Количество проектов в области децентрализованных финансов (DeFi) и блокчейна значительно выросло за последний год, но их возросшая популярность также вызвала интерес киберпреступников - в 2021 году им удалось украсть по меньшей мере около 1,8 миллиарда долларов.
Блокчейн - это цифровая «бухгалтерская книга», которая хранит транзакции таким образом, что их трудно подделать или изменить. В результате эти технологии обладают огромным потенциалом для управления криптовалютными активами и транзакциями, а также для облегчения использования смарт-контрактов, финансов и юридических соглашений.
В последние годы блокчейн привел к появлению децентрализованных финансов. Финансовые продукты и системы DeFi являются альтернативой традиционным банкам и финансовым услугам, полагаясь в своей работе на децентрализованные технологии и смарт-контракты.
DeFi, NFT и криптовалюты стали популярными целями для злоумышленников, которые используют уязвимости, логические ошибки и недостатки программирования, а также проводят фишинговые кампании для кражи цифровых накоплений.
В мае Microsoft ввела термин «cryware» в стандартный словарь цифровых угроз, включая вредоносные программы, инфостилеры, криптоугонщики и шифровальщики. Новый термин описывает вредоносное ПО, предназначенное для сбора и кражи информации из «горячих» криптовалютных кошельков.
В то время как блокчейн обеспечивает инфраструктуру цифровых кошельков, необходимую для переводов, депозитов и снятия средств, «горячие» кошельки хранятся локально и поэтому могут быть подвержены кражам.
Во вторник исследователи кибербезопасности из компании Bishop Fox опубликовали анализ значительных краж в блокчейне и DeFi, произошедших в 2021 году. Исследователи кибербезопасности проанализировали данные и оценили ущерб в 1,8 миллиарда долларов.
В ходе анализа рассмотрены 65 крупных событий, из которых 90% были признаны «несложными атаками».
По данным исследователей, на проекты DeFi совершается в среднем пять значительных кибератак в месяц, с пиками в мае и декабре.
Основными векторами атак в 2021 году были:
- 51%, уязвимости смарт-контрактов.
- 18%, недостатки протокола и дизайна.
- 10%, компрометация кошельков.
- 6%, мошенничество при закрытии проектов.
- 4% утечка ключей.
- 4%, взломы фронтенда.
- 3%, арбитраж.
- 2%, ошибки, связанные с криптовалютами.
- 2%, «front runs» (транзакции, поставленные в очередь со знанием будущих обменов).
«Мы видим, что в большинстве случаев причиной атаки была уязвимость в смарт-контрактах или в самой логике протокола» - отметили исследователи. «Это неудивительно для недавно появившейся технологии, которой может не хватать определенной технической ретроспективы в реализации мер безопасности».
Если говорить о типах уязвимостей, эксплуатируемых в смарт-контрактах, то наиболее часто хакеры используют известные ошибки и уязвимости, содержащиеся в форках. В меньшей степени также были зафиксированы случаи мошенничества при закрытии проектов.
Однако многих из этих атак можно было бы избежать с помощью тщательного аудита и тестирования перед запуском в эксплуатацию. Разработчики, использующие форки, также должны регулярно проверять свой код на наличие проблем безопасности, влияющих на исходный код проекта DeFi.
«Мы можем без колебаний заявить, что DeFi-платформы в настоящее время являются лакомой целью, которая привлекает воров, ищущих крупной и быстрой наживы» - говорит Бишоп Фокс. «Это очевидно, учитывая молодость этой технологии и тот факт, что все дело в деньгах».
«Редкие технологические новинки не сталкиваются с проблемами. Подобно тому, как первые компьютеры объединяли в сеть, не задумываясь о возможности распространения вирусов, разработчики DeFi стремятся к инновациям в своих алгоритмах больше, чем к обеспечению безопасности.»
Источник: https://www.zdnet.com
