Pe măsură ce sectorul DeFi continuă să atragă bani și utilizatori, actorii răi din întreaga lume continuă să-l vadă ca pe o țintă atractivă, pregătită pentru alegere și prost protejată.
În ultimele câteva luni, am urmărit unele dintre cele mai notabile exploatații ale protocoalelor DeFi și cel puțin șapte dintre ele par să fie doar rezultatul defectelor contractelor inteligente.
De exemplu, hackerii au lovit și jefuit Wormhole, furând peste 300 de milioane de dolari, Qubit Finance (80 de milioane de dolari), Meter (4.4 milioane de dolari), Deus (3 milioane de dolari), TreasureDAO (peste 100 de NFT) și, în sfârșit, Agave și Hundred Finance care, împreună , a pierdut 11 milioane de dolari în total. Toate aceste atacuri au dus la furtul unor sume destul de importante de bani, provocând pagube majore proiectelor.
Multe dintre protocoalele vizate au înregistrat o devalorizare a criptomonedei, neîncrederea utilizatorilor, critici privind securitatea DeFi și a contractelor inteligente și consecințe negative similare.
Ce tipuri de exploit-uri au avut loc în timpul atacurilor?
Desigur, fiecare dintre aceste cazuri este unic și au fost folosite diferite tipuri de exploatare pentru a aborda fiecare proiect individual, în funcție de vulnerabilitățile și defectele acestora. Exemplele includ erori de logică, atacuri de reintrare, atacuri de împrumut flash cu manipulări de preț și multe altele. Cred că acesta este rezultatul faptului că protocoalele DeFi devin mai complexe și, pe măsură ce se întâmplă, complexitatea codului face din ce în ce mai dificilă eliminarea tuturor defectelor.
În plus, am observat două lucruri în timp ce am analizat fiecare dintre aceste incidente. Prima este că hackerii au reușit să scape cu sume masive de fiecare dată - în valoare de milioane de dolari în cripto.
Această „zi de plată” le oferă hackerilor un stimulent să petreacă timpul necesar studiind protocoalele, chiar și luni la rând, deoarece știu că recompensa va merita. Asta înseamnă că hackerii sunt motivați să petreacă mult mai mult timp căutând defecte decât auditorii.
Al doilea lucru care a ieșit în evidență este că, în unele cazuri, hack-urile au fost de fapt extrem de simple. Luați ca exemplu atacul Hundred Finance. Proiectul a fost lovit folosind o eroare bine-cunoscută care poate fi găsită de obicei în Compound forks dacă se adaugă un token la protocol. Tot ceea ce trebuie să facă hackerul este să aștepte până când unul dintre aceste jetoane este adăugat la Hundred Finance. După aceea, tot ce este nevoie este să urmați câțiva pași simpli pentru a utiliza exploit-ul pentru a ajunge la bani.
Ce pot face proiectele DeFi pentru a se proteja?
Mergând înainte, cel mai bun lucru pe care îl pot face aceste proiecte pentru a se proteja de actorii răi este să se concentreze asupra auditurilor. Cu cât este mai aprofundat, cu atât mai bine și condus de profesioniști cu experiență, care știu la ce să acorde atenție. Dar, mai este un lucru pe care proiectele îl pot face, chiar înainte de a recurge la audituri, și anume să se asigure că au o arhitectură bună creată de dezvoltatori responsabili.
Acest lucru este deosebit de important deoarece majoritatea proiectelor blockchain sunt open-source, ceea ce înseamnă că codul lor tinde să fie copiat și reutilizat. Accelerează lucrurile în timpul dezvoltării, iar codul este gratuit pentru preluare.
Problema este dacă se dovedește că este defect și este copiat înainte ca dezvoltatorii originali să descopere vulnerabilitățile și să le repare. Chiar dacă anunță și implementează remedierea, cei care au copiat-o s-ar putea să nu vadă știrile, iar codul lor rămâne vulnerabil.
Cât de mult pot ajuta de fapt auditurile?
Contractele inteligente funcționează ca programe care rulează pe tehnologia blockchain. Ca atare, este posibil ca acestea să fie defecte și să conțină bug-uri. După cum am menționat mai devreme, cu cât contractul este mai complex - cu atât sunt mai mari șansele ca un defect sau două să treacă prin controalele dezvoltatorilor.
Din păcate, există multe situații în care nu există o soluție ușoară pentru a remedia aceste defecte, motiv pentru care dezvoltatorii ar trebui să își ia timpul și să se asigure că codul este făcut corect și că defectele sunt identificate imediat sau cel puțin cât mai devreme posibil.
Aici intervin auditurile, deoarece dacă testați codul și documentați progresul dezvoltării sale și testele în mod adecvat, puteți scăpa de majoritatea problemelor de la început.
Desigur, nici măcar auditurile nu pot oferi o garanție de 100% că nu vor exista probleme cu codul. Nimeni nu poate. Nu este întâmplător că hackerii au nevoie de luni de zile pentru a-și da seama de cea mai mică vulnerabilitate pe care o pot folosi în avantajul lor – nu poți crea codul perfect și îl face util, mai ales nu când vine vorba de noi tehnologii.
Auditurile reduc numărul problemelor, dar adevărata problemă este că multe dintre proiectele lovite de hackeri nu au avut nici măcar audituri.
Așadar, oricăror dezvoltatori și proprietari de proiecte care sunt încă în proces de dezvoltare trebuie să-și amintească că securitatea nu vine din trecerea unui audit. Cu toate acestea, cu siguranță începe de acolo. Lucrează la codul tău; asigurați-vă că are o arhitectură bine proiectată și că dezvoltatorii pricepuți și diligenti lucrează la ea.
Asigurați-vă că totul este testat și bine documentat și folosiți toate resursele pe care le aveți la dispoziție. Recompensele de erori, de exemplu, sunt o modalitate excelentă de a vă verifica codul de către oameni din punctul de vedere al hackerilor, iar o perspectivă nouă din partea unei persoane care caută o cale de intrare poate fi neprețuită pentru a vă asigura proiectul.
Postare invitată de Gleb Zykov de la HashEx
Gleb și-a început cariera în dezvoltarea de software într-un institut de cercetare, unde și-a câștigat o experiență tehnică și de programare puternică, dezvoltând diferite tipuri de roboți pentru Ministerul Rusiei pentru Situații de Urgență.
Mai târziu, Gleb și-a adus expertiza tehnică la compania de servicii IT GTC-Soft, unde a proiectat aplicații pentru Android. El a trecut pentru a deveni dezvoltator principal și, ulterior, CTO al companiei. În GTC, Gleb a condus dezvoltarea a numeroase servicii de monitorizare a vehiculelor și a unui serviciu asemănător Uber pentru taxiuri premium. În 2017, Gleb a devenit unul dintre co-fondatorii HashEx – o companie internațională de audit și consultanță blockchain. Gleb deține poziția de Chief Technology Officer, liderul dezvoltării de soluții blockchain și audituri smart-contract pentru clienții companiei.
Sursa: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/