За апошнія пару гадоў сотні новых дэцэнтралізаваных фінансавых прыкладанняў і пратаколаў хлынулі ў сетку Ethereum і іншыя блокчейны. У лістападзе 2021 года агульны кошт, заблакіраваны ва ўсіх праграмах DeFi, дасягнуў ашаламляльных 290 мільярдаў долараў.
DeFi, тэарэтычна, прызначаны для дэмакратызацыі доступу да фінансаў, дазваляючы людзям з усяго свету, з любога паходжання, незалежна ад таго, хто яны, удзельнічаць. Няма фінансавых або геаграфічных абмежаванняў або цэнтралізаваных пасярэднікаў - усё дэцэнтралізавана, не давярае і аднарангаваму.
Гэта бачанне, якое аказалася папулярным, і DeFi расце хутчэй, чым хто-небудзь мог сабе ўявіць. Аднак яго рост быў азмрочаны шматлікімі важнымі пагрозамі бяспецы, якія робяць гэта вельмі рызыкоўным прадпрыемствам для тых, хто не вельмі дасведчаны аб тым, як працуе крыпта.
У той час як 2021 год быў вялікім для DeFi, ён, магчыма, быў яшчэ большым для хакераў, з нядаўняй справаздачай Chainalaysis выяўленне што ў тым годзе яны скралі крыптавалюты на агульную суму 3.2 мільярда долараў. Гэты год, верагодна, будзе такім жа прыбытковым для хакераў. Паводле апошніх дадзеных CertiK паведамляць, DeFi і Web3 разам страцілі ад хакераў больш за 2 мільярды долараў за першыя шэсць месяцаў года.
Chainalysis заявіла, што хакеры ў крыптасферы перайшлі з кашалькоў і іншых мэтаў і сёння амаль выключна нацэлены на пратаколы DeFi. За першыя тры месяцы 2022 года амаль 97% усіх сродкаў, выкрадзеных хакерамі, паступілі з DeFi, у параўнанні з 72% у 2021 годзе і толькі 30% у 2020 годзе. Кароткі агляд некаторых з самых буйных узломаў гэтага года тлумачыць, чаму DeFi стаць такой папулярнай мішэнню для зламыснікаў. Сумы, якія яны могуць скрасці, велізарныя. Самым дарагім узломам у гэтым годзе быў Парушэнне бяспекі Ronin Validator. 23 сакавіка чалавек або асобы, адказныя за атаку, змаглі скампраметаваць вузлы валідатара Sky NMavis Ronin і Axie DAO, узламаць прыватныя ключы і зрабіць незаконнае зняцце сродкаў. Яны скралі неверагодныя 173,600 25.5 ETH і 615.5 мільёна USDC, што ў агульнай складанасці складае XNUMX мільёна долараў, усяго за дзве транзакцыі.
На жаль, узлом Ronin быў не проста адзінкавай падзеяй. У лютым хакеры выкарыстаў уразлівасць бяспекі у праверцы подпісаў Wormhole, што дазволіла ім атрымаць 120,000 326 WETH на Салане, сума, якая на момант атакі каштавала XNUMX мільёнаў долараў. Падобным чынам у красавіку пратакол Beanstalk ахвярай да аднадзённай затрымкі ў межах кантракту на прапанову аб кіраванні $BEAN для завяршэння тэрміновай пазыкі. Зламыснік змог скрасці 70% ад агульнай колькасці насення, сыдучы з 181 мільёнам долараў.
Выяўленне ўразлівасцяў смарт-кантрактаў
Пераважная большасць узломаў DeFi адбываецца з-за ўразлівасцяў у смарт-кантрактах, якія кіруюць пратаколамі. Разумныя кантракты - гэта самавыконвальныя біты кода, якія аўтаматычна апрацоўваюць транзакцыі пры выкананні пэўных умоў. Яны з'яўляюцца адным з асноўных элементаў DeFi, паколькі яны робяць залішнім патрабаванне да надзейнага пасярэдніка.
Добрая навіна заключаецца ў тым, што супольнасць ведае, што смарт-кантракты з'яўляюцца яркай слабасцю ў бяспецы DeFi, і прымае меры для іх ліквідацыі. Самыя надзейныя пратаколы DeFi на сённяшні дзень абавязкова праводзяць усёабдымнае аўдыт смарт-кантракту каб вызначыць, ці існуюць якія-небудзь уразлівасці. Аўдыты праводзяцца надзейнымі фірмамі, такімі як CertiK і Hacken, і ацэньваюць запісаныя транзакцыі ў кнізе блокчейна, каб паспрабаваць выявіць памылкі.
Іншыя спосабы выяўлення ўразлівасцяў ўключаюць тэсты на пранікненне групамі экспертаў па бяспецы, якія спрабуюць узламаць пратаколы DeFi, каб яны маглі паведаміць распрацоўшчыкам, як яны гэта зрабілі, дазваляючы ім ліквідаваць любыя выяўленыя шчыліны. Акрамя таго, пратаколы таксама могуць прапанаваць «шчодры за памылкі», дзе яны па сутнасці забяспечваюць бяспеку краўдсорсінгу. Дзесяткі хакераў у «белых капелюшах» спаборнічаюць за грашовы прыз, каб выявіць уразлівасці ў пратаколе. Баг-шчадроты можа быць асабліва карысным, таму што яны стымулююць удзельнікаў дзейнічаць як сапраўдныя кіберзлачынцы, а значыць, яны, верагодна, паспрабуюць узламаць пратакол, выкарыстоўваючы падобныя метады, што і сапраўдныя дрэнныя хлопцы. Ідэя заключаецца ў тым, што добрыя хлопцы выявяць любыя відавочныя подзвігі, перш чым іх выкрыюць у рэальным свеце.
Аўдыт кода смарт-кантрактаў і ўзнагароджанне за памылку могуць дапамагчы абараніць пратаколы DeFi ад распаўсюджаных узломаў з-за неапрацаваных выключэнняў і залежнасці ад парадку транзакцый. Аднак аўдыты, на жаль, не бясхібныя - даследаванне Chainalaysis паказала, што 30% эксплойтаў у гэтым годзе адбыліся на платформах, якія правяраліся на працягу апошніх 12 месяцаў. Такім чынам, хаця аўдыт кода і ўзнагароджанне за памылкі могуць быць карыснымі, яны не даюць ніякіх гарантый. Такім чынам, пратаколы DeFi, якія кіруюць сродкамі карыстальнікаў на мільярды долараў, павінны прыняць больш надзейны падыход да бяспекі.
Пераасэнсаванне смарт-кантрактаў
Адным з самых захапляльных рашэнняў з'яўляецца мова праграмавання Scrypto, распрацаваная падстава сістэмы злічэння, які ўяўляе сабой пратакол блокчейна ўзроўню 1, які быў створаны спецыяльна для DeFi.
,en Scrypto мова заснаваны на папулярнай мове праграмавання Rust і захоўвае большасць яе функцый. Тым не менш, у прыватнасці, ён дадае шэраг спецыяльных функцый, заснаваных на Radix Engine. Яе можна разглядаць як набор бібліятэк і пашырэнняў для Rust, які забяспечвае функцыі, арыентаваныя на актывы, што дазваляе логіцы ў стылі Rust узаемадзейнічаць з актывамі як першакласны грамадзянін.
Найбольш важным адрозненнем Scrypto з'яўляецца тое, што ён эфектыўна ліквідуе разумныя кантракты. Замест разумных кантрактаў ён выкарыстоўвае чарцяжы і кампаненты для апрацоўкі транзакцый. Чарцяжы - гэта скампіляваны зыходны код, які жыве ў блокчейне, дзе іх можа выкарыстоўваць кожны. Іх роля заключаецца ў прадастаўленні «функцый канструктара» для транзакцый DeFi з гнуткімі параметрамі, якія іншыя могуць ствараць. Як правіла, яны даволі спецыялізаваныя з пункту гледжання функцыянальнасці, хоць яны могуць падтрымліваць некалькі розных варыянтаў выкарыстання ў залежнасці ад таго, як менавіта яны створаны. Чарцяжы часам могуць працаваць з іншымі чарцяжамі, разгорнутымі разам як "пакет".
Каб актываваць чарцяж, яго трэба стварыць, выклікаўшы адну з яго функцый-канструктараў, каб атрымаць адрас толькі што створанага асобніка, вядомага як «кампанент». Кампаненты выкарыстоўваюцца для кіравання станам і могуць збіраць, захоўваць і размяркоўваць рэсурсы ў адпаведнасці з логікай, звязанай з планам, які іх стварыў. Іншымі словамі, кампаненты ў Scrypto нагадваюць смарт-кантракты, аднак яны вынікаюць з логікі, вызначанай у плане, які яго спарадзіў.
Унікальная архітэктура Scrypto дазваляе яму выконваць транзакцыі зусім іншым спосабам, чым звычайныя смарт-кантракты, напісаныя на Solidity або іншай мове. Замест адпраўкі нумара або спасылкі на некаторыя токены, Radix Engine перадае права ўласнасці на токены ад абанента кампаненту. Пасля таго, як гэты кампанент атрымае вядро рэсурсаў або некалькі вёдраў, ён можа ўзяць гэтыя рэсурсы і змясціць іх у сховішча, якое ён утрымлівае, або ў іншае вядро. Затым Radix Engine гарантуе, што абанент больш не можа атрымаць доступ да вядра або сховішча.
Канчатковым вынікам з'яўляецца тое, што dApps, створаныя на Radix, маюць нашмат больш просты і бяспечны спосаб транзакцый. Каб лепш зразумець, як гэта працуе, Radix прапануе нам прыклад машыны для гумавых шарыкаў які прымае токены USD у абмен на токены, якія захоўваюцца ў яго сховішчы.
У гэтым прыкладзе карыстальнік перадае вядро ў памеры 0.25 долараў ЗША метаду insertCoins кампанента MyMachine. Логіка плана бачыць, што была заплачана правільная цана, дадае гэтыя жэтоны ў сховішча, затым бярэ 1 гумкавы шарык са сховішча і перадае яго таму, хто тэлефануе. Ён нават можа вярнуць здачу, калі абанент перадаў занадта шмат долараў ЗША.
Са смарт-кантрактамі Ethereum на аснове Solidity гэта значна больш складана і рызыкоўна. У той жа машыне карыстальнік выклікае смарт-кантракт, каб даць машыне дазвол на зняцце сродкаў з кашалька ад яго імя. Яны сказалі машыне, што жадаюць увесці 0.25 долара ЗША. Затым машына выклікала б кантракт у доларах ЗША, каб зрабіць зняцце сродкаў, а затым выклікала смарт-кантракт gumball, каб адправіць gumbball карыстальніку. Нарэшце, гэта, верагодна, таксама абновіць унутраны кэш колькасці пакінутых гумавых шарыкаў для праверкі на наяўнасць eros. Кожны з гэтых працэсаў выкарыстоўвае смарт-кантракт, і таму кожны з іх знаходзіцца пад пагрозай узлому з-за ўразлівасці смарт-кантракту.
Гэта проста просты прыклад. З дапамогай DeFi транзакцыі могуць быць у разы больш складанымі, гэта значыць яны падвяргаюцца шматразова большаму рызыцы. Для таго, каб зламыснік здзейсніў атаку, дастаткова адной уразлівасці дзе-небудзь, у любым са шматлікіх смарт-кантрактаў, якія ўдзельнічаюць у транзакцыі.
заключэнне
Па меры росту DeFi і павелічэння яго агульнага заблакіраванага кошту рызыка эксплуатацыі будзе толькі павялічвацца. Калі ёсць адзін вынік, які мы можам зрабіць з ашаламляльнай колькасці крыптаграфіі, скрадзенай хакерамі DeFi, дык гэта тое, што патрэба ў бяспецы смарт-кантрактаў ніколі не была такой вялікай. У той час як аўдыт кода і ўзнагароджанне за памылкі могуць дапамагчы выявіць найбольш відавочныя ўразлівасці ў DeFi, відавочна, што індустрыя можа атрымаць невымерную карысць ад радыкальнай рэканструкцыі, заснаванай на інфраструктуры, якая з самага пачатку створана для мінімізацыі колькасці магчымых эксплойтаў.
Адмова: Гэты артыкул прадастаўлены толькі ў інфармацыйных мэтах. Ён не прапануецца і не прызначаны для выкарыстання ў якасці юрыдычнай, падатковай, інвестыцыйнай, фінансавай ці іншай кансультацыі
Крыніца: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them