V zadnjih nekaj letih je na stotine novih decentraliziranih finančnih aplikacij in protokolov preplavilo omrežje Ethereum in druge verige blokov. Novembra 2021 je skupna vrednost, zaklenjena v vseh aplikacijah DeFi, dosegla osupljivih 290 milijard dolarjev.
DeFi je v teoriji zasnovan tako, da demokratizira dostop do financ tako, da ljudem z vsega sveta, iz katerega koli okolja, omogoči sodelovanje, ne glede na to, kdo so. Ni finančnih ali geografskih omejitev ali centraliziranih posrednikov – vse je decentralizirano, nezaupljivo in enakovredno.
To je vizija, ki se je izkazala za priljubljeno, saj DeFi raste hitreje, kot bi si lahko kdo predstavljal. Vendar pa so njegov vzpon zameglile številne kritične varnostne grožnje, zaradi katerih se zdi zelo tvegan podvig vsakomur, ki ni preveč obveščen o delovanju kriptovalute.
Medtem ko je bilo leto 2021 veliko leto za DeFi, je bilo verjetno še večje za hekerje, z nedavnim poročilom Chainalaysis iskanje da so tisto leto skupaj ukradli kriptovalute v vrednosti 3.2 milijarde dolarjev. Letošnje leto bo verjetno prav tako donosno za hekerje. Po najnovejšem CertiK-u poročilo, DeFi in Web3 so v prvih šestih mesecih leta zaradi hekerjev skupaj izgubili več kot 2 milijardi dolarjev.
Chainalysis je dejal, da so se hekerji v kriptosferi preselili stran od denarnic in drugih tarč in danes skoraj izključno ciljajo na protokole DeFi. V prvih treh mesecih leta 2022 je skoraj 97 % vseh sredstev, ki so jih ukradli hekerji, prišlo iz DeFi, v primerjavi z 72 % leta 2021 in le 30 % leta 2020. Hiter pogled na nekatere največje vdore v tem letu pojasnjuje, zakaj je DeFi postala tako priljubljena tarča napadalcev. Zneski, ki jih lahko ukradejo, so ogromni. Najdražji vdor doslej v tem letu je bil Kršitev varnosti Ronin Validatorja. 23. marca je oseba ali osebe, ki so odgovorne za napad, uspele ogroziti vozlišči validatorja Sky NMavis Ronin in Axie DAO, vdreti v zasebne ključe in izvesti nedovoljene dvige. S samo dvema transakcijama so ukradli neverjetnih 173,600 ETH in 25.5 milijona USDC, kar skupaj znaša 615.5 milijona $.
Na žalost vdor v Ronin ni bil le osamljen dogodek. Februarja hekerji izkoristil varnostno ranljivost pri preverjanju podpisa Wormhole, kar jim je omogočilo, da pobegnejo s 120,000 wETH na Solani, zneskom, ki je bil v času napada vreden 326 milijonov $. Podobno v aprilu protokol Beanstalk padla žrtev do enodnevne zamude znotraj pogodbe o predlogu upravljanja $BEAN za dokončanje hitrega posojila. Napadalec je uspel ukrasti 70 % vseh semen in skupaj pobegniti s 181 milijoni dolarjev.
Odkrivanje ranljivosti pametnih pogodb
Velika večina vdorov v DeFi se zgodi zaradi ranljivosti v pametnih pogodbah, ki poganjajo protokole. Pametne pogodbe so samoizvršljivi deli kode, ki samodejno obdelujejo transakcije, ko so izpolnjeni določeni pogoji. So eden od osrednjih elementov DeFi, saj je zaradi njih zahteva po zaupanja vrednem posredniku odveč.
Dobra novica je, da se skupnost zaveda, da so pametne pogodbe očitna slabost varnosti DeFi, in sprejema ukrepe za njihovo odpravo. Najbolj zanesljivi protokoli DeFi danes zagotovo izvajajo celovito revizija pametnih pogodb ugotoviti, ali obstajajo kakšne ranljivosti. Revizije izvajajo zanesljiva podjetja, kot sta CertiK in Hacken, in ocenjujejo zabeležene transakcije v knjigi blockchain, da poskusijo odkriti morebitne napake.
Drugi načini prepoznavanja ranljivosti vključujejo penetracijski testi skupine varnostnih strokovnjakov, ki poskušajo vdreti v protokole DeFi, da lahko obvestijo razvijalce, kako so to storili, in jim omogočijo, da zaprejo vse odkrite vrzeli. Poleg tega lahko protokoli ponudijo tudi "nagrade za napake", kjer v bistvu zagotavljajo varnost množic. Na desetine hekerjev z belim klobukom se poteguje za denarno nagrado za odkrivanje ranljivosti v protokolu. Hroščev bunt so lahko še posebej koristne, ker spodbujajo udeležence, da delujejo kot pravi kibernetski kriminalci, kar pomeni, da bodo verjetno poskušali vdreti v protokol z uporabo podobnih metod, kot to počnejo pravi negativci. Ideja je, da bodo dobri fantje odkrili vse očitne podvige, preden bodo razkriti v resničnem svetu.
Revizije kode pametnih pogodb in nagrade za hrošče lahko pomagajo zaščititi protokole DeFi pred običajnimi vdori v zvezi z neobravnavanimi izjemami in odvisnostjo od transakcijskega naročila. Vendar pa revizije žal niso nezmotljive – študija Chainalaysis je pokazala, da se je 30 % izkoriščanj letos zgodilo na platformah, ki so bile revidirane v zadnjih 12 mesecih. Čeprav so revizije kode in nagrade za hrošče lahko koristne, ne dajejo nobenih jamstev. Kot taki bi morali protokoli DeFi, ki upravljajo milijarde dolarjev uporabnikovih sredstev, sprejeti robustnejši pristop k varnosti.
Ponovno odkrivanje pametnih pogodb
Ena najbolj vznemirljivih rešitev, ki se pojavljajo, je programski jezik Scrypto, ki ga je razvil Radix, ki je protokol verige blokov plasti 1, ki je bil zgrajen posebej za DeFi.
O Skripto jezik temelji na priljubljenem programskem jeziku Rust in ohranja večino njegovih funkcij. Vendar dodaja zlasti številne posebne funkcije, ki temeljijo na Radix Engine. Lahko si ga predstavljamo kot zbirko knjižnic in razširitev za Rust, ki zagotavlja funkcije, usmerjene v sredstva, kar omogoča logiki v slogu Rust interakcijo s sredstvi kot domači, prvorazredni državljan.
Najpomembnejša razlika Scrypta je, da učinkovito odpravlja pametne pogodbe. Namesto pametnih pogodb uporablja načrte in komponente za obdelavo transakcij. Načrti so sestavljena izvorna koda, ki živi v verigi blokov, kjer jih lahko uporablja kdorkoli. Njihova vloga je zagotoviti "konstruktorske funkcije" za transakcije DeFi s prilagodljivimi parametri, ki jih lahko drugi ustvarijo. Na splošno so precej specializirani glede funkcionalnosti, čeprav lahko podpirajo več različnih primerov uporabe, odvisno od tega, kako natančno so instancirani. Načrti lahko včasih delujejo z drugimi načrti, razporejeni skupaj kot »paket«.
Če želite aktivirati načrt, ga je treba instancirati s klicem ene od njegovih funkcij konstruktorja, da pridobite naslov na novo ustvarjenega primerka, znanega kot »komponenta«. Komponente se uporabljajo za upravljanje stanja in lahko zbirajo, zadržujejo in razdeljujejo vire v skladu z logiko, povezano z načrtom, ki je ustvaril. Z drugimi besedami, komponente v Scryptu so podobne pametnim pogodbam, vendar izhajajo iz logike, opredeljene v načrtu, ki je bil njihov vzrok.
Edinstvena arhitektura Scrypta omogoča izvajanje transakcij na zelo drugačen način kot običajne pametne pogodbe, napisane v Solidity ali drugem jeziku. Namesto pošiljanja številke ali sklica na nekatere žetone Radix Engine prenese lastništvo žetonov s klicatelja na komponento. Ko ta komponenta prejme vedro virov ali več veder, lahko te vire vzame in odloži v trezor, ki ga ima, ali pa v drugo vedro. Nato motor Radix zagotovi, da klicatelj ne more več dostopati do vedra ali trezorja.
Končni rezultat je, da imajo dApps, zgrajene na Radixu, veliko enostavnejši in varnejši način transakcij. Da bi bolje razumeli, kako deluje, nam Radix ponuja primer stroja za žgane kroglice ki sprejema žetone USD v zameno za žeton v svojem trezorju.
V tem primeru uporabnik posreduje vedro v višini 0.25 USD metodi insertCoins komponente MyMachine. Logika načrta vidi, da je bila plačana pravilna cena, te žetone doda v trezor, nato vzame 1 žogico žoge iz svojega trezorja in jo posreduje nazaj klicatelju. Lahko celo vrne nekaj drobiža, če je klicatelj posredoval preveč USD.
S pametnimi pogodbami Ethereum, ki temeljijo na Solidity, je veliko bolj zapleteno in tvegano. V istem stroju bi uporabnik poklical pametno pogodbo, da bi stroju dal dovoljenje za dvig iz njegove denarnice v njegovem imenu. Napravi bi rekli, da želijo vnesti 0.25 USD. Stroj bi nato poklical pogodbo v USD, da bi izvedel dvig, nato pa poklical pametno pogodbo gumball, da uporabniku pošlje gumbball. Nazadnje bi verjetno posodobil tudi notranji predpomnilnik števila preostalih žogic za preverjanje erosa. Vsak od teh procesov uporablja pametno pogodbo in vsak je zato v nevarnosti vdora zaradi ranljivosti pametne pogodbe.
To je samo preprost primer. Z DeFi so lahko transakcije velikokrat bolj zapletene, kar pomeni, da so izpostavljene večkratnemu tveganju. Vse, kar je potrebno, je ena ranljivost nekje, v kateri koli od številnih pametnih pogodb, vključenih v transakcijo, da napadalec izvede napad.
zaključek
Ko DeFi raste in njegova skupna zaklenjena vrednost narašča, se bo tveganje izkoriščanja le še povečalo. Če lahko iz osupljive količine kriptovalut, ki so jih ukradli vdori DeFi, izvemo nekaj zaključka, je to, da potreba po varnosti pametnih pogodb še nikoli ni bila večja. Medtem ko lahko revizije kode in nagrade za hrošče pomagajo odkriti najbolj očitne ranljivosti v DeFi, je jasno, da bi lahko imela industrija neizmerne koristi od korenite prenove, ki temelji na infrastrukturi, ki je zasnovana tako, da zmanjša število potencialnih izkoriščanj od samega začetka.
Izjava o omejitvi odgovornosti: Ta članek je na voljo samo v informativne namene. Ni ponujen ali namenjen uporabi kot pravni, davčni, naložbeni, finančni ali drug nasvet
Vir: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them