最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

骗子在今年短短三个月内偷走了$1.3b的加密货币

网络安全 快米云 来源:快米云 33浏览

在将您的钱投入其中之前,联邦调查局敦促人们谨慎并认真研究 DeFi(去中心化金融)提供商,因为在三个月内从这些提供商那里被盗了超过 10 亿美元。

在本周的警报中,引用区块链研究公司 Chainalysis 的数据,美联储表示,仅在 2022 年 1 月至 2022 年 3 月期间,总共有 13 亿美元的加密货币被吸走,其中 97% 来自 DeFi 机构。今年 5 月,Chainalysis今年前四个月的这一数字提高到 16.8 亿美元。

FBI 希望人们意识到风险,如有疑问,请获得专业的财务建议,并对 DeFi 提供商的安全性和一般做法做好功课。对于 DeFi 提供商,我们都指交易所、市场和类似的网站,您可以在其中购买、出售、交换和借贷加密货币和其他数字资产。

该局的警告是在针对此类平台的一轮网络抢劫之后发出的,其中包括对 Harmony 的1 亿美元攻击(被认为是由朝鲜进行的)、估计从 BitMart盗窃 2 亿美元以及从 Cream Finance盗窃 1.3 亿美元.

根据 Chainalysis 的数据,朝鲜人在加密货币盗窃方面经历了迄今为止最大的一年,到 2022 年为止,盗窃金额至少为 8.4 亿美元。

“数据表明,加强 DeFi 协议对黑客的防御不仅仅是与用户建立信任以便 DeFi 能够继续增长的问题,”Chainalysis 认为。“鉴于朝鲜黑客组织窃取的加密货币被用于支持该国发展大规模杀伤性武器,这也是一个国际安全问题。” 该公司指出,一份 2019 年联合国文件[PDF] 支持这一论点。

联邦调查局的警报向投资者提供建议,首先是关于在投资前进行尽职调查的一般警告,然后提出以下建议:

  • 投资前研究 DeFi 平台、协议和智能合约,并了解 DeFi 投资涉及的特定风险。
  • 确保 DeFi 投资平台已经进行了一次或多次由独立审计师执行的代码审计。代码审计通常涉及对平台底层代码的彻底审查和分析,以识别代码中可能对平台性能产生负面影响的漏洞或弱点。
  • 警惕 DeFi 投资池的加入和智能合约的快速部署,尤其是在没有推荐的代码审计的情况下。
  • 请注意众包解决方案对漏洞识别和修补带来的潜在风险。开源代码存储库允许所有个人不受限制地访问,包括那些怀有邪恶意图的人。

大多数 DeFi 平台都相对较新,并且吸引了大大小小的投资者。它们不仅仅涉及基本的代币交换。例如,这些网站和应用程序的负载允许用户创建和使用智能合约,这些是通常运行以进行交易的代码位。这意味着用户生成的软件错误现在混杂在一起,小偷可以利用这些错误来窃取硬币,或者只是导致资产消失。然后是访问馆藏和发送代币的 API,这可能会出错。测试不足或实施不善的技术与大量资金相结合,使该场景成为网络犯罪分子的有吸引力的目标。

“人们对加密算法和协议充满信心,只有时间才能证明他们是否正确,”网络安全公司 Contract Security 的联合创始人兼首席技术官 Jeff Williams 告诉The Register

“但即使它们是完美的,DeFi 平台也不仅仅是加密。这些平台只是软件,它们需要高度安全的身份验证、访问控制、输入处理、攻击检测和响应、使用开源、IaC [基础设施即代码] 安全性等等。”

威廉姆斯声称,即使是最大的老牌金融机构也面临着软件漏洞,平均每个应用程序会出现 30 多个严重问题,因此“快速发展的 DeFi 公司在保护他们的软件方面面临着巨大的挑战。”

联邦调查局表示,网络团伙似乎瞄准了智能合约,该机构将其描述为具有交易条款的自动执行合同——由买卖双方商定——直接写入代码行。这些合约在满足合约中的条件时运行,并在去中心化和分布式区块链网络中复制。

该机构已经概述了网络犯罪分子用来欺骗 DeFi 平台的方法,例如将智能合约与闪电贷款相结合,在几秒钟内窃取数百万美元。一个名为Beanstalk Farms的 DeFi 平台在 4 月份的一次此类攻击中损失了 1.8 亿美元。该局还指出,由于签名验证漏洞,连接区块链的协议 Wormhole在 2 月份损失了 3.2 亿美元的以太币。

网络安全供应商 Cerberus Sentinel 的安全服务执行副总裁 Michael Oglesby 表示,投资者需要认真检查 DeFi 平台的网络安全实践及其财务优势,并依赖经过严格审查和独立测试的平台。

“DeFi 生态系统的爆炸性增长和高回报吸引了许多早期采用者采用区块链技术,例如智能合约,”Oglesby 告诉The Register。“但是,早期投资者应该保持警惕。大多数 DeFi 系统几乎没有保护或安全网来防止欺诈攻击造成的灾难性损失。”

FBI 表示,DeFi 平台运营商需要对代码进行实时分析、监控和测试,并制定包括提醒投资者在内的事件响应计划。

来自美联储的警告很好,但网民“确实需要在这些公司实施的安全保护方面更加透明,”威廉姆斯说。“对于 NIST 根据 [美国总统] 网络安全行政命令创建的新消费者软件安全标签计划,这将是一个很好的用例。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 骗子在今年短短三个月内偷走了$1.3b的加密货币