Napjainkban a blokklánc piac egésze gyerekcipőben jár, és a decentralizált pénzügy (DeFi) piac a legígéretesebb része. A DefiLlama adatai szerint 2021-ben a DeFi piacon körülbelül 200 milliárd dollárnyi likviditás volt intelligens szerződésekben zárva. Ha ezt a tőkét kezdeti befektetésnek tekintjük, ez a piac nagyon ígéretes vállalkozásnak tűnik. Nem túl sok globális vállalat büszkélkedhet ilyen kapitalizációval. De minden fiatal piacnak megvannak a kezdeti problémái. A DeFi esetében a fő probléma a képzett blokklánc-fejlesztők hiánya.
Ez az iparág nagyon fiatal, és viszonylag kis felhasználói bázissal rendelkezik. A legtöbb ember legfeljebb úgy hallott a DeFi-ről, hogy fogalma sincs arról, mi az. De ahogy ez minden új ígéretes vállalkozásnál megtörténik, ez gyorsan sok spekulatív érdeklődést vált ki. Sajnos a személyzet felkészítése sokkal tovább tart, különösen, ha olyan tudásintenzív szférákról van szó, mint a blokklánc és az intelligens szerződésfejlesztés. Ez azt jelenti, hogy néhány projektcsapatnak kompromisszumot kell kötnie, és kevésbé tapasztalt személyzetet kell alkalmaznia.
Ez a probléma elkerülhetetlenül növeli a biztonsági rések kockázatát ezeknek a projekteknek a kódjában. És akkor meg kell küzdenünk a következményeivel az elvesztett felhasználói tőkében. Hogy csak röviden megértsük, mekkora ez a probléma, elmondhatom, hogy a DeFi teljes zárolt likviditásának körülbelül 10%-át lopták el hackerek. Senkit sem lephet meg, hogy a többségi közvélemény szívesebben maradna távol egy olyan pénzügyi rendszertől, amely ilyen veszélyeket rejt magában.
Kapcsolódó: Hogyan törik fel a DeFi protokollokat?
Hogyan változtak a DeFi kihasználások az utóbbi időben?
A DeFi elleni támadások régóta a visszatérési támadások köré összpontosultak. Felidézhetjük a híres A DAO 2016-os feltörése, amely 150 millió dollár befektetői tőke elvesztését eredményezte, és az Ethereum kemény villájához vezetett. Azóta ezt a sérülékenységet sokszor kihasználták különböző intelligens szerződésekben.
A visszahívási funkciót a hitelezési protokollok aktívan használják: Lehetővé teszi az intelligens szerződések számára, hogy ellenőrizzék a felhasználók fedezeti egyenlegét, mielőtt hitelt nyújtanak. Mindez egy tranzakción belül megy végbe, ami megoldást adott a hackereknek arra, hogy pénzt lopjanak el az ilyen intelligens szerződésekből. Amikor pénzkölcsönkérést küld, a visszahívási funkció először ellenőrzi a fedezet egyenlegét, majd kiadja a kölcsönt, ha elegendő volt a fedezet, majd módosítja a felhasználó fedezeti egyenlegét az intelligens szerződésen belül.
Az intelligens szerződés megtévesztésére a hackerek visszaküldik a hívást a visszahívási funkciónak, hogy a folyamatot az elejétől kezdjék meg. Mivel a tranzakció még nem zárult le a blokkláncon, a funkció ugyanarra a fedezeti egyenlegre újabb kölcsönt ad. Annak ellenére, hogy a probléma megoldása már elég régóta jelen van, sok projekt még mindig áldozatul esik ennek.
Néha az intelligens szerződések megírásában kevés jártassággal rendelkező projektcsapatok úgy döntenek, hogy kölcsönkérik egy másik nyílt forráskódú DeFi-projekt kódbázisát saját intelligens szerződésük telepítéséhez. Általában ezt teszik jó hírű projektekkel, amelyeket auditáltak, nagy felhasználói bázissal rendelkeznek, és biztonságosnak bizonyultak. De dönthetnek úgy, hogy kisebb módosításokat hajtanak végre a kölcsönzött kódon, hogy olyan funkciókat adhassanak hozzá az intelligens szerződésükhöz, amelyeket az eredeti kód megváltoztatása nélkül szeretnének. Ez sértheti az intelligens szerződés logikáját, amit a fejlesztők gyakran nem vesznek észre.
Ez az, amit lehetővé tette a hackerek számára, hogy körülbelül 19 millió dollárt lopjanak el a Cream Finance-től 2021 augusztusában. A Cream Finance csapata egy másik DeFi protokollból kölcsönözte a kódot, és visszahívási tokent adott az intelligens szerződésükhöz. Annak ellenére, hogy megakadályozhatja a visszatérési támadásokat az „ellenőrzések, effektusok, interakciók” minta megvalósításával, amely az egyenleg megváltoztatását helyezi előtérbe az alapok kibocsátásával szemben, egyes csapatok még mindig nem tudják megvédeni platformjukat ezektől a visszaélésektől.
A gyorshitel-támadások lehetővé teszik a hackerek számára, hogy másképpen lopjanak el pénzeszközöket, és a 2020-as DeFi fellendülés óta egyre népszerűbbek. A gyorshitel-támadások fő gondolata az, hogy nem kell fedezetet felvenni egy protokollból, mert a pénzügyi paritás továbbra is garantált. azzal, hogy a kölcsön felvétele és visszaadása egy tranzakción belül történik. És ez nem fog megtörténni, ha nem adja vissza a kölcsönt kamattal egy tranzakcióban. A támadók azonban számos protokollon képesek voltak sikeres gyorskölcsönzési támadásokat végrehajtani.
Kapcsolódó: Szükséges: Egy hatalmas oktatási projekt a hackek és csalások elleni küzdelemhez
Ezek során több protokollt használnak a kölcsönfelvételre és a likviditás áthúzására egészen az utolsó felvonásig, ahol felerősítik egy token árát orákulumokon vagy likviditási poolokon keresztül, és arra használják, hogy becsapjanak egy szivattyút és egy tömböt, és elveszítsék a likviditást. néhány fontosabb kriptovaluta, mint például az Ether (ETH), Wrapped Bitcoin (wBTC) és mások. Néhány híres gyorskölcsön támadás közé tartozik a Palacsintanyuszi támadás, ahol a protokoll 200 millió dollárt veszített, és egy újabb Cream Finance támadás, amelyben több mint 100 millió dollárt loptak el.
Hogyan védekezzünk a DeFi kizsákmányolása ellen?
Egy biztonságos DeFi protokoll felépítéséhez ideális esetben csak a tapasztalt blokklánc-fejlesztőkben kell megbíznia. Olyan professzionális csapatot kell vezetniük, aki jártas a decentralizált alkalmazások létrehozásában. Azt is bölcs dolog, hogy ne felejtse el biztonságos kódkönyvtárakat használni a fejlesztéshez. Néha a kevésbé naprakész könyvtárak a legbiztonságosabb megoldások, mint a legújabb kódbázisúak.
A tesztelés az még egy lényeges dolog minden komoly DeFi projektnek meg kell tennie. Egy intelligens szerződés könyvvizsgáló cég vezérigazgatójaként mindig igyekszem 100%-ban lefedni ügyfeleink kódját, és hangsúlyozom a korlátozott hozzáférésű intelligens szerződések funkcióinak hívására használt privát kulcsok decentralizált védelmének fontosságát. A legjobb a nyilvános kulcs decentralizálása több aláíráson keresztül, amely megakadályozza, hogy egy entitás teljes ellenőrzést gyakoroljon a szerződés felett.
Végső soron az oktatás az egyik kulcs, amely lehetővé teszi, hogy a blokklánc-alapú pénzügyi rendszerek biztonságosabbá és megbízhatóbbá váljanak. Az oktatásnak pedig a DeFi-nél munkát keresők egyik legfontosabb gondja kell, hogy legyen, mert ínycsiklandó jutalmakat kínálhat mindenkinek, aki életképes hozzájárulást tud tenni.
Ez a cikk nem tartalmaz befektetési tanácsokat és javaslatokat. Minden befektetési és kereskedési lépés kockázattal jár, és az olvasóknak a saját döntésük meghozatalakor saját kutatásokat kell végezniük. Az itt kifejtett nézetek, gondolatok és vélemények önmagában a szerzők, és nem feltétlenül tükrözik, vagy képviselik a Cointelegraph nézeteit és véleményét. Dmitrij Mishunin a DeFi biztonsági és elemző cég, a HashEx alapítója és vezérigazgatója, és hosszú távú szakértelemmel rendelkezik a blokklánc-biztonság területén. Sok időt szentelt a tudományos tevékenységeknek, mint például az informatikai rendszerek, a blokklánc és a DeFi sebezhetőségeinek kutatása. Dmitrij irányítása alatt a HashEx az intelligens szerződések auditálásának egyik vezetőjévé vált. Forrás: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi