Ponieważ sektor DeFi nadal przyciąga pieniądze i użytkowników, źli aktorzy z całego świata nadal postrzegają go jako atrakcyjny cel, który jest dojrzały do zbierania i słabo chroniony.
W ciągu ostatnich kilku miesięcy śledziłem niektóre z najbardziej znanych exploitów protokołów DeFi, a co najmniej siedem z nich wydaje się być wynikiem samych wad inteligentnych kontraktów.
Na przykład hakerzy wpadli i obrabowali Wormhole, kradnąc ponad 300 milionów dolarów, Qubit Finance (80 milionów dolarów), Meter (4.4 miliona dolarów), Deus (3 miliony dolarów), TreasureDAO (ponad 100 NFT) i wreszcie Agave i Hundred Finance, które razem , stracił w sumie 11 milionów dolarów. Wszystkie te ataki spowodowały kradzież dość znacznych kwot pieniędzy, powodując poważne szkody w projektach.
Wiele z docelowych protokołów doświadczyło dewaluacji ich kryptowaluty, nieufności ze strony użytkowników, krytyki dotyczącej bezpieczeństwa DeFi i inteligentnych kontraktów oraz podobnych negatywnych konsekwencji.
Jakie rodzaje exploitów wystąpiły podczas ataków?
Oczywiście każdy z tych przypadków jest wyjątkowy, a do radzenia sobie z każdym indywidualnym projektem wykorzystano różne rodzaje exploitów, w zależności od ich słabych punktów i wad. Przykłady obejmują błędy logiczne, ataki na ponowne wejście, ataki typu flashloan z manipulacjami cenami i inne. Uważam, że jest to wynikiem tego, że protokoły DeFi stają się coraz bardziej złożone, a złożoność kodu sprawia, że coraz trudniej jest usunąć wszystkie niedociągnięcia.
Co więcej, podczas analizy każdego z tych incydentów zauważyłem dwie rzeczy. Po pierwsze, hakerom za każdym razem uchodziło na sucho ogromne kwoty — warte miliony dolarów w krypto.
Ta „wypłata” daje hakerom motywację do poświęcenia niezbędnego czasu na studiowanie protokołów, nawet miesiącami, ponieważ wiedzą, że nagroda będzie tego warta. Oznacza to, że hakerzy są zmotywowani do spędzania znacznie więcej czasu na szukaniu wad niż audytorzy.
Drugą rzeczą, która się wyróżniała, jest to, że w niektórych przypadkach hacki były w rzeczywistości niezwykle proste. Weźmy na przykład atak Hundred Finance. Projekt został trafiony przy użyciu dobrze znanego błędu, który zwykle można znaleźć w rozwidleniu złożonym, jeśli do protokołu zostanie dodany token. Jedyne, co musi zrobić haker, to poczekać, aż jeden z tych tokenów zostanie dodany do stu finansów. Następnie wystarczy wykonać kilka prostych kroków, aby użyć exploita, aby dostać się do pieniędzy.
Co projekty DeFi mogą zrobić, aby się chronić?
Idąc dalej, najlepszą rzeczą, jaką te projekty mogą zrobić, aby uchronić się przed złymi aktorami, jest skupienie się na audytach. Im bardziej dogłębne, tym lepiej, prowadzone przez doświadczonych profesjonalistów, którzy wiedzą na co zwrócić uwagę. Ale jest jeszcze jedna rzecz, którą projekty mogą zrobić, nawet przed uciekaniem się do audytów, a jest to upewnienie się, że mają dobrą architekturę stworzoną przez odpowiedzialnych programistów.
Jest to szczególnie ważne, ponieważ większość projektów blockchain to projekty typu open source, co oznacza, że ich kod ma tendencję do kopiowania i ponownego wykorzystywania. Przyspiesza to proces rozwoju, a kod jest darmowy do wzięcia.
Problem polega na tym, że okaże się, że jest wadliwy i zostanie skopiowany, zanim oryginalni programiści odkryją luki i je naprawią. Nawet jeśli ogłoszą i zaimplementują poprawkę, osoby, które ją skopiowały, mogą nie zobaczyć wiadomości, a ich kod pozostanie podatny na ataki.
W jakim stopniu audyty faktycznie mogą pomóc?
Inteligentne kontrakty działają jak programy działające w technologii blockchain. W związku z tym możliwe jest, że są one wadliwe i zawierają błędy. Jak wspomniałem wcześniej, im bardziej skomplikowana umowa — tym większe prawdopodobieństwo, że jedna lub dwie usterki prześlizgną się przez kontrolę deweloperów.
Niestety, jest wiele sytuacji, w których nie ma łatwego rozwiązania, aby naprawić te wady, dlatego programiści powinni nie spieszyć się i upewnić się, że kod jest wykonany poprawnie, a wady zostaną wykryte natychmiast lub przynajmniej tak wcześnie, jak to możliwe.
W tym miejscu pojawiają się audyty, ponieważ jeśli przetestujesz kod i odpowiednio udokumentujesz postępy w jego rozwoju oraz testy, możesz pozbyć się większości problemów na wczesnym etapie.
Oczywiście nawet audyty nie dają 100% gwarancji, że nie będzie problemów z kodem. Nikt nie może. To nie przypadek, że hakerzy potrzebują miesięcy, aby znaleźć najmniejszą lukę, jaką mogą wykorzystać na swoją korzyść — nie można stworzyć idealnego kodu i uczynić go użytecznym, zwłaszcza jeśli chodzi o nową technologię.
Audyty zmniejszają liczbę spraw, ale prawdziwym problemem jest to, że wiele projektów, w które atakują hakerzy, nie miało nawet w ogóle żadnych audytów.
Tak więc, każdy programista i właściciel projektu, który jest nadal w procesie rozwoju, powinien pamiętać, że bezpieczeństwo nie wynika z przejścia audytu. Jednak na pewno tam się zaczyna. Pracuj nad swoim kodem; upewnij się, że ma dobrze zaprojektowaną architekturę i pracują nad nią umiejętni i rzetelni programiści.
Upewnij się, że wszystko jest przetestowane i dobrze udokumentowane oraz korzystaj ze wszystkich dostępnych zasobów. Na przykład nagrody za błędy to świetny sposób na sprawdzenie kodu przez ludzi z punktu widzenia hakerów, a świeże spojrzenie kogoś, kto szuka sposobu, może być bezcenne w zabezpieczaniu twojego projektu.
Wpis gościnny autorstwa Gleba Zykova z HashEx
Gleb rozpoczął swoją karierę w tworzeniu oprogramowania w instytucie badawczym, gdzie zdobył solidne zaplecze techniczne i programistyczne, opracowując różne typy robotów dla rosyjskiego Ministerstwa Sytuacji Nadzwyczajnych.
Później Gleb wniósł swoją wiedzę techniczną do firmy usługowej GTC-Soft, gdzie projektował aplikacje na Androida. Następnie został głównym programistą, a następnie CTO firmy. W GTC Gleb kierował rozwojem licznych usług monitorowania pojazdów oraz usługi podobnej do Ubera dla taksówek premium. W 2017 roku Gleb został jednym ze współzałożycieli HashEx – międzynarodowej firmy audytorsko-konsultingowej blockchain. Gleb zajmuje stanowisko Chief Technology Officer, stojąc na czele rozwoju rozwiązań blockchain i audytów inteligentnych kontraktów dla klientów firmy.
Źródło: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/