Nykyään lohkoketjumarkkinat kokonaisuudessaan ovat lapsenkengissään, ja hajautettu rahoitus (DeFi) markkinat ovat sen lupaavin osa. DefiLlaman tietojen mukaan vuonna 2021 DeFi-markkinoilla oli noin 200 miljardin dollarin likviditeettiä älykkäisiin sopimuksiin lukittuna. Jos tarkastelemme tätä pääomaa alkusijoituksena, tämä markkina näyttää erittäin lupaavalta hankkeelta. Ei liian monet globaalit yritykset voi ylpeillä tällaisella pääomalla. Kaikilla nuorilla markkinoilla on kuitenkin ongelmia. DeFin kohdalla pääongelma on pätevien lohkoketjukehittäjien puute.
Tämä toimiala on hyvin nuori ja sillä on suhteellisen pieni käyttäjäkunta. Useimmat ihmiset ovat parhaimmillaan kuulleet DeFistä ilman aavistustakaan siitä, mitä se on. Mutta kuten jokaisen uuden lupaavan yrityksen kohdalla, se herättää nopeasti paljon spekulatiivista kiinnostusta. Valitettavasti henkilöstön valmistelu vie paljon kauemmin, varsinkin kun on kyse sellaisista tietointensiivisistä aloista kuin lohkoketju ja älykäs sopimuskehitys. Tämä tarkoittaa, että joidenkin projektiryhmien on tehtävä kompromisseja ja palkattava vähemmän kokeneita työntekijöitä.
Tämä ongelma väistämättä luo kasvavan tietoturva-aukkojen riskin näiden hankkeiden koodissa. Ja sitten meidän on käsiteltävä sen seurauksia menetetyssä käyttöpääomassa. Ymmärtääkseni tämän ongelman suuruutta voin sanoa, että hakkerit ovat varastaneet noin 10 % DeFin kokonaislikviditeetistä. Ei pitäisi yllättää ketään, että valtavirran yleisö haluaisi pysyä poissa rahoitusjärjestelmästä, joka aiheuttaa tällaisia vaaroja heidän varoilleen.
Related: Kuinka DeFi -protokollia hakkeroidaan?
Miten DeFi-hyödykkeet ovat muuttuneet viime aikoina?
Hyökkäykset DeFiä vastaan ovat pitkään keskittyneet paluuhyökkäyksiin. Voimme muistaa kuuluisan Vuoden 2016 DAO:n hakkerointi, joka johti 150 miljoonan dollarin sijoittajien pääoman menetykseen ja johti Ethereumin kovaan haarukkaan. Sittemmin tätä haavoittuvuutta on hyödynnetty useita kertoja eri älykkäissä sopimuksissa.
Lainausprotokollat hyödyntävät aktiivisesti takaisinsoittotoimintoa: Sen avulla älykkäät sopimukset voivat tarkistaa käyttäjien vakuussaldon ennen lainan myöntämistä. Kaikki tämä prosessi tapahtuu yhdessä tapahtumassa, mikä on antanut hakkereille kiertotavan varastaa rahaa tällaisista älykkäistä sopimuksista. Kun lähetät lainapyynnön, takaisinsoittotoiminto tarkistaa ensin vakuussaldon, antaa sitten lainan, jos vakuudet olivat riittävät ja muuttaa sitten käyttäjän vakuussaldoa älysopimuksen sisällä.
Älykkään sopimuksen huijaamiseksi hakkerit palauttavat puhelun takaisinsoittotoimintoon aloittaakseen tämän prosessin alusta. Koska tapahtumaa ei ole viimeistelty lohkoketjussa, toiminto antaa toisen lainan samalle vakuussaldolle. Vaikka ratkaisu tähän ongelmaan on ollut näyttämöllä tarpeeksi kauan, monet projektit joutuvat silti sen uhreiksi.
Joskus projektitiimit, joilla on vähän älykkäiden sopimusten kirjoittamista taitoja, päättävät lainata toisen avoimen lähdekoodin DeFi-projektin koodikannan ottaakseen käyttöön oman älykkään sopimuksensa. Yleensä he tekevät niin hyvämaineisille projekteille, jotka on auditoitu ja joilla on laaja käyttäjäkunta ja jotka ovat osoittautuneet turvallisesti rakennetuiksi. Mutta he voivat päättää tehdä pieniä muutoksia lainattuun koodiin lisätäkseen toimintoja, joita he haluavat saada älykkääseen sopimukseen, vaihtamatta edes alkuperäistä koodia. Tämä voi vahingoittaa älykkään sopimuksen logiikkaa, jota kehittäjät eivät usein ymmärrä.
Tämä on mitä antoi hakkereille mahdollisuuden varastaa noin 19 miljoonaa dollaria Cream Financesta elokuussa 2021. Cream Finance -tiimi lainasi koodin toisesta DeFi-protokollasta ja lisäsi takaisinsoittotunnuksen älysopimukseensa. Vaikka voit estää palautushyökkäykset ottamalla käyttöön "tarkastukset, tehosteet, vuorovaikutukset" -mallin, joka asettaa tasapainon muuttamisen etusijalle varojen liikkeeseenlaskulle, jotkin tiimit eivät silti pysty suojaamaan alustojaan näiltä hyväksikäytöltä.
Flash-lainahyökkäykset antavat hakkereille mahdollisuuden varastaa varoja eri tavalla, ja ne ovat kasvaneet yhä suositummiksi vuoden 2020 DeFi-buumin jälkeen. Flash-lainahyökkäysten pääidea on, että sinun ei tarvitse olla vakuuksia lainataksesi varoja protokollasta, koska rahoituspariteetti on edelleen taattu sillä, että laina otetaan ja palautetaan yhden tapahtuman aikana. Ja sitä ei tapahdu, jos et palauta lainaa korkoineen yhdellä kertaa. Mutta hyökkääjät ovat pystyneet suorittamaan onnistuneita flash-lainahyökkäyksiä moniin protokolliin.
Related: Tarvitaan: Massiivinen koulutusprojekti hakkerien ja huijausten torjumiseksi
Niitä tehdessään he käyttävät useita protokollia lainatakseen ja vetääkseen likviditeettiä läpi viimeiseen toimenpiteeseen asti, jossa he korottavat tokenin hintaa oraakkelien tai likviditeettipoolien kautta ja käyttävät sitä huijatakseen pumppaa ja kaataakseen likviditeettiä. joistakin tärkeistä erilaisista kryptovaluutoista, kuten Ether (ETH), Wrapped Bitcoin (wBTC) ja muut. Jotkut kuuluisat flash lainahyökkäykset sisältävät Pancake Bunny -hyökkäys, jossa protokolla menetti 200 miljoonaa dollaria, ja toinen Cream Finance -hyökkäys, jossa varastettiin yli 100 miljoonaa dollaria.
Kuinka puolustautua DeFi-hyökkäyksiä vastaan?
Turvallisen DeFi-protokollan rakentamiseksi ihannetapauksessa sinun tulisi luottaa vain kokeneisiin lohkoketjun kehittäjiin. Heillä tulee olla ammattitaitoinen tiimi, joka osaa rakentaa hajautettuja sovelluksia. On myös viisasta muistaa käyttää turvallisia koodikirjastoja kehittämiseen. Joskus vähemmän ajan tasalla olevat kirjastot voivat olla turvallisin vaihtoehto kuin ne, joissa on uusin koodipohja.
Testaus on toinen tärkeä asia Kaikki vakavat DeFi-projektit on tehtävä. Älykkäiden sopimusten tilintarkastusyrityksen toimitusjohtajana yritän aina peittää 100 % asiakkaidemme koodista ja korostaa rajoitetun pääsyn älykkäiden sopimusten toimintojen kutsumiseen käytettävien yksityisten avainten hajautetun suojauksen merkitystä. On parasta käyttää julkisen avaimen hajauttamista moniallekirjoituksella, joka estää yhtä entiteettiä hallitsemasta sopimusta täysin.
Loppujen lopuksi koulutus on yksi avaimista, joka mahdollistaa lohkoketjupohjaisten rahoitusjärjestelmien turvallisuuden ja luotettavuuden. Ja koulutuksen pitäisi olla yksi tärkeimmistä huolenaiheista niille, jotka etsivät työtä DeFistä, koska se voi tarjota suussa sulavia palkintoja kaikille, jotka voivat antaa elinkelpoisen panoksen.
Tämä artikkeli ei sisällä sijoitusneuvoja tai suosituksia. Jokaiseen sijoitus- ja kaupankäyntiliikkeeseen liittyy riski, ja lukijoiden tulisi tehdä oma tutkimustaan tehdessään päätöstä. Tässä esitetyt näkemykset, ajatukset ja mielipiteet ovat yksin kirjailijan kirjoittamia, eivätkä välttämättä heijasta tai edusta Cointelegraphin näkemyksiä ja mielipiteitä. Dmitri Mishunin on DeFi-tietoturva- ja analytiikkayhtiö HashExin perustaja ja toimitusjohtaja ja hänellä on pitkäaikainen asiantuntemus blockchain-tietoturvasta. Hän on omistanut paljon aikaa tieteelliseen toimintaan, kuten IT-järjestelmien, lohkoketjun ja DeFin haavoittuvuuksien tutkimukseen. Dmitryn johdolla HashExistä on tullut yksi älykkäiden sopimusten auditoinnin johtajista. Lähde: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi