DeFi-industrien under pres
DeFi-industrien er under større pres end forventet. Angribere har stjålet mere end 19 millioner dollars fra projekter, der spænder fra kompleks MEV-infrastruktur til privatlivsfokuserede protokoller på blot de sidste syv dage. Denne tendens er bekymrende: i stedet for at fokusere på enkle smart contract-fejl, retter moderne udnyttelser sig i stigende grad mod indviklede systeminteraktioner.
Bekymrende hændelser
I det mest bekymrende tilfælde oplevede Aztec to forskellige udnyttelser på tre dage. På grund af et problem med protokollens flugthåndtag-mekanisme blev projektets Private Rollup Bridge udtømt for omkring 2,5 millioner dollars. Dette kom efter en tidligere sårbarhed, der involverede uoverensstemmelser mellem transaktionsantal og forpligtet rollup-data.
“De på hinanden følgende hændelser viser vanskelighederne ved at beskytte stadig mere komplekse Layer-2 og zero-knowledge-arkitekturer, hvor sårbarheder kan opstå ved grænsefladen mellem on-chain og off-chain verifikationssystemer.”
MEV-angreb og insider-deltagelse
I mellemtiden kostede et meget opfindsomt angreb jaredfromsubway.eth, en af Ethereums mest kendte MEV-operatører, omkring 15 millioner dollars. Angriberen ændrede botens automatiserede handelslogik i stedet for at udnytte en konventionel smart contract-sårbarhed. Angriberen overbeviste MEV-systemet om, at der var en lukrativ sandwichmulighed ved at fabrikere indpakkede aktiver og vildlede likviditetspools. Derefter gav botten tilladelser, der gjorde det muligt for dens aktiver at blive stjålet.
Labubu-projektet mistede omkring 1,15 millioner dollars på BNB Chain på grund af alvorlige pool-ubalancer forårsaget af en mistænkelig ændring af token-parametre. Der har været spekulationer om, at hændelsen kunne have involveret insider-deltagelse snarere end en ekstern angriber, på grund af hændelsesforløbet, som inkluderer ejerskabsændringer lige før udnyttelsen.
Andre hacks og risici
Namada, en blockchain der prioriterer privatliv, oplevede også et alvorligt hack, hvor hackere kaprede cirka 600.000 dollars fra dens MASP-infrastruktur. Samtidig afslørede Taiko et hack, der kompromitterede chain-state verifikationssystemer, hvilket resulterede i tab på omkring 1 million dollars og fik brugerne til at trække penge tilbage fra de berørte broer med det samme.
Når disse hændelser kombineres, viser de, at risiciene forbundet med kryptosikkerhed bliver mere komplekse end blot simple kodefejl. Angribere udnytter i stigende grad operationelle fejl, automatiserede taktikker, tvær-systeminteraktioner og protokol-design antagelser. Kompleksiteten af blockchain-infrastrukturen gør det eksponentielt mere udfordrende at forsvare den.
