Оскільки сектор DeFi продовжує залучати гроші та користувачів, погані актори з усього світу продовжують розглядати його як привабливу мішень, яка дозріла для вибору та погано захищена.
Протягом останніх кількох місяців я відстежував деякі з найпомітніших подвигів протоколів DeFi, і принаймні сім з них, схоже, є результатом лише недоліків смарт-контракту.
Наприклад, хакери вразили і пограбували Wormhole, вкравши понад 300 мільйонів доларів, Qubit Finance (80 мільйонів доларів), Meter (4.4 мільйона доларів), Deus (3 мільйони доларів), TreasureDAO (понад 100 NFT) і, нарешті, Agave і Hundred Finance, які разом , втратив 11 мільйонів доларів. Усі ці атаки призвели до крадіжки досить значних сум, завдавши серйозної шкоди проектам.
У багатьох цільових протоколах спостерігається девальвація криптовалюти, недовіра з боку користувачів, критика щодо безпеки DeFi та смарт-контрактів та подібні негативні наслідки.
Які види подвигів відбувалися під час атак?
Природно, кожен із цих випадків унікальний, і для вирішення кожного окремого проекту використовувалися різні типи експлойтів, залежно від їх уразливостей та недоліків. Приклади включають логічні помилки, атаки повторного входу, атаки flashloan з маніпуляціями з цінами тощо. Я вважаю, що це результат того, що протоколи DeFi стають все більш складними, і оскільки вони стають, складність коду ускладнює усунення всіх недоліків.
Крім того, аналізуючи кожен із цих інцидентів, я помітив дві речі. По-перше, хакерам щоразу вдавалося отримати величезні суми — криптовалюти на мільйони доларів.
Цей «день зарплати» дає хакерам стимул витрачати будь-який час на вивчення протоколів, навіть місяці за раз, оскільки вони знають, що винагорода того варта. Це означає, що хакери мотивовані витрачати набагато більше часу на пошук недоліків, ніж аудитори.
Друге, що примітно, це те, що в деяких випадках хаки насправді були надзвичайно простими. Візьмемо як приклад атаку Hundred Finance. Проект був уражений за допомогою добре відомої помилки, яку зазвичай можна знайти у складених форках, якщо до протоколу додано токен. Все, що хакеру потрібно зробити, це дочекатися, поки один з цих жетонів не буде доданий до сотні фінансів. Після цього все, що потрібно, це виконати кілька простих кроків, щоб використовувати експлойт, щоб отримати гроші.
Що можуть зробити проекти DeFi, щоб захистити себе?
Якщо рухатися вперед, найкраще, що можуть зробити ці проекти, щоб захистити себе від поганих акторів, — це зосередитися на аудиті. Чим глибше, тим краще, і проводиться досвідченими фахівцями, які знають, на що звернути увагу. Але є ще одна річ, яку проекти можуть зробити, навіть не вдаючись до аудиту, а саме переконатися, що вони мають гарну архітектуру, створену відповідальними розробниками.
Це особливо важливо, оскільки більшість проектів блокчейну мають відкритий код, а це означає, що їх код, як правило, копіюється та використовується повторно. Це пришвидшує роботу під час розробки, а код безкоштовний для отримання.
Проблема полягає в тому, якщо виявляється, що він дефектний, і його копіюють до того, як оригінальні розробники виявлять уразливості та виправляють їх. Навіть якщо вони оголосять і впровадять виправлення, ті, хто його скопіював, можуть не бачити новини, а їхній код залишається вразливим.
Наскільки насправді аудит може допомогти?
Смарт-контракти функціонують як програми, які працюють за технологією блокчейн. Таким чином, можливо, вони мають недоліки та містять помилки. Як я вже згадував раніше, чим складніший контракт — тим більше шансів, що через перевірку розробників проскочить один чи два недоліки.
На жаль, існує багато ситуацій, коли немає простого рішення, щоб виправити ці недоліки, тому розробникам слід не поспішати і переконатися, що код виконано належним чином, а недоліки помічені негайно або принаймні якомога раніше.
Саме тут на допомогу приходять аудити, оскільки якщо ви протестуєте код і належним чином задокументуєте хід його розробки та тестів, ви зможете позбутися більшості проблем на ранньому етапі.
Звичайно, навіть аудит не може дати 100% гарантії, що проблем із кодом не буде. Ніхто не може. Не випадково хакерам потрібні місяці, щоб з’ясувати найменшу вразливість, яку вони можуть використати на свою користь — ви не можете створити ідеальний код і зробити його корисним, особливо коли мова йде про нові технології.
Аудити дійсно зменшують кількість проблем, але справжня проблема полягає в тому, що багато проектів, які потрапили до хакерів, навіть не проходили аудит взагалі.
Отже, будь-які розробники та власники проектів, які все ще знаходяться в процесі розробки, повинні пам’ятати, що безпека не залежить від проходження аудиту. Однак, безперечно, починається з цього. Попрацюйте над своїм кодом; переконайтеся, що він має добре розроблену архітектуру і що над ним працюють вмілі та старанні розробники.
Переконайтеся, що все перевірено та добре задокументовано, і використовуйте всі ресурси, які є у вашому розпорядженні. Наприклад, винагороди за помилки — це чудовий спосіб перевірити ваш код людьми з точки зору хакерів, а новий погляд від того, хто шукає шлях, може бути безцінним для захисту вашого проекту.
Гостьовий пост Гліба Зикова з HashEx
Гліб розпочав свою кар'єру з розробки програмного забезпечення в науково-дослідному інституті, де здобув сильний технічний та програмний досвід, розробляючи різні типи роботів для Міністерства надзвичайних ситуацій Росії.
Пізніше Гліб переніс свої технічні знання в компанію з IT-сервісів GTC-Soft, де розробляв додатки для Android. Він став провідним розробником, а потім і технічним директором компанії. У GTC Гліб очолив розробку численних сервісів моніторингу транспортних засобів і сервісу, схожого на Uber, для таксі преміум-класу. У 2017 році Гліб став одним із співзасновників HashEx – міжнародної аудиторської та консалтингової компанії з блокчейну. Гліб обіймає посаду технологічного директора, очолює розробку блокчейн-рішень та аудит смарт-контрактів для клієнтів компанії.
Джерело: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/