Facebook 
Pinterest Išsiaiškinti, kas kaltas dėl nuolatinių „DeFi“ saugumo problemų
Decentralizuotas finansų sektorius ir toliau įgyja precedento neturintį populiarumą, nes bendra „DeFi“ produktuose užfiksuoto turto vertė liepos mėnesį padvigubėjo iki daugiau nei 4 mlrd. USD ir dabar yra artėja dolerių ženklas.
Tuo pačiu metu dėl padidėjusios tokių programų paklausos tarp vartotojų ir kūrėjų tai tampa blogų veikėjų taikiniu, atsižvelgiant į tiesioginės prieigos prie lėšų viliojimą. Per pastaruosius kelis mėnesius įsilaužėliai iš „DeFi“ projektų pavogė daugiau nei 27 milijonus dolerių ir artimiausiu metu tikimasi sulaukti daugiau atakų. Jei taip yra, ar „DeFi“ sektorius labai remiasi „Ethereum“ saugumu ir ar „ETH 2.0“ paleidimas suteiks daugiau patobulinimų šioje srityje?
„DeFi“ programos yra naujos įsilaužėlių šifravimo biržos
Nors 2023–2023 m. Kripto mainai buvo pagrindinis įsilaužėlių atakų tikslas, 2023 m. Radaruose yra decentralizuota finansų rinka. Tai iš esmės leidžia pažangios platformų sutarčių spragos ir techniškai netobuli saugumo mechanizmai. Tuo pačiu metu, kaip rodo įsilaužimų istorija, užpuolikai naudoja ne tik silpnąsias vietas, bet ir įvairias teisėtas „blockchain“ galimybes.
Taip programišiai rugpjūčio pradžioje užpuolė „Opyn“ – protokolas, kuriame ironiškai teigiama, kad kovojama su „DeFi“ apsauga. Apie 371 000 USD buvo pavogta dėl to, kad buvo panaudotas projekto žetonas, kai buvo įvykdyta dvigubo išpuolio išpuolis prieš „Ethereum“ pardavimo pasirinkimus, suteikiant prieigą prie vartotojų lėšų.
Anksčiau dėl pažangių sutarčių kodo pažeidžiamumo atsirado dar vienas „DeFi“ projekto įsilaužimas, kai iš „Lendf.me“ decentralizuoto skolinimo protokolo ir decentralizuoto šifravimo mainų „Uniswap“ buvo pavogta 25 milijonai dolerių. Abu kūrėjų rinkiniai sukūrė savo priedus ant „ERC-777“ protokolo, todėl išmaniosios sutartys tapo pažeidžiamos pakartotinio užpuolimo atakoms. Tokios atakos metu įsilaužėliai pakartotinai atsiima lėšas, kol jų pirminis sandoris bus patvirtintas ar atmestas.
Dar vienas nulaužimas įvyko birželio 28 d., Vėlgi dėl kodo pažeidžiamumo. Įsilaužėliai iš „Balancer“ platformos pavogė daugiau nei 500 000 USD ETH ir kitų altcoinų naudodamiesi savo simboliniu defliacijos mechanizmu, kuris sunaikina 1% operacijos sumos kiekvieną pervedant lėšas..
Ar kalta Ethereum?
Akivaizdu, kad „DeFi“ projektų „Achilo kulnas“ yra pažangių sutarčių kodų klaidos ir pažeidžiamumai, tačiau kas arba kas būtent dėl to kaltas? Ar „DeFi“ kūrėjai, prieš paleisdami savo programas, tinkamai neišbando ar netikrina kodo, ar kalta „Ethereum“ architektūra, vadinasi, mažai kas priklauso nuo platformų?
Viena vertus, kaip anksčiau „Cintelegraph“ sakė „DeFi“ skolinimo platformos „Kava Labs“ generalinis direktorius Brianas Kerras, „Ethereum blockchain“ architektūra nėra pajėgi atsakyti į „DeFi“ sektoriaus saugumo reikalavimus, nes „Solidity“ programavimo kalboje išbandyti galimas klaidas yra beveik neįmanoma..
Tačiau dauguma „DeFi“ platformų yra sukurtos ant „Ethereum blockchain“ sistemos ir todėl eksperimentuoja su originaliu šaltinio kodu, ypač jei šių eksperimentų rezultatas nėra nuodugniai patikrintas prieš paleidžiant galutinę produkto versiją, galbūt atveriant duris įsilaužėliams..
„ConsenSys Diligence“ saugumo inžinierius ir auditorius Shayanas Eskandari sakė „Cointelegraph“, kad prieš daugumą „DeFi“ įsilaužimų kūrėjai atliko pakeitimus prieš pat platformos paleidimą. Pvz., ERC-20 nebuvo įdiegtas standartiniu būdu arba kai kurie nauji žetonų projektai pridėjo funkcijų, kurios pakeitė ERC-20 prieigos rakto elgseną, sukeldamos nenumatytų problemų. Pasak Eskandari, tokie pokyčiai sukėlė „Balancer“ pulo išpuolius ir „Lendf.me“ įsilaužimą.
Tai rodo, kad kai kuriais atvejais dėl konkrečių platformų dirbančios komandos yra kaltos. Pokalbyje su „Cointelegraph“ „Plutus DeFi“ – pilno „DeFi“ kaupiklio generalinis direktorius Arnie Hillas pažymėjo, kad dauguma „DeFi“ kūrėjų neskiria pakankamai dėmesio saugumui, nes jie yra ankstyvame produkto kūrimo etape: „Šiandien kūrėjai moka daugiau dėmesio skirti techninei pusei ir kapitalizacijai, daugiausia dėmesio skiriant tam, kaip sukurti skolinimo paslaugas „blockchain“, o ne išmaniųjų sutarčių saugumui “.
Be to, „DeFi“ produktų sudėtingumas yra žiaurus jų pokštas, pagal Larry Sukernik, „Digital Currency Group“ investuotojui: „Gaunate žmones su didelėmis smegenimis, kuriuos reikia pradėti dirbti. Kai jie pradedami dirbti, rezultatas yra sudėtingas, puikus, bet masiškai netinkamas produktas “.
„Litecoin“ (LTC) kūrėjas Charlie Lee anksčiau tvirtino, kad dėl visko kalta decentralizacija. Decentralizavimas iš tikrųjų buvo „Opyn“ parinkčių protokolo įsilaužimo priežastis, nes komanda negalėjo jo valdyti ar laikinai išjungti atakos atveju.
Tačiau įsilaužėlių buvimas yra natūralus reiškinys, atsižvelgiant į tai, kad pramonė yra jauna. Nepaisant to, vystantis „DeFi“ sektoriui, jo kūrėjai turėtų nepaprastai įsisąmoninti didėjančią saugumo riziką ir stengtis jas sumažinti, teigia Hillas:
„Rinkos mastui padidinti reikia naudoti rimtesnius apsaugos mechanizmus ir bendradarbiauti su reguliavimo institucijomis bei auditoriais. Dienos pabaigoje tai jau ne tik „DApps“ tinklas, bet neišvengiama kelių milijardų dolerių vertės finansų rinka, kuri yra ankstyvoje plėtros stadijoje, taigi ir įsilaužimai yra neišvengiami. bankininkystės pramonė prieš keletą metų “.
Pagal naujausią ataskaita išleido tyrimų kompanija „Dgen“ bendradarbiaudama su atviro kodo „DeFi“ protokolu „Aave“, nuo tada, kai „DeFi“ projektai tapo įsilaužimo objektais, kūrėjai pradėjo kurti smėlio dėžes ir aiškias ginčų sprendimo sistemas. Analitikai taip pat pažymėjo, kad kol mastelio keitimas „DeFi“ kūrėjams yra didžiausias prioritetas šiuo metu, dideli įsilaužimai, panašūs į 2016 m. DAO incidentą, greičiausiai pasikartos.
Kitas galimas decentralizuotų finansų projektų klausimas yra tas, kad jie remiasi duomenų orakulais teikdami svarbiausius duomenis, pvz., Turto kainas. Spartėjantis „DeFi“ platformų ir produktų, turinčių unikalų suderinamumą, augimas sukuria tarpusavio priklausomybę ir reikalauja patikimo turto kainodaros duomenų šaltinio, kaip paaiškino Paulas Claudiusas, DIA įkūrėjas – Šveicarijos atviro kodo „DeFi“ orakulo platforma, kuris sakė „Cointelegraph“:
„Šiuo metu daugumoje„ DeFi “projektų trūksta skaidraus, atviro kodo ir patikimo kainodaros duomenų sprendimo. Daugelis net nesidalija orakulų naudojamomis kainodaros duomenų metodikomis. Tai kelia didelę riziką, nes blogi veikėjai gali išnaudoti tiek technologinę, tiek metodinę silpnybes su nepatikimais duomenų šaltiniais.
Auditas, deramas patikrinimas ir draudimas
Taigi, ar „DeFi“ komandos gali ką nors padaryti, kad sumažintų saugumo riziką, atsižvelgiant į tai, kad yra daugybė produktų, kurie sėkmingai palaiko aukštą savo ir vartotojų lėšų saugumą?
„Aave“ integracijos vadovas Marcas Zelleris pabrėžė, kad svarbu atlikti išsamaus patikrinimo procedūras prieš pridedant naują prieigos raktą prie „DeFi“ platformos, kad būtų išvengta didelių įsilaužimų į protokolus. Jis taip pat pažymėjo, kad projektuose, susijusiuose su decentralizuotu finansavimu, gali būti naudojamos draudimo kompanijų paslaugos, siekiant dar labiau apsaugoti vartotojų lėšas, nors to ne visada pakanka.
Kalbėdamas apie draudimo vaidmenį kovojant su įsilaužimais, sintetinio turto platformos „Synthetix“ įkūrėjas Kainas Warwickas, sakė kad „DeFi“ draudimas yra labai ribotas, pridurdamas: „„ DeFi “vis dar turi didelę uodegos riziką, todėl tikėtina, kad draudimas per trumpą laiką išliks labai brangus, tačiau suėjus protokolams, išlaidos turėtų sumažėti […], leidžiančios paprasčiau ir naudingiau. atsirasti draudimas “.
Draudimas yra geras, jei ataka jau įvyko, tačiau jei užduotis yra to išvengti, „DeFi“ projektams reikia audito ir stebėti įtartinas operacijas, kad būtų galima aptikti ir pašalinti tinklo pažeidžiamumus, kol įsilaužėliai naudojasi kodo trūkumais. Analitikai pabrėžia, kad kriptografiniai mainai vaidina svarbų vaidmenį sekant ir užrakinant kriptovaliutas, kurios galėjo atsirasti iš nulaužtų platformų.
Susijęs: „DeFi Hack“: kokie decentralizuoti finansai turėtų ir neturėtų būti?
Pramonės mastu tampa vis svarbiau, kad „DeFi“ kūrėjai bendradarbiautų su reguliavimo institucijomis ir dirbtų tiek su smėlio dėžėmis, tiek su aiškiomis sistemomis, kurios leistų spręsti ginčus ir arbitražą, jei įvyktų nulaužimas. Pasak Hillo:
„Rinkos mastui padidinti reikia naudoti rimtesnius apsaugos mechanizmus ir bendradarbiauti su reguliavimo institucijomis bei auditoriais. Dienos pabaigoje tai jau ne tik DApps tinklas, bet kelių milijardų dolerių vertės finansų rinka, kuri yra ankstyvoje jos vystymosi stadijoje “.
Ar ETH 2.0 suteiks daugiau saugumo?
Kai kurie mano, kad kartu su masteliu tinklo atnaujinimas suteiks „DeFi“ saugumą, o kiti teigia, kad „Ethereum 2.0“ perėjimas prie „proof-of -ake“ algoritmo sukels „DeFi“ sektoriui dar didesnį pavojų. Remiantis analitiko Tarun Chitra, „Dragonfly Capital“ investuotojo Haseebo Qureshi tyrimais atėjo prie išvados, kad „DeFi“ protokolai prieštarauja tinklo saugumo mechanizmui, pagrįstam PoS algoritmu. Problema ta, kad lėšos, užrakintos „DeFi“ paskolose, nedalyvauja akcijų pakete ir todėl yra saugumas.
„MolochDao“ analitikai patvirtino kad perėjimas prie ETH 2.0 gali atverti naujus „DeFi“ programų atakų vektorius. Tačiau yra ir teigiama jo pusė – išpuolius prieš ETH 2.0 lengviau išplėsti nei užpuolimus prieš ETH 1.0.
Susijęs: Tinkamas naudoti: „Ethereum“ sukaupia rimtus skaičius, kad nustatytų etalonus
Pasak „Consensys“ analitikų Tannero Hobano ir Tomo Borgerso, „DeFi“ pramonė prieš pasirodymą susidurs su daugybe naujų išpuolių, ypač pirmaisiais perėjimo prie „Ethereum 2.0“ etapais. Priežastis yra ta, kad perėjimo pradžioje tvirtintojai privalo užblokuoti savo ETH, kol darbo įrodymo grandinė bus visiškai sujungta su įrodymų apie akcijų paketą. Tai sumažins likvidumą ir, pasak tyrimo autorių, gali sukelti centralizaciją.
Taigi tikėtina, kad „DeFi“ produktai vėl susidurs su dideliais įsilaužimais, tačiau tobulėjant draudimo ir audito priemonėms, taip pat pasaulio reguliavimo institucijoms patekus į rinką, tai galiausiai taps saugesnė. „Ethereum 2.0“ gali įpilti savo musės į tepalą, tačiau lėtai ir palaipsniui diegiant naują modelį ir atliekant pakankamus bandymus rizika greičiausiai bus sumažinta..