Nå for tiden er blokkjedemarkedet som helhet i sin spede begynnelse, og desentralisert finans (DeFi) markedet er den mest lovende delen. I følge DefiLlama-data hadde DeFi-markedet i 2021 rundt 200 milliarder dollar i likviditet låst i smarte kontrakter. Hvis vi ser på denne kapitalen som en startinvestering, ser dette markedet ut som en svært lovende satsning. Ikke så mange globale selskaper kan skryte av en slik kapitalisering. Men ethvert ungt marked har sine tannproblemer. Med DeFi er hovedproblemet mangel på kvalifiserte blokkjedeutviklere.
Denne bransjen er veldig ung og har en relativt liten brukerbase. De fleste har i beste fall hørt om DeFi uten å ha noen formening om hva det er. Men som det skjer med hver nye lovende satsing, skaper det raskt mye spekulativ interesse. Dessverre tar det mye lengre tid å forberede personell, spesielt når det kommer til så kunnskapsintensive sfærer som blokkjede og smart kontraktsutvikling. Dette betyr at noen prosjektteam vil måtte inngå kompromisser og ansette mindre erfarent personell.
Dette problemet uunngåelig skaper en økende risiko for sikkerhetshull i koden for disse prosjektene. Og så må vi håndtere konsekvensene i tapt brukerkapital. For bare en kort forståelse av hvor stort dette problemet er, kan jeg si at omtrent 10 % av DeFis totale likviditetslåste har blitt stjålet av hackere. Det burde ikke overraske noen at allmennheten foretrekker å holde seg unna et finansielt system som utgjør slike farer for deres midler.
Relatert: Hvordan blir DeFi -protokoller hacket?
Hvordan har DeFi-utnyttelsene endret seg nylig?
Angrep på DeFi har lenge vært sentrert rundt reentrancy-angrep. Vi kan huske den berømte DAO-hacket fra 2016 som resulterte i tap på 150 millioner dollar i investorkapital og førte til Ethereums harde gaffel. Siden den gang har denne sårbarheten blitt utnyttet mange ganger i forskjellige smarte kontrakter.
Tilbakeringingsfunksjonen brukes aktivt av utlånsprotokoller: Den lar smarte kontrakter sjekke brukernes sikkerhetsbeløp før du gir ut et lån. All denne prosessen skjer innenfor én transaksjon, noe som har gitt hackere en løsning for å stjele penger fra slike smarte kontrakter. Når du sender en forespørsel om å låne midler, sjekker tilbakeringingsfunksjonen først sikkerhetssaldoen, gir deretter ut lånet om sikkerheten var tilstrekkelig og endrer deretter brukerens sikkerhetssaldo inne i smartkontrakten.
For å lure den smarte kontrakten, returnerer hackere anropet til tilbakeringingsfunksjonen for å starte denne prosessen fra begynnelsen. Siden transaksjonen ikke er fullført på blokkjeden, gir funksjonen ut et nytt lån for samme sikkerhetssaldo. Selv om løsningen på dette problemet har vært på scenen lenge nok, blir mange prosjekter fortsatt ofre for det.
Noen ganger bestemmer prosjektteam med liten kompetanse i å skrive smarte kontrakter å låne kodebasen til et annet åpen kildekode DeFi-prosjekt for å distribuere sin egen smarte kontrakt. De gjør det normalt med anerkjente prosjekter som har blitt revidert og har store brukerbaser og har vist seg å være sikkert bygget. Men de kan bestemme seg for å gjøre mindre endringer i den lånte koden for å legge til funksjoner de ønsker å ha i sin smarte kontrakt, uten engang å endre den originale koden. Dette kan skade logikken i den smarte kontrakten, som utviklerne ofte ikke er klar over.
Dette er hva tillot hackere å stjele rundt 19 millioner dollar fra Cream Finance i august 2021. Cream Finance-teamet lånte koden fra en annen DeFi-protokoll og la til et tilbakeringingstoken i sin smarte kontrakt. Selv om du kan forhindre reentrancy-angrep ved å implementere "sjekker, effekter, interaksjoner"-mønsteret som prioriterer endring av balanse fremfor utstedelse av midler, er det fortsatt noen team som ikke klarer å beskytte plattformene sine mot disse utnyttelsene.
Flash-lånsangrep lar hackere stjele midler på en annen måte og har blitt stadig mer populært siden DeFi-boomen i 2020. Hovedideen med flash-lånsangrep er at du ikke trenger å ha sikkerhet for å låne midler fra en protokoll fordi finansiell paritet fortsatt er garantert ved at lånet tas og returneres innen én transaksjon. Og det vil ikke skje hvis du ikke klarer å returnere lånet med renter i én transaksjon. Men angripere har vært i stand til å utføre vellykkede flashlånsangrep på mange protokoller.
Relatert: Nødvendig: Et massivt utdanningsprosjekt for å bekjempe hacks og svindel
Ved å gjøre dem bruker de flere protokoller for å låne og dra likviditet frem til den siste akten der de forsterker prisen på et token gjennom orakler eller likviditetspooler og bruker det til å svindle en pumpe-og-dumpe og bli borte med likviditet i en rekke av noen store forskjellige kryptovalutaer som Ether (ETH), Wrapped Bitcoin (wBTC) og andre. Noen kjente flashlånsangrep inkluderer Pannekakebunny angrep, hvor protokollen tapte 200 millioner dollar, og nok et Cream Finance-angrep, der over 100 millioner dollar ble stjålet.
Hvordan forsvare seg mot DeFi-utnyttelser?
For å bygge en sikker DeFi-protokoll bør du ideelt sett bare stole på erfarne blokkjedeutviklere. De bør ha en profesjonell teamleder med dyktighet i å bygge desentraliserte applikasjoner. Det er også lurt å huske å bruke sikre kodebiblioteker for utvikling. Noen ganger kan de mindre oppdaterte bibliotekene være det sikreste alternativet enn de med de nyeste kodebasene.
Testing er en annen viktig ting alle seriøse DeFi-prosjekter må gjøre. Som administrerende direktør i et smart kontraktrevisjonsselskap prøver jeg alltid å dekke 100 % av kundenes kode og understreker viktigheten av desentralisert beskyttelse av de private nøklene som brukes til å ringe funksjoner til smarte kontrakter med begrenset tilgang. Det er best å bruke desentralisering av den offentlige nøkkelen gjennom en multisignatur som hindrer én enhet i å ha full kontroll over kontrakten.
Til syvende og sist er utdanning en av nøklene som vil tillate blokkjedebaserte finansielle systemer å bli sikrere og pålitelige. Og utdanning bør være en av de viktigste bekymringene for de som leter etter arbeid i DeFi fordi det kan tilby appetittvekkende belønninger til alle som kan gi et levedyktig bidrag.
Denne artikkelen inneholder ikke investeringsråd eller anbefalinger. Hver investerings- og handelsbevegelse innebærer risiko, og leserne bør utføre sin egen forskning når de tar en beslutning. Synspunktene, tankene og meningene som er uttrykt her er forfatterens alene og gjenspeiler ikke nødvendigvis synspunkter og meninger fra Cointelegraph. Dmitry Mishunin er grunnlegger og administrerende direktør i DeFi sikkerhets- og analyseselskapet HashEx og har langvarig ekspertise innen blokkjedesikkerhet. Han har viet mye tid til vitenskapelige aktiviteter, som forskning på IT-systemer, blokkjede og sårbarheter i DeFi. Under Dmitrys ledelse har HashEx blitt en av lederne innen smart kontraktrevisjoner. Kilde: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi