Babala ng Tagapagtatag ng Curve Finance sa Dumadaming Banta sa Seguridad
Ang tagapagtatag ng Curve Finance, si Michael Egorov, ay nagbigay ng babala sa Decrypt ukol sa pagdami ng mga “1for-hire” na hacker na nag-iisponsor ng mga koordinadong atake laban sa iba’t ibang plataporma, na nagdudulot ng mas mataas na peligro sa seguridad ng mga proyekto sa DeFi.
Halimbawa ng DNS Attack
Isa sa mga halimbawa nito ay ang DNS attack na naganap sa Curve Finance noong nakaraang buwan. Sa insidenteng ito, ang front-end na website ng decentralized finance protocol ay naapektuhan, na nagbigay-daan sa mga umaatake na i-redirect ang mga gumagamit sa isang mapanlinlang na site.
“Ang iba’t ibang mga hacker ay nag-uugnay ng kanilang mga pagsisikap sa iba’t ibang plataporma, na sabay-sabay nilang pinapahina ang mga ito para sa mas malawak na epekto at kita,”
pahayag ni Egorov sa isang post-mortem na panayam.
Ipinaliwanag ni Egorov kung paano nagtagumpay ang pag-atake sa Curve sa kabila ng paggamit ng kanyang koponan ng mga malalakas na password at two-factor authentication. Ang insidente ay naganap matapos ilipat ng kanilang registrar ang pagmamay-ari ng domain ng Curve sa ibang tao nang walang anumang paunang abiso sa email sa pamunuan ng Curve.
Pagtaas ng Mga Target na Atake
Gayunpaman, malinaw na ang mga banta ay naglalaman ng “nasusukat na pag-uugali” na nagiging karaniwan. Maraming mga hacker ang maaaring tumanggap ng suhol upang i-target ang mga tiyak na proyekto, ayon kay Egorov, na nagturo na ang mga hacker ay maaaring “makipag-coordinate sa kanilang mga operasyon” sa ibang mga plataporma, na sabay-sabay nilang pinapahina ang mga ito para sa mas malaking epekto at kita.
Pagsusuri sa Seguridad ng Crypto
Kumpara sa seguridad ng crypto sa tradisyunal na imprastruktura, tulad ng mga bangko, itinuturo ni Egorov na ang mga pamamaraang tulad ng SMS-based two-factor authentication ay “pangunahing hindi ligtas at dapat iwasan.” Sa sektor ng crypto, ang mga pusta ay maaaring maging radically na naiiba, “dahil ang lahat ng transaksyon ay nagiging pinal halos agad-agad,” sabi ng tagapagtatag ng Curve.
“Kapag nagsimula ang isang atake, ito ay “hindi maaaring baligtarin” sa disenyo,”
binigyang-diin niya.
“Ang pamantayan para sa mga seguridad ay mas mataas […] at ang estruktura ng internet ngayon ay hindi nakadisenyo upang matugunan ang mga pangangailangang ito.”
Ulat ng CertiK sa Seguridad ng Crypto
Ang babala ni Egorov ay nagmula habang ang security firm na CertiK ay naglabas ng isang ulat noong Mayo na nagsasaad na ang mga kahinaan sa code ay ang pinaka-karaniwang uri ng pagsalakay sa espasyo ng crypto. Ayon kay Natalie Newson, isang senior blockchain security researcher sa CertiK, ang mga kahinaang ito ay “kumakatawan sa isang karamihan ng mga pinagkukunang pondo,” na nagdudulot ng higit sa $229 milyon na pagkalugi.
Para sa konteksto, ang figure na ito ay kabilang ang pinsalang nangyari sa Cetus Protocol sa katapusan ng buwan, na umabot ng humigit-kumulang $225 milyon, na kumakatawan sa pinakamalaking solong atake para sa Mayo.
Sa kabuuan ng sektor ng crypto, ang mga hacker ay umagaw ng humigit-kumulang $302 milyon sa siyam na pangunahing paglabag noong Mayo, bumaba ng halos 16% mula sa kabuuang $364 milyon ng Abril, ayon sa ulat ng CertiK.
Ang mga umaatake ay nag-exploit ng mga kahinaan sa mga smart contract ng Cetus Protocol gamit ang mga spoof token upang manipulahin ang mga presyo at ubusin ang liquidity. Ang exploit ay nakategorya bilang isang “oracle manipulation attack,” ayon sa blockchain security firm na Cyvers sa Decrypt noong panahong iyon.
Na-edit ni Stacy Elliott.
