Pēdējo pāris gadu laikā simtiem jaunu decentralizētu finanšu lietojumprogrammu un protokolu ir ieplūdušas Ethereum tīklā un citās blokķēdes. 2021. gada novembrī visās DeFi lietotnēs bloķētā kopējā vērtība sasniedza satriecošus 290 miljardus ASV dolāru.
DeFi teorētiski ir paredzēts, lai demokratizētu piekļuvi finansējumam, ļaujot piedalīties cilvēkiem no visas pasaules, no jebkuras izcelsmes neatkarīgi no tā, kas viņi ir. Nav finansiālu vai ģeogrāfisku ierobežojumu vai centralizētu starpnieku – viss ir decentralizēts, neuzticams un vienādranga.
Tā ir vīzija, kas ir izrādījusies populāra, jo DeFi aug ātrāk, nekā kāds varēja iedomāties. Tomēr tā pieaugumu ir aptumšojuši daudzi kritiski drošības apdraudējumi, kuru dēļ tas šķiet ļoti riskants pasākums ikvienam, kurš nav īpaši informēts par kriptovalūtu darbību.
Lai gan 2021. gads bija nozīmīgs DeFi, tas, iespējams, bija vēl lielāks hakeriem, izmantojot neseno Chainalysis ziņojumu. atrast ka viņi tajā gadā nozaga kriptovalūtu 3.2 miljardu dolāru vērtībā. Šis gads, visticamāk, būs tikpat ienesīgs hakeriem. Saskaņā ar CertiK jaunāko ziņot, DeFi un Web3 kopā gada pirmajos sešos mēnešos hakeriem zaudēja vairāk nekā 2 miljardus dolāru.
Ķēdes analīze teica, ka hakeri kriptovalūtu sfērā ir migrējuši prom no makiem un citiem mērķiem un šodien gandrīz tikai vēršas pret DeFi protokoliem. 2022. gada pirmajos trīs mēnešos gandrīz 97% no visiem hakeru nozagtajiem līdzekļiem tika iegūti no DeFi, salīdzinot ar 72% 2021. gadā un tikai 30% 2020. gadā. Īss ieskats dažiem šī gada lielākajiem uzlaušanas gadījumiem izskaidro, kāpēc DeFi kļūt par tik populāru uzbrucēju mērķi. Summas, ko viņi var nozagt, ir milzīgas. Līdz šim dārgākais uzlauzums šogad bija Ronin Validator drošības pārkāpums. 23. martā par uzbrukumu atbildīgā persona vai personas spēja apdraudēt Sky NMavis Ronin un Axie DAO validācijas mezglus, uzlauzt privātās atslēgas un veikt nelikumīgu izņemšanu. Viņi nozaga neticami 173,600 25.5 ETH un 615.5 miljonus USDC, kas kopā veido XNUMX miljonus USD, veicot tikai divus darījumus.
Diemžēl Ronina uzlaušana nebija tikai atsevišķs notikums. Februārī hakeri izmantoja drošības ievainojamību Wormhole paraksta pārbaudē, ļaujot viņiem iegūt 120,000 326 WETH uz Solana, kas uzbrukuma brīdī bija XNUMX miljoni USD. Līdzīgi aprīlī Beanstalk protokols krita par upuri uz vienas dienas kavēšanos $BEAN pārvaldības priekšlikuma līguma ietvaros, lai pabeigtu ātro kredītu. Uzbrucējs spēja nozagt 70% no kopējām sēklām, kopumā izcīnot 181 miljonu dolāru.
Viedo līgumu ievainojamību konstatēšana
Lielākā daļa DeFi uzlaušanas gadījumu notiek viedo līgumu, kas nodrošina protokolus, ievainojamību. Viedie līgumi ir pašizpildes koda biti, kas automātiski apstrādā transakcijas, kad ir izpildīti noteikti nosacījumi. Tie ir viens no DeFi galvenajiem elementiem, jo tie padara uzticamu starpnieku prasību par lieku.
Labā ziņa ir tā, ka sabiedrība apzinās, ka viedie līgumi ir acīmredzams DeFi drošības trūkums, un veic pasākumus, lai tos novērstu. Mūsdienās uzticamākie DeFi protokoli noteikti veic visaptverošu vieda līgumu audits lai noteiktu, vai pastāv ievainojamības. Auditus veic uzticami uzņēmumi, piemēram, CertiK un Hacken, un novērtē reģistrētos darījumus blokķēdes virsgrāmatā, lai mēģinātu atklāt visas kļūdas.
Citi veidi, kā identificēt ievainojamības, ietver iespiešanās testi drošības ekspertu komandas, kas mēģina uzlauzt DeFi protokolus, lai viņi varētu informēt izstrādātājus, kā viņi to izdarīja, ļaujot tiem novērst visas atklātās nepilnības. Turklāt protokoli var piedāvāt arī "kļūdu atlīdzības", kur tie galvenokārt nodrošina drošību. Desmitiem “baltās cepures” hakeru sacenšas par naudas balvu, lai identificētu protokola ievainojamības. Kļūdu krājumi var būt īpaši izdevīgi, jo tie mudina dalībniekus rīkoties kā īstiem kibernoziedzniekiem, kas nozīmē, ka viņi, visticamāk, mēģinās uzlauzt protokolu, izmantojot līdzīgas metodes, kā to dara īstie ļaundari. Ideja ir tāda, ka labie puiši atklās visus acīmredzamos varoņdarbus, pirms tie tiks atklāti reālajā pasaulē.
Viedās līguma koda pārbaudes un kļūdu piemaksas var palīdzēt aizsargāt DeFi protokolus pret bieži sastopamiem uzlaušanas gadījumiem saistībā ar neapstrādātiem izņēmumiem un darījumu pasūtījumu atkarību. Tomēr auditi diemžēl nav nekļūdīgi – Chainalysis pētījums atklāja, ka 30% ekspluatāciju šogad notika platformās, kuras tika pārbaudītas pēdējo 12 mēnešu laikā. Tātad, lai gan koda audits un kļūdu piemaksas var būt noderīgas, tās nesniedz nekādas garantijas. Tādējādi DeFi protokoliem, kas pārvalda miljardu dolāru lietotāju līdzekļus, būtu jāpieņem stingrāka pieeja drošībai.
Viedo līgumu atjaunošana
Viens no aizraujošākajiem risinājumiem ir Scrypto programmēšanas valoda, ko izstrādājusi pirmsākums, kas ir 1. slāņa blokķēdes protokols, kas ir izveidots īpaši DeFi.
Jūsu darbs IR Klientu apkalpošana Skripto valoda ir balstīta uz populāro Rust programmēšanas valodu un saglabā lielāko daļu tās funkciju. Tomēr tas īpaši pievieno vairākas īpašas funkcijas, kuru pamatā ir Radix Engine. To var uzskatīt par bibliotēku un Rust paplašinājumu kolekciju, kas nodrošina uz īpašumiem orientētas funkcijas, ļaujot Rust stila loģikai mijiedarboties ar īpašumiem kā vietējam, pirmšķirīgam pilsonim.
Vissvarīgākā Scrypto atšķirība ir tā, ka tas efektīvi novērš viedos līgumus. Viedo līgumu vietā tas izmanto projektus un komponentus, lai apstrādātu darījumus. Zīmējumi ir apkopots pirmkods, kas dzīvo blokķēdē, kur tos var izmantot ikviens. Viņu uzdevums ir nodrošināt DeFi transakciju “konstruktora funkcijas” ar elastīgiem parametriem, ko citi var izveidot. Parasti tie ir diezgan specializēti funkcionalitātes ziņā, lai gan tie var atbalstīt vairākus dažādus lietošanas gadījumus atkarībā no tā, kā tieši tie ir izveidoti. Zīmējumi dažkārt var darboties ar citiem rasējumiem, kas tiek izvietoti kopā kā “pakete”.
Lai aktivizētu projektu, tas ir jāinstantiē, izsaucot kādu no tā konstruktora funkcijām, lai iegūtu jaunizveidotās instances adresi, kas pazīstama kā “komponents”. Komponenti tiek izmantoti, lai pārvaldītu stāvokli, un tie var apkopot, turēt un izplatīt resursus saskaņā ar loģiku, kas saistīta ar to izveidotajā projektā. Citiem vārdiem sakot, Scrypto komponenti atgādina viedos līgumus, tomēr tie izriet no loģikas, kas definēta projektā, kas to radīja.
Scrypto unikālā arhitektūra ļauj tai veikt darījumus ļoti atšķirīgi no parastajiem viedajiem līgumiem, kas rakstīti Solidity vai citā valodā. Tā vietā, lai nosūtītu numuru vai atsauci uz dažiem marķieriem, Radix Engine nodod tokenu īpašumtiesības no zvanītāja komponentam. Kad šis komponents saņem resursu kopu vai vairākus segmentus, tas var paņemt šos resursus un noguldīt tos savā īpašumā vai citā spaini. Pēc tam Radix Engine nodrošina, ka zvanītājs vairs nevar piekļūt spainim vai seifam.
Gala rezultāts ir tāds, ka uz Radix veidotajām dApps ir daudz vienkāršāks un drošāks darījumu veids. Lai labāk izprastu, kā tas darbojas, Radix mums piedāvā gumijas mašīnas piemērs kas pieņem USD žetonus apmaiņā pret marķieri, kas atrodas tās glabātuvē.
Šajā piemērā lietotājs MyMachine komponenta metodei insertCoins nodod 0.25 USD. Projekta loģika redz, ka ir samaksāta pareizā cena, pievieno šos marķierus glabātuvei, pēc tam paņem 1 gumijas bumbu no tās gumijas glabātuves un nodod to atpakaļ zvanītājam. Tas var pat nosūtīt atpakaļ dažas izmaiņas, ja zvanītājs ir nodevis pārāk daudz USD.
Ar Ethereum viedajiem līgumiem, kuru pamatā ir Solidity, tas ir daudz sarežģītāk un riskantāk. Tajā pašā iekārtā lietotājs izsauktu viedo līgumu, lai dotu iekārtai atļauju izņemt no maka viņa vārdā. Viņi paziņos iekārtai, ka vēlas ievadīt 0.25 USD. Iekārta pēc tam izsauktu USD līgumu, lai veiktu izņemšanu, un pēc tam izsauktu Gumball viedo līgumu, lai nosūtītu gumball lietotājam. Visbeidzot, tas, iespējams, arī atjauninātu iekšējo kešatmiņu ar atlikušo gumijas bumbu skaitu, lai pārbaudītu eros. Katrs no šiem procesiem izmanto viedo līgumu, un tāpēc katrs no tiem var tikt uzlauzts viedā līguma ievainojamības dēļ.
Tas ir tikai vienkāršs piemērs. Izmantojot DeFi, darījumi var būt daudzkārt sarežģītāki, kas nozīmē, ka tie ir pakļauti vairākkārt lielākam riskam. Lai uzbrucējs veiktu uzbrukumu, ir nepieciešama tikai viena ievainojamība jebkurā no daudzajiem darījumā iesaistītajiem viedajiem līgumiem.
Secinājumi
Pieaugot DeFi un pieaugot tā kopējai bloķētajai vērtībai, ekspluatācijas risks tikai palielināsies. Ja mēs varam iegūt kaut ko no satriecošā kriptovalūtu daudzuma, ko nozaga DeFi uzlaupījumi, tad vajadzība pēc viedās līgumu drošības nekad nav bijusi tik liela. Lai gan koda audits un kļūdu piemaksas var palīdzēt atklāt visredzamākās DeFi ievainojamības, ir skaidrs, ka nozare varētu gūt neizmērojamu labumu no radikālas kapitālremonta, kuras pamatā ir infrastruktūra, kas izstrādāta, lai samazinātu potenciālo ekspluatāciju skaitu no sākuma.
Atruna: Šis raksts ir paredzēts tikai informatīviem nolūkiem. Tas netiek piedāvāts vai paredzēts izmantot kā juridisku, nodokļu, ieguldījumu, finanšu vai citu padomu
Avots: https://cryptodaily.co.uk/2022/08/as-defi-hacks-soar-this-startup-wants-to-radically-overhaul-smart-contracts-to-prevent-them