Toetab
Security

DeFi uusim oht: kuidas pahatahtlikud likviidsusfondid petavad Ethereumi ja Polygoni kasutajaid hinnapakkumistega

DeFi-infrastruktuuri ettevõte Enso on tuvastanud uue pahatahtlike likviidsusfondide liigi, mida nimetatakse „toksilisteks fondideks“. Erinevalt traditsioonilistest rünnakutest, mille puhul varastatakse raha otse, manipuleerivad need fondid tehingusimulatsioone.

JAGA
DeFi uusim oht: kuidas pahatahtlikud likviidsusfondid petavad Ethereumi ja Polygoni kasutajaid hinnapakkumistega

Peamised järeldused

  • Enso 16. juuli aruandes paljastati „toksilised fondid”, mis võltsivad hinnapakkumisi, põhjustades Curve’i fondis kümnete tuhandete dollarite suuruseid kahjusid.
  • See rünnak ohustab DeFi-liideseid, kusjuures üks pahatahtlik Uniswap v4-hook põhjustas 99,1% ebaõnnestumismäära.
  • Enso uuendas oma toodet Enso Shield, et tuvastada võltsitud hinnapakkumisi kahes erinevas plokiahela keskkonnas.

„Jekyll ja Hyde’i“ taktika

DeFi-infrastruktuuriettevõtte Enso 16. juulil avaldatud uue uuringu kohaselt on hiljuti avastatud uus tüüp pahatahtlikke detsentraliseeritud rahanduse (DeFi) likviidsuspoolisid, mis on suunatud just sellele tuumikinfrastruktuurile, millele krüptovaluuta kauplejad tuginevad parimate hindade leidmisel.

Ettevõte nimetab neid petlikke süsteeme „mürgisteks poolideks“. Erinevalt tüüpilistest krüptovaluuta-häkkimistest, mis võtavad raha otse nutilepingutest, on need fondid loodud selleks, et süstemaatiliselt petta tehingusimulatsioone. Nad pakuvad atraktiivseid ja väga konkurentsivõimelisi hinnapakkumisi, kui krüptorahakott või detsentraliseeritud börsi (DEX) koondaja teostab simulatsiooni, kuid muudavad oma käitumist hetkel, mil tehing plokiahelas tegelikult täidetakse.

Selle tulemuseks on peen, süsteemne raha äravool: kauplejad saavad tehingute sooritamisel oluliselt halvemad hinnad kui neile pakuti või nende tehingud ebaõnnestuvad, kulutades selle käigus võrgutasusid.

„Meie uurimine viib meid järeldusele, et tegemist ei ole lihtsalt järjekordse üksiku nutilepingu ärakasutamisega,“ ütles Enso kaasasutaja ja tootearendusjuht Milos Costantini. „Tööstus on aastaid kulutanud hinnakujunduse optimeerimisele. Meie järeldused viitavad sellele, et järgmine väljakutse on tehingute täitmise terviklikkuse kontrollimine.“

Enso aruande kohaselt kasutavad toksilised poolid ära ahela-väliseid „proovikäivituse“ simulatsioone, mida rahakotid kasutavad tehingute eelvaatamiseks. Pahatahtlikud lepingud tuvastavad, kui nad töötavad ainult lugemisõigusega simulatsioonikeskkonnas, ja tagastavad kunstlikult optimeeritud hinna. Kui tehing on tegelikult ahelas edastatud, muudab fond oma matemaatilist loogikat, et tehingut teostada halvenenud kursiga.

Et jääda turvasüsteemidele märkamatuks, vahelduvad need fondid ausate ja pahatahtlike seisundite vahel, muutes staatilised koodiskannerid ja ajaloolised mainefiltrid ebaefektiivseks. Selline „sööt ja vahetus“ skeem halvendab kasutajakogemust ja kurnab kasutajate rahalisi vahendeid ebaõnnestunud tehingute kaudu. Ühes juhtumiuuringus põhjustas manipuleeritud Curve’i pool üle 37 000 tühistatud tehingu, sundides kasutajaid kulutama peaaegu 30 000 dollarit gaasitasudele.

Ründajad kasutavad ära ka järgmise põlvkonna modulaarseid vahetusarhitektuure. Polygonil meelitas pahatahtlik „hook“ – nutilepingu pistikprogramm, mida kasutatakse sellistes platvormides nagu Uniswap v4 – marsruutimissüsteeme võltskursidega, enne kui põhjustas 99,1% tehingute ebaõnnestumise määra.

Ahelal põhineva forensiilise analüüsi tulemused

Uuring, mis hõlmas ligikaudu kahekuulist ahela-forensilist analüüsi, ühendas ajaloolisi arhiiv-sõlme andmeid, tehingute jälgimise analüüsi ja nutilepingute kontrollimist. Enso insenerid tuvastasid suurte DeFi-protokollide Curve Finance ja Oku kontaktide toel aktiivsed kahjulikud poolid, mis tegutsesid nii Ethereumi kui ka Polygoni plokiahelates.

Ühes dokumenteeritud juhtumiuuringus Ethereumi kohta töötles manipuleeritud Curve’i pool üle 129 000 vahetustehingu. Kuigi pool näis olevat optimaalne marsruut, pakkus see noteeritud hinnast halvemate tehingutingimustega, mille tulemusena tekkis ligikaudu 225 000 dollari ulatuses ülehinnatud noteeringuid.

Lisaks tuvastas Enso meeskond mitu plokiahela oraakli lepingut, mille oli kasutusele võtnud sama operaator täiendavate fondide toetamiseks, mis viitab sellele, et see taktika on tõenäoliselt laiemalt levinud kui need kaks dokumenteeritud juhtumit ning võib kujutada endast tekkivat mudelit ahelasisese väljavõtmise jaoks.

Need leiud kujutavad endast otsest väljakutset DeFi ökosüsteemi kasutajale suunatud kihile. Populaarsed rahakotid, tarbijatele suunatud kasutajaliidesed ja agregaatorid sõltuvad suuresti automatiseeritud simulatsioonidest, et tagada kasutaja tehingule „parim marsruut“.

Enso raport rõhutab, et kui marsruutimise infrastruktuur ei suuda eristada õiguspärast hinnapakkumist manipuleeritud hinnapakkumisest, suunavad kasutajaliidesed kasutajaid jätkuvalt nende lõksude poole. See tekitab potentsiaalseid õiguslikke ja rahalisi vastutusriske rahakoti pakkujatele ja kasutajaliideste operaatoritele, kes lubavad „parimat tehingu täitmist”, kuid pakuvad rutiinselt kahjulikke marsruute.

Vastuseks sellele ohule teatas Enso, et on uuendanud oma tehingute täitmise kaitset pakkuvat toodet Enso Shield, lisades sellele spetsiaalse kahjulike tehingupoolide tuvastamise funktsiooni. Turvavahend on loodud selleks, et ületada tavapäraseid simulatsioonimeetodeid, analüüsides reaalajas ahelas toimuvat konteksti, jälgides hinnapakkumiste ajalugu ja kasutades tehingute jälgi, et avastada täitmise kõrvalekaldeid.

Selle asemel, et süüdistada üksikuid detsentraliseeritud börse, on Enso kutsunud kogu krüptovaluuta-tööstust üles uurima põhjalikumalt tehingusimulatsioonide manipuleerimist.

„Kui tehingusimulatsioone on võimalik manipuleerida, samas kui tegelik täitmine näitab midagi muud,“ ütles Costantini, „vajame paremaid viise, et kontrollida, mida kasutajad tegelikult saavad.“

See artikkel tõlgiti inglise keelest tehisintellekti abil. Ingliskeelne originaalversioon on autoriteetne allikas; automaatsed tõlked võivad sisaldada ebatäpsusi, eriti juriidilises ja regulatiivses terminoloogias.