DeFi está siendo atacado por ciberdelincuentes



Las plataformas de finanzas descentralizadas (DeFi), que conectan varias cadenas de bloques de criptomonedas para crear una infraestructura descentralizada para préstamos, transacciones y otras transacciones, prometen reemplazar a los bancos como una forma segura y conveniente de invertir y gastar criptomonedas. Pero además de atraer hordas de nuevos usuarios con sueños de fortuna electronic, los ciberdelincuentes han descubierto que son un blanco fácil, acabando con las carteras hasta dejarles saldos cero en un momento, hundiendo mercados enteros mientras se benefician y más, según un nuevo informe.

Los analistas de Bishop Fox descubrieron que las plataformas DeFi perdieron $ 1.8 mil millones por ataques cibernéticos solo en 2021. Con un overall de 65 eventos observados, el 90% de las pérdidas provinieron de ataques poco sofisticados, según el informe, que apunta a las laxas prácticas de ciberseguridad del sector.

DeFi promedió cinco ataques por semana el año pasado, y la mayoría de ellos (51%) provinieron de la explotación de errores de «contratos inteligentes», encontraron los analistas. Los contratos inteligentes son esencialmente registros de transacciones, almacenados en la cadena de bloques.

Otros principales vectores de ataque de DeFi incluyen criptobilleteras, fallas en el diseño del protocolo y las llamadas estafas de «extracción de alfombra» (donde los inversores son atraídos a un nuevo proyecto de criptomoneda que luego se abandona, dejando a los objetivos con una moneda sin valor). Pero en conjunto, el 80% de todos los eventos fueron causados ​​por el uso (y reutilización) de código con errores, según el informe.

«El deseo de desarrollar rápidamente y ahorrar tiempo, o tal vez simplemente la falta de inclinación a revisar o recrear el propio código, con demasiada frecuencia conduce al uso de código no probado y, por lo tanto, en última instancia, susceptible», dice el informe.

Y, de hecho, a medida que los usuarios y las propias plataformas DeFi intentan reinventar la banca, y una nueva infraestructura compleja para respaldarla, los administradores no pueden pasar por alto la importancia de los conceptos básicos de seguridad, dice a Dim Examining Dylan Dubeif, consultor senior de seguridad de Bishop Fox.

«No importa cuán innovador o sofisticado sea su proyecto, no se olvide de la seguridad ignorando lo que parece menor o básico», dice. «Una vulnerabilidad trivial puede terminar costándote más».

Vulneraciones de contratos inteligentes de DeFi
Un buen ejemplo es la violación de DeFi relacionada con el contrato inteligente BurgerSwap Dex del 28 de mayo, que provocó una pérdida de $ 7.2 millones. Ese ataque aprovechó vulnerabilidades que son tan conocidas que su uso aquí parecía confuso, según el informe. Estos incluyeron la explotación de un manage x*y≥k faltante** y el montaje ataques de reingreso, según el informe. Las debilidades permitieron a los atacantes aprovechar tácticas bien conocidas, como el abuso de préstamos rápidos y el uso de tokens falsos.

«No podemos enfatizarlo lo suficiente: mantenga un proceso de auditoría recurrente y pruebe cada pieza de código antes de que entre en producción», dice el informe. «En las finanzas descentralizadas, incluso la línea más corta de código vulnerable puede provocar la pérdida total de tokens del proyecto y el colapso del proyecto».

El pasado agosto, Product Finance recibió un gran golpe financiero a manos de los ciberdelincuentes, perdiendo casi 29 millones de dólares antes de que se descubriera el ataque (418.311.571 en Amp Coin y 1.308,09 en la criptomoneda Ethereum).

El truco fue posible debido a un mistake de reingreso en su función de contratos inteligentes, introducido por los tokens $AMP utilizados por el intercambio.

«La… violación de la plataforma Product Finance fue facilitada por la última de una larga cadena de vulnerabilidades de contratos inteligentes introducidas por errores humanos (o posiblemente ataques internos)», señaló en ese momento Joe Stewart, investigador de PhishLabs. «Es muy fácil pegarse un tiro en el pie por algo tan simple como no incluir el modificador de función correcto en su código, exactamente lo que le sucedió al autor del contrato inteligente de Product Finance».

Los contratos inteligentes también se vuelven más complicados para la auditoría de código después de que comienzan a interactuar entre sí, agregó Stewart.

“La creciente complejidad de los contratos DeFi que interactúan entre sí (posiblemente incluso a través de diferentes cadenas de bloques) dificulta la predicción de todas las posibles rutas de código que podrían conducir a una escalada de privilegios y la pérdida de fondos bloqueados en el contrato”, dijo Stewart.

Ataques entrance-conclusion DeFi
El código utilizado para crear billeteras digitales DeFi e interfaces de sitios website también ha demostrado ser un vector de ataque fácil para los estafadores.

En un ataque a BadgerDAO en diciembre pasado, los analistas dijeron que los atacantes explotaron una vulnerabilidad de CloudFlare para obtener una clave API, lo que luego les permitió modificar el código fuente del sitio para desviar fondos a billeteras bajo su management, explica el informe.

«A fines de septiembre, los usuarios en un foro de soporte de la comunidad de Cloudflare informaron que los usuarios no autorizados podían crear cuentas y también podían crear y ver claves de API (globales) (que no se pueden eliminar ni desactivar) antes de que se completara la verificación por correo electrónico», Badger dijo en un declaración submit mortem sobre el incumplimiento. «Se observó que un atacante podría esperar a que se verifique el correo electrónico y se comprehensive la creación de la cuenta, y luego tendría acceso a la API».

Ataques DeFi de préstamos relámpago
Como se mencionó anteriormente, otro tipo de ataque DeFi involucra préstamos flash. Un préstamo flash es un préstamo no garantizado para comprar y luego vender una determinada criptomoneda se puede solicitar mediante la creación de un contrato inteligente en la cadena de bloques. Luego, el contrato ejecuta el préstamo y las transacciones, todo en un instante.

En un ataque, los ciberdelincuentes pueden usar esta función para manipular precios. Por ejemplo, en mayo pasado, el proyecto DeFi PancakeBunny fue víctima de esto después de que un atacante extrajo una gran cantidad de tokens de $Bunny y luego se dio la vuelta y los vendió de inmediato. Los ciberdelincuentes no solo pueden hacer una fortuna de esta manera, sino que también pueden acumular el valor de un mercado de criptomonedas completo en minutos.

«Aunque [this] puede parecer dolorosamente easy en retrospectiva, hizo ocurrir, con consecuencias no desdeñables», dice el informe.

El proyecto PancakeBunny DeFi se convirtió en presa el 19 de mayo. Los atacantes usaron un error en la plataforma y un préstamo rápido para desequilibrar el grupo y calcular mal el intercambio a favor del actor de amenazas. Peor aún, solo unos días después, dos bifurcaciones (es decir, nuevas comunidades DeFi desarrolladas a partir de la misma cadena de bloques), MerlinLabs y Autoshark, fueron atacadas utilizando el mismo código y metodología de ataque.

«Aunque los equipos de ambos proyectos sabían que habían copiado el código de PancakeBunny con muy pocas modificaciones, sin embargo sufrieron el mismo ataque cinco y siete días, respectivamente, después del proyecto inicial”, dice el informe.

Servidores DeFi
Los servidores que almacenan claves privadas para criptobilleteras también son un objetivo principal para los ciberdelincuentes, advierten los investigadores. En varios casos, las billeteras fueron robadas con llaves robadas, dice el informe, a veces con pérdidas devastadoras una billetera tenía un saldo de alrededor de $ 60 millones, por ejemplo.

«La pérdida financiera podría haberse evitado auditando los servidores subyacentes de las empresas y agregando medidas técnicas y organizativas (como billeteras de múltiples firmas) con principios de confianza cero y privilegio mínimo», afirma el informe.

Previniendo el DeFi Pwn-apalooza
Con tanta actividad de ciberdelincuencia, ¿qué se debe hacer? Para responder a eso, el equipo de Bishop Fox ofreció dos consejos importantes para los usuarios que intentan navegar por esta nueva frontera financiera electronic. Uno, no confíe en ningún sistema para ser seguro y dos, reconocer que las inversiones pueden evaporarse en un segundo.

El riesgo para los usuarios varía en algunos casos, como la violación de PolyNetwork, un atacante robó y luego devolvió $ 610 millones en criptomoneda y todos recuperaron sus pérdidas. En otros casos, plataformas DeFi pirateadas no tuvieron tanta suerte.

Dado que no existe un estándar de responsabilidad, los usuarios deben estar preparados para lo peor. «Cuando hablamos de DeFi, estamos hablando de invertir en el incipiente sistema financiero de criptomonedas que aún tiene que aprender de sus errores», afirma el informe.

Los investigadores reconocen que con tantas partes del negocio, defender las plataformas DeFi es particularmente difícil.

«Dado que la superficie de ataque en los proyectos DeFi es más grande de lo recurring», dice el informe, «los equipos deben asegurarse de que se toman las precauciones adecuadas para proteger todos los activos».






Enlace a la noticia initial