Dandanes je trg blockchain kot celota v povojih in decentralizirane finance (DeFi) trg je njegov najbolj obetaven del. Po podatkih DefiLlama je imel trg DeFi leta 2021 približno 200 milijard dolarjev likvidnosti, zaklenjene v pametnih pogodbah. Če na ta kapital gledamo kot na začetno naložbo, je ta trg videti kot zelo obetaven podvig. S takšno kapitalizacijo se ne more pohvaliti preveč svetovnih podjetij. Toda vsak mlad trg ima svoje težave. Pri DeFi je glavna težava pomanjkanje kvalificiranih razvijalcev blokovnih verig.
Ta industrija je zelo mlada in ima relativno majhno bazo uporabnikov. Večina ljudi je v najboljšem primeru slišala za DeFi, ne da bi vedeli, kaj je. A kot se zgodi z vsakim novim obetavnim podvigom, hitro ustvari veliko špekulativnega zanimanja. Na žalost priprava kadra traja veliko dlje, še posebej, ko gre za tako znanja intenzivna področja, kot sta blockchain in razvoj pametnih pogodb. To pomeni, da bodo nekatere projektne skupine morale sklepati kompromise in najeti manj izkušene kadre.
Ta problem neizogibno ustvarja naraščajoče tveganje varnostnih vrzeli v kodi teh projektov. In potem se moramo ukvarjati z njegovimi posledicami v izgubljenem uporabniškem kapitalu. Za samo kratko razumevanje, kako velika je ta težava, lahko rečem, da so približno 10 % celotne zaklenjene likvidnosti DeFi ukradli hekerji. Nikogar ne bi smelo presenetiti, da bi se prevladujoča javnost raje držala stran od finančnega sistema, ki predstavlja takšno nevarnost za njihova sredstva.
Povezano: Kako se hakirajo protokoli DeFi?
Kako so se izkoriščanja DeFi nedavno spremenila?
Napadi na DeFi so že dolgo osredotočeni na napade ponovnega vstopa. Lahko se spomnimo slavnih Vdor v DAO leta 2016, ki je povzročil izgubo 150 milijonov dolarjev kapitala vlagateljev in privedel do hard forka Ethereuma. Od takrat je bila ta ranljivost večkrat izkoriščena v različnih pametnih pogodbah.
Funkcijo povratnega klica aktivno uporabljajo protokoli posojanja: omogoča pametnim pogodbam, da preverijo stanje zavarovanja uporabnikov, preden izdajo posojilo. Ves ta proces se zgodi v eni transakciji, kar je hekerjem dalo rešitev za krajo denarja iz takih pametnih pogodb. Ko pošljete zahtevo za izposojo sredstev, funkcija povratnega klica najprej preveri stanje zavarovanja, nato izda posojilo, če je bilo zavarovanje zadostno, in nato spremeni uporabnikovo stanje zavarovanja znotraj pametne pogodbe.
Da bi preslepili pametno pogodbo, hekerji vrnejo klic funkciji povratnega klica, da začne ta postopek od začetka. Ker transakcija v verigi blokov ni bila dokončana, funkcija izda drugo posojilo za isto stanje zavarovanja. Čeprav je rešitev tega problema na sceni že dovolj dolgo, je veliko projektov še vedno njena žrtev.
Včasih se projektne skupine z malo znanja o pisanju pametnih pogodb odločijo izposoditi kodno zbirko drugega odprtokodnega projekta DeFi za uvedbo lastne pametne pogodbe. Običajno to počnejo z uglednimi projekti, ki so bili revidirani in imajo veliko baz uporabnikov ter so se izkazali za varno zgrajene. Lahko pa se odločijo za manjše spremembe izposojene kode, da bi dodali funkcionalnosti, ki jih želijo imeti v svoji pametni pogodbi, ne da bi sploh spremenili izvirno kodo. To lahko poškoduje logiko pametne pogodbe, česar se razvijalci pogosto ne zavedajo.
To je kaj hekerjem omogočila krajo okoli 19 milijonov dolarjev od Cream Finance avgusta 2021. Ekipa Cream Finance si je kodo izposodila pri drugem protokolu DeFi in svoji pametni pogodbi dodala žeton za povratni klic. Čeprav lahko napade ponovnega vstopa preprečite z implementacijo vzorca »preverjanja, učinki, interakcije«, ki daje prednost spremembi stanja pred izdajo sredstev, nekaterim ekipam še vedno ne uspe zaščititi svojih platform pred temi podvigi.
Napadi hitrega posojila omogočajo hekerjem drugačno krajo sredstev in postajajo vse bolj priljubljeni od razcveta DeFi leta 2020. Glavna ideja napadov hitrega posojila je, da vam ni treba imeti zavarovanja za izposojo sredstev iz protokola, ker je finančna pariteta še vedno zagotovljena. s tem, da se posojilo vzame in vrne v eni transakciji. In ne bo prišlo, če posojila z obrestmi ne vrnete v eni transakciji. Toda napadalci so lahko izvedli uspešne napade na hitro posojilo na številnih protokolih.
Povezano: Potrebno: ogromen izobraževalni projekt za boj proti vdorom in prevaram
Pri tem uporabljajo več protokolov za izposojo in vlečenje likvidnosti do končnega dejanja, kjer povečajo ceno žetona prek orakljev ali likvidnostnih skladov in jo uporabijo za goljufanje na podlagi načrpavanja in odlaganja ter izginotja z likvidnostjo v nizu nekaterih glavnih različnih kriptovalut, kot je eter (ETH), Wrapped Bitcoin (wBTC) in drugi. Nekateri znani napadi na hitro posojilo vključujejo Pancake Bunny napad, kjer je protokol izgubil 200 milijonov dolarjev, in nov Cream Finance napad, v katerem je bilo ukradenih več kot 100 milijonov dolarjev.
Kako se ubraniti pred podvigi DeFi?
Če želite zgraditi varen protokol DeFi, bi v idealnem primeru morali zaupati samo izkušenim razvijalcem verige blokov. Imeti morajo strokovno ekipo, ki je usposobljena za gradnjo decentraliziranih aplikacij. Prav tako je pametno, da ne pozabite uporabljati varnih knjižnic kod za razvoj. Včasih so lahko manj posodobljene knjižnice najvarnejša možnost kot tiste z najnovejšimi kodnimi osnovami.
Testiranje je še ena pomembna stvar vsi resni projekti DeFi morajo storiti. Kot izvršni direktor podjetja za revizijo pametnih pogodb se vedno trudim pokriti 100 % kode naših strank in poudarjam pomen decentralizirane zaščite zasebnih ključev, ki se uporabljajo za klicanje funkcij pametnih pogodb z omejenim dostopom. Najbolje je uporabiti decentralizacijo javnega ključa prek večpodpisa, ki enemu subjektu preprečuje popoln nadzor nad pogodbo.
Na koncu je izobraževanje eden od ključev, ki bo omogočil, da bodo finančni sistemi, ki temeljijo na blockchainu, postali bolj varni in zanesljivi. In izobraževanje bi moralo biti ena od ključnih skrbi tistih, ki iščejo zaposlitev v DeFi, saj lahko ponudi osupljive nagrade vsem, ki lahko pomembno prispevajo.
Ta članek ne vsebuje investicijskih nasvetov ali priporočil. Vsaka investicijska in trgovinska poteza vključuje tveganje, bralci pa bi morali pri odločanju opraviti lastne raziskave. Tu izražena stališča, misli in mnenja so avtorja sama in ne odražajo nujno in ne predstavljajo stališč in mnenj Cointelegrafa. Dmitrij Mišunin je ustanovitelj in izvršni direktor DeFi varnostnega in analitičnega podjetja HashEx in ima dolgoletno strokovno znanje na področju varnosti blockchain. Veliko časa je posvetil znanstvenim dejavnostim, kot so raziskave IT sistemov, blockchain in ranljivosti v DeFi. Pod Dmitrijevim vodstvom je HashEx postal eden vodilnih na področju revizij pametnih pogodb. Vir: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi