În zilele noastre, piața blockchain în ansamblu este la început, iar finanțe descentralizate (DeFi) piața este partea sa cea mai promițătoare. Potrivit datelor DefiLlama, în 2021, piața DeFi avea lichidități în jur de 200 de miliarde de dolari blocate în contracte inteligente. Dacă privim acest capital ca pe o investiție inițială, această piață pare o afacere foarte promițătoare. Nu prea multe companii globale se pot lăuda cu o astfel de capitalizare. Dar orice piață tânără are problemele sale de început. Cu DeFi, principala problemă este lipsa de dezvoltatori blockchain calificați.
Această industrie este foarte tânără și are o bază de utilizatori relativ mică. Majoritatea oamenilor au auzit în cel mai bun caz despre DeFi fără să aibă idee despre ce este. Dar, așa cum se întâmplă cu fiecare nouă afacere promițătoare, creează rapid mult interes speculativ. Din păcate, pregătirea personalului durează mult mai mult, mai ales când vine vorba de sfere atât de intense în cunoștințe, cum ar fi blockchain-ul și dezvoltarea de contracte inteligente. Aceasta înseamnă că unele echipe de proiect vor trebui să facă compromisuri și să angajeze personal mai puțin experimentat.
Această problemă în mod inevitabil creează un risc tot mai mare de lacune de securitate în codul acestor proiecte. Și apoi trebuie să ne confruntăm cu consecințele sale în capitalul utilizatorului pierdut. Pentru o scurtă înțelegere a cât de mare este această problemă, pot spune că aproximativ 10% din lichiditatea totală blocată a DeFi a fost furată de hackeri. Nu ar trebui să surprindă pe nimeni că publicul de masă ar prefera să stea departe de un sistem financiar care prezintă astfel de pericole pentru fondurile lor.
Related: Cum sunt piratate protocoalele DeFi?
Cum s-au schimbat recent exploatările DeFi?
Atacurile asupra DeFi au fost de mult centrate pe atacurile de reintrare. Ne putem aminti de faimos Hackul DAO din 2016, care a dus la pierderea a 150 de milioane de dolari din capitalul investitorilor și a dus la hard fork-ul lui Ethereum. De atunci, această vulnerabilitate a fost exploatată de multe ori în diferite contracte inteligente.
Funcția de apel invers este utilizată în mod activ de protocoalele de împrumut: permite contractelor inteligente să verifice soldul garanțiilor utilizatorilor înainte de a acorda un împrumut. Tot acest proces are loc într-o singură tranzacție, ceea ce le-a oferit hackerilor o soluție pentru a fura bani din astfel de contracte inteligente. Când trimiteți o cerere de împrumut de fonduri, funcția de apel invers verifică mai întâi soldul garanției, apoi acordă împrumutul dacă garanția a fost suficientă și apoi modifică soldul garanției utilizatorului în cadrul contractului inteligent.
Pentru a păcăli contractul inteligent, hackerii returnează apelul la funcția de apel invers pentru a iniția acest proces de la început. Deoarece tranzacția nu a fost finalizată pe blockchain, funcția acordă un alt împrumut pentru același sold de garanție. Chiar dacă soluția la această problemă a fost suficient de mult timp pe scenă, multe proiecte încă sunt victime ale acesteia.
Uneori, echipele de proiect cu puține abilități în scrierea de contracte inteligente decid să împrumute baza de cod a unui alt proiect DeFi open-source pentru a-și implementa propriul contract inteligent. În mod normal, aceștia fac acest lucru cu proiecte de renume care au fost auditate și au baze mari de utilizatori și s-au dovedit a fi construite în siguranță. Dar ei pot decide să facă modificări minore codului împrumutat pentru a adăuga funcționalități pe care doresc să le aibă în contractul lor inteligent, fără a schimba măcar codul original. Acest lucru poate deteriora logica contractului inteligent, despre care dezvoltatorii nu își dau seama adesea.
Acesta este ce a permis hackerilor să fure aproximativ 19 milioane de dolari de la Cream Finance în august 2021. Echipa Cream Finance a împrumutat codul dintr-un alt protocol DeFi și a adăugat un simbol de apel invers în contractul lor inteligent. Chiar dacă puteți preveni atacurile de reintrare prin implementarea modelului „verificări, efecte, interacțiuni” care prioritizează schimbarea echilibrului față de emiterea de fonduri, unele echipe încă nu reușesc să-și protejeze platformele de aceste exploit-uri.
Atacurile de împrumut flash permit hackerilor să fure fonduri în mod diferit și au devenit din ce în ce mai populare de la boom-ul DeFi din 2020. Ideea principală a atacurilor de împrumut flash este că nu trebuie să aveți garanții pentru a împrumuta fonduri dintr-un protocol, deoarece paritatea financiară este încă garantată. prin faptul că împrumutul este luat și returnat în cadrul unei singure tranzacții. Și nu va avea loc dacă nu reușiți să returnați împrumutul cu dobândă într-o singură tranzacție. Dar atacatorii au reușit să efectueze cu succes atacuri de împrumut flash pe multe protocoale.
Related: Necesar: un proiect educațional masiv pentru a lupta împotriva hackurilor și escrocherilor
Făcându-le, folosesc mai multe protocoale pentru a împrumuta și a trage lichiditatea până la actul final, unde amplifică prețul unui token prin oracole sau pool-uri de lichiditate și îl folosesc pentru a escroca un pump-and-dump și a pierde lichiditatea într-o matrice. a unor criptomonede majore, cum ar fi Ether (ETH), Wrapped Bitcoin (wBTC) și altele. Unele atacuri celebre de împrumut flash includ Atacul Clatite Bunny, unde protocolul a pierdut 200 de milioane de dolari și un alt atac Cream Finance, în care au fost furate peste 100 de milioane de dolari.
Cum să vă apărați împotriva exploatărilor DeFi?
Pentru a construi un protocol DeFi securizat, în mod ideal, ar trebui să aveți încredere numai în dezvoltatorii blockchain cu experiență. Ar trebui să aibă un lider de echipă profesionist cu abilități în construirea de aplicații descentralizate. De asemenea, este înțelept să vă amintiți să utilizați biblioteci de cod sigure pentru dezvoltare. Uneori, bibliotecile mai puțin actualizate pot fi cea mai sigură opțiune decât cele cu cele mai noi baze de cod.
Testarea este un alt lucru crucial toate proiectele serioase DeFi trebuie să facă. În calitate de CEO al unei companii de audit de contracte inteligente, încerc întotdeauna să acopăr 100% din codul clienților noștri și subliniez importanța protecției descentralizate a cheilor private utilizate pentru apelarea funcțiilor contractelor inteligente cu acces restricționat. Cel mai bine este să folosiți descentralizarea cheii publice printr-o semnătură multiplă care împiedică o entitate să aibă control deplin asupra contractului.
În cele din urmă, educația este una dintre cheile care vor permite sistemelor financiare bazate pe blockchain să devină mai sigure și mai fiabile. Iar educația ar trebui să fie una dintre preocupările cheie ale celor care caută un loc de muncă în DeFi, deoarece poate oferi recompense delicioase tuturor celor care pot aduce o contribuție viabilă.
Acest articol nu conține sfaturi sau recomandări privind investițiile. Fiecare mișcare de investiții și tranzacționare implică riscuri, iar cititorii ar trebui să își desfășoare propriile cercetări atunci când iau o decizie. Părerile, gândurile și opiniile exprimate aici sunt singure ale autorului și nu reflectă sau reprezintă neapărat părerile și opiniile lui Cointelegraph. Dmitri Mișunin este fondatorul și CEO-ul companiei de securitate și analiză DeFi HashEx și are o experiență de lungă durată în domeniul securității blockchain. El a dedicat mult timp activităților științifice, cum ar fi cercetarea sistemelor IT, blockchain și vulnerabilități în DeFi. Sub conducerea lui Dmitry, HashEx a devenit unul dintre liderii în domeniul auditurilor smart contract. Sursa: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi