Rischi di Sicurezza nelle Borse Decentralizzate
Esaminando scambi ingiusti e furti di token negli exchange decentralizzati.
― 4 leggere min
Indice
Gli scambi decentralizzati (DEX) sono una parte popolare del movimento della finanza decentralizzata (DeFi). Permettono agli utenti di scambiare diversi tipi di token digitali senza bisogno di un'autorità centrale. Oggi, i DEX gestiscono un sacco di soldi, con miliardi di dollari bloccati in essi. Tuttavia, ci sono problemi di sicurezza che derivano dall'uso di queste piattaforme. Questo articolo analizzerà alcuni dei problemi con i DEX, concentrandosi in particolare su scambi ingiusti e furto di token.
Che cosa sono gli Scambi Decentralizzati?
Gli scambi decentralizzati permettono alla gente di scambiare token direttamente. Quando un utente vuole scambiare un tipo di token per un altro, lo fa tramite un modello di maker di mercato automatizzato (AMM). Negli AMM, gli utenti depositano token in pool e possono scambiarli quando necessario. DEX popolari come Uniswap e Sushiswap operano su questo modello.
Il Problema degli Scambi Ingiusti
Gli scambi ingiusti avvengono quando una parte approfitta di un'altra durante una transazione. Questo può succedere in vari modi, come:
- Prelievi Standalone: Quando qualcuno prende token da un pool senza mettere nulla.
- Disallineamento di Valore: Se qualcuno deposita un token ma ne ritira più valore di quanto ha messo.
- Disallineamento di Account: Quando gli account che depositano e prelevano non corrispondono, causando confusione.
Questi scambi ingiusti possono portare a furti di token, dove qualcuno ruba valore dall'account di qualcun altro. Lo studio di milioni di transazioni da grandi DEX ha scoperto che gli scambi ingiusti sono comuni e causano perdite finanziarie significative.
Tipi di Attacchi
Furto di Token
Gli attaccanti sfruttano le falle nel sistema per rubare token. Monitorano le transazioni, aspettando il momento giusto per agire. Spesso, inviano transazioni elaborate per reclamare valore proprio prima che qualcun altro possa farlo. Poiché i DEX non hanno controlli rigorosi, questo tipo di furto può essere facile per gli attaccanti.
Negazione del Servizio
In alcuni casi, gli utenti perdono token perché il DEX non permette loro di prelevare dopo aver effettuato un deposito. Questo potrebbe succedere se qualcuno deposita token usando un metodo non supportato dall'exchange, portando a "token persi."
Misurare gli Scambi Ingiusti
Per identificare gli scambi ingiusti, i ricercatori hanno analizzato enormi quantità di dati di transazione. Hanno esaminato transazioni che coinvolgono sei grandi DEX sulle reti Ethereum e Binance Smart Chain. Hanno trovato vari tipi di ingiustizia che mettono a rischio gli utenti.
Analisi dei Dati
Studiano i modelli di transazione, i ricercatori hanno identificato problemi comuni. Hanno messo in relazione depositi e prelievi per vedere dove si verificavano disallineamenti. Hanno notato che molte transazioni coinvolgevano casi di prelievi standalone e disallineamenti di valore, indicando tentativi di sfruttare il sistema.
Contromisure
Per affrontare questi problemi, sono state proposte alcune contromisure. Queste coinvolgono il cambiamento di come funzionano gli AMM:
Ridefinizione dei Pool AMM
Un'idea è quella di creare pool AMM che possano verificare chi sta effettuando un deposito. Questo garantirebbe che solo il depositante originale possa ritirare i propri token, prevenendo prelievi non autorizzati da parte degli attaccanti.
Servizi di Monitoraggio
Un altro approccio è quello di impostare servizi di monitoraggio che tracciano i depositi di token e rilevano attività sospette. Questo potrebbe aiutare a segnalare potenziali furti prima che accadano, permettendo risposte rapide.
Conclusione
L'ascesa degli scambi decentralizzati ha portato molti benefici, ma comporta anche rischi significativi per la sicurezza. Gli utenti devono essere consapevoli del potenziale per scambi ingiusti e furti di token in un sistema che manca di un forte controllo. La ricerca ha evidenziato la necessità di migliori misure di sicurezza per proteggere gli utenti mentre lo spazio DeFi continua a crescere.
Direzioni Future
Serve ulteriore lavoro per migliorare la sicurezza dei DEX. Questo include lo sviluppo di strumenti di monitoraggio migliori, la ridefinizione dei protocolli AMM e la conduzione di ulteriori ricerche per comprendere le minacce emergenti. Man mano che la finanza decentralizzata evolve, è fondamentale continuare a prestare attenzione alla sicurezza per costruire un ecosistema sicuro per tutti gli utenti.
Titolo: Understanding the Security Risks of Decentralized Exchanges by Uncovering Unfair Trades in the Wild
Estratto: DEX, or decentralized exchange, is a prominent class of decentralized finance (DeFi) applications on blockchains, attracting a total locked value worth tens of billions of USD today. This paper presents the first large-scale empirical study that uncovers unfair trades on popular DEX services on Ethereum and Binance Smart Chain (BSC). By joining and analyzing 60 million transactions, we find 671,400 unfair trades on all six measured DEXes, including Uniswap, Balancer, and Curve. Out of these unfair trades, we attribute 55,000 instances, with high confidence, to token thefts that cause a value loss of more than 3.88 million USD. Furthermore, the measurement study uncovers previously unknown causes of extractable value and real-world adaptive strategies to these causes. Finally, we propose countermeasures to redesign secure DEX protocols and to harden deployed services against the discovered security risks.
Autori: Jiaqi Chen, Yibo Wang, Yuxuan Zhou, Wanning Ding, Yuzhe Tang, XiaoFeng Wang, Kai Li
Ultimo aggiornamento: 2024-01-21 00:00:00
Lingua: English
URL di origine: https://arxiv.org/abs/2401.11547
Fonte PDF: https://arxiv.org/pdf/2401.11547
Licenza: https://creativecommons.org/licenses/by/4.0/
Modifiche: Questa sintesi è stata creata con l'assistenza di AI e potrebbe presentare delle imprecisioni. Per informazioni accurate, consultare i documenti originali collegati qui.
Si ringrazia arxiv per l'utilizzo della sua interoperabilità ad accesso aperto.
Link di riferimento
- https://dl.acm.org/ccs.cfm
- https://en.wikibooks.org/wiki/LaTeX/Algorithms_and_Pseudocode#Typesetting_using_the_algorithmicx_package
- https://tex.stackexchange.com/questions/7032/good-way-to-make-textcircled-numbers
- https://tex.stackexchange.com/questions/99493/how-to-make-the-line-number-in-algorithm-shown-in-bold/99515#99515
- https://en.wikibooks.org/wiki/LaTeX/Paragraph_Formatting#Line_spacing
- https://ctan.org/pkg/pifont
- https://ccs17.hotcrp.com/
- https://www.sigsac.org/ccs2017/format
- https://www.sigsac.org/ccs2017/practicefaq
- https://bloxy.info/search
- https://etherscan.io/tokens
- https://etherscan.io/address/0xdb40ea5b6d0ef9e45c00c194345b44765a53dd19
- https://etherscan.io/address/0xa5644e29708357803b5a882d272c41cc0df92b34
- https://github.com/chatch/hashed-timelock-contract-ethereum
- https://uniswap.org/bug-bounty
- https://shorturl.at/aADNY
- https://en.wikibooks.org/wiki/LaTeX/Tables#The_tabular.2A_environment_-_controlling_table_width
- https://github.com/s-tikhomirov/solidity-latex-highlighting/
- https://www.michaelshell.org/
- https://www.michaelshell.org/tex/ieeetran/
- https://www.ctan.org/tex-archive/macros/latex/contrib/IEEEtran/
- https://www.ieee.org/
- https://www.latex-project.org/
- https://www.michaelshell.org/tex/testflow/
- https://www.ctan.org/tex-archive/macros/latex/contrib/oberdiek/
- https://www.ctan.org/tex-archive/macros/latex/contrib/cite/
- https://www.ctan.org/tex-archive/macros/latex/required/graphics/
- https://www.ctan.org/tex-archive/info/
- https://www.tug.org/applications/pdftex
- https://www.ctan.org/tex-archive/macros/latex/required/amslatex/math/
- https://www.ctan.org/tex-archive/macros/latex/contrib/algorithms/
- https://algorithms.berlios.de/index.html
- https://www.ctan.org/tex-archive/macros/latex/contrib/algorithmicx/
- https://www.ctan.org/tex-archive/macros/latex/required/tools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/mdwtools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/eqparbox/
- https://www.ctan.org/tex-archive/obsolete/macros/latex/contrib/subfigure/
- https://www.ctan.org/tex-archive/macros/latex/contrib/subfig/
- https://www.ctan.org/tex-archive/macros/latex/contrib/caption/
- https://www.ctan.org/tex-archive/macros/latex/base/
- https://www.ctan.org/tex-archive/macros/latex/contrib/sttools/
- https://www.ctan.org/tex-archive/macros/latex/contrib/misc/
- https://www.michaelshell.org/contact.html
- https://dx.doi.org/10.14722/ndss.2023.23xxx
- https://www.ctan.org/tex-archive/biblio/bibtex/contrib/doc/
- https://www.michaelshell.org/tex/ieeetran/bibtex/