V dnešní době je blockchainový trh jako celek v plenkách a decentralizované financování (DeFi) trh je jeho nejslibnější částí. Podle údajů DefiLlama měl trh DeFi v roce 2021 likviditu kolem 200 miliard dolarů uzavřenou v chytrých kontraktech. Pokud se na tento kapitál díváme jako na počáteční investici, vypadá tento trh jako velmi slibný podnik. Takovou kapitalizací se nemůže pochlubit příliš mnoho globálních společností. Ale každý mladý trh má své počáteční problémy. U DeFi je hlavním problémem nedostatek kvalifikovaných vývojářů blockchainu.
Toto odvětví je velmi mladé a má relativně malou uživatelskou základnu. Většina lidí o DeFi přinejlepším slyšela, aniž by tušili, co to je. Ale jak se to stává s každým novým slibným počinem, rychle to vytváří velký spekulativní zájem. Bohužel příprava personálu trvá mnohem déle, zvláště pokud jde o tak znalostně náročné oblasti, jako je blockchain a vývoj chytrých smluv. To znamená, že některé projektové týmy budou muset přistoupit na kompromisy a najmout méně zkušené pracovníky.
Tento problém nevyhnutelně vytváří rostoucí riziko bezpečnostních mezer v kódu těchto projektů. A pak se musíme vypořádat s jeho důsledky ve ztraceném uživatelském kapitálu. Jen pro krátké pochopení toho, jak velký tento problém je, mohu říci, že asi 10 % celkové zamčené likvidity DeFi ukradli hackeři. Nikoho by nemělo překvapit, že mainstreamová veřejnost by se raději držela stranou od finančního systému, který představuje takové nebezpečí pro jejich fondy.
Související: Jak se mohou hacknout protokoly DeFi?
Jak se v poslední době změnily exploity DeFi?
Útoky na DeFi se dlouho soustřeďovaly kolem reentrancy útoků. Můžeme připomenout slavné DAO hack z roku 2016, který měl za následek ztrátu 150 milionů dolarů v kapitálu investorů a vedl k hard forku Etherea. Od té doby byla tato zranitelnost mnohokrát zneužita v různých smart kontraktech.
Funkce zpětného volání je aktivně využívána půjčovacími protokoly: Umožňuje chytrým smlouvám zkontrolovat zůstatek zajištění uživatelů před poskytnutím půjčky. Celý tento proces se odehrává v rámci jedné transakce, což hackerům poskytlo řešení, jak ukrást peníze z takových chytrých kontraktů. Když odešlete žádost o vypůjčení finančních prostředků, funkce zpětného volání nejprve zkontroluje zůstatek zajištění, poté poskytne úvěr, pokud je zajištění dostatečné, a poté změní zůstatek zajištění uživatele v rámci chytré smlouvy.
Aby oklamali inteligentní smlouvu, hackeři vracejí volání funkce zpětného volání, aby zahájili tento proces od začátku. Vzhledem k tomu, že transakce nebyla dokončena na blockchainu, funkce poskytuje další půjčku za stejný zůstatek zajištění. I když je řešení tohoto problému na scéně dostatečně dlouho, stále se mu stává obětí mnoho projektů.
Někdy se projektové týmy s malou dovedností v psaní inteligentních smluv rozhodnou vypůjčit si kódovou základnu jiného open source projektu DeFi, aby nasadily vlastní inteligentní smlouvu. Obvykle tak činí u renomovaných projektů, které byly auditovány a mají velkou uživatelskou základnu a prokázaly, že jsou bezpečně vytvořeny. Mohou se však rozhodnout provést drobné úpravy vypůjčeného kódu, aby přidali funkce, které chtějí mít ve své smart smlouvě, aniž by změnili původní kód. To může poškodit logiku chytré smlouvy, což si vývojáři často neuvědomují.
Tohle je co umožnil hackerům ukrást kolem 19 milionů dolarů od Cream Finance v srpnu 2021. Tým Cream Finance si vypůjčil kód z jiného protokolu DeFi a přidal token zpětného volání do své chytré smlouvy. Přestože můžete útokům opětovného vstupu zabránit implementací vzoru „kontroly, efekty, interakce“, který upřednostňuje změnu zůstatku před vydáváním finančních prostředků, některé týmy stále nedokážou chránit své platformy před těmito zneužitím.
Útoky na flashové půjčky umožňují hackerům krást finanční prostředky jiným způsobem a od boomu DeFi v roce 2020 jsou stále populárnější. Hlavní myšlenkou útoků na flashové půjčky je, že k půjčení finančních prostředků z protokolu nepotřebujete zajištění, protože finanční parita je stále zaručena. tím, že půjčka je přijata a vrácena v rámci jedné transakce. A neuskuteční se, pokud nestihnete vrátit půjčku i s úroky v jedné transakci. Útočníci však byli schopni provést úspěšné útoky na bleskové půjčky na mnoha protokolech.
Související: Potřebné: Masivní vzdělávací projekt pro boj s hackery a podvody
Při jejich provádění používají několik protokolů k půjčování a přetahování likvidity až do závěrečného aktu, kde zesílí cenu tokenu prostřednictvím orákula nebo likviditních fondů a použijí je k ošizení pump-and-dump a budou pryč s likviditou v poli. některých hlavních různých kryptoměn, jako je Ether (ETH), Wrapped Bitcoin (wBTC) a další. Některé slavné útoky na bleskové půjčky zahrnují Pancake Bunny útok, kde protokol ztratil 200 milionů dolarů, a další útok Cream Finance, ve kterém bylo ukradeno přes 100 milionů dolarů.
Jak se bránit proti exploitům DeFi?
Chcete-li vytvořit bezpečný protokol DeFi, v ideálním případě byste měli věřit pouze zkušeným vývojářům blockchainu. Měli by mít profesionální vedení týmu s dovednostmi při vytváření decentralizovaných aplikací. Je také moudré pamatovat na používání bezpečných knihoven kódů pro vývoj. Někdy mohou být méně aktuální knihovny nejbezpečnější volbou než ty s nejnovějšími kódovými bázemi.
Testování je další zásadní věc všechny seriózní projekty DeFi musí fungovat. Jako generální ředitel společnosti zabývající se auditem chytrých smluv se vždy snažím pokrýt 100 % kódu našich klientů a zdůrazňuji důležitost decentralizované ochrany privátních klíčů používaných k volání funkcí chytrých smluv s omezeným přístupem. Nejlepší je využít decentralizaci veřejného klíče prostřednictvím vícenásobného podpisu, který zabrání jedné entitě mít plnou kontrolu nad smlouvou.
Vzdělání je nakonec jedním z klíčů, který umožní finančním systémům založeným na blockchainu, aby se staly bezpečnějšími a spolehlivějšími. A vzdělání by mělo být jedním z klíčových zájmů těch, kteří hledají zaměstnání v DeFi, protože může nabídnout senzační odměny všem, kteří mohou být životaschopným přínosem.
Tento článek neobsahuje investiční rady ani doporučení. Každý investiční a obchodní tah zahrnuje riziko a čtenáři by měli při rozhodování provést vlastní průzkum. Názory, myšlenky a názory zde vyjádřené jsou autorovým samotným a nemusí nutně odrážet ani reprezentovat názory a názory Cointelegrafu. Dmitrij Mishunin je zakladatelem a generálním ředitelem bezpečnostní a analytické společnosti DeFi HashEx a má dlouholeté zkušenosti v oblasti zabezpečení blockchainu. Hodně času věnoval vědeckým aktivitám, jako je výzkum IT systémů, blockchainu a zranitelností v DeFi. HashEx se pod vedením Dmitryho stal jedním z lídrů v oblasti auditů chytrých smluv. Zdroj: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi