Danas je tržište blockchaina u cjelini u povojima, a decentralizirane financije (DeFi) tržište je njegov dio koji najviše obećava. Prema podacima DefiLlame, 2021. DeFi tržište imalo je oko 200 milijardi dolara likvidnosti zaključane u pametnim ugovorima. Ako ovaj kapital promatramo kao početnu investiciju, ovo tržište izgleda kao vrlo obećavajući pothvat. Takvom kapitalizacijom ne može se pohvaliti previše svjetskih tvrtki. Ali svako mlado tržište ima svojih problema. S DeFi-jem, glavni problem je nedostatak kvalificiranih blockchain programera.
Ova industrija je vrlo mlada i ima relativno malu bazu korisnika. Većina ljudi je u najboljem slučaju čula za DeFi, a da nemaju pojma što je to. No, kao što to biva sa svakim novim obećavajućim pothvatom, brzo stvara mnogo spekulativnog interesa. Nažalost, priprema osoblja traje mnogo duže, posebno kada je riječ o tako visokom znanju kao što su blockchain i razvoj pametnih ugovora. To znači da će neki projektni timovi morati pristati na kompromis i zaposliti manje iskusno osoblje.
Ovaj problem je neizbježan stvara rastući rizik od sigurnosnih rupa u kodu ovih projekata. A onda se moramo nositi s njegovim posljedicama u izgubljenom korisničkom kapitalu. Za samo kratko razumijevanje koliko je velik ovaj problem, mogu reći da su oko 10% DeFi-jeve ukupne zaključane likvidnosti ukrali hakeri. Nikoga ne bi trebalo iznenaditi da bi se glavna javnost radije držala podalje od financijskog sustava koji predstavlja takvu opasnost za njihova sredstva.
Povezano: Kako se hakiraju DeFi protokoli?
Kako su se DeFi exploiti nedavno promijenili?
Napadi na DeFi dugo su bili usmjereni na napade ponovnim ulaskom. Možemo se prisjetiti poznatih Hakiranje DAO-a iz 2016. koje je rezultiralo gubitkom od 150 milijuna dolara ulagačkog kapitala i dovelo do hard forka Ethereuma. Od tada je ova ranjivost mnogo puta iskorištena u različitim pametnim ugovorima.
Protokoli za posuđivanje aktivno koriste funkciju povratnog poziva: omogućuje pametnim ugovorima provjeru stanja kolaterala korisnika prije davanja zajma. Sav ovaj proces događa se unutar jedne transakcije, što je hakerima dalo zaobilazno rješenje za krađu novca iz takvih pametnih ugovora. Kada pošaljete zahtjev za posudbu sredstava, funkcija povratnog poziva prvo provjerava stanje kolaterala, zatim izdaje zajam ako je kolateral dovoljan, a zatim mijenja stanje kolaterala korisnika unutar pametnog ugovora.
Kako bi prevarili pametni ugovor, hakeri vraćaju poziv funkciji povratnog poziva kako bi pokrenuli ovaj proces od početka. Budući da transakcija nije finalizirana na blockchainu, funkcija daje još jedan zajam za isti saldo kolaterala. Iako je rješenje ovog problema već dovoljno dugo na sceni, mnogi projekti još uvijek padaju njegove žrtve.
Ponekad projektni timovi s malo vještine u pisanju pametnih ugovora odluče posuditi bazu koda drugog DeFi projekta otvorenog koda za implementaciju vlastitog pametnog ugovora. Obično to čine s renomiranim projektima koji su revidirani i imaju velike korisničke baze te se pokazalo da su sigurno izgrađeni. Ali mogu odlučiti napraviti manje izmjene posuđenog koda kako bi dodali funkcionalnosti koje žele imati u svom pametnom ugovoru, čak i bez promjene izvornog koda. To može oštetiti logiku pametnog ugovora, što programeri često ne shvaćaju.
To je što omogućio hakerima da ukradu oko 19 milijuna dolara od Cream Finance u kolovozu 2021. Tim Cream Finance posudio je kod s drugog DeFi protokola i dodao token povratnog poziva u svoj pametni ugovor. Iako možete spriječiti napade ponovnog ulaska implementacijom obrasca "provjere, učinci, interakcije" koji daje prioritet promjeni stanja nad izdavanjem sredstava, neki timovi još uvijek ne uspijevaju zaštititi svoje platforme od ovih iskorištavanja.
Napadi na flash zajam omogućuju hakerima da kradu sredstva na različite načine i postaju sve popularniji od procvata DeFi-ja 2020. Glavna ideja napada na flash zajam je da ne morate imati kolateral za posuđivanje sredstava iz protokola jer je financijski paritet i dalje zajamčen činjenicom da se kredit uzima i vraća unutar jedne transakcije. A neće se dogoditi ako jednom transakcijom ne vratite kredit s kamatama. Ali napadači su bili u mogućnosti izvesti uspješne napade flash loan na mnoge protokole.
Povezano: Potrebno: veliki obrazovni projekt za borbu protiv hakova i prijevara
Pri tome koriste višestruke protokole za posuđivanje i provlačenje likvidnosti do završnog čina u kojem povećavaju cijenu tokena putem proročanstava ili fondova likvidnosti i koriste ga za prevaru pump-and-dump i nestanka s likvidnošću u nizu nekih velikih različitih kriptovaluta kao što je Ether (ETH), Wrapped Bitcoin (wBTC) i drugi. Neki poznati napadi na flash zajam uključuju Pancake Bunny napad, gdje je protokol izgubio 200 milijuna dolara, i još jedan Cream Finance napad, u kojem je ukradeno preko 100 milijuna dolara.
Kako se obraniti od DeFi exploita?
Za izgradnju sigurnog DeFi protokola, u idealnom slučaju, trebali biste vjerovati samo iskusnim programerima blockchaina. Trebali bi imati voditelja profesionalnog tima koji je vješt u izradi decentraliziranih aplikacija. Također je mudro zapamtiti korištenje sigurnih biblioteka kodova za razvoj. Ponekad, manje ažurne biblioteke mogu biti najsigurnija opcija od onih s najnovijom bazom koda.
Testiranje je još jedna bitna stvar svi ozbiljni DeFi projekti moraju učiniti. Kao izvršni direktor tvrtke za reviziju pametnih ugovora, uvijek nastojim pokriti 100% koda naših klijenata i naglašavam važnost decentralizirane zaštite privatnih ključeva koji se koriste za pozivanje funkcija pametnih ugovora s ograničenim pristupom. Najbolje je koristiti decentralizaciju javnog ključa putem višestrukog potpisa koji onemogućuje da jedan subjekt ima punu kontrolu nad ugovorom.
Na kraju, obrazovanje je jedan od ključeva koji će omogućiti da financijski sustavi temeljeni na blockchainu postanu sigurniji i pouzdaniji. A obrazovanje bi trebalo biti jedna od ključnih briga onih koji traže posao u DeFi-ju jer može ponuditi primamljive nagrade svima koji mogu dati održiv doprinos.
Ovaj članak ne sadrži investicijske savjete ili preporuke. Svaki potez ulaganja i trgovanja uključuje rizik, a čitatelji bi trebali provesti vlastito istraživanje prilikom donošenja odluke. Ovdje prikazani stavovi, razmišljanja i mišljenja samo su autora i ne odražavaju nužno i ne predstavljaju stavove i mišljenja Cointelegrafa. Dmitrij Mišunin je osnivač i izvršni direktor DeFi sigurnosne i analitičke tvrtke HashEx i ima dugogodišnju ekspertizu u području sigurnosti blockchaina. Puno vremena posvetio je znanstvenim aktivnostima, poput istraživanja IT sustava, blockchaina i ranjivosti u DeFi-ju. Pod Dmitrijevim vodstvom, HashEx je postao jedan od vodećih u području revizije pametnih ugovora. Izvor: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi