Апошнія тэндэнцыі хакерскіх нападаў і як з імі змагацца

Паколькі сектар DeFi працягвае прыцягваць грошы і карыстальнікаў, дрэнныя ўдзельнікі з усяго свету працягваюць разглядаць яго як прывабную мішэнь, якая саспела для выбару і дрэнна абаронена.

На працягу апошніх некалькіх месяцаў я сачыў за некаторымі з найбольш прыкметных эксплойтаў пратаколаў DeFi, і па меншай меры сем з іх, здаецца, з'яўляюцца вынікам толькі недахопаў смарт-кантрактаў.

Напрыклад, хакеры ўзламалі і абрабавалі Wormhole, выкраўшы больш за 300 мільёнаў долараў, Qubit Finance (80 мільёнаў долараў), Meter (4.4 мільёна долараў), Deus (3 мільёны долараў), TreasureDAO (больш за 100 NFT) і, нарэшце, Agave і Hundred Finance, якія разам , у агульнай складанасці страціў 11 мільёнаў долараў. Усе гэтыя атакі прывялі да крадзяжу даволі значных сум грошай, што прывяло да нанясення буйнога ўрону праектам.

Многія з мэтавых пратаколаў сутыкнуліся з дэвальвацыяй сваёй крыптавалюты, недаверам з боку карыстальнікаў, крытыкай адносна бяспекі DeFi і смарт-кантрактаў і падобнымі негатыўнымі наступствамі.

Якія эксплойты адбываліся падчас нападаў?

Натуральна, кожны з гэтых выпадкаў унікальны, і для барацьбы з кожным асобным праектам выкарыстоўваліся розныя тыпы эксплойтаў у залежнасці ад іх уразлівасцяў і недахопаў. Прыклады ўключаюць лагічныя памылкі, атакі паўторнага ўваходу, атакі флэш-пазык з маніпуляцыямі цэнамі і многае іншае. Я лічу, што гэта з'яўляецца вынікам таго, што пратаколы DeFi становяцца ўсё больш складанымі, і, калі яны гэта робяць, складанасць кода робіць усё больш і больш цяжкім ліквідаваць усе недахопы.

Акрамя таго, я заўважыў дзве рэчы, аналізуючы кожны з гэтых інцыдэнтаў. Першая заключаецца ў тым, што хакерам кожны раз удавалася сысці з велізарнымі сумамі - мільёны долараў у крыптаграфіі.

Гэты «дзень выплаты жалавання» дае хакерам стымул марнаваць любы неабходны час на вывучэнне пратаколаў, нават месяцы за раз, бо яны ведаюць, што ўзнагарода таго вартая. Гэта азначае, што хакеры матываваныя марнаваць значна больш часу на пошук недахопаў, чым аўдытары.

Другая рэч, якая кінулася ў вочы, - гэта тое, што ў некаторых выпадках хакі былі вельмі простымі. Возьмем у якасці прыкладу атаку Hundred Finance. Праект быў збіты з-за добра вядомай памылкі, якую звычайна можна знайсці ў Compound forks, калі ў пратакол дадаецца токен. Усё, што трэба зрабіць хакеру, гэта пачакаць, пакуль адзін з гэтых токенаў будзе дададзены ў Hundred Finance. Пасля гэтага ўсё, што трэба, гэта выканаць некалькі простых крокаў, каб скарыстацца эксплойтам, каб атрымаць грошы.

Што праекты DeFi могуць зрабіць, каб абараніць сябе?

Рухаючыся наперад, лепшае, што гэтыя праекты могуць зрабіць, каб абараніць сябе ад дрэнных удзельнікаў, - гэта засяродзіцца на аўдытах. Чым глыбей, тым лепш, і праводзіцца вопытнымі спецыялістамі, якія ведаюць, на што звярнуць увагу. Але ёсць яшчэ адна рэч, якую праекты могуць зрабіць, нават не звяртаючыся да аўдыту, і гэта пераканацца, што ў іх ёсць добрая архітэктура, створаная адказнымі распрацоўшчыкамі.

Гэта асабліва важна, паколькі большасць блокчейн-праектаў з адкрытым зыходным кодам, што азначае, што іх код часта капіюецца і паўторна выкарыстоўваецца. Гэта паскарае працу падчас распрацоўкі, і код бясплатны для ўзяцця.

Праблема ў тым, што высвятляецца, што ён памылковы, і яго капіруюць раней, чым першапачатковыя распрацоўшчыкі выявяць уразлівасці і выправяць іх. Нават калі яны аб'явяць і ўвядуць выпраўленне, тыя, хто скапіяваў яго, могуць не ўбачыць навін, а іх код застаецца ўразлівым.

Наколькі аўдыты могуць дапамагчы?

Смарт-кантракты функцыянуюць як праграмы, якія працуюць на тэхналогіі блокчейн. Такім чынам, магчыма, што яны дэфектныя і ўтрымліваюць памылкі. Як я ўжо згадваў раней, чым больш складаны кантракт, тым больш верагоднасць таго, што адзін-два недахопы праскочаць падчас праверкі распрацоўшчыкаў.

На жаль, існуе шмат сітуацый, калі няма простага рашэння для выпраўлення гэтых недахопаў, таму распрацоўшчыкі павінны не спяшацца і пераканацца, што код выкананы належным чынам і што недахопы будуць выяўлены неадкладна або, па меншай меры, як мага раней.

Тут і ўзнікаюць аўдыты, бо калі вы правяраеце код і адпаведным чынам дакументуеце ход яго распрацоўкі і тэсты, вы можаце пазбавіцца ад большасці праблем на ранніх тэрмінах.

Вядома, нават аўдыт не можа даць 100% гарантыю, што з кодам не будзе праблем. Ніхто не можа. Невыпадкова хакерам патрэбныя месяцы, каб высветліць найменшую ўразлівасць, якую яны могуць выкарыстаць у сваіх інтарэсах — нельга стварыць ідэальны код і зрабіць яго карысным, асабліва калі гаворка ідзе пра новыя тэхналогіі.

Аўдыты сапраўды памяншаюць колькасць праблем, але сапраўдная праблема ў тым, што многія з праектаў, якія трапляюць пад удары хакераў, нават не праводзілі ніякіх аўдытаў.

Такім чынам, усім распрацоўшчыкам і ўладальнікам праектаў, якія ўсё яшчэ знаходзяцца ў працэсе распрацоўкі, варта памятаць, што бяспека не вынікае з праходжання аўдыту. Аднак гэта, безумоўна, пачынаецца там. Працуйце над сваім кодам; пераканайцеся, што ён мае добра прадуманую архітэктуру і што над ім працуюць умелыя і старанныя распрацоўшчыкі.

Пераканайцеся, што ўсё праверана і добра задакументавана, і выкарыстоўвайце ўсе рэсурсы, якія ёсць у вашым распараджэнні. Баунты за памылку, напрыклад, з'яўляюцца выдатным спосабам праверыць ваш код людзьмі з пункту гледжання хакераў, і свежая перспектыва ад чалавека, які шукае шлях, можа быць бясцэннай для абароны вашага праекта.