi blockchain-turvallisuustutkija raportissaan, joka jaettiin Decryptille. Hän huomautti, että koodin haavoittuvuudet ”edustivat suurinta osaa käytetyistä varoista,” aiheuttaen yli 229 miljoonan dollarin vahingot.
Vertailun vuoksi, luku sisältää myös vahingot, joita aiheutui Cetus-protokollasta kuukauden lopulla, yhteensä noin 225 miljoonaa dollaria, mikä on suurin yksittäinen hyökkäys toukokuussa.
Yhteenveto
Laajemmassa mittakaavassa kryptosektorilla hakkerit varastivat noin 302 miljoonaa dollaria yhdeksässä merkittävässä tietomurrossa toukokuussa, mikä merkitsee noin 16%:n laskua huhtikuun 364 miljoonan dollarin kokonaismäärästä, CertiKin raportti osoittaa. Hyökkääjät hyökkäsivät Cetus-protokollan älysopimusten haavoittuvuuksiin käyttäen valeovertunnuksia hintojen manipuloimiseksi ja likviditeetin poistamiseksi. Hyökkäys luokiteltiin ”orakkelimmanipulaatiohyökkäykseksi”, blockchain-turvallisuusfirma Cyvers kertoi Decryptille tuolloin.
Toimittanut Stacy Elliott.
