Ker sektor DeFi še naprej privablja denar in uporabnike, ga slabi akterji z vsega sveta še naprej vidijo kot privlačno tarčo, ki je zrela za nabiranje in je slabo zaščitena.
V zadnjih nekaj mesecih sem spremljal nekatere najbolj opazne podvige protokolov DeFi in zdi se, da je vsaj sedem od njih posledica samo napak pametne pogodbe.
Na primer, hekerji so zadeli in oropali Wormhole in ukradli več kot 300 milijonov dolarjev, Qubit Finance (80 milijonov dolarjev), Meter (4.4 milijona dolarjev), Deus (3 milijone dolarjev), TreasureDAO (več kot 100 NFT) in nazadnje Agave in Hundred Finance, ki skupaj , skupaj izgubil 11 milijonov dolarjev. Vsi ti napadi so povzročili krajo precejšnjih zneskov denarja, kar je povzročilo veliko škodo projektom.
Številni ciljno usmerjeni protokoli so doživeli razvrednotenje svoje kriptovalute, nezaupanje uporabnikov, kritike glede varnosti DeFi in pametnih pogodb in podobne negativne posledice.
Katere vrste izkoriščanja so se zgodile med napadi?
Seveda je vsak od teh primerov edinstven in za reševanje vsakega posameznega projekta so bile uporabljene različne vrste izkoriščanja, odvisno od njihove ranljivosti in pomanjkljivosti. Primeri vključujejo logične napake, napade ponovnega vstopa, napade flashloan z manipulacijo cen in drugo. Verjamem, da je to posledica vse bolj zapletenih protokolov DeFi, zaradi kompleksnosti kode pa je vse težje odstraniti vse pomanjkljivosti.
Poleg tega sem med analiziranjem vsakega od teh incidentov opazil dve stvari. Prvi je, da se je hekerjem vsakič uspelo izvleči z ogromnimi zneski - na milijone dolarjev v kriptovalutih.
Ta »plačilni dan« daje hekerjem spodbudo, da porabijo vse potrebno za preučevanje protokolov, tudi mesece naenkrat, saj vedo, da bo nagrada vredna. To pomeni, da so hekerji motivirani, da porabijo veliko več časa za iskanje pomanjkljivosti kot revizorji.
Druga stvar, ki je izstopala, je, da so bili v nekaterih primerih vdori pravzaprav izjemno preprosti. Za primer vzemite napad Hundred Finance. Projekt je bil zadet z dobro znano napako, ki jo običajno najdemo v Compound forks, če je protokolu dodan žeton. Vse, kar mora heker storiti, je počakati, da se eden od teh žetonov doda v Sto Finance. Po tem je vse, kar je potrebno, slediti nekaj preprostim korakom, da uporabite izkoriščanje, da pridete do denarja.
Kaj lahko DeFi projekti storijo, da se zaščitijo?
Najboljša stvar, ki jo lahko ti projekti storijo, da se zaščitijo pred slabimi akterji, je, da se osredotočimo na revizije. Čim bolj poglobljeno, tem bolje, izvajajo pa ga izkušeni strokovnjaki, ki vedo, na kaj morajo biti pozorni. Toda obstaja še ena stvar, ki jo projekti lahko storijo, še preden se zatečejo k revizijam, in to je zagotoviti, da imajo dobro arhitekturo, ki so jo ustvarili odgovorni razvijalci.
To je še posebej pomembno, ker je večina projektov blockchain odprtokodnih, kar pomeni, da se njihova koda pogosto kopira in ponovno uporabi. Pospešuje stvari med razvojem, koda pa je brezplačna za prevzem.
Težava je, če se izkaže, da je pomanjkljiv in se kopira, preden prvotni razvijalci ugotovijo ranljivosti in jih popravijo. Tudi če objavijo in implementirajo popravek, tisti, ki so ga kopirali, morda ne bodo videli novic, njihova koda pa ostane ranljiva.
Koliko lahko revizije dejansko pomagajo?
Pametne pogodbe delujejo kot programi, ki delujejo na tehnologiji blockchain. Zato je možno, da so pomanjkljivi in da vsebujejo hrošče. Kot sem že omenil, bolj zapletena kot je pogodba – večja je verjetnost, da se pri pregledih razvijalcev zgodi kakšna napaka ali dve.
Na žalost je veliko situacij, ko ni enostavne rešitve za odpravo teh pomanjkljivosti, zato si morajo razvijalci vzeti čas in poskrbeti, da je koda narejena pravilno in da se napake opazijo takoj ali vsaj čim prej.
Tu pridejo na vrsto revizije, saj če testirate kodo in ustrezno dokumentirate napredek njenega razvoja in testov, se lahko znebite večine težav že zgodaj.
Seveda tudi revizije ne morejo zagotoviti 100-odstotnega jamstva, da ne bo težav s kodo. Nihče ne more. Ni naključje, da hekerji potrebujejo mesece, da ugotovijo najmanjšo ranljivost, ki jo lahko uporabijo v svojo korist – ne morete ustvariti popolne kode in jo narediti uporabne, še posebej ne, ko gre za novo tehnologijo.
Revizije sicer zmanjšajo število vprašanj, vendar je resnična težava v tem, da mnogi projekti, ki jih zadenejo hekerji, sploh niso imeli revizij.
Zato se morajo vsi razvijalci in lastniki projektov, ki so še vedno v razvojnem procesu, spomniti, da varnost ne izhaja iz revizije. Vsekakor pa se tam začne. Delajte na svoji kodi; poskrbite, da ima dobro zasnovano arhitekturo in da na njej delajo spretni in prizadevni razvijalci.
Prepričajte se, da je vse preizkušeno in dobro dokumentirano, ter uporabite vse vire, ki so vam na voljo. Nagrade za hrošče so na primer odličen način, da ljudje preverijo vašo kodo s stališča hekerjev, in svež pogled nekoga, ki išče pot, je lahko neprecenljiv pri zaščiti vašega projekta.
Objava gosta Gleba Zykova iz HashExa
Gleb je svojo kariero začel na področju razvoja programske opreme v raziskovalnem inštitutu, kjer je pridobil močno tehnično in programsko ozadje, pri razvoju različnih vrst robotov za rusko ministrstvo za izredne razmere.
Kasneje je Gleb svoje tehnično znanje prinesel v podjetje za IT storitve GTC-Soft, kjer je oblikoval aplikacije za Android. Nato je postal vodilni razvijalec in nato CTO podjetja. V GTC je Gleb vodil razvoj številnih storitev spremljanja vozil in storitve, podobne Uberju, za premium taksije. Leta 2017 je Gleb postal eden od soustanoviteljev HashExa – mednarodne družbe za revizijo in svetovanje blockchain. Gleb ima položaj glavnega tehnološkega direktorja, ki vodi razvoj rešitev blockchain in revizij pametnih pogodb za stranke podjetja.
Vir: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/