DeFi-teollisuuden haasteet
DeFi-teollisuus on kohdannut odotettua enemmän painetta. Hyökkääjät ovat varastaneet yli 19 miljoonaa dollaria projekteista, jotka vaihtelevat monimutkaisista MEV-infrastruktuureista yksityisyyteen keskittyviin protokolliin vain viimeisten seitsemän päivän aikana. Tämä suuntaus on huolestuttava: sen sijaan, että keskityttäisiin yksinkertaisiin älysopimusvirheisiin, nykyaikaiset hyökkäykset kohdistuvat yhä enemmän monimutkaisiin järjestelmävuorovaikutuksiin.
Huolestuttavat hyökkäykset
Huolestuttavimmassa tapauksessa Aztec koki kaksi erillistä hyökkäystä kolmen päivän aikana. Protokollan pakoaukkomekanismin ongelman vuoksi viimeisin hyökkäys tyhjensi projektin Private Rollup Bridgestä noin 2,5 miljoonaa dollaria.
Tämä tapahtui edellisen haavoittuvuuden jälkeen, joka liittyi tapahtumalaskentojen ja sitoutuneiden rollup-tietojen eroon. Peräkkäiset tapaukset osoittavat, kuinka vaikeaa on suojata yhä monimutkaisempia Layer-2- ja zero-knowledge-arkkitehtuureja, joissa haavoittuvuudet voivat syntyä on-chain- ja off-chain-vahvistusjärjestelmien rajapinnassa.
Innovatiiviset hyökkäystaktiikat
Samaan aikaan erittäin kekseliäs hyökkäys maksoi jaredfromsubway.eth:lle, yhdelle Ethereumin tunnetuimmista MEV-operaattoreista, noin 15 miljoonaa dollaria. Hyökkääjä muutti botin automatisoitua kaupankäyntilogiikkaa sen sijaan, että olisi hyödyntänyt perinteistä älysopimushaavoittuvuutta. Hyökkääjä vakuutti MEV-järjestelmän siitä, että oli olemassa tuottoisa sandwich-mahdollisuus valmistamalla käärittyjä varoja ja harhauttamalla likviditeettialtaita.
Tämän jälkeen botti myönsi oikeudet, jotka mahdollistivat sen varojen varastamisen.
Labubu-projekti menetti noin 1,15 miljoonaa dollaria BNB Chainilla vakavien altaiden epätasapainojen vuoksi, jotka johtuvat epäilyttävästä token-parametrin muutoksesta. On spekuloitu, että tapaukseen saattoi liittyä sisäpiirin osallistumista sen sijaan, että kyseessä olisi ollut ulkoinen hyökkääjä, johtuen tapahtumien kulusta, johon sisältyy omistajuuden muutoksia juuri ennen hyökkäystä.
Yhteenveto
Namada, yksityisyyteen keskittyvä lohkoketju, koki myös vakavan hakkeroinnin, jossa hakkerit kaappasivat noin 600 000 dollaria sen MASP-infrastruktuurista. Samaan aikaan Taiko paljasti hakkeroinnin, joka vaaransi ketjun tilan vahvistusjärjestelmät, mikä johti noin miljoonan dollarin menetyksiin ja sai käyttäjät vetämään rahansa välittömästi pois vaikuttavilta siltoilta.
Yhdessä nämä tapaukset osoittavat, että kryptoturvallisuuteen liittyvät riskit ovat monimutkaisempia kuin yksinkertaiset koodivirheet. Hyökkääjät hyödyntävät yhä enemmän operatiivisia puutteita, automatisoituja taktiikoita, järjestelmien välistä vuorovaikutusta ja protokollasuunnittelun oletuksia. Lohkoketjun infrastruktuurin monimutkaisuus tekee sen puolustamisesta eksponentiaalisesti haastavampaa.
