Vzhledem k tomu, že sektor DeFi nadále přitahuje peníze a uživatele, špatní aktéři z celého světa na něj nadále pohlížejí jako na atraktivní cíl, který je zralý na výběr a je špatně chráněn.
Během posledních několika měsíců jsem sledoval některé z nejpozoruhodnějších exploitů protokolů DeFi a zdá se, že nejméně sedm z nich je výsledkem samotných nedostatků inteligentní smlouvy.
Hackeři například zasáhli a okradli Wormhole, ukradli přes 300 milionů dolarů, Qubit Finance (80 milionů), Meter (4.4 milionů dolarů), Deus (3 miliony dolarů), TreasureDAO (přes 100 NFT) a nakonec Agave a Hundred Finance, které dohromady , ztratil celkem 11 milionů dolarů. Všechny tyto útoky vedly ke krádeži poměrně značného množství peněz, což způsobilo velké škody na projektech.
Mnoho z cílených protokolů zaznamenalo devalvaci své kryptoměny, nedůvěru uživatelů, kritiku ohledně bezpečnosti DeFi a smart kontraktů a podobné negativní důsledky.
K jakým typům exploitů došlo během útoků?
Každý z těchto případů je přirozeně jedinečný a pro řešení každého jednotlivého projektu byly použity různé typy exploitů v závislosti na jejich zranitelnostech a nedostatcích. Příklady zahrnují logické chyby, reentrancy útoky, flashloan útoky s cenovými manipulacemi a další. Domnívám se, že je to důsledek toho, že se protokoly DeFi stávají stále složitějšími, a jak se tak děje, složitost kódu stále více ztěžuje odstranění všech nedostatků.
Navíc jsem si při analýze každého z těchto incidentů všiml dvou věcí. Prvním z nich je, že se hackerům pokaždé podařilo dostat pryč s obrovskými částkami – v kryptoměnách v hodnotě milionů dolarů.
Tento „výplatný den“ dává hackerům motivaci, aby strávili jakýkoli čas nezbytným studiem protokolů, dokonce i měsíce v kuse, protože vědí, že odměna bude stát za to. To znamená, že hackeři jsou motivováni trávit mnohem více času hledáním nedostatků než auditoři.
Druhá věc, která vynikla, je, že v některých případech byly hacky skutečně extrémně jednoduché. Vezměme si jako příklad útok Hundred Finance. Projekt byl zasažen pomocí dobře známé chyby, kterou lze obvykle nalézt v Compound fork, pokud je do protokolu přidán token. Vše, co musí hacker udělat, je počkat, až se jeden z těchto tokenů přidá do stovky financí. Poté stačí provést několik jednoduchých kroků, jak využít exploit k získání peněz.
Co mohou projekty DeFi udělat, aby se ochránily?
Vpřed je nejlepší, co mohou tyto projekty udělat, aby se ochránily před špatnými aktéry, zaměřit se na audity. Čím hlouběji, tím lépe a vedené zkušenými odborníky, kteří vědí, na co si dát pozor. Ale je tu ještě jedna věc, kterou mohou projekty udělat ještě předtím, než se uchýlí k auditům, a to zajistit, aby měly dobrou architekturu vytvořenou odpovědnými vývojáři.
To je obzvláště důležité, protože většina blockchainových projektů je open source, což znamená, že jejich kód má tendenci se kopírovat a znovu používat. Urychluje to věci během vývoje a kód je zdarma.
Problém je, pokud se ukáže, že je chybný, a zkopíruje se dříve, než původní vývojáři zjistí zranitelnosti a opraví je. I když opravu oznámí a implementují, ti, kteří ji zkopírovali, nemusí novinky vidět a jejich kód zůstává zranitelný.
Jak moc mohou audity skutečně pomoci?
Chytré smlouvy fungují jako programy, které běží na technologii blockchain. Jako takové je možné, že jsou vadné a obsahují chyby. Jak jsem již zmínil, čím složitější je smlouva – tím větší je pravděpodobnost, že při kontrolách vývojářů proklouzla chyba nebo dvě.
Bohužel existuje mnoho situací, kdy neexistuje snadné řešení, jak tyto chyby napravit, a proto by si vývojáři měli dát na čas a ujistit se, že kód je proveden správně a že chyby budou odhaleny okamžitě nebo alespoň co nejdříve.
Zde přichází na řadu audity, protože pokud otestujete kód a adekvátně zdokumentujete postup jeho vývoje a testů, můžete se většiny problémů zbavit brzy.
Samozřejmě ani audity nemohou poskytnout 100% záruku, že s kódem nebudou žádné problémy. Nikdo nemůže. Není náhodné, že hackeři potřebují měsíce na to, aby přišli na nejmenší zranitelnost, kterou mohou využít ve svůj prospěch – nemůžete vytvořit dokonalý kód a učinit jej užitečným, zvláště ne pokud jde o nové technologie.
Audity sice snižují počet problémů, ale skutečným problémem je, že mnoho projektů, které zasáhli hackeři, nemělo dokonce žádné audity.
Takže všem vývojářům a vlastníkům projektů, kteří jsou stále ve vývojovém procesu, je třeba pamatovat, že bezpečnost nepochází z absolvování auditu. Nicméně tam to určitě začíná. Pracujte na svém kódu; ujistěte se, že má dobře navrženou architekturu a pracují na něm šikovní a pilní vývojáři.
Ujistěte se, že je vše otestováno a dobře zdokumentováno, a použijte všechny zdroje, které máte k dispozici. Odměny za chyby jsou například skvělým způsobem, jak nechat váš kód zkontrolovat lidmi z pohledu hackerů, a nový pohled od někoho, kdo hledá cestu dovnitř, může být pro zabezpečení vašeho projektu k nezaplacení.
Příspěvek hosta Gleba Zykova z HashEx
Gleb začal svou kariéru v oblasti vývoje softwaru ve výzkumném ústavu, kde získal silné technické a programátorské zázemí při vývoji různých typů robotů pro ruské ministerstvo pro mimořádné situace.
Později Gleb přinesl své technické znalosti do společnosti poskytující IT služby GTC-Soft, kde navrhoval aplikace pro Android. Postupně se stal hlavním vývojářem a poté CTO společnosti. V GTC vedl Gleb vývoj četných služeb sledování vozidel a služby podobné Uberu pro prémiové taxíky. V roce 2017 se Gleb stal jedním ze spoluzakladatelů HashEx – mezinárodní blockchainové auditorské a konzultační společnosti. Gleb zastává pozici Chief Technology Officer a stojí v čele vývoje blockchainových řešení a auditů chytrých smluv pro klienty společnosti.
Zdroj: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/