A kiberbűnözők egyre gyakrabban lopnak pénzt a kriptobefektetőktől

Az FBI nemrég arra figyelmeztetett, hogy a kiberbűnözők egyre gyakrabban használják ki a blokklánc-alapú DeFi platformok sérülékenységeit, hogy ezzel megkárosítsák a kriptobefektetőket. 

A blokklánc technológiára ma már egészen sokféle pénzügyi szolgáltatások épülnek, a befektetés mellett akár kölcsön felvételére is lehetőséget biztosítanak. Azokat a rendszereket, amelyeken mindez megvalósul, összefoglaló néven DeFi (decentralized finance, magyarul decentralizált pénzügyi) platformoknak nevezzük. Működésük alapját az ún. okosszerződések jelentik, amelyek olyan algoritmusok, amikkel a tranzakciók teljesen automatikusan, emberi közreműködés nélkül mennek végbe.

Sajnos azonban, mint minden technológiát, ezt is érinthetik szoftver sérülékenységek, illetve a protokollokat esetenként a fejlesztők nem megfelelően implementálják, amit a kiberbűnözők előszeretettel használnak ki a támadások során. (Mivel a DeFi platformok nyílt forráskódúak, azokban a megfelelő technológiai ismeretek birtokában lényegében bárki találhat hibát.) A Chainalysis jelentése szerint az ilyen támadások egyre nagyobb mértékűek, idén már közel 2 milliárd dollár értékű kár keletkezett ezekből.

Forrás: Chainalysis jelentés

Az egyik nagyon gyakori támadási módszer az ún. villámhitel támadás (flash loan attack), amikor a hackerek az okosszerződéseket vagy a különböző kriptotőzsdék sebezhetőségeit kihasználva manipulálják a tokenek árfolyamát.

A DeFi platformokon a villámhitel (flash loan) típusú tranzakciók azt jelentik, hogy a kölcsönző egyetlen tranzakcióban vesz fel kölcsönt (tokeneket), amikkel további tranzakciókat végezhet, azaz kereskedhet, azonban a tranzakció utolsó lépéseként a kölcsönzött tokeneket vissza kell fizetnie ─ jóvá kell írnia.
A gyorskölcsön egyfajta arbitrázs kereskedést jelent, aminél profitra a tokenek árfolyamának változása miatt lehet szert tenni.

Az FBI azt javasolja, bármilyen DeFi befektetés esetén javasolt nagyon alaposan kutatást végezni az adott DeFi platformmal (DAppok) kapcsolatban. A legfontosabb, hogy a platform időközönként végezzen független szakértők bevonásával kód auditot, amelyek kiszűrhetik a komolyabb sérülékenységeket.

(thehackernews.com)