I più grandi exploit DeFi in Web3: come prevenire simili violazioni della sicurezza

I protocolli di finanza decentralizzata (DeFi) offrono servizi finanziari decentralizzati agli utenti, consentendo loro di effettuare transazioni e stipulare accordi con altri partecipanti. Sebbene i protocolli DeFi mirino a fornire una piattaforma sicura e affidabile per i propri utenti, negli ultimi anni diversi exploit hanno causato perdite significative di fondi. Questo articolo discuterà alcuni degli exploit DeFi più estesi verificatisi di recente.

Ecco i principali 8 exploit DeFi crittografici in Web3 dopo aver dedotto i fondi restituiti:

Catena Ronin – 600 milioni di dollari

Marzo 2023 è stato un mese ricco di eventi per il settore delle criptovalute, con l'attacco hacker al ponte Axie Infinity Ronin in cima alla lista con 612 milioni di dollari.

Ronin Bridge è una side chain Ethereum utilizzata nel famoso gioco play-to-earn Axie Infinity.

Il gruppo di criminalità informatica Lazarus, sospettato di avere legami con la Corea del Nord, è riuscito ad accedere alle chiavi private di nove validatori di transazioni, consentendo loro di approvare due transazioni di grandi dimensioni e di spostare i fondi dal loro indirizzo di portafoglio. Fortunatamente, una collaborazione tra autorità, società di sicurezza e exchange di criptovalute è riuscita a tracalcuni di questi fondi dopo che gli hacker li avevano rubati a Tornado cash , un tumbler di criptovalute open source, e ad altri exchange.

Ponte Wormhole – 323 milioni di dollari

Nel febbraio 2022 si è verificato uno sfortunatodent : degli hacker di criptovalute hanno sfruttato il codice di un wormhole per rubare criptovalute per un valore di 326 milioni di dollari.

Un wormhole è un ponte tokenizzato tra Solana ed Ethereum, che purtroppo non è riuscito a impedire l'attacco. È stato reso possibile da una funzione non sicura, obsoleta/non più funzionante, che bypassava la verifica delle firme e abilitava la catena di deleghe delle firme.

Gli esperti di sicurezza informatica suggeriscono che gli sviluppatori avrebbero potuto prevenire l'attacco se avessero adottato "pratiche di codifica sicura", che prevedessero il controllo di tutti i parametri. Il controllo avrebbe potuto garantire l'autenticazione di indirizzi validi e quindi impedire a fonti illegittime di accedere alle risorse sulla catena.

Beanstalk – 181 milioni di dollari

In un fatidico fine settimana di aprile 2022, un hacker ha sferrato un attacco che ha scosso la comunità crypto. Utilizzando un prestito flash, una funzionalità dei protocolli di finanza decentralizzata (DeFi), sono riusciti a rubare 182 milioni di dollari in ETH, la stablecoin BEAN e altri asset dal protocollo della stablecoin Beanstalk.

Gli hacker hanno presentato due proposte dannose a Beanstalk DAO tramite la sua funzione di commit di emergenza, che richiede il voto dei ⅔ prima dell'implementazione dopo 24 ore. L'aggressore ha utilizzato la tecnologia flash loan per ottenere il controllo del 79% dei token, approvando entrambe le proposte ed eseguendo con successo il suo piano.

I fondi sono stati inviati tramite il protocollo per estinguere il prestito lampo, mentre il resto è stato versato a un indirizzo associato a un fondo di emergenza con sede in Ucraina. In totale, fino a 76 milioni di dollari sono stati prelevati dall'individuo responsabile di questo atto coraggioso.

Nomade – 155 milioni di dollari

L'inquietante attacco hacker al Nomad Bridge ha fatto notizia il 1° agosto 2022. Ha scioccato molti appassionati di blockchain poiché gli aggressori hanno sfruttato una vulnerabilità per prosciugare oltre 190 milioni di dollari di asset basati su Ethereummemorizzati nel cross-bridge multi-catena.

Gli hacker si sono mossi con rapidità e furia, coinvolgendo centinaia di portafogli in 960 transazioni che hanno portato a 1.175 prelievi individuali dal valore totale bloccato (TVL) del bridge. Il tutto nel giro di poche ore.

Un aspetto sconcertante di questo hack era che tutto ciò che gli utenti dovevano fare per hackerare i fondi ponte era copiare e incollare i dati della chiamata di transazione dell'hacker originale, sostituire l'indirizzo originale con uno personale e la transazione sarebbe stata completata.

L'attacco ha scosso l'intera comunità della finanza decentralizzata (DeFi), dimostrando che gli hacker sono sempre un passo avanti quando sfruttano le falle nel codice. Il bridge Nomad fornisce un esempio lampante dell'importanza di pratiche di codifica sicure e rafforza il motivo per cui la sicurezza rimane una sfida continua per i progetti blockchain.

CREAM Finance – 130,8 milioni di dollari

Sebbene l'attacco a CREAM nell'ottobre 2021 sia stato uno dei più grandi furti di prestiti flash, non si è trattato certamente di undentisolato. Gli attacchi di prestiti flash comportano l'utilizzo di un "prestito flash" di liquidità, l'assunzione di un prestito e il mancato pagamento di questo finanziamento rapido, il tutto all'interno di un'unica transazione.

Sfruttando errori di calcolo dei prezzi, gli hacker possono trarre rapidamente profitto dai loro prestiti. Ad esempio, nel caso di CREAM, due indirizzi diversi hanno interagito con il suo yUSDVault per coniare un gran numero di token crYUSD. Hanno sfruttato una vulnerabilità che avrebbe raddoppiato il valore di queste azioni. Sebbene siano riusciti a ottenere fondi per un valore di 130 milioni di dollari, il collaterale disponibile di circa 1 miliardo di dollari potrebbe richiedere molto più di questo importo. 

Gli attacchi ai prestiti lampo stanno diventando sempre più frequenti e la comunità dovrebbe chiedersi come prevenire ulteriori violazioni della sicurezza in futuro.

Hub token BSC: 127 milioni di dollari

Nell'ottobre 2022, gli hacker hanno sfruttato una vulnerabilità critica nel codice cross-bridge del BSC Beacon, rubando criptovalute per un totale di 570 milioni di dollari.

La catena BSc Beacon, nota anche come Token Hub, è un ponte inter-catena che collega la catena BNB Beacon (BEP2) e la catena BNB (BEP20/BSC).

L'hacker ha falsificato le prove crittografiche chiamate "Merkle proof" destinate a confermare la validità di dati come le transazioni. A loro volta, hanno utilizzato queste false prove Merkle per trasferire fondi dal cross-bridge BSC Beacon ad altre catene.

Non appena Tether ha inserito nella lista nera l'indirizzo degli aggressori, è scattata una reazione rapida, bloccando oltre 7 milioni di dollari trasferiti dalla catena BNB e confiscando la maggior parte dei fondi illeciti.

Harmony Horizon – 100 milioni di dollari

Nel giugno 2022, il progetto Harmony Horizon Bridge è stato compromesso quando degli hacker hanno rubato due delle sue cinque chiavi private di convalida, consentendo ai truffatori di trasferire token per un valore di 100 milioni di dollari.

Questo problema di sicurezza era dovuto al modo in cui era stato configurato il bridge, con uno schema di convalida 2 su 5. Di conseguenza, all'aggressore bastavano solo due approvazioni per convalidare qualsiasi transazione dannosa. Per coprire le proprie trac, gli aggressori hanno utilizzato Tornado Cash per riciclare parte dei loro guadagni illeciti. 

Sebbene inizialmente questa configurazione potesse sembrare sicura, si è rivelata un bersaglio redditizio per i malintenzionati e una costosa lezione sulla sicurezza della blockchain per coloro che sono stati scoperti.

Rari - $91 milioni

Gli attacchi di reentrancy sono in circolazione fin dagli albori di Ethereum. Hanno sfruttato vulnerabilitàtracper prelevare ripetutamente fondi prima che la transazione originale venisse approvata o rifiutata.

Nel maggio 2022, due piattaforme finanziarie decentralizzate sono state compromesse in questo modo, con gli hacker che hanno rubato 90 milioni di dollari. Jack Longarzo di Rari Capital ha affermato che l'aggressore ha sfruttato l'azienda e Fei Protocol, che si è fusa con Rari Capital, ha offerto all'hacker una ricompensa di 10 milioni di dollari.

La società di sicurezza blockchain BlockSec ha spiegato che gli hacker hanno sfruttato una vulnerabilità di reentrancy. 

Gli sviluppatori possono prevenire questi tipi di attacchi testando e verificando adeguatamentetracprima della distribuzione sulla blockchain Ethereum .

Come proteggersi dagli exploit DeFi

I protocolli DeFi sono diventati sempre più popolari e complessi, diventando obiettivitracper gli hacker. Di seguito sono riportati sette suggerimenti per proteggersi dagli exploit DeFi :

1. Esegui un'accurata due diligence su qualsiasi progetto prima di investire. Controlla il codice della piattaforma, il sito web, i membri del team e i canali social per individuare eventuali segnali d'allarme.
2. Assicurati che una fonte attendibile verifichi itraccon cui interagisci e che i risultati della verifica siano resi pubblici.
3. Non conservare grandi quantità di fondi in un unicotracDeFi , perché lo renderai più vulnerabile agli attacchi.
4. Rimani aggiornato sulle ultime novità in materia di sicurezza per scoprire nuovi exploit.
5. Implementare procedure di autenticazione e autorizzazione adeguate per tutti gli account che interagiscono con i protocolli DeFi .
6. Assicurati che il tuo portafoglio sia sicuro e, quando possibile, utilizza l'autenticazione a due fattori.
7. Monitora regolarmente i tuoi fondi e le tue transazioni sulla blockchain per rilevare eventuali attività sospette o prelievi non autorizzati.

Seguire questi consigli può aiutarti a proteggerti dagli exploit DeFi e a garantire la sicurezza dei tuoi fondi quando interagisci con i protocolli della finanza decentralizzata. Tuttavia, è anche importante ricordare che nessun sistema è infallibile, quindi è sempre consigliabile prestare la massima attenzione quando si maneggiano asset digitali.

Conclusione

Nel complesso, la sicurezza è uno degli aspetti più importanti da considerare quando si ha a che fare con criptovalute e protocolli DeFi . Purtroppo, con la continua crescita del settore, aumentano anche i rischi di attività dannose. Sebbene sia impossibile garantire la sicurezza totale, seguire questi suggerimenti può aiutarti a proteggerti dagli exploit DeFi e a mantenere i tuoi fondi al sicuro. 

Rimanendo aggiornati sugli ultimi sviluppi in materia di sicurezza blockchain e assicurandoti che siano in atto procedure di autenticazione adeguate per tutti gli account, puoi contribuire a garantire la sicurezza dei tuoi asset digitali.