Šiais laikais visa „blockchain“ rinka yra tik pačioje pradžioje decentralizuotas finansavimas (DeFi) rinka yra perspektyviausia jos dalis. Remiantis „DefiLlama“ duomenimis, 2021 m. „DeFi“ rinkoje buvo apie 200 mlrd. Jei į šį kapitalą žiūrėsime kaip į pradinę investiciją, ši rinka atrodo kaip labai perspektyvi įmonė. Tokia kapitalizacija gali pasigirti ne per daug pasaulinių kompanijų. Tačiau bet kuri jauna rinka turi problemų. „DeFi“ pagrindinė problema yra kvalifikuotų „blockchain“ kūrėjų trūkumas.
Ši pramonė yra labai jauna ir turi palyginti nedidelę vartotojų bazę. Dauguma žmonių geriausiu atveju yra girdėję apie DeFi, net neįsivaizduodami, kas tai yra. Tačiau, kaip nutinka su kiekviena nauja perspektyvia įmone, tai greitai sukelia daug spekuliacinio susidomėjimo. Deja, personalo paruošimas užtrunka daug ilgiau, ypač kai kalbame apie tokias daug žinių reikalaujančias sritis kaip blokų grandinė ir išmaniųjų sutarčių kūrimas. Tai reiškia, kad kai kurios projekto komandos turės eiti į kompromisus ir samdyti mažiau patyrusius darbuotojus.
Ši problema neišvengiamai sukuria didėjančią saugumo spragų riziką šių projektų kodekse. Ir tada mes turime susidoroti su jo pasekmėmis prarastame vartotojo kapitale. Norėdami trumpai suprasti, kokia didelė ši problema, galiu pasakyti, kad įsilaužėliai pavogė apie 10% viso užblokuoto DeFi likvidumo. Nieko neturėtų stebinti tai, kad pagrindinė visuomenė norėtų likti nuošalyje nuo finansų sistemos, kuri kelia tokį pavojų jų lėšoms.
Susiję: Kaip nulaužti „DeFi“ protokolai?
Kaip pastaruoju metu pasikeitė „DeFi“ išnaudojimai?
Atakos prieš DeFi ilgą laiką buvo nukreiptos į pakartotinio įėjimo atakas. Galime prisiminti garsųjį 2016 m. DAO įsilaužimas, dėl kurio investuotojų kapitalas buvo prarastas 150 milijonų JAV dolerių, atsirado Ethereum kietoji šakutė. Nuo tada šis pažeidžiamumas buvo daug kartų išnaudotas įvairiose išmaniosiose sutartyse.
Atšaukimo funkcija aktyviai naudojama skolinimo protokoluose: ji leidžia išmaniosioms sutartims patikrinti vartotojų užstato likutį prieš suteikiant paskolą. Visas šis procesas vyksta per vieną operaciją, dėl kurios įsilaužėliai galėjo pavogti pinigus iš tokių protingų sutarčių. Kai siunčiate prašymą skolintis lėšas, grąžinimo funkcija pirmiausia patikrina užstato likutį, tada išduoda paskolą, jei užstato pakako, ir tada pakeičia vartotojo užstato likutį išmaniojoje sutartyje.
Norėdami apgauti išmaniąją sutartį, įsilaužėliai grąžina skambutį atgalinio ryšio funkcijai, kad šis procesas būtų pradėtas nuo pat pradžių. Kadangi sandoris nebuvo baigtas blokų grandinėje, funkcija suteikia dar vieną paskolą už tą patį užstato likutį. Nors šios problemos sprendimas buvo pateiktas pakankamai ilgai, daugelis projektų vis dar tampa jo aukomis.
Kartais projektų komandos, turinčios mažai įgūdžių rašyti išmaniąsias sutartis, nusprendžia pasiskolinti kito atvirojo kodo DeFi projekto kodų bazę, kad galėtų įdiegti savo išmaniąją sutartį. Paprastai jie tai daro su patikimais projektais, kurie buvo audituoti, turi didelę vartotojų bazę ir įrodė, kad jie sukurti saugiai. Tačiau jie gali nuspręsti atlikti nedidelius pasiskolinto kodo pakeitimus, kad pridėtų funkcijų, kurias nori turėti savo išmaniojoje sutartyje, net nekeisdami pradinio kodo. Tai gali pakenkti išmaniosios sutarties logikai, kurios kūrėjai dažnai nesuvokia.
Štai kas leido įsilaužėliams pavogti apie 19 mln iš „Cream Finance“ 2021 m. rugpjūčio mėn. „Cream Finance“ komanda pasiskolino kodą iš kito „DeFi“ protokolo ir įtraukė atgalinio ryšio prieigos raktą į savo išmaniąją sutartį. Nors galite užkirsti kelią pakartotinio įėjimo atakoms, taikydami „patikrinimų, efektų, sąveikų“ modelį, pagal kurį pirmenybė teikiama balanso pakeitimui, o ne lėšų išdavimui, kai kurioms komandoms vis tiek nepavyksta apsaugoti savo platformų nuo šių išnaudojimų.
Greitųjų paskolų atakos leidžia įsilaužėliams kitaip pavogti lėšas ir tampa vis populiaresnės nuo 2020 m. DeFi bumo. Pagrindinė greitųjų paskolų atakų idėja yra ta, kad norint skolintis lėšas pagal protokolą, nereikia turėti užstato, nes finansinis paritetas vis tiek garantuojamas. tuo, kad paskola paimama ir grąžinama per vieną sandorį. Ir jis neįvyks, jei nepavyks grąžinti paskolos su palūkanomis vienu sandoriu. Tačiau užpuolikai sugebėjo sėkmingai įvykdyti greitų paskolų atakas daugeliu protokolų.
Susiję: Reikalingas: didžiulis švietimo projektas, skirtas kovoti su įsilaužimais ir sukčiais
Tai darydami jie naudoja kelis protokolus, kad skolintųsi ir pritrauktų likvidumą iki galutinio veiksmo, kai padidina žetono kainą per orakulus ar likvidumo fondus ir naudoja jį, kad išviliotų ir išmestų, o likvidumas išnyktų. kai kurių pagrindinių skirtingų kriptovaliutų, tokių kaip eteris (ETH), Wrapped Bitcoin (wBTC) ir kt. Kai kurios žinomos skubios paskolos atakos apima Blynų zuikio ataka, kur protokolas prarado 200 milijonų dolerių, ir dar viena „Cream Finance“ ataka, kurioje buvo pavogta per 100 mln.
Kaip apsiginti nuo DeFi išnaudojimų?
Norėdami sukurti saugų DeFi protokolą, idealiu atveju turėtumėte pasitikėti tik patyrusiais blokų grandinės kūrėjais. Jie turėtų turėti profesionalią komandą, turinčią decentralizuotų programų kūrimo įgūdžių. Taip pat protinga nepamiršti kurti saugių kodų bibliotekų. Kartais mažiau atnaujintos bibliotekos gali būti saugiausias pasirinkimas nei tos, kurių kodų bazės yra naujausios.
Testavimas yra dar vienas esminis dalykas visi rimti DeFi projektai turi padaryti. Kaip išmaniųjų sutarčių audito įmonės vadovas, visada stengiuosi aprėpti 100% mūsų klientų kodo ir pabrėžiu decentralizuotos privačių raktų, naudojamų iškviečiant išmaniųjų sutarčių su ribota prieiga, apsaugos svarbą. Geriausia naudoti viešojo rakto decentralizavimą naudojant daugialypį parašą, kuris neleidžia vienam subjektui visiškai kontroliuoti sutarties.
Galų gale, švietimas yra vienas iš raktų, kurie leis blokų grandinėmis pagrįstoms finansų sistemoms tapti saugesnėmis ir patikimesnėmis. Be to, švietimas turėtų būti vienas iš pagrindinių DeFi ieškančių darbo problemų, nes jis gali pasiūlyti malonų atlygį visiems, kurie gali įnešti gyvybingą indėlį.
Šiame straipsnyje nėra patarimų ar rekomendacijų investuoti. Kiekvienas investicijų ir prekybos žingsnis susijęs su rizika, o skaitytojai, priimdami sprendimą, turėtų atlikti savo tyrimus. Čia išreikštos nuomonės, mintys ir nuomonės yra tik paties autoriaus ir nebūtinai atspindi ar atspindi „Cointelegraph“ požiūrį ir nuomones. Dmitrijus Mišuninas yra „DeFi“ saugos ir analizės įmonės „HashEx“ įkūrėjas ir generalinis direktorius bei turi ilgametę patirtį „blockchain“ saugumo srityje. Jis daug laiko skyrė mokslinei veiklai, tokiai kaip IT sistemų, blokų grandinės ir DeFi pažeidžiamumo tyrimams. Dmitrijui vadovaujant „HashEx“ tapo vienu iš lyderių išmaniųjų sutarčių audito srityje. Šaltinis: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi