Keďže sektor DeFi naďalej priťahuje peniaze a používateľov, zlí aktéri z celého sveta ho naďalej považujú za atraktívny cieľ, ktorý je zrelý na zber a je slabo chránený.
Za posledných niekoľko mesiacov som sledoval niektoré z najvýznamnejších exploitov protokolov DeFi a zdá sa, že najmenej sedem z nich je výsledkom samotných nedostatkov inteligentnej zmluvy.
Napríklad hackeri zasiahli a okradli Wormhole, pričom ukradli viac ako 300 miliónov dolárov, Qubit Finance (80 miliónov dolárov), Meter (4.4 milióna dolárov), Deus (3 milióny dolárov), TreasureDAO (viac ako 100 NFT) a napokon Agave a Hundred Finance, ktoré spolu , stratila celkovo 11 miliónov dolárov. Všetky tieto útoky viedli ku krádeži značnej sumy peňazí, čo spôsobilo veľké škody na projektoch.
Mnohé z cieľových protokolov zaznamenali devalváciu svojej kryptomeny, nedôveru používateľov, kritiku bezpečnosti DeFi a smart kontraktov a podobné negatívne dôsledky.
Aké druhy exploitov sa vyskytli počas útokov?
Prirodzene, každý z týchto prípadov je jedinečný a na riešenie každého jednotlivého projektu sa použili rôzne typy exploitov v závislosti od ich zraniteľností a nedostatkov. Príklady zahŕňajú logické chyby, reentrancy útoky, flashloan útoky s cenovými manipuláciami a ďalšie. Domnievam sa, že je to dôsledok toho, že protokoly DeFi sa stávajú čoraz zložitejšími, a tak zložitosť kódu stále viac sťažuje odstránenie všetkých nedostatkov.
Okrem toho som si pri analýze každého z týchto incidentov všimol dve veci. Prvým je, že hackerom sa zakaždým podarilo dostať obrovské sumy – v kryptomenách v hodnote miliónov dolárov.
Tento „výplatný deň“ dáva hackerom stimul, aby strávili akýkoľvek čas potrebný na štúdium protokolov, dokonca aj mesiace v kuse, pretože vedia, že odmena bude stáť za to. To znamená, že hackeri sú motivovaní tráviť oveľa viac času hľadaním nedostatkov ako audítori.
Druhá vec, ktorá vynikla, je, že v niektorých prípadoch boli hacky skutočne veľmi jednoduché. Ako príklad si vezmite útok Hundred Finance. Projekt bol zasiahnutý pomocou známej chyby, ktorú možno zvyčajne nájsť v zložených vidliciach, ak sa do protokolu pridá token. Všetko, čo musí hacker urobiť, je počkať, kým sa jeden z týchto tokenov pridá do stovky financií. Potom už stačí len dodržať niekoľko jednoduchých krokov, aby ste sa dostali k peniazom pomocou exploitu.
Čo môžu projekty DeFi urobiť, aby sa ochránili?
Najlepšia vec, ktorú môžu tieto projekty urobiť, aby sa ochránili pred zlými aktérmi, je zamerať sa na audity. Čím hlbšie, tým lepšie a vedené skúsenými odborníkmi, ktorí vedia, na čo si dať pozor. Je tu však ešte jedna vec, ktorú môžu projekty urobiť ešte predtým, ako sa uchýlia k auditom, a to zabezpečiť, aby mali dobrú architektúru vytvorenú zodpovednými developermi.
To je obzvlášť dôležité, pretože väčšina projektov blockchainu je open source, čo znamená, že ich kód má tendenciu sa kopírovať a znova používať. Urýchľuje to veci počas vývoja a kód je zadarmo.
Problém je, ak sa ukáže, že je chybný, a skopíruje sa skôr, ako pôvodní vývojári zistia chyby zabezpečenia a opravia ich. Aj keď oznámia a implementujú opravu, tí, ktorí ju skopírovali, nemusia vidieť správy a ich kód zostáva zraniteľný.
Ako veľmi môžu audity pomôcť?
Inteligentné zmluvy fungujú ako programy, ktoré bežia na technológii blockchain. Ako také je možné, že sú chybné a obsahujú chyby. Ako som už spomenul, čím zložitejšia je zmluva – tým väčšia je pravdepodobnosť, že cez kontroly vývojárov prekĺzne chyba alebo dve.
Žiaľ, existuje veľa situácií, v ktorých neexistuje jednoduché riešenie na odstránenie týchto nedostatkov, a preto by si vývojári mali dať na čas a uistiť sa, že kód je urobený správne a aby boli nedostatky odhalené okamžite alebo aspoň čo najskôr.
Tu prichádzajú na rad audity, pretože ak otestujete kód a adekvátne zdokumentujete priebeh jeho vývoja a testov, môžete sa väčšiny problémov zbaviť už čoskoro.
Samozrejme, ani audity nemôžu poskytnúť 100% záruku, že s kódom nebudú žiadne problémy. Nikto nemôže. Nie je náhodné, že hackeri potrebujú mesiace na to, aby prišli na najmenšiu zraniteľnosť, ktorú môžu využiť vo svoj prospech – nemôžete vytvoriť dokonalý kód a urobiť ho užitočným, najmä ak ide o novú technológiu.
Audity znižujú počet problémov, ale skutočným problémom je, že mnohé z projektov, ktoré zasiahli hackeri, nemali dokonca žiadne audity.
Takže všetkým vývojárom a vlastníkom projektov, ktorí sú stále v procese vývoja, treba pamätať na to, že bezpečnosť nepochádza z absolvovania auditu. Tam to však určite začína. Pracujte na svojom kóde; uistite sa, že má dobre navrhnutú architektúru a pracujú na ňom šikovní a usilovní vývojári.
Uistite sa, že je všetko otestované a dobre zdokumentované, a použite všetky zdroje, ktoré máte k dispozícii. Odmeny za chyby sú napríklad skvelým spôsobom, ako nechať svoj kód skontrolovať ľuďmi z pohľadu hackerov, a nová perspektíva od niekoho, kto hľadá cestu dovnútra, môže byť na nezaplatenie pri zabezpečení vášho projektu.
Príspevok hosťa od Gleba Zykova z HashEx
Gleb začal svoju kariéru v oblasti vývoja softvéru vo výskumnom ústave, kde získal silné technické a programátorské zázemie pri vývoji rôznych typov robotov pre ruské ministerstvo pre mimoriadne situácie.
Neskôr Gleb priniesol svoje technické znalosti do spoločnosti poskytujúcej IT služby GTC-Soft, kde navrhoval aplikácie pre Android. Postupne sa stal hlavným vývojárom a neskôr CTO spoločnosti. V GTC Gleb viedol vývoj mnohých služieb monitorovania vozidiel a služby typu Uber pre prémiové taxíky. V roku 2017 sa Gleb stal jedným zo spoluzakladateľov HashEx – medzinárodnej blockchainovej audítorskej a konzultačnej spoločnosti. Gleb zastáva pozíciu Chief Technology Officer, vedie vývoj blockchain riešení a audity inteligentných zmlúv pre klientov spoločnosti.
Zdroj: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/