I dag er blockchain-markedet som helhed i sin vorden, og det decentral finansiering (DeFi) markedet er dens mest lovende del. Ifølge DefiLlama-data havde DeFi-markedet i 2021 omkring 200 milliarder dollars likviditet låst i smarte kontrakter. Hvis vi ser denne kapital som en indledende investering, ligner dette marked en meget lovende satsning. Ikke alt for mange globale virksomheder kan prale af en sådan kapitalisering. Men ethvert ungt marked har sine børneproblemer. Med DeFi er hovedproblemet mangel på kvalificerede blockchain-udviklere.
Denne industri er meget ung og har en relativt lille brugerbase. De fleste har i bedste fald hørt om DeFi uden at have nogen idé om, hvad det er. Men som det sker med hver ny lovende satsning, skaber det hurtigt en masse spekulativ interesse. Desværre tager det meget længere tid at forberede personalet, især når det kommer til så videntunge sfærer som blockchain og smart kontraktudvikling. Det betyder, at nogle projekthold bliver nødt til at gå på kompromis og ansætte mindre erfarne medarbejdere.
Dette problem uundgåeligt skaber en stigende risiko for sikkerhedshuller i koden for disse projekter. Og så skal vi forholde os til dets konsekvenser i tabt brugerkapital. For blot en kort forståelse af, hvor stort dette problem er, kan jeg sige, at omkring 10 % af DeFis samlede likviditetslåste er blevet stjålet af hackere. Det burde ikke overraske nogen, at den almindelige offentlighed foretrækker at holde sig væk fra et finansielt system, der udgør sådanne farer for deres midler.
Relateret: Hvordan bliver DeFi -protokoller hacket?
Hvordan har DeFi-udnyttelser ændret sig for nylig?
Angreb på DeFi har længe været centreret omkring reentrancy-angreb. Vi kan huske den berømte DAO-hacket i 2016, der resulterede i tab af $150 millioner i investorkapital og førte til Ethereums hårde gaffel. Siden da er denne sårbarhed blevet udnyttet mange gange i forskellige smarte kontrakter.
Tilbagekaldsfunktionen bruges aktivt af udlånsprotokoller: Den giver smarte kontrakter mulighed for at tjekke brugernes sikkerhedsstillelse, før de giver et lån. Al denne proces sker inden for én transaktion, hvilket har givet hackere en løsning til at stjæle penge fra sådanne smarte kontrakter. Når du sender en anmodning om at låne penge, tjekker tilbagekaldsfunktionen først sikkerhedsstillelsen, uddeler derefter lånet, hvis sikkerheden var tilstrækkelig, og ændrer derefter brugerens sikkerhedsstillelse inde i den smarte kontrakt.
For at narre den smarte kontrakt returnerer hackere opkaldet til tilbagekaldsfunktionen for at starte denne proces fra begyndelsen. Da transaktionen ikke er afsluttet på blockchain, giver funktionen endnu et lån for samme sikkerhedsstillelse. Selvom løsningen på dette problem har været på banen længe nok, bliver mange projekter stadig ofre for det.
Nogle gange beslutter projekthold med ringe færdigheder i at skrive smarte kontrakter at låne kodebasen af et andet open source DeFi-projekt for at implementere deres egen smarte kontrakt. De gør det normalt med velrenommerede projekter, der er blevet revideret og har store brugerbaser og har vist sig at være sikkert bygget. Men de kan beslutte at foretage mindre ændringer af den lånte kode for at tilføje funktioner, de ønsker at have i deres smarte kontrakt, uden selv at ændre den originale kode. Dette kan skade logikken i den smarte kontrakt, som udviklere ofte ikke er klar over.
Det er hvad tillod hackere at stjæle omkring 19 millioner dollars fra Cream Finance i august 2021. Cream Finance-teamet lånte koden fra en anden DeFi-protokol og tilføjede et tilbagekaldstoken i deres smarte kontrakt. Selvom du kan forhindre tilbagevendende angreb ved at implementere "checks, effects, interactions"-mønsteret, der prioriterer balanceændringen frem for udstedelsen af midler, undlader nogle teams stadig at beskytte deres platforme mod disse udnyttelser.
Flash-lånsangreb gør det muligt for hackere at stjæle midler anderledes og er blevet mere og mere populære siden DeFi-boomet i 2020. Hovedideen med flash-lånsangreb er, at du ikke behøver at have sikkerhed for at låne midler fra en protokol, fordi finansiel paritet stadig er garanteret ved, at lånet optages og returneres inden for én transaktion. Og det sker ikke, hvis du undlader at returnere lånet med renter i én transaktion. Men angribere har været i stand til at udføre vellykkede flashlånsangreb på mange protokoller.
Relateret: Nødvendig: Et massivt uddannelsesprojekt til at bekæmpe hacks og svindel
Ved at gøre dem bruger de flere protokoller til at låne og trække likviditet igennem indtil den sidste handling, hvor de forstærker prisen på et token gennem orakler eller likviditetspuljer og bruger det til at snyde en pump-and-dump og være væk med likviditet i et array af nogle større forskellige kryptovalutaer såsom Ether (ETH), Wrapped Bitcoin (wBTC) og andre. Nogle berømte flash lån angreb omfatter Pancake Bunny angreb, hvor protokollen tabte 200 millioner dollars, og endnu et Cream Finance-angreb, hvor over 100 millioner dollars blev stjålet.
Hvordan forsvarer man sig mod DeFi-udnyttelser?
For at opbygge en sikker DeFi-protokol bør du ideelt set kun stole på erfarne blockchain-udviklere. De bør have en professionel teamleder med dygtighed til at bygge decentrale applikationer. Det er også klogt at huske at bruge sikre kodebiblioteker til udvikling. Nogle gange kan de mindre opdaterede biblioteker være den sikreste mulighed end dem med de nyeste kodebaser.
Test er en anden afgørende ting alle seriøse DeFi-projekter skal klare. Som administrerende direktør for et smart kontraktrevisionsfirma forsøger jeg altid at dække 100 % af vores kunders kode og understreger vigtigheden af decentral beskyttelse af de private nøgler, der bruges til at kalde funktioner i smarte kontrakter med begrænset adgang. Det er bedst at bruge decentralisering af den offentlige nøgle gennem en multisignatur, der forhindrer én enhed i at have fuld kontrol over kontrakten.
I sidste ende er uddannelse en af nøglerne, der vil gøre det muligt for blockchain-baserede finansielle systemer at blive mere sikre og pålidelige. Og uddannelse bør være en af de vigtigste bekymringer for dem, der leder efter beskæftigelse i DeFi, fordi det kan tilbyde læskende belønninger til alle, der kan yde et levedygtigt bidrag.
Denne artikel indeholder ikke investeringsrådgivning eller anbefalinger. Enhver investerings- og handelsbevægelse indebærer risiko, og læsere bør foretage deres egen forskning, når de træffer en beslutning. De synspunkter, tanker og meninger, der er udtrykt her, er forfatterens alene og afspejler ikke nødvendigvis Cointelegraphs synspunkter og meninger. Dmitry Mishunin er grundlægger og administrerende direktør for DeFi sikkerheds- og analysevirksomheden HashEx og har mangeårig ekspertise inden for blockchain-sikkerhed. Han har brugt meget tid på videnskabelige aktiviteter, såsom forskning i it-systemer, blockchain og sårbarheder i DeFi. Under Dmitrys ledelse er HashEx blevet en af de førende inden for smart kontraktrevision. Kilde: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi