Сьогодні ринок блокчейнів в цілому перебуває в зародковому стані, і децентралізовані фінанси (DeFi) ринок є його найбільш перспективною частиною. Згідно з даними DefiLlama, у 2021 році ринок DeFi мав близько 200 мільярдів доларів ліквідності, заблокованої в смарт-контрактах. Якщо розглядати цей капітал як початкову інвестицію, то цей ринок виглядає дуже перспективним підприємством. Не так багато світових компаній можуть похвалитися такою капіталізацією. Але будь-який молодий ринок має свої проблеми. Що стосується DeFi, головною проблемою є відсутність кваліфікованих розробників блокчейну.
Ця галузь дуже молода і має відносно невелику базу користувачів. Більшість людей у кращому випадку чули про DeFi, не маючи жодного уявлення про те, що це таке. Але, як це трапляється з кожним новим багатообіцяючим підприємством, воно швидко викликає великий спекулятивний інтерес. На жаль, підготовка кадрів займає набагато більше часу, особливо якщо це стосується таких наукомістких сфер, як блокчейн і розробка смарт-контрактів. Це означає, що деяким проектним командам доведеться піти на компроміс і найняти менш досвідчений персонал.
Ця проблема неминуча створює зростаючий ризик лазівок у безпеці у коді цих проектів. А потім нам доведеться мати справу з його наслідками у втраченому капіталі користувачів. Щоб коротко зрозуміти, наскільки велика ця проблема, я можу сказати, що близько 10% загальної заблокованої ліквідності DeFi було вкрадено хакерами. Нікого не повинно дивувати, що основна громадськість воліє триматися подалі від фінансової системи, яка становить таку небезпеку для їхніх коштів.
За темою: Як зламують протоколи DeFi?
Як нещодавно змінилися експлойти DeFi?
Атаки на DeFi довгий час зосереджувалися на атаках повторного входу. Можна згадати відомих Злом DAO 2016 року, який призвів до втрати 150 мільйонів доларів капіталу інвесторів і призвів до хардфорку Ethereum. З тих пір цю вразливість багато разів використовували в різних смарт-контрактах.
Функція зворотного виклику активно використовується протоколами кредитування: вона дозволяє смарт-контрактам перевіряти баланс застави користувачів перед наданням позики. Весь цей процес відбувається в рамках однієї транзакції, що дало хакерам обхідний шлях для крадіжки грошей із таких смарт-контрактів. Коли ви надсилаєте запит на позику коштів, функція зворотного виклику спочатку перевіряє баланс застави, потім видає позику, якщо застава була достатньою, а потім змінює баланс застави користувача в смарт-контракті.
Щоб обдурити смарт-контракт, хакери повертають виклик функції зворотного виклику, щоб розпочати цей процес із самого початку. Оскільки транзакція не була завершена в блокчейні, функція видає іншу позику під той самий баланс застави. Незважаючи на те, що рішення цієї проблеми існує досить давно, багато проектів все ще стають його жертвами.
Іноді команди проектів, які не мають навичок написання смарт-контрактів, вирішують запозичити кодову базу іншого проекту DeFi з відкритим кодом, щоб розгорнути власний смарт-контракт. Зазвичай вони роблять це з авторитетними проектами, які пройшли перевірку, мають велику базу користувачів і підтвердили свою надійність. Але вони можуть вирішити внести незначні зміни в запозичений код, щоб додати функції, які вони хочуть мати у своєму смарт-контракті, навіть не змінюючи вихідний код. Це може пошкодити логіку смарт-контракту, чого розробники часто не усвідомлюють.
Це те, що дозволив хакерам викрасти близько 19 мільйонів доларів від Cream Finance у серпні 2021 року. Команда Cream Finance запозичила код з іншого протоколу DeFi та додала маркер зворотного виклику у свій смарт-контракт. Незважаючи на те, що ви можете запобігти атакам повторного входу, реалізувавши шаблон «перевірки, ефекти, взаємодії», який надає перевагу зміні балансу над випуском коштів, деякі команди все одно не можуть захистити свої платформи від цих експлойтів.
Атаки на флеш-позику дозволяють хакерам по-іншому викрадати кошти та стають дедалі популярнішими після буму DeFi у 2020 році. Основна ідея атак на флеш-позику полягає в тому, що вам не потрібно мати заставу, щоб позичати кошти з протоколу, оскільки фінансовий паритет усе ще гарантується. тим, що позика береться і повертається в рамках однієї операції. І не відбудеться, якщо не повернути позику з відсотками однією операцією. Але зловмисники змогли виконати успішні атаки флеш-позики на багато протоколів.
За темою: Необхідно: масштабний освітній проект для боротьби з хакерством і шахрайством
Роблячи це, вони використовують кілька протоколів, щоб запозичити та перетягнути ліквідність до останнього акту, коли вони підвищують ціну токена через оракули або пули ліквідності та використовують її для шахрайства, щоб викачувати та скидати ліквідність у масиві. деяких основних різних криптовалют, таких як ефір (ETH), Wrapped Bitcoin (wBTC) та інші. Деякі відомі атаки на флеш-кредити включають Напад зайчика-млинця, де протокол втратив 200 мільйонів доларів, і чергова атака Cream Finance, в якому було вкрадено понад 100 мільйонів доларів.
Як захиститися від експлойтів DeFi?
Щоб створити безпечний протокол DeFi, в ідеалі ви повинні довіряти лише досвідченим розробникам блокчейну. Вони повинні мати професійного керівника команди, який має навички створення децентралізованих програм. Також доцільно пам’ятати про використання безпечних бібліотек коду для розробки. Іноді менш сучасні бібліотеки можуть бути найбезпечнішим варіантом, ніж бібліотеки з найновішою базою коду.
Тестування є ще одна важлива річ всі серйозні проекти DeFi повинні відповідати. Як генеральний директор аудиторської компанії смарт-контрактів, я завжди намагаюся охопити 100% коду наших клієнтів і наголошую на важливості децентралізованого захисту закритих ключів, які використовуються для виклику функцій смарт-контрактів з обмеженим доступом. Найкраще використовувати децентралізацію відкритого ключа за допомогою мультипідпису, що запобігає повному контролю над контрактом одній особі.
Зрештою, освіта є одним із ключів, який дозволить фінансовим системам, заснованим на блокчейні, стати більш безпечними та надійними. А освіта має бути однією з ключових проблем тих, хто шукає роботу в DeFi, оскільки вона може запропонувати апетитні винагороди всім, хто може зробити життєздатний внесок.
Ця стаття не містить інвестиційних порад та рекомендацій. Кожен інвестиційний та торговий крок передбачає ризик, і читачі повинні проводити власні дослідження, приймаючи рішення. Висловлені тут погляди, думки та думки є одними лише авторами і не обов'язково відображають і не представляють погляди та думки Коінтелеграфа. Дмитро Мішунін є засновником і генеральним директором компанії безпеки та аналітики DeFi HashEx і має багаторічний досвід у сфері безпеки блокчейнів. Багато часу приділяв науковій діяльності, наприклад дослідженню ІТ-систем, блокчейну та вразливостей у DeFi. Під керівництвом Дмитра HashEx став одним із лідерів у сфері аудиту смарт-контрактів. Джерело: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi