Tā kā DeFi sektors turpina piesaistīt naudu un lietotājus, slikti dalībnieki no visas pasaules turpina to uzskatīt par pievilcīgu mērķi, kas ir gatavs izvēlei un ir slikti aizsargāts.
Pēdējo vairāku mēnešu laikā esmu sekojis līdzi dažiem ievērojamākajiem DeFi protokolu izmantošanas veidiem, un šķiet, ka vismaz septiņi no tiem ir tikai viedo līgumu kļūdu rezultāts.
Piemēram, hakeri sita un aplaupīja Wormhole, nozogot vairāk nekā 300 miljonus ASV dolāru, Qubit Finance (80 miljonus ASV dolāru), Meter (4.4 miljonus ASV dolāru), Deus (3 miljonus ASV dolāru), TreasureDAO (vairāk nekā 100 NFT) un, visbeidzot, Agave un Hundred Finance, kas kopā. , kopumā zaudēja 11 miljonus dolāru. Visu šo uzbrukumu rezultātā tika nozagtas diezgan ievērojamas naudas summas, radot projektiem lielus zaudējumus.
Daudzu mērķa protokolu kriptovalūtas devalvācija, lietotāju neuzticēšanās, kritika par DeFi un viedo līgumu drošību un līdzīgas negatīvas sekas.
Kāda veida ekspluatācijas notika uzbrukumu laikā?
Protams, katrs no šiem gadījumiem ir unikāls, un katra atsevišķa projekta risināšanai tika izmantoti dažāda veida ekspluatācijas veidi atkarībā no tā ievainojamības un trūkumiem. Piemēri: loģikas kļūdas, atkārtotas ienākšanas uzbrukumi, zibatmiņas uzbrukumi ar cenu manipulācijām un citi. Es uzskatu, ka tas ir rezultāts tam, ka DeFi protokoli kļūst sarežģītāki, un, tā kā tie kļūst, koda sarežģītības dēļ ir arvien grūtāk novērst visus trūkumus.
Turklāt, analizējot katru no šiem incidentiem, es pamanīju divas lietas. Pirmais ir tas, ka hakeriem katru reizi izdevās tikt vaļā no milzīgām summām — miljoniem dolāru vērtā kriptovalūtā.
Šī "algas diena" dod hakeriem stimulu pavadīt visu nepieciešamo laiku, lai pētītu protokolus, pat mēnešus vienlaikus, jo viņi zina, ka atlīdzība būs tā vērta. Tas nozīmē, ka hakeri ir motivēti pavadīt daudz vairāk laika, meklējot trūkumus, nekā auditori.
Otra lieta, kas izcēlās, ir tā, ka dažos gadījumos uzlaušana patiesībā bija ārkārtīgi vienkārša. Ņemiet par piemēru Simts finanšu uzbrukumu. Projekts tika trāpīts, izmantojot labi zināmu kļūdu, ko parasti var atrast Compound forks, ja protokolam tiek pievienots marķieris. Hakerim atliek tikai gaidīt, līdz kāds no šiem marķieriem tiek pievienots simts finansēm. Pēc tam viss, kas nepieciešams, ir veikt dažas vienkāršas darbības, lai izmantotu izmantošanu, lai iegūtu naudu.
Ko DeFi projekti var darīt, lai sevi aizsargātu?
Virzoties uz priekšu, labākais, ko šie projekti var darīt, lai pasargātu sevi no sliktiem dalībniekiem, ir koncentrēties uz revīzijām. Jo padziļinātāks, jo labāk, un to vadīs pieredzējuši profesionāļi, kuri zina, kam pievērst uzmanību. Taču ir vēl viena lieta, ko projekti var darīt pat pirms audita veikšanas, proti, nodrošināt, ka tiem ir laba arhitektūra, ko veido atbildīgi izstrādātāji.
Tas ir īpaši svarīgi, jo lielākā daļa blokķēdes projektu ir atvērtā pirmkoda, kas nozīmē, ka to kods tiek kopēts un izmantots atkārtoti. Tas paātrina darbu izstrādes laikā, un kods ir pieejams bez maksas.
Problēma ir tad, ja izrādās, ka tas ir kļūdains, un tas tiek kopēts, pirms sākotnējie izstrādātāji ir izdomājuši ievainojamības un tās izlabo. Pat ja viņi paziņo un ievieš labojumu, tie, kas to nokopēja, var neredzēt ziņas, un viņu kods joprojām ir neaizsargāts.
Cik patiesībā auditi var palīdzēt?
Viedie līgumi darbojas kā programmas, kas darbojas, izmantojot blokķēdes tehnoloģiju. Tādējādi ir iespējams, ka tie ir nepilnīgi un satur kļūdas. Kā jau minēju iepriekš, jo sarežģītāks ir līgums, jo lielāka iespēja, ka izstrādātāju pārbaudēs tiks atklāts viens vai divi trūkumi.
Diemžēl ir daudzas situācijas, kurās nav viegla risinājuma šo trūkumu novēršanai, tāpēc izstrādātājiem ir jāvelta savs laiks un jāpārliecinās, ka kods ir pareizi izveidots un trūkumi tiek pamanīti nekavējoties vai vismaz pēc iespējas agrāk.
Šeit parādās auditi, jo, pārbaudot kodu un pienācīgi dokumentējot tā izstrādes un testu gaitu, jūs varat atbrīvoties no lielākās daļas problēmu agri.
Protams, pat auditi nevar nodrošināt 100% garantiju, ka ar kodu nebūs problēmu. Neviens nevar. Nav nejauši, ka hakeriem ir vajadzīgi mēneši, lai izdomātu mazāko ievainojamību, ko viņi var izmantot savā labā — jūs nevarat izveidot perfektu kodu un padarīt to noderīgu, it īpaši, ja runa ir par jaunām tehnoloģijām.
Auditi samazina problēmu skaitu, taču patiesā problēma ir tā, ka daudziem projektiem, kurus skāruši hakeri, pat nebija nekādu auditu.
Tāpēc visiem izstrādātājiem un projektu īpašniekiem, kuri joprojām atrodas izstrādes procesā, ir jāatceras, ka drošība nenotiek no audita nokārtošanas. Tomēr tas noteikti sākas tur. Strādājiet pie sava koda; pārliecinieties, vai tai ir labi izstrādāta arhitektūra un pie tā strādā prasmīgi un čakli izstrādātāji.
Pārliecinieties, vai viss ir pārbaudīts un labi dokumentēts, un izmantojiet visus jūsu rīcībā esošos resursus. Piemēram, kļūdu piemaksas ir lielisks veids, kā jūsu kodu pārbaudīt cilvēki no hakeru viedokļa, un jauna perspektīva no kāda, kurš meklē ceļu, var būt nenovērtējams jūsu projekta nodrošināšanā.
Viesu ieraksts Gļebs Zikovs no HashEx
Gļebs sāka savu karjeru programmatūras izstrādē pētniecības institūtā, kur ieguva spēcīgu tehnisko un programmēšanas pieredzi, izstrādājot dažāda veida robotus Krievijas Ārkārtas situāciju ministrijai.
Vēlāk Gļebs nodeva savas tehniskās zināšanas IT pakalpojumu uzņēmumam GTC-Soft, kur izstrādāja Android lietojumprogrammas. Viņš kļuva par galveno izstrādātāju un pēc tam par uzņēmuma CTO. GTC Gleb vadīja daudzu transportlīdzekļu uzraudzības pakalpojumu izstrādi un Uber līdzīgu pakalpojumu premium klases taksometriem. 2017. gadā Gļebs kļuva par vienu no HashEx – starptautiska blokķēdes audita un konsultāciju uzņēmuma – līdzdibinātājiem. Gļebs ieņem galvenā tehnoloģiju direktora amatu, vadot blokķēdes risinājumu izstrādi un viedo līgumu auditus uzņēmuma klientiem.
Avots: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/