V súčasnosti je blockchainový trh ako celok v plienkach a decentralizované financovanie (DeFi) trh je jeho najsľubnejšou časťou. Podľa údajov DefiLlama mal trh DeFi v roku 2021 okolo 200 miliárd dolárov likvidity uzavretej v inteligentných zmluvách. Ak sa na tento kapitál pozeráme ako na počiatočnú investíciu, tento trh vyzerá ako veľmi sľubný podnik. Takouto kapitalizáciou sa nemôže pochváliť príliš veľa svetových spoločností. Ale každý mladý trh má prvé problémy. V prípade DeFi je hlavným problémom nedostatok kvalifikovaných vývojárov blockchainu.
Toto odvetvie je veľmi mladé a má relatívne malú používateľskú základňu. Väčšina ľudí prinajlepšom počula o DeFi bez toho, aby mali predstavu o tom, čo to je. Ale ako sa to stáva s každým novým sľubným podnikom, rýchlo to vyvolá veľký špekulatívny záujem. Bohužiaľ, príprava personálu trvá oveľa dlhšie, najmä pokiaľ ide o také vedomostne náročné sféry, ako je blockchain a vývoj inteligentných zmlúv. To znamená, že niektoré projektové tímy budú musieť robiť kompromisy a najať menej skúsených pracovníkov.
Tento problém nevyhnutne vytvára rastúce riziko bezpečnostných medzier v kódexe týchto projektov. A potom sa musíme vyrovnať s jej dôsledkami v stratenom užívateľskom kapitále. Len pre krátke pochopenie toho, aký veľký je tento problém, môžem povedať, že asi 10 % celkovej uzamknutej likvidity DeFi ukradli hackeri. Nikoho by nemalo prekvapiť, že mainstreamová verejnosť by sa radšej držala ďalej od finančného systému, ktorý predstavuje také nebezpečenstvo pre ich fondy.
Súvisiace: Ako sa dajú hacknúť protokoly DeFi?
Ako sa v poslednej dobe zmenili exploity DeFi?
Útoky na DeFi sa dlho sústreďovali na reentrancy útoky. Môžeme pripomenúť slávne Hack DAO z roku 2016, ktorý viedol k strate 150 miliónov dolárov v kapitáli investorov a viedol k hard forku Etherea. Odvtedy bola táto zraniteľnosť mnohokrát zneužitá v rôznych smart kontraktoch.
Funkciu spätného volania aktívne využívajú protokoly požičiavania: Umožňuje inteligentným zmluvám skontrolovať zostatok kolaterálu používateľov pred poskytnutím pôžičky. Celý tento proces prebieha v rámci jednej transakcie, čo hackerom umožnilo ukradnúť peniaze z takýchto inteligentných zmlúv. Keď odošlete žiadosť o požičanie finančných prostriedkov, funkcia spätného volania najprv skontroluje zostatok kolaterálu, potom poskytne úver, ak bol kolaterál dostatočný, a potom zmení zostatok kolaterálu používateľa v rámci smart kontraktu.
Aby oklamali inteligentnú zmluvu, hackeri vracajú volanie do funkcie spätného volania, aby začali tento proces od začiatku. Keďže transakcia nebola dokončená na blockchaine, funkcia poskytuje ďalšiu pôžičku za rovnaký zostatok kolaterálu. Aj keď je riešenie tohto problému na scéne už dostatočne dlho, stále sa mu stáva obeťou veľa projektov.
Niekedy sa projektové tímy s malými zručnosťami v písaní inteligentných zmlúv rozhodnú požičať si kódovú základňu iného open source projektu DeFi na nasadenie vlastnej inteligentnej zmluvy. Zvyčajne to robia s renomovanými projektmi, ktoré boli kontrolované a majú veľkú užívateľskú základňu a preukázali, že sú bezpečne postavené. Môžu sa však rozhodnúť vykonať menšie úpravy požičaného kódu, aby pridali funkcie, ktoré chcú mať vo svojej inteligentnej zmluve, bez toho, aby zmenili pôvodný kód. To môže poškodiť logiku smart kontraktu, čo si vývojári často neuvedomujú.
To je čo hackerom umožnilo ukradnúť okolo 19 miliónov dolárov od Cream Finance v auguste 2021. Tím Cream Finance si požičal kód z iného protokolu DeFi a do svojej inteligentnej zmluvy pridal token spätného volania. Aj keď môžete zabrániť reentrancy útokom implementáciou vzoru „kontroly, efekty, interakcie“, ktorý uprednostňuje zmenu zostatku pred vydávaním finančných prostriedkov, niektoré tímy stále nedokážu ochrániť svoje platformy pred týmito zneužitiami.
Útoky na bleskové pôžičky umožňujú hackerom kradnúť finančné prostriedky inak a od boomu DeFi v roku 2020 sú čoraz populárnejšie. Hlavnou myšlienkou útokov na bleskové pôžičky je, že na požičanie prostriedkov z protokolu nepotrebujete mať záruku, pretože finančná parita je stále zaručená. tým, že úver sa vezme a vráti v rámci jednej transakcie. A neuskutoční sa, ak sa vám nepodarí vrátiť pôžičku aj s úrokmi pri jednej transakcii. Útočníci však dokázali vykonať úspešné bleskové pôžičkové útoky na mnohé protokoly.
Súvisiace: Potrebný: Masívny vzdelávací projekt na boj proti hackerom a podvodom
Pri ich vykonávaní používajú viaceré protokoly na požičiavanie a ťahanie likvidity až do záverečného aktu, kde zosilňujú cenu tokenu prostredníctvom veštcov alebo fondov likvidity a používajú ju na oklamanie pump-and-dump a zmiznú s likviditou v poli. niektorých veľkých rôznych kryptomien, ako je Ether (ETH), Wrapped Bitcoin (wBTC) a ďalšie. Niektoré známe bleskové pôžičkové útoky zahŕňajú Pancake Bunny útok, kde protokol stratil 200 miliónov dolárov, a ďalší útok Cream Finance, v ktorej bolo ukradnutých vyše 100 miliónov dolárov.
Ako sa brániť pred zneužitím DeFi?
Ak chcete vytvoriť bezpečný protokol DeFi, v ideálnom prípade by ste mali dôverovať iba skúseným vývojárom blockchainu. Mali by mať profesionálny tím vedúci so zručnosťami pri vytváraní decentralizovaných aplikácií. Je tiež múdre pamätať na používanie bezpečných knižníc kódov na vývoj. Niekedy môžu byť menej aktuálne knižnice najbezpečnejšou voľbou ako tie s najnovšími kódovými základňami.
Testovanie je ďalšia zásadná vec všetky seriózne projekty DeFi musia robiť. Ako generálny riaditeľ spoločnosti zaoberajúcej sa auditom inteligentných zmlúv sa vždy snažím pokryť 100 % kódu našich klientov a zdôrazňujem dôležitosť decentralizovanej ochrany súkromných kľúčov používaných na volanie funkcií inteligentných zmlúv s obmedzeným prístupom. Najlepšie je využiť decentralizáciu verejného kľúča prostredníctvom viacnásobného podpisu, ktorý jednému subjektu zabráni mať plnú kontrolu nad zmluvou.
Vzdelávanie je nakoniec jedným z kľúčov, ktorý umožní finančným systémom založeným na blockchaine stať sa bezpečnejšími a spoľahlivejšími. Vzdelávanie by malo byť jedným z kľúčových záujmov tých, ktorí hľadajú zamestnanie v DeFi, pretože môže ponúknuť odmeny, ktoré sa hodia do úst všetkým, ktorí môžu byť životaschopným prínosom.
Tento článok neobsahuje investičné rady ani odporúčania. Každý krok investovania a obchodovania zahŕňa riziko a čitatelia by si pri rozhodovaní mali urobiť vlastný prieskum. Názory, myšlienky a názory vyjadrené v tomto dokumente sú autormi samy osebe a nevyhnutne neodrážajú ani nepredstavujú názory a názory Cointelegrafu. Dmitrij Mishunin je zakladateľom a generálnym riaditeľom bezpečnostnej a analytickej spoločnosti DeFi HashEx a má dlhoročné skúsenosti v oblasti bezpečnosti blockchainu. Veľa času venoval vedeckým aktivitám, ako je výskum IT systémov, blockchainu a zraniteľností v DeFi. HashEx sa pod vedením Dmitryho stal jedným z lídrov v oblasti auditov inteligentných zmlúv. Zdroj: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi