注意が必要なDeFiのエクスプロイトの種類

ブロックチェーンテクノロジーやスマートコントラクトが進歩したとしても、エクスプロイトに対して脆弱な抜け穴やエラーが存在し、通常はユーザーの資産の損失につながります。 これは、投資家になるときに考慮しなければならない最大のリスクのXNUMXつです。 DeFiスペース、 特にあなたが 暗号初心者。 この記事では、エクスプロイトの主な種類について説明します。これにより、エクスプロイトを認識して回避することができます。

ラグプル

ラグプルは、流動性プールから流動性を取り除く出口詐欺の一般的な用語です。 詐欺師は一見魅力的で儲かるプロジェクトを思い付くことができますが、投資家が集まって価格を上げると、プロジェクトからすべての流動性を引き出し、資金を持ち去ります。 これは投資家の資本に深刻な損害を与え、最終的にはすべての資産を売却せざるを得なくなります。

ラグプルは、実行が非常に簡単なため、暗号領域で非常に頻繁に発生します。 開発者チームが流動性プールにアクセスできる限り、エクスプロイトを成功させないために、開発者チームに盲目的な信頼を置くだけです。 最初にプールにアクセスできない場合でも、プロジェクトを更新して自分に許可を与えることができます。

したがって、プロジェクトに投資する前に、調査が最も重要です。 透過的でアクセス可能なソースコード、流動性プールのタイムロック、およびプールにアクセスするためにさまざまな個人からキーを取得するマルチシグニチャシステムを備えたプロジェクトを探します。

CertiKは、監査済みレポートを調べてプロジェクトの脆弱性を検出するのに非常に便利なサイトです。 サイバーセキュリティのバックグラウンドがない人にとっては、情報を消化するのが難しい場合がありますが、サイトは問題を読みやすい方法で要約します。 加えて、 レクトニュース DeFiエクスプロイトが発生している場所を追跡するのに適しています。

フラッシュローンの攻撃とエクスプロイト

フラッシュローンは、ユーザーがスマートコントラクトを使用して無担保でローンを借りることができる特別な取引ツールです。 スマートコントラクトは、トランザクションが終了する前に借り手にローンを返済するように強制します。そうしないと、プロセスが逆になり、ローンが発生しないようになります。 フラッシュローンは、そのスピードと無担保の性質のために便利な手段ですが、潜在的な攻撃やエクスプロイトも伴います。

アービトラージ取引

エクスプロイトと見なされていても、裁定取引は非常に一般的であり、人々がフラッシュローンを利用する主な理由の1つですらあります。 基本的に、同じ暗号通貨は、取引量とタイムゾーンのために、異なる取引所での取引価格に3〜XNUMX％の違いがある可能性があります。

アービトラージ取引はこの価格差を利用して、ある取引所でより低い価格でコインを借り、別の取引所で利益を得るためにそれらを販売してから、ローンを返済します。 基本的に、これはすべて数秒で行われます。 無料の暗号を獲得する。 裁定取引を減らすには、より安定した市場が必要です。

フラッシュローン攻撃

フラッシュローンはセキュリティをスマートコントラクトのみに依存しているため、これらのスマートコントラクト自体がルールやプロトコルを改ざんする可能性があります。 そのような攻撃のXNUMXつは 再入攻撃.

この攻撃は、次のステップが有効になる前に、スマートコントラクトが別の信頼できないコントラクトに外部呼び出しを行ったときに発生します。 誰かがこの信頼できない契約を管理することに成功した場合、元の機能に対する応答を何度も作成して、同じ対話を繰り返すことができます。 永続的な繰り返しは、スマートコントラクトが解決されるのを防ぎ、最終的にはスマートコントラクトからすべてのエーテルを排出するか、実行を最大スタックサイズに到達させます。

ウォッシュトレーディング

ウォッシュ取引は、暗号通貨と同様に株式取引でも一般的です。 これは、私たちの場合、コインの大規模なトランザクションを実行して、市場に誤った情報を作成し、そのコインの価格を引き上げる慣行を指します。 その後、舞台裏の人々は価値を高めるためにコインを販売します。

仮装取引は、投資家とブローカーの両方が参加する行為、または投資家だけが買い手と売り手の両方として行動する行為のいずれかです。 これは米国の法律では違法であり、IRSはウォッシュセールに起因する損失を却下します。これは、証券を購入してから30日以内に発生して損失をもたらすものとして定義されます。

DeFiエクスプロイトの実際の例

バリューデファイ

Value DeFiプラットフォームは、DeFiコミュニティに公平性と革新性をもたらすことを目的としたさまざまなサービスを提供します。 残念ながら、これは何度も何度も悪用されてきた数少ないプロトコルのXNUMXつです。

最初のエクスプロイトは、2020年の終わりに発生した古典的なフラッシュローン攻撃でした。エクスプロイトはなんとか7万ドルを盗みましたが、「フラッシュローンを本当に知っていますか？」というメッセージで開発者に2万ドルを返しました。

2021年4月、Value DeFiは10日間でXNUMX回悪用されましたが、どちらもコーディングエラーを利用していました。 最初の攻撃者はなんとか流動性プールの所有者として自分自身を設定し、彼らはXNUMX万ドルで立ち去りました ビットコインの価値。 50番目のエクスプロイトは、「バンコール式」の誤った使用法を標的にしており、エクスプロイトは50/11の分割流動性を持たないプールからお金を盗むことができました。 その結果、XNUMX万ドルが盗まれました。

ミーアキャットファイナンス

Meerkat Financeは、たった31日でローンチした後、約XNUMX万ドルで利用されたイールドアグリゲータープロトコルです。 攻撃の直前にプロジェクトが更新され、開発者がユーザー資金にバックドアでアクセスできるようになるまで、これは単なる別のエクスプロイトのように見えました。

すべての証拠は、これがハックを装ったラグプルであることを示していますが、店で待っている別のひねりがあることを人々はほとんど知りませんでした。 翌日、すべての投資家に返金され、「ラグプル」は「社会的実験」を使用して、「ユーザーの欲望と主観性」をテストします。 したがって、誰もお金を失うことがなかったのは幸運でしたが、ミーアキャットファイナンスの事例は、徹底的な調査なしに人々がプロジェクトに投資することがいかに簡単であるかを示しました。

イージーファイ

開発者がEasyFiという名前を思いついたとき、彼らはおそらく「悪用しやすい」という意味ではありませんでした。 それでも、EasyFiは、ステーブルコインで6万ドル、EASYトークンで53万ドルという最も悲惨なDeFiエクスプロイトの犠牲者でした。 これは、ハッカーが管理キーにアクセスできるようにするEasyFi公式トランザクションに使用されるコンピューターに悪意のあるバージョンのMetaMaskを注入することによって達成されました。 EasyFiの創設者、 Ankitt Gaurは、 1万ドルの支払い 盗まれた資金を返すためにハッカーに送ったが、彼らがすぐに噛んでいるようには見えない。

ハーベストファイナンス

ハーベストファイナンスは、フラッシュローンによって攻撃されたさらに別の利回りアグリゲータープロトコルです。 搾取者は最初に50万ドルのUSDTフラッシュローンを取り、次に11.4万ドルのUSDCをUSDTに交換したため、USDTの価格が上昇しました。 次に、60.6万ドルのUSDTをボールトに預け、11.4万ドルをUSDCに戻したため、USDTの価格が下がりました。 その後、彼らはボールトから60.6万ドルのUSDTを引き出し、価格裁定取引から0.5万ドルの利益を得ました。 彼らはこのプロセスを32回、すべて7分で繰り返しました。

ソース：https：//e-cryptonews.com/types-of-exploits-in-defi-you-need-to-watch-out-for/