Sikkerhedstrusler i Decentraliseret Finans (DeFi)
Michael Egorov, grundlæggeren af Curve Finance, har udtalt overfor Decrypt, at “for-hire” hackere i stigende grad koordinerer angreb på tværs af forskellige platforme, hvilket gør det mere udfordrende at sikre Decentraliseret Finans (DeFi) projekter. Et aktuelt eksempel er DNS-angrebet på Curve Finance sidste måned, hvor det decentrale finansprotokols front-end hjemmeside blev kompromitteret. Dette gjorde det muligt for angribere at lede brugere til et ondsindet site.
“Forskellige hackere kan koordinere deres indsats på tværs af platforme, hvilket kompromitterer dem samtidig og skaber større effekt og profit,” sagde Egorov i et efterfølgende interview med Decrypt.
Han forklarede, hvordan det seneste angreb på Curve lykkedes, selvom hans team anvendte stærke adgangskoder og to-faktor autentifikation. Deres registrar overførte “ejerskab af [Curves domæne] til en anden uden at give nogen e-mailnotifikation” til Curves ledelse, bemærkede Egorov. Trods dette kunne trusselaktører udvise “beregnet adfærd,” som er blevet mere udbredt. Nogle hackere kan endda tage imod bestikkelse for at målrette specifikke projekter, hvis nogen er villige til at betale, hævdede Egorov.
Udfordringer med Sikkerhed i Kryptovaluta
Egorov sammenlignede sikkerhed i kryptovaluta med ældre infrastrukturer som traditionelt bankvæsen og understregede, at metoder som SMS-baseret to-faktor autentifikation er “fundamentalt usikre og bør undgås.” For krypto-sektoren er indsatsen drastisk anderledes, sagde Curve-grundlæggeren, “fordi alle transaktioner er næsten øjeblikkeligt endelige.” Når et angreb påbegyndes, er det “irreversibelt af design,” bemærkede han. “Barrieren for sikkerhedsstandarder er meget højere […], og nutidens internetinfrastruktur er simpelthen ikke bygget til at imødekomme disse krav.”
Statistikker om Angreb i Kryptorummet
Egorovs advarsel kommer i lyset af, at blockchain-sikkerhedsfirmaet CertiK i sin sikkerhedsrapport fra maj afslørede, at kode-sårbarheder er den mest udbredte type angreb i kryptorummet.
“Dette er en interessant anomali,” skrev Natalie Newson, senior blockchain-sikkerhedsforsker hos CertiK, i en rapport delt med Decrypt. Hun bemærkede, at kode-sårbarheder “repræsenterede flertallet af udnyttede midler” og forårsagede tab, der oversteg $229 millioner.
For kontekstens skyld inkluderer dette beløb skaderne som følge af Cetus Protokols angreb sidst på måneden, der beløber sig til cirka $225 millioner og udgør det største enkeltangreb i maj. I det bredere krypto-sektor har hackere samlet udvundet omkring $302 millioner i ni større brud i maj, hvilket er et fald på omkring 16% fra aprils samlede $364 millioner, ifølge CertiKs rapport. Angriberne udnyttede sårbarheder i Cetus Protokols smarte kontrakter ved hjælp af spoof tokens til at manipulere priser og tømme likviditet. Eksploiteringen blev klassificeret som et “oracle manipulation attack,” forklarede blockchain-sikkerhedsfirmaet Cyvers til Decrypt på det tidspunkt.
Redigeret af Stacy Elliott.
