Obecnie rynek blockchain jako całość jest w powijakach, a zdecentralizowane finanse (DeFi) rynek jest jego najbardziej obiecującą częścią. Według danych DefiLlama, w 2021 r. rynek DeFi miał około 200 miliardów dolarów płynności zamkniętej w inteligentnych kontraktach. Jeśli spojrzymy na ten kapitał jako na początkową inwestycję, ten rynek wygląda na bardzo obiecujące przedsięwzięcie. Niewiele globalnych firm może pochwalić się taką kapitalizacją. Ale każdy młody rynek ma swoje problemy z ząbkowaniem. W przypadku DeFi głównym problemem jest brak wykwalifikowanych programistów blockchain.
Branża ta jest bardzo młoda i ma stosunkowo niewielką bazę użytkowników. Większość ludzi w najlepszym razie słyszała o DeFi, nie mając pojęcia, co to jest. Ale jak to bywa z każdym nowym obiecującym przedsięwzięciem, szybko wzbudza duże zainteresowanie spekulacyjne. Niestety przygotowanie personelu trwa znacznie dłużej, zwłaszcza jeśli chodzi o takie sfery wiedzy, jak blockchain i smart contract development. Oznacza to, że niektóre zespoły projektowe będą musiały pójść na kompromis i zatrudnić mniej doświadczony personel.
Ten problem nieuchronnie stwarza rosnące ryzyko luk w zabezpieczeniach w kodzie tych projektów. A potem mamy do czynienia z jego konsekwencjami w postaci utraconego kapitału użytkowników. Aby pokrótce zrozumieć, jak duży jest ten problem, mogę powiedzieć, że około 10% całkowitej zablokowanej płynności DeFi zostało skradzione przez hakerów. Nie powinno nikogo dziwić, że społeczeństwo głównego nurtu wolałoby trzymać się z dala od systemu finansowego, który stwarza takie zagrożenia dla ich funduszy.
Związane z: Jak protokoły DeFi są hackowane?
Jak ostatnio zmieniły się exploity DeFi?
Ataki na DeFi od dawna koncentrowały się na atakach na ponowne wejście. Możemy przywołać słynne Hakowanie DAO z 2016 roku, które spowodowało utratę 150 milionów dolarów w kapitale inwestorów i doprowadziło do hard forka Ethereum. Od tego czasu luka ta była wielokrotnie wykorzystywana w różnych inteligentnych kontraktach.
Funkcja wywołania zwrotnego jest aktywnie wykorzystywana przez protokoły pożyczkowe: umożliwia inteligentnym kontraktom sprawdzenie salda zabezpieczeń użytkowników przed udzieleniem pożyczki. Cały ten proces odbywa się w ramach jednej transakcji, co dało hakerom obejście możliwości kradzieży pieniędzy z takich inteligentnych kontraktów. Kiedy wysyłasz żądanie pożyczenia środków, funkcja zwrotna najpierw sprawdza saldo zabezpieczeń, a następnie wydaje pożyczkę, jeśli zabezpieczenie było wystarczające, a następnie zmienia saldo zabezpieczeń użytkownika w ramach inteligentnej umowy.
Aby oszukać inteligentny kontrakt, hakerzy zwracają wywołanie funkcji zwrotnej, aby zainicjować ten proces od początku. Ponieważ transakcja nie została sfinalizowana na blockchainie, funkcja udziela kolejnej pożyczki na to samo saldo zabezpieczenia. Mimo że rozwiązanie tego problemu jest na scenie wystarczająco długo, wiele projektów wciąż pada jego ofiarą.
Czasami zespoły projektowe z niewielkimi umiejętnościami pisania inteligentnych umów decydują się na pożyczenie bazy kodu innego projektu DeFi o otwartym kodzie źródłowym, aby wdrożyć własną inteligentną umowę. Zwykle robią to z renomowanymi projektami, które zostały poddane audytowi i mają dużą bazę użytkowników i okazały się być bezpiecznie zbudowane. Mogą jednak zdecydować się na drobne modyfikacje pożyczonego kodu, aby dodać funkcjonalności, które chcą mieć w swoim inteligentnym kontrakcie, nawet bez zmiany oryginalnego kodu. Może to uszkodzić logikę inteligentnego kontraktu, z czego programiści często nie zdają sobie sprawy.
Co to jest pozwolił hakerom ukraść około 19 milionów dolarów z Cream Finance w sierpniu 2021 r. Zespół Cream Finance pożyczył kod z innego protokołu DeFi i dodał token wywołania zwrotnego w swojej inteligentnej umowie. Mimo że można zapobiegać atakom polegającym na ponownym wejściu na rynek, wdrażając wzorzec „sprawdzeń, efektów, interakcji”, który przedkłada zmianę równowagi nad wydawaniem funduszy, niektóre zespoły nadal nie chronią swoich platform przed tymi exploitami.
Ataki na pożyczki błyskawiczne umożliwiają hakerom kradzież środków w inny sposób i stają się coraz bardziej popularne od czasu boomu DeFi w 2020 r. Główną ideą ataków za pomocą pożyczki błyskawicznej jest to, że nie trzeba mieć zabezpieczenia, aby pożyczyć środki z protokołu, ponieważ parytet finansowy jest nadal gwarantowany przez fakt, że pożyczka jest zaciągana i zwracana w ramach jednej transakcji. I nie nastąpi to, jeśli nie zwrócisz pożyczki wraz z odsetkami w jednej transakcji. Jednak osoby atakujące były w stanie przeprowadzić udane ataki typu flash pożyczki na wiele protokołów.
Związane z: Potrzebne: ogromny projekt edukacyjny mający na celu zwalczanie hacków i oszustw
Robiąc to, używają wielu protokołów do pożyczania i przeciągania płynności, aż do ostatniego aktu, w którym zwiększają cenę tokena za pośrednictwem wyroczni lub puli płynności i używają go do oszukania pompy i zrzutu i zniknięcia z płynnością w tablicy niektórych głównych różnych kryptowalut, takich jak Ether (ETH.), owinięty bitcoin (wBTC) i inne. Niektóre znane ataki typu flash pożyczki obejmują: Atak Pancake Bunny, gdzie protokół stracił 200 milionów dolarów, oraz kolejny atak Cream Finance, w którym skradziono ponad 100 milionów dolarów.
Jak bronić się przed exploitami DeFi?
Aby zbudować bezpieczny protokół DeFi, najlepiej ufać tylko doświadczonym programistom blockchain. Powinni mieć profesjonalnego kierownika zespołu z umiejętnościami tworzenia zdecentralizowanych aplikacji. Warto również pamiętać o korzystaniu z bezpiecznych bibliotek kodu do programowania. Czasami mniej aktualne biblioteki mogą być najbezpieczniejszą opcją niż te z najnowszymi bazami kodu.
Testowanie jest kolejna ważna rzecz wszystkie poważne projekty DeFi muszą to zrobić. Jako CEO firmy audytorskiej smart kontraktów zawsze staram się objąć 100% kodem naszych klientów i podkreślam znaczenie zdecentralizowanej ochrony kluczy prywatnych używanych do wywoływania funkcji smart kontraktów z ograniczonym dostępem. Najlepiej zastosować decentralizację klucza publicznego poprzez multisygnaturę, która uniemożliwia jednemu podmiotowi pełną kontrolę nad umową.
W końcu edukacja jest jednym z kluczy, które pozwolą systemom finansowym opartym na blockchainie stać się bezpieczniejszym i bardziej niezawodnym. A edukacja powinna być jedną z głównych trosk osób poszukujących pracy w DeFi, ponieważ może oferować przepyszne nagrody wszystkim, którzy mogą wnieść realny wkład.
Ten artykuł nie zawiera porad inwestycyjnych ani rekomendacji. Każdy ruch inwestycyjny i handlowy wiąże się z ryzykiem, a czytelnicy powinni przeprowadzić własne badania podczas podejmowania decyzji. Poglądy, myśli i opinie wyrażone tutaj są wyłącznie autorami i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph. Dmitrij Miszunin jest założycielem i dyrektorem generalnym firmy HashEx zajmującej się bezpieczeństwem i analizą DeFi i posiada wieloletnie doświadczenie w dziedzinie bezpieczeństwa blockchain. Poświęcił dużo czasu na działalność naukową, taką jak badania nad systemami IT, blockchainem i podatnościami w DeFi. Pod kierownictwem Dmitry'ego HashEx stał się jednym z liderów w dziedzinie audytów inteligentnych kontraktów. Źródło: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi