În ultimii câțiva ani, sute de noi aplicații și protocoale financiare descentralizate au pătruns în rețeaua Ethereum și în alte blockchain-uri. În noiembrie 2021, valoarea totală blocată în toate aplicațiile DeFi a atins 290 de miliarde de dolari.
DeFi, teoretic, este conceput pentru a democratiza accesul la finanțare, permițând participarea oamenilor din întreaga lume, din orice mediu, indiferent cine sunt. Nu există restricții financiare sau geografice sau intermediari centralizați - totul este descentralizat, fără încredere și peer-to-peer.
Este o viziune care sa dovedit populară, DeFi crescând mai repede decât și-ar fi putut imagina oricine. Cu toate acestea, creșterea sa a fost întunecată de numeroase amenințări critice de securitate care o fac să pară o aventură foarte riscantă pentru oricine nu cunoaște foarte bine cum funcționează criptomoneda.
În timp ce 2021 a fost un an mare pentru DeFi, a fost probabil și mai mare pentru hackeri, cu un raport recent de la Chainalaysis descoperire că au furat o criptomonedă în valoare de 3.2 miliarde de dolari în acel an. Anul acesta va fi probabil la fel de profitabil pentru hackeri. Conform celor mai recente de la CertiK raportează, DeFi și Web3 au pierdut împreună peste 2 miliarde de dolari în fața hackerilor în primele șase luni ale anului.
Chainalysis a spus că hackerii din sfera cripto s-au îndepărtat de portofele și alte ținte și vizează aproape exclusiv protocoalele DeFi astăzi. În primele trei luni ale anului 2022, aproape 97% din toate fondurile furate de hackeri au venit de la DeFi, în creștere de la 72% în 2021 și doar 30% în 2020. O privire rapidă asupra unora dintre cele mai mari hack-uri din acest an explică de ce DeFi a devin o țintă atât de populară pentru atacatori. Sumele pe care le pot fura sunt extraordinare. Cel mai scump hack de până acum anul acesta a fost Încălcarea securității Ronin Validator. Pe 23 martie, persoana sau persoanele responsabile de atac au reușit să compromită nodurile de validare DAO Ronin și Axie ale Sky NMavis, să pirateze cheile private și să facă retrageri ilicite. Au furat 173,600 ETH și 25.5 milioane USDC, în valoare totală de 615.5 milioane USD, prin doar două tranzacții.
Din păcate, hack-ul lui Ronin nu a fost doar un eveniment izolat. În februarie hackeri a exploatat o vulnerabilitate de securitate în verificarea semnăturii lui Wormhole, permițându-le să scape cu 120,000 WETH pe Solana, o sumă care valora 326 de milioane de dolari la momentul atacului. În mod similar, în aprilie, protocolul Beanstalk a căzut victimă la o întârziere de o zi în cadrul unui contract de propunere de guvernare $BEAN pentru a finaliza un împrumut rapid. Atacatorul a reușit să fure 70% din totalul semințelor, scăzând cu 181 de milioane de dolari în total.
Detectarea vulnerabilităților Smart Contract
Marea majoritate a hackurilor DeFi apar din cauza vulnerabilităților din contractele inteligente care alimentează protocoalele. Contractele inteligente sunt biți de cod care se execută automat și procesează automat tranzacțiile atunci când sunt îndeplinite anumite condiții. Ele sunt unul dintre elementele de bază ale DeFi, deoarece fac cerința unui intermediar de încredere redundant.
Vestea bună este că comunitatea este conștientă de faptul că contractele inteligente reprezintă o slăbiciune flagrantă în securitatea DeFi și ia măsuri pentru a le rezolva. Cele mai fiabile protocoale DeFi din ziua de azi vor realiza cu siguranță un proces cuprinzător audit inteligent al contractelor pentru a identifica dacă există vulnerabilități. Auditurile sunt efectuate de firme de încredere, cum ar fi CertiK și Hacken, și evaluează tranzacțiile înregistrate într-un registru blockchain pentru a încerca să identifice eventualele erori.
Alte modalități de identificare a vulnerabilităților includ teste de penetrare de echipe de experți în securitate, care încearcă să pirateze protocoalele DeFi, astfel încât să poată informa dezvoltatorii cum au făcut-o, permițându-le să închidă orice lacune descoperite. În plus, protocoalele pot oferi, de asemenea, „bun bounties”, în cazul în care, în esență, acopera securitatea. Zeci de hackeri de tip „pălărie albă” concurează pentru un premiu bănesc pentru a identifica vulnerabilitățile dintr-un protocol. Recompense de bug-uri poate fi deosebit de benefică deoarece îi încurajează pe participanți să se comporte ca niște adevărați criminali cibernetici, ceea ce înseamnă că vor încerca probabil să pirateze protocolul folosind metode similare cu cele ale băieților răi adevărați. Ideea este că băieții buni vor descoperi orice fapte evidente înainte de a fi expuși în lumea reală.
Auditurile inteligente ale codurilor de contract și recompensele de erori pot ajuta la protejarea protocoalelor DeFi împotriva hackurilor obișnuite în jurul excepțiilor necontrolate și a dependenței de ordinele tranzacțiilor. Cu toate acestea, auditurile nu sunt, din păcate, infailibile – studiul Chainalaysis a constatat că 30% din exploatările din acest an au avut loc pe platforme care au fost auditate în ultimele 12 luni. Deci, deși auditurile de cod și recompensele de erori pot fi utile, ele nu oferă nicio garanție. Ca atare, protocoalele DeFi care gestionează miliarde de dolari în fonduri ale utilizatorilor ar trebui să adopte o abordare mai solidă a securității.
Reinventarea contractelor inteligente
Una dintre cele mai interesante soluții care apar este limbajul de programare Scrypto dezvoltat de Rădăcină, care este un protocol blockchain de nivel 1 care a fost creat special pentru DeFi.
Limbajul Scrypto se bazează pe popularul limbaj de programare Rust și își păstrează majoritatea caracteristicilor. Cu toate acestea, adaugă în special o serie de funcții specifice bazate pe Radix Engine. Poate fi gândit ca o colecție de biblioteci și extensii pentru Rust care oferă caracteristici orientate spre active, permițând logicii în stil Rust să interacționeze cu activele ca cetățean nativ, de primă clasă.
Cea mai importantă distincție a Scrypto este că elimină efectiv contractele inteligente. În loc de contracte inteligente, folosește planuri și componente pentru a procesa tranzacțiile. Planurile sunt cod sursă compilat care trăiește pe blockchain, unde pot fi folosite de oricine. Rolul lor este de a oferi „funcții de constructor” pentru tranzacțiile DeFi, cu parametri flexibili pe care alții îi pot instanția. În general, sunt destul de specializati în ceea ce privește funcționalitatea, deși pot suporta mai multe cazuri de utilizare diferite, în funcție de modul exact în care sunt instanțiate. Planurile pot funcționa uneori cu alte planuri, implementate împreună ca un „pachet”.
Pentru a activa un model, acesta trebuie instanțiat prin apelarea uneia dintre funcțiile sale de constructor pentru a obține adresa unei instanțe nou create, cunoscută sub numele de „componentă”. Componentele sunt folosite pentru a gestiona starea și pot aduna, deține și distribui resurse în conformitate cu logica asociată în planul care a creat-o. Cu alte cuvinte, componentele din Scrypto seamănă cu contractele inteligente, totuși, ele derivă din logica definită în planul care a dat naștere acestuia.
Arhitectura unică a lui Scrypto îi permite să efectueze tranzacții într-un mod foarte diferit față de contractele inteligente obișnuite scrise în Solidity sau în altă limbă. În loc să trimită un număr sau o referință la unele jetoane, Radix Engine transferă dreptul de proprietate asupra jetoanelor de la apelant la o componentă. Odată ce acea componentă primește o găleată de resurse sau mai multe găleți, poate lua acele resurse și le poate depozita într-un seif pe care îl deține sau, altfel, într-o găleată diferită. Apoi, Radix Engine se asigură că apelantul nu mai poate accesa găleata sau seif.
Rezultatul final este că dApps construite pe Radix au o modalitate mult mai simplă și mai sigură de tranzacționare. Pentru a înțelege mai bine cum funcționează, Radix ne oferă exemplu de mașină de gumball care acceptă jetoane USD în schimbul unui jeton deținut în seif.
În acest exemplu, utilizatorul transmite o găleată de 0.25 USD la metoda insertCoins a componentei MyMachine. Logica planului vede că prețul corect a fost plătit, adaugă acele jetoane într-un seif, apoi ia 1 gumball din seiful său și îl dă înapoi apelantului. Poate chiar trimite înapoi unele modificări dacă apelantul a trecut prea mult USD.
Cu contractele inteligente bazate pe Solidity de la Ethereum, este mult mai complex și mai riscant. În aceeași mașină, utilizatorul ar apela la un contract inteligent pentru a acorda mașinii permisiunea de a se retrage din portofel în numele său. Ei i-ar spune aparatului că doresc să introducă 0.25 USD. Aparatul ar apela apoi contractul USD pentru a efectua retragerea, apoi va apela un contract inteligent gumball pentru a trimite gumball-ul utilizatorului. În cele din urmă, probabil că ar actualiza și un cache intern al numărului de gumballs rămase pentru a verifica eros. Fiecare dintre aceste procese utilizează un contract inteligent și, prin urmare, fiecare este expus riscului de a fi piratat din cauza unei vulnerabilități a unui contract inteligent.
Acesta este doar un exemplu simplu. Cu DeFi, tranzacțiile pot fi de multe ori mai complexe, ceea ce înseamnă că sunt expuse la riscuri de mai multe ori mai mari. Tot ce este nevoie este o vulnerabilitate undeva, în oricare dintre numeroasele contracte inteligente implicate într-o tranzacție, pentru ca un atacator să realizeze un atac.
Concluzie
Pe măsură ce DeFi crește și valoarea sa totală blocată crește, riscul de exploatare va crește doar. Dacă există o concluzie pe care o putem aduna din cantitatea uimitoare de cripto care a fost furată de hackurile DeFi, este că nevoia de securitate a contractelor inteligente nu a fost niciodată mai mare. În timp ce auditurile de cod și recompensele de erori pot ajuta la identificarea celor mai evidente vulnerabilități din DeFi, este clar că industria ar putea beneficia nemăsurat de pe urma unei revizuiri radicale bazate pe o infrastructură care este concepută pentru a minimiza numărul de potențiale exploit-uri de la început.
Declinare de responsabilitate: Acest articol este furnizat doar în scop informativ. Nu este oferit sau intenționat să fie folosit ca sfaturi juridice, fiscale, de investiții, financiare sau de altă natură
Sursa: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radical-overhaul-smart-contracts-to-prevent-them