Aftermath επιβεβαίωσε ένα exploit που επηρεάζει το πρωτόκολλο perpetuals του, σηματοδοτώντας το πιο πρόσφατο περιστατικό ασφαλείας σε έναν μήνα που σημειώθηκαν εκτεταμένες απώλειες σε όλο το DeFi.
Η ομάδα δήλωσε ότι το πρόβλημα προέκυψε από ένα ελάττωμα που επέτρεπε τον ορισμό αρνητικών χρεώσεων builder, με αποτέλεσμα απώλειες περίπου $1,14 εκατ.. Το πρωτόκολλο τέθηκε σε παύση ως προληπτικό μέτρο, ενώ τα μη επηρεαζόμενα προϊόντα παραμένουν σε λειτουργία.
Το περιστατικό προστίθεται σε ένα ευρύτερο μοτίβο exploit κατά τη διάρκεια του Απριλίου, με τόσο μεγάλης κλίμακας αποτυχίες όσο και μικρότερες ευπάθειες να επηρεάζουν πολλά πρωτόκολλα.
Τα μεγάλα exploits κυριαρχούν στις απώλειες του Απριλίου
Δύο περιστατικά αντιπροσωπεύουν τη μεγαλύτερη μερίδα των αναφερθεισών απωλειών αυτό τον μήνα.
Το exploit του Kelp DAO που σχετίζεται με το rsETH προκάλεσε μία από τις μεγαλύτερες διαταραχές, με εκτιμώμενο αντίκτυπο ~$292 εκατ.. Το ζήτημα αφορούσε την έκδοση μη υποστηριζόμενων περιουσιακών στοιχείων μέσω μιας ευπάθειας που σχετίζεται με bridge, η οποία στη συνέχεια εξαπλώθηκε σε ενσωματωμένα πρωτόκολλα.
Ενώ τα κεφάλαια δεν αντλήθηκαν με παραδοσιακή έννοια, το γεγονός δημιούργησε συστημικό κίνδυνο, ιδιαίτερα για τις πλατφόρμες δανεισμού που εκτίθενται στο περιουσιακό στοιχείο.
Ένα άλλο σημαντικό περιστατικό αφορούσε το Drift Protocol, όπου μια επίθεση που συνδέεται με χειραγώγηση εξασφαλίσεων και διοικητική πρόσβαση οδήγησε σε σημαντικές απώλειες. Εκτιμήσεις τοποθετούν τον αντίκτυπο στα εκατοντάδες εκατομμύρια, αν και η δομή της επίθεσης διέφερε από ένα τυπικό exploit.
Μαζί, αυτά τα περιστατικά αντιπροσωπεύουν την πλειοψηφία των αναφερθεισών απωλειών του Απριλίου, οι οποίες υπερβαίνουν τα $600 εκατ. βάσει διαθέσιμων δεδομένων παρακολούθησης.
Τα μεσαίου μεγέθους exploits συνεχίζουν να εμφανίζονται
Πέρα από τις μεγαλύτερες περιπτώσεις, αρκετά mid-tier exploits έχουν συμβάλει στο σύνολο του μήνα.
Rhea Finance υπέστη απώλειες περίπου $7,6 εκατ. μετά από επίθεση που αφορούσε δόλια συμβόλαια token και χειραγώγηση oracle.
Grinex Exchange ανέφερε αποστράγγιση πορτοφολιού ~$13,7 εκατ., επηρεάζοντας πολλές διευθύνσεις.
GiddyDefi έχασε περίπου $1,3 εκατ. λόγω ελαττώματος επικύρωσης εξουσιοδότησης που συνδέεται με μηχανισμούς replay υπογραφής.
CoW Swap επίσης εμφάνισε ένα περιστατικό ~$1,2 εκατ. που συνδέεται με επίθεση domain hijacking, αναδεικνύοντας κινδύνους πέρα από τις ευπάθειες smart contract.
Μικρότερα περιστατικά αναδεικνύουν επίμονες αδυναμίες
Αρκετά μικρότερα exploits έχουν επίσης αναφερθεί σε όλο το οικοσύστημα.
Silo Finance, Aethir και Dango υπέστησαν απώλειες που συνδέονται με εσφαλμένες ρυθμίσεις oracle, ζητήματα ελέγχου πρόσβασης ή σφάλματα συμβολαίου. Σε ορισμένες περιπτώσεις, όπως το Dango, τα κεφάλαια ανακτήθηκαν αργότερα μέσω παρέμβασης white-hat.
Πιο πρόσφατα, Scallop και Volo Protocol αποκάλυψαν περιστατικά που αφορούν ελαττώματα λογικής συμβολαίου και παραβίαση ιδιωτικού κλειδιού, αντίστοιχα. Παρόλο που αυτές οι περιπτώσεις ήταν μικρότερης κλίμακας, ενισχύουν τη συχνότητα των ευπαθειών σε διαφορετικά επίπεδα του DeFi.
Ένα κατακερματισμένο τοπίο κινδύνου
Συνολικά, τα περιστατικά του Απριλίου αποκαλύπτουν ένα κατακερματισμένο περιβάλλον κινδύνου αντί για ένα μεμονωμένο σημείο αποτυχίας.
Τα exploits έχουν εμφανιστεί σε:
- λογική smart contract
- συστήματα διαχείρισης κλειδιών
- υποδομή domain
- cross-chain bridges
- παραμέτρους σχεδιασμού πρωτοκόλλου
Αυτή η εξάπλωση υποδηλώνει ότι ο κίνδυνος στο DeFi δεν περιορίζεται στις ευπάθειες κώδικα, αλλά εκτείνεται στην επιχειρησιακή ασφάλεια και την αρχιτεκτονική συστημάτων.
Τελική Σύνοψη
- Το exploit του Aftermath προστίθεται σε ένα κύμα περιστατικών του Απριλίου, με αναφερθείσες απώλειες άνω των $600 εκατ. που οφείλονται κυρίως σε λίγα μεγάλα γεγονότα.
- Ένας συνδυασμός σφαλμάτων συμβολαίου, παραβιάσεων κλειδιών και κινδύνων υποδομής αναδεικνύει τον πολυεπίπεδο χαρακτήρα των προκλήσεων ασφαλείας στο DeFi.
Source: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
