У наш час рынак блокчэйнаў у цэлым знаходзіцца ў зачаткавым стане, і дэцэнтралізаваныя фінансы (DeFi) рынак з'яўляецца яго найбольш перспектыўнай часткай. Згодна з дадзенымі DefiLlama, у 2021 годзе на рынку DeFi было каля 200 мільярдаў долараў ліквіднасці, зафіксаванай у смарт-кантрактах. Калі разглядаць гэты капітал як першапачатковую інвестыцыю, то гэты рынак выглядае вельмі перспектыўным прадпрыемствам. Не так ужо шмат сусветных кампаній могуць пахваліцца такой капіталізацыяй. Але любы малады рынак мае свае праблемы. Што тычыцца DeFi, галоўная праблема - недахоп кваліфікаваных распрацоўшчыкаў блокчейна.
Гэтая галіна вельмі маладая і мае адносна невялікую базу карыстальнікаў. Большасць людзей у лепшым выпадку чулі пра DeFi, не ведаючы, што гэта такое. Але, як гэта адбываецца з кожным новым перспектыўным прадпрыемствам, гэта хутка стварае шмат спекулятыўнай цікавасці. На жаль, падрыхтоўка кадраў займае значна больш часу, асабліва калі гаворка ідзе пра такія навукаёмістых сферах, як распрацоўка блокчейнов і смарт-кантрактаў. Гэта азначае, што некаторым праектным групам давядзецца пайсці на кампраміс і наняць менш дасведчаны персанал.
Гэтая праблема непазбежная стварае рост рызыкі шчылін у бяспецы у кодзе гэтых праектаў. А потым мы павінны змагацца з яго наступствамі ў выглядзе страты карыстальніцкага капіталу. Для кароткага разумення таго, наколькі вялікая гэтая праблема, я магу сказаць, што каля 10% ад агульнай заблакіраванай ліквіднасці DeFi было скрадзена хакерамі. Нікога не павінна здзіўляць, што асноўная грамадскасць аддае перавагу трымацца далей ад фінансавай сістэмы, якая стварае такую небяспеку для іх сродкаў.
Па тэме: Як узламаць пратаколы DeFi?
Як змяніліся эксплойты DeFi за апошні час?
Атакі на DeFi доўгі час былі сканцэнтраваны на атаках паўторнага ўваходу. Можна прыгадаць знакамітых Узлом DAO 2016 года прывёў да страты капіталу інвестараў у памеры 150 мільёнаў долараў і прывёў да хардфорка Ethereum. З тых часоў гэтая ўразлівасць шмат разоў выкарыстоўвалася ў розных смарт-кантрактах.
Функцыя зваротнага выкліку актыўна выкарыстоўваецца пратаколамі крэдытавання: яна дазваляе смарт-кантрактам правяраць баланс закладу карыстальнікаў перад выдачай крэдыту. Увесь гэты працэс адбываецца ў рамках адной транзакцыі, што дало хакерам абыходны шлях для крадзяжу грошай з такіх смарт-кантрактаў. Калі вы адпраўляеце запыт на пазыку сродкаў, функцыя зваротнага выкліку спачатку правярае баланс закладу, потым выдае пазыку, калі закладу было дастаткова, а потым змяняе баланс закладу карыстальніка ў смарт-кантракце.
Каб падмануць смарт-кантракт, хакеры вяртаюць выклік функцыі зваротнага выкліку, каб пачаць гэты працэс з самага пачатку. Паколькі транзакцыя не была завершана ў блокчейне, функцыя выдае іншую пазыку за той жа баланс закладу. Нягледзячы на тое, што рашэнне гэтай праблемы існуе досыць даўно, многія праекты па-ранейшаму становяцца яе ахвярамі.
Часам праектныя каманды з невялікім навыкам напісання смарт-кантрактаў вырашаюць пазычыць кодавую базу іншага праекта DeFi з адкрытым зыходным кодам, каб разгарнуць уласны смарт-кантракт. Звычайна яны робяць гэта з аўтарытэтнымі праектамі, якія прайшлі аўдыт, маюць вялікую базу карыстальнікаў і паказалі, што яны бяспечна створаны. Але яны могуць вырашыць унесці нязначныя змены ў запазычаны код, каб дадаць функцыі, якія яны хочуць мець у сваім смарт-кантракце, нават не змяняючы зыходны код. Гэта можа пашкодзіць логіку смарт-кантракту, пра што распрацоўшчыкі часта не разумеюць.
Гэта тое, што дазволіла хакерам скрасці каля 19 мільёнаў долараў ад Cream Finance у жніўні 2021 г. Каманда Cream Finance запазычыла код з іншага пратаколу DeFi і дадала токен зваротнага выкліку ў свой смарт-кантракт. Нягледзячы на тое, што вы можаце прадухіліць атакі паўторнага ўваходу, укараніўшы шаблон «праверкі, эфекты, узаемадзеянне», які аддае перавагу змене балансу над выдачай сродкаў, некаторыя каманды ўсё яшчэ не могуць абараніць свае платформы ад гэтых эксплойтаў.
Атакі на флэш-пазыку дазваляюць хакерам па-рознаму красці сродкі і становяцца ўсё больш папулярнымі пасля буму DeFi у 2020 г. Асноўная ідэя нападаў на флэш-пазыку заключаецца ў тым, што вам не трэба мець заклад, каб пазычаць сродкі з пратаколу, таму што фінансавы парытэт па-ранейшаму гарантаваны тым, што крэдыт бярэцца і вяртаецца ў рамках адной здзелкі. І не адбудзецца, калі адной здзелкай не вярнуць крэдыт з працэнтамі. Але зламыснікі змаглі выканаць паспяховыя атакі флэш-пазыкі на многія пратаколы.
Па тэме: Патрэбна: маштабны адукацыйны праект для барацьбы з хакерствамі і жульніцтвам
Робячы гэта, яны выкарыстоўваюць некалькі пратаколаў, каб пазычаць і перацягваць ліквіднасць да фінальнага акту, дзе яны павялічваюць цану токена праз аракулы або пулы ліквіднасці і выкарыстоўваюць гэта для махлярства з дапамогай пампавання і скідання і знікнення з ліквіднасцю ў масіве некаторых асноўных розных крыптавалют, такіх як эфір (ETH), Wrapped Bitcoin (wBTC) і іншыя. Некаторыя вядомыя атакі на флэш-пазыку ўключаюць Атака зайчыка-бліна, дзе пратакол страціў 200 мільёнаў долараў, і чарговая атака Cream Finance, у выніку якога было выкрадзена больш за 100 мільёнаў долараў.
Як абараніцца ад эксплойтаў DeFi?
Каб пабудаваць бяспечны пратакол DeFi, у ідэале вы павінны давяраць толькі вопытным распрацоўшчыкам блокчейна. У іх павінен быць прафесійны лідэр, які валодае навыкамі стварэння дэцэнтралізаваных прыкладанняў. Таксама разумна памятаць аб выкарыстанні бяспечных бібліятэк кода для распрацоўкі. Часам менш сучасныя бібліятэкі могуць быць самым бяспечным варыянтам, чым бібліятэкі з найноўшай базай кода.
Тэставанне ёсць яшчэ адна важная рэч павінны рабіць усе сур'ёзныя праекты DeFi. Як генеральны дырэктар аўдытарскай кампаніі смарт-кантрактаў, я заўсёды стараюся ахопліваць 100% кода нашых кліентаў і падкрэсліваю важнасць дэцэнтралізаванай абароны закрытых ключоў, якія выкарыстоўваюцца для выкліку функцый смарт-кантрактаў з абмежаваным доступам. Лепш за ўсё выкарыстоўваць дэцэнтралізацыю адкрытага ключа праз мультысігнатуру, якая не дазваляе аднаму суб'екту мець поўны кантроль над кантрактам.
У рэшце рэшт, адукацыя з'яўляецца адным з ключоў, якія дазволяць заснаваным на блокчейне фінансавым сістэмам стаць больш бяспечнымі і надзейнымі. І адукацыя павінна быць адной з ключавых праблем тых, хто шукае працу ў DeFi, таму што яна можа прапанаваць апетытныя ўзнагароды ўсім, хто можа ўнесці рэальны ўклад.
Гэты артыкул не ўтрымлівае інвестыцыйных парад і рэкамендацый. Кожны інвестыцыйны і гандлёвы крок звязаны з рызыкай, і чытачы павінны праводзіць уласныя даследаванні, прымаючы рашэнне. Выказаныя тут погляды, думкі і меркаванні адны толькі аўтарам і не абавязкова адлюстроўваюць і не прадстаўляюць погляды і меркаванні Cointelegraph. Дзмітрый Мішунін з'яўляецца заснавальнікам і генеральным дырэктарам кампаніі па бяспецы і аналітыцы DeFi HashEx і мае шматгадовы вопыт у галіне бяспекі блокчейна. Ён шмат часу надаваў навуковай дзейнасці, такой як даследаванні ІТ-сістэм, блокчэйна і ўразлівасцяў у DeFi. Пад кіраўніцтвам Дзмітрыя HashEx стаў адным з лідэраў у галіне аўдыту смарт-кантрактаў. Крыніца: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi