Kadangi DeFi sektorius ir toliau traukia pinigus ir vartotojus, blogi veikėjai iš viso pasaulio ir toliau jį laiko patraukliu taikiniu, kuris yra subrendęs rinkti ir prastai apsaugotas.
Per pastaruosius kelis mėnesius stebiu kai kuriuos žymiausius DeFi protokolų išnaudojimus, ir bent septyni iš jų, atrodo, yra vien išmaniųjų sutarties trūkumų rezultatas.
Pavyzdžiui, įsilaužėliai smogė ir apiplėšė Wormhole, pavogdami daugiau nei 300 mln. USD, „Qubit Finance“ (80 mln. USD), „Meter“ (4.4 mln. USD), „Deus“ (3 mln. USD), „TreasureDAO“ (daugiau nei 100 NFT) ir galiausiai „Agave“ ir „Hundred Finance“, kurie kartu. , iš viso prarado 11 mln. Dėl visų šių išpuolių buvo pavogtos gana didelės pinigų sumos, dėl kurių buvo padaryta didelė žala projektams.
Daugelio tikslinių protokolų kriptovaliuta nuvertėjo, vartotojų nepasitikėjimas, kritika dėl DeFi ir išmaniųjų sutarčių saugumo ir panašios neigiamos pasekmės.
Kokie išnaudojimai buvo įvykdyti per išpuolius?
Natūralu, kad kiekvienas iš šių atvejų yra unikalus, o kiekvienam projektui spręsti buvo naudojami skirtingi išnaudojimo tipai, atsižvelgiant į jų pažeidžiamumą ir trūkumus. Pavyzdžiai: logikos klaidos, pakartotinio įėjimo atakos, skubios paskolos atakos su manipuliavimu kainomis ir kt. Manau, kad taip yra dėl to, kad DeFi protokolai tampa vis sudėtingesni, o dėl kodo sudėtingumo vis sunkiau pašalinti visus trūkumus.
Be to, analizuodamas kiekvieną iš šių įvykių pastebėjau du dalykus. Pirmasis yra tai, kad įsilaužėliams kiekvieną kartą pavykdavo išsisukti nuo milžiniškų sumų – milijonų dolerių vertės kriptovaliutų.
Ši „atlyginimo diena“ suteikia įsilaužėliams paskatą praleisti bet kurį laiką, reikalingą protokolų studijavimui, net ir mėnesius, nes jie žino, kad atlygis bus to vertas. Tai reiškia, kad įsilaužėliai yra motyvuoti praleisti daug daugiau laiko ieškodami trūkumų nei auditoriai.
Antras dalykas, kuris išsiskyrė, yra tai, kad kai kuriais atvejais įsilaužimai iš tikrųjų buvo labai paprasti. Paimkite „Šimto finansų“ ataką kaip pavyzdį. Projektas buvo nukentėjęs naudojant gerai žinomą klaidą, kurią paprastai galima rasti „Complex forks“, jei prie protokolo pridedamas prieigos raktas. Viskas, ką įsilaužėliui reikia padaryti, tai palaukti, kol vienas iš šių žetonų bus įtrauktas į šimtą finansų. Po to tereikia atlikti kelis paprastus veiksmus, kad pasinaudotumėte išnaudojimu, kad gautumėte pinigus.
Ką gali padaryti DeFi projektai, kad apsisaugotų?
Einant į priekį, geriausia, ką šie projektai gali padaryti, kad apsisaugotų nuo blogų veikėjų, yra sutelkti dėmesį į auditą. Kuo nuodugnesnis, tuo geriau ir jį atlieka patyrę specialistai, žinantys, į ką atkreipti dėmesį. Tačiau yra dar vienas dalykas, kurį projektai gali padaryti net prieš imdamiesi audito, tai yra užtikrinti, kad jie turi gerą architektūrą, sukurtą atsakingų kūrėjų.
Tai ypač svarbu, nes dauguma „blockchain“ projektų yra atvirojo kodo, o tai reiškia, kad jų kodas yra linkęs kopijuoti ir naudoti pakartotinai. Tai pagreitina procesą kūrimo metu, o kodas yra nemokamas.
Problema ta, jei paaiškėja, kad jis yra ydingas, ir jis nukopijuotas, kol pradiniai kūrėjai išsiaiškina pažeidžiamumą ir juos ištaiso. Net jei jie paskelbs ir įdiegs pataisą, ją nukopijavę asmenys gali nematyti naujienų, o jų kodas lieka pažeidžiamas.
Kiek auditas iš tikrųjų gali padėti?
Išmaniosios sutartys veikia kaip programos, veikiančios naudojant „blockchain“ technologiją. Todėl gali būti, kad jie turi trūkumų ir juose yra klaidų. Kaip jau minėjau anksčiau, kuo sudėtingesnė sutartis, tuo didesnė tikimybė, kad kūrėjams tikrinant bus pastebėtas vienas ar du trūkumai.
Deja, yra daug situacijų, kai nėra lengvo sprendimo, kaip ištaisyti šiuos trūkumus, todėl kūrėjai turėtų neskubėti ir pasirūpinti, kad kodas būtų atliktas tinkamai, o trūkumai būtų pastebėti nedelsiant arba bent jau kuo anksčiau.
Čia atsiranda auditas, nes jei išbandysite kodą ir tinkamai dokumentuosite jo kūrimo ir testų eigą, galėsite anksti atsikratyti daugumos problemų.
Žinoma, net auditai negali suteikti 100% garantijos, kad su kodu nebus jokių problemų. Niekas negali. Neatsitiktinai įsilaužėliams reikia mėnesių, kad išsiaiškintų mažiausią pažeidžiamumą, kurį jie gali panaudoti savo naudai – jūs negalite sukurti tobulo kodo ir padaryti jį naudingu, ypač kai kalbama apie naujas technologijas.
Auditai sumažina problemų skaičių, tačiau tikroji problema yra ta, kad daugelis projektų, kurie nukentėjo nuo įsilaužėlių, net neturėjo jokių auditų.
Taigi, bet kurie kūrėjai ir projektų savininkai, kurie vis dar yra kūrimo procese, turi atsiminti, kad saugumas neatsiranda iš audito. Tačiau tai tikrai prasideda nuo to. Dirbkite su savo kodu; įsitikinkite, kad ji turi gerai suplanuotą architektūrą ir kad su ja dirbtų sumanūs bei kruopštūs kūrėjai.
Įsitikinkite, kad viskas yra patikrinta ir gerai dokumentuota, ir naudokite visus turimus išteklius. Pvz., Klaidos yra puikus būdas, kad jūsų kodą patikrintų žmonės iš įsilaužėlių požiūrio, o naujos perspektyvos iš to, kas ieško būdų, gali būti neįkainojamas siekiant apsaugoti jūsų projektą.
Svečio įrašas Glebas Zykovas iš HashEx
Savo karjerą Glebas pradėjo programinės įrangos kūrimo srityje mokslinių tyrimų institute, kur įgijo tvirtą techninį ir programavimo išsilavinimą, kurdamas įvairių tipų robotus Rusijos nepaprastųjų situacijų ministerijai.
Vėliau Glebas savo technines žinias perdavė IT paslaugų bendrovei GTC-Soft, kur sukūrė Android programas. Jis tapo pagrindiniu kūrėju, o vėliau – bendrovės CTO. GTC Gleb vadovavo daugelio transporto priemonių stebėjimo paslaugų ir Uber tipo paslaugų kūrimui aukščiausios kokybės taksi. 2017 metais Glebas tapo vienu iš HashEx – tarptautinės blockchain audito ir konsultacijų bendrovės įkūrėjų. Glebas eina vyriausiojo technologijų direktoriaus pareigas, vadovauja blokų grandinės sprendimų kūrimui ir išmaniųjų sutarčių auditams įmonės klientams.
Šaltinis: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/