A DeFi platformokat irányító okosszerződések a bűnüldöző szerv számára különösen aggasztónak bizonyultak.
Az Egyesült Államok Szövetségi Nyomozó Irodája (FBI) újabb figyelmeztetést adott ki a decentralizált pénzügyi (DeFi) platformok befektetőinek, amelyek 2022-ben 1,6 milliárd dollár értékű támadást szenvedtek el.
Az FBI internetes bűnügyi panaszközpontján kedden közzétett közérdekű közleményben az ügynökség közölte, hogy az exploitok miatt a befektetők pénzt veszítettek – azt tanácsolva a befektetőknek, hogy a DeFi platformok használata előtt végezzenek alapos kutatást a DeFi platformokkal kapcsolatban, miközben a platformokat a felügyelet fejlesztésére és a szigorú kódtesztelésre is felszólítja.
A bűnüldöző ügynökség arra figyelmeztetett, hogy a kiberbűnözők nagy erőkkel próbálják kihasználni „a befektetők kriptovaluták iránti megnövekedett érdeklődését”, valamint „a láncközi funkciók összetettségét és a Defi platformok nyílt forráskódú jellegét”.
The #FBI warns that cyber criminals are increasingly exploiting vulnerabilities in decentralized finance (DeFi) platforms to steal investors cryptocurrency. If you think you are the victim of this, contact your local FBI field office or IC3. Learn more: https://t.co/fboL1N17JN pic.twitter.com/VKdbpbmEU1
— FBI (@FBI) August 29, 2022
Az FBI megfigyelte, hogy a kiberbűnözők a DeFi platformokat irányító intelligens szerződésekben lévő sebezhetőségeket használják ki, hogy ellopják a befektetők kriptopénzét.
Konkrét példaként az FBI olyan eseteket említett, amikor a hackerek egy „aláírás-ellenőrzési sebezhetőséget” használtak fel arra, hogy 321 millió dollárt fosszanak ki a Wormhole tokenhídról még februárban. Megemlítettek egy flash loan támadást is, amelyet a Solana DeFi protokoll Nirvana exploitjának kiváltására használtak júliusban.
Ez azonban csak egy csepp a hatalmas óceánban. A CertiK blokkláncbiztonsági cég elemzése szerint az év eleje óta több mint 1,6 milliárd dollárt zsákmányoltak a DeFi területről, ami meghaladja a 2020-ban és 2021-ben együttesen ellopott összeget.
Az FBI körültekintést és tesztelést javasol
Bár az FBI elismerte, hogy „minden befektetés jár némi kockázattal”, az ügynökség azt ajánlotta, hogy a befektetők használat előtt alaposan vizsgálják meg a DeFi platformokat, és ha kétségeik vannak, kérjenek tanácsot egy engedéllyel rendelkező pénzügyi tanácsadótól.
Az ügynökség szerint az is nagyon fontos, hogy a platformok protokolljai megbízhatóak legyenek, és biztosítsák, hogy független ellenőrök által végzett egy vagy több kódellenőrzésen is átestek.
A kódaudit jellemzően a platformok alapjául szolgáló kód felülvizsgálatát foglalja magában, hogy azonosítani lehessen a sebezhetőségeket vagy gyenge pontokat, amelyeket ki lehet használni.
Az FBI szerint a „rendkívül korlátozott csatlakozási idővel” vagy az „okos szerződések gyors bevezetésével” rendelkező DeFi befektetési poolokhoz is rendkívül óvatosan kell viszonyulni, különösen akkor, ha nem végeztek kódauditot.
A crowdsourced megoldásokat, vagyis az ötleteket vagy tartalmakat az emberek nagy csoportjának hozzájárulását kérve generáló megoldásokat szintén kiemelte a bűnüldöző hatóság:
A nyílt forráskódú kódtárolók korlátlan hozzáférést biztosítanak minden személy számára, beleértve a rosszindulatú személyeket is.
Az FBI szerint a DeFi platformok is tehetnek a biztonság növeléséért, ha a valós idejű analitika és megfigyelés mellett rendszeresen tesztelik a kódjukat a sebezhetőségek azonosítása érdekében.
Az ajánlások között szerepel az incidensekre való reagálási terv, valamint a felhasználók tájékoztatása a platform lehetséges sebezhetőségéről, hackeléséről, kihasználásáról vagy más gyanús tevékenységről.
Mindezek hiányában azonban az FBI arra kéri a hackerek által megcélzott amerikai befektetőket, hogy az internetes bűnügyi panaszközponton vagy a helyi FBI kirendeltségen keresztül lépjenek kapcsolatba velük.
Az év elején Lisa Monaco, az amerikai főügyészhelyettes bejelentette, hogy az FBI fokozza a digitális eszközökkel kapcsolatos bűncselekményekkel szembeni erőfeszítéseit a Virtuális Eszközök Kihasználásával Foglalkozó Egység (Virtual Asset Exploitation Unit) létrehozásával.
A kriptopénzekre szakosodott csapat a blokkláncelemzésben segítséget nyújtó szakértőket is magába foglalja, a nemzetközi bűnszövetkezetek felszámolása, és nem csak a felelősségre vonásuk felé történő összpontosítás keretében.
