Aftermath on kinnitanud oma püsivate positsioonide (perpetuals) protokolli turvalisuslõhe, mis on viimane turvalisuse insident selles kuus, mil DeFi-s on laialdaselt tehtud kaotusi.
Meeskond ütles, et probleem pärines veast, mis võimaldas seadistada negatiivseid ehitajatasusid (builder fees), mille tulemusena tekkisid kaotused umbes 1,14 miljoni dollari ulatuses. Protokoll peatati ennetusabinas, samas jäävad puutumata tooted tööle.
See juhtum lisandub laiemasse aprillis toimunud lõhete mustrisse, kus nii suuremahulised ebaõnnestumised kui ka väiksemad tõrked on mõjutanud mitmeid protokolle.
Suured lõhed domineerivad aprillis tehtud kaotuste seas
Kahe juhtumi andmetel moodustavad nad selle kuu teatavate kaotuste suurima osa.
Kelp DAO rsETH-ga seotud lõhe põhjustas ühe suurimatest häiretest, mille hinnanguline mõju oli umbes 292 miljonit dollarit. Probleem seisnes tagasisidestatud varade (unbacked assets) müntimises läbi sildaga (bridge) seotud turvalisuslõhe, mis levis seejärel integreeritud protokollides.
Kuigi vahendeid ei „drennitud“ tavapärasel moel, tekitas see süstemaatilist riski, eriti laenuplatvormidele, mis olid selle vara suhtes avatud.
Teine suur juhtum puudutas Drift Protocoli, kus rünnak, mis oli seotud kollateraali manipuleerimisega ja administraatorijuurdepääsuga, põhjustas olulisi kaotusi. Arvatakse, et mõju oli sadu miljoneid dollareid, kuigi rünnaku struktuur erines tavapärasest lõhest.
Koos moodustavad need juhtumid suurima osa aprillis teatavatest kaotustest, mis ületavad saadaolevate jälgimisandmete kohaselt 600 miljonit dollarit.
Kesk- ja väiksemad lõhed jätkuvad
Suurimate juhtumite kõrval on mitmed keskmise suurusega lõhed kaasaegnud kuu kokkuvõttesse.
Rhea Finance kaotas umbes 7,6 miljonit dollarit pärast rünnakut, mis sisaldas valelikke tokenite lepinguid ja orakli manipuleerimist.
Grinex Exchange teatas umbes 13,7 miljoni dollari suurusest rahakotti drennimisest, mis mõjutas mitmeid aadresse.
GiddyDefi kaotas ligikaudu 1,3 miljonit dollarit autoriseerimise valideerimise vea tõttu, mis oli seotud allkirjade taaskasutamise (signature replay) mehhanismiga.
CoW Swap koges ka umbes 1,2 miljoni dollari suurust juhtumit domeeniülese (domain-hijacking) rünnaku tõttu, mis rõhutab riske, mis ulatuvad kaugemale tarkvaralepingute (smart contract) turvalisusveadest.
Väiksemad juhtumid näitavad püsivaid nõrkusi
Ecosystemis on teatatud ka mitmest väiksemast lõhest.
Silo Finance, Aethir ja Dango kogesid kõik kaotusi, mis olid seotud oraklite valekonfigureerimisega, juurdepääsu kontrolli probleemidega või lepingu vigadega. Mõnel juhul, näiteks Dango puhul, taastati vahendid hiljem white-hat-interventsiooni abil.
Viimati avaldasid Scallop ja Volo Protocol juhtumid, mis olid seotud vastavalt lepingu loogikavigadega ja privaatvõtme kompromitteerumisega. Kuigi need juhtumid olid väiksemad, kinnitavad nad turvalisusvigade sageli esinemist erinevates DeFi kihtides.
Lõhenenud riskide maastik
Kokku võttes näitavad aprillis toimunud juhtumid pigem lõhenenud riskikeskkonda kui ühtset nurka.
Lõhed on toimunud:
- tarkvaralepingute (smart contract) loogikas
- võtmete haldussüsteemides
- domeeni infrastruktuuris
- ristkihiliste sildade (cross-chain bridges) kaudu
- protokolli disainiparameetrites
See levimus viitab sellele, et DeFi-s olev risk ei piirdu ainult koodi vigadega, vaid ulatub ka operatsioonilise turvalisuseni ja süsteemi arhitektuurini.
Lõplik kokkuvõte
- Aftermathi lõhe lisandub aprillis toimunud lainele, kus üle 600 miljoni dollari suurused teatavad kaotused tulenevad peamiselt mõnest suurest juhtumist.
- Lepevigade, võtmete kompromitteerumise ja infrastruktuuri riskide segunemine näitab DeFi turvalisusprobleemide paljukihulisust.
Allikas: https://ambcrypto.com/aftermath-exploit-adds-to-aprils-growing-list-of-defi-security-incidents/
