Mengetahui Siapa yang Harus Disalahkan atas Masalah Keselamatan Berterusan DeFi

Sektor kewangan yang terdesentralisasi terus mendapat populariti yang belum pernah terjadi sebelumnya kerana jumlah nilai aset yang terkunci dalam produk DeFi meningkat dua kali ganda menjadi lebih dari $ 4 bilion pada bulan Julai dan kini menghampiri tanda $ 5 bilion.

Pada saat yang sama, peningkatan permintaan untuk aplikasi semacam itu di kalangan pengguna dan pengembang menjadikannya sasaran untuk pelaku buruk, mengingat adanya akses langsung ke dana. Selama beberapa bulan terakhir, penggodam telah mencuri lebih dari $ 27 juta dari projek DeFi, dan lebih banyak serangan dijangka akan datang dalam waktu dekat. Sekiranya ini berlaku, adakah sektor DeFi sangat bergantung pada Ethereum untuk keselamatan, dan adakah pelancaran ETH 2.0 akan membawa lebih banyak peningkatan di kawasan itu?

Aplikasi DeFi adalah pertukaran crypto baru untuk penggodam

Walaupun pada tahun 2023-2023, pertukaran crypto adalah sasaran nombor satu untuk serangan penggodam, pada tahun 2023, pasaran kewangan terdesentralisasi berada di radar. Ini sebahagian besarnya dimungkinkan oleh kerentanan dalam kontrak pintar platform dan mekanisme keselamatan yang tidak sempurna secara teknikal. Pada masa yang sama, seperti yang ditunjukkan oleh sejarah peretasan, penyerang menggunakan bukan sahaja kelemahan tetapi juga pelbagai kemampuan blockchain yang sah untuk melakukan serangan.

Inilah cara penggodam menyerang Opyn pada awal bulan Ogos, sebuah protokol yang secara ironinya mengaku berurusan dengan perlindungan DeFi. Kira-kira $ 371,000 dicuri kerana eksploitasi token asli projek, di mana serangan berbelanja dua kali pada pilihan putaran Ethereum dilaksanakan, memberikan akses kepada dana pengguna.

Sebelum ini, kerentanan dalam kod kontrak pintar menyebabkan penggodaman projek DeFi lain di mana $ 25 juta dicuri dari protokol pinjaman terdesentralisasi Lendf.me dan pertukaran kripto terdesentralisasi Uniswap. Kedua-dua rangkaian pemaju membina add-on mereka sendiri di atas protokol ERC-777, menjadikan kontrak pintar rentan terhadap serangan masuk semula. Semasa serangan seperti itu, penggodam menarik dana berulang kali sehingga transaksi asalnya disetujui atau ditolak.

Peretasan lain berlaku pada 28 Jun, sekali lagi kerana kelemahan kod. Peretas mencuri lebih dari $ 500,000 dalam ETH dan altcoin lain dari platform Balancer melalui eksploitasi mekanisme deflasi tokennya yang merosakkan 1% dari jumlah transaksi pada setiap pemindahan dana.

Adakah Ethereum harus dipersalahkan?

Terbukti, tumit Achilles dari projek DeFi adalah bug dan kerentanan dalam kod kontrak pintar, tetapi apa atau siapa yang harus dipersalahkan untuk ini? Adakah pemaju DeFi yang tidak menguji atau mengaudit kod dengan betul sebelum melancarkan aplikasinya, atau adakah kesalahan terletak pada seni bina Ethereum, yang bermaksud sedikit bergantung pada platform?

Di satu pihak, seperti kata Brian Kerr, Ketua Pegawai Eksekutif platform pinjaman DeFi Kava Labs, sebelumnya kepada Cointelegraph, seni bina blockchain Ethereum tidak dapat bertindak balas terhadap tuntutan keselamatan sektor DeFi kerana menguji kemungkinan bug hampir mustahil dalam bahasa pengaturcaraan Solidity.

Walau bagaimanapun, kebanyakan platform DeFi dibina berdasarkan kerangka blockchain Ethereum dan, oleh itu, bereksperimen dengan kod sumber asal, terutamanya jika hasil percubaan ini tidak diaudit secara menyeluruh sebelum pelancaran versi akhir produk, yang berpotensi membuka pintu untuk penggodam.

Shayan Eskandari, jurutera keselamatan dan juruaudit di ConsenSys Diligence, mengatakan kepada Cointelegraph bahawa kebanyakan penggodaman DeFi didahului oleh perubahan yang dibuat oleh pembangun sejurus sebelum pelancaran platform. Sebagai contoh, ERC-20 tidak dilaksanakan dengan cara yang standard, atau beberapa reka bentuk token baru menambahkan fungsi yang mengubah tingkah laku token ERC-20, menyebabkan masalah yang tidak dapat diramalkan. Menurut Eskandari, perubahan tersebut menyebabkan serangan kolam Balancer dan penggodaman Lendf.me.

Ini menunjukkan bahawa dalam beberapa keadaan, pasukan yang bekerja di platform tertentu harus dipersalahkan. Dalam perbualan dengan Cointelegraph, Arnie Hill, Ketua Pegawai Eksekutif Plutus DeFi – agregator DeFi tumpukan penuh – menyatakan bahawa kebanyakan pemaju DeFi tidak memberi perhatian yang cukup terhadap keselamatan, kerana mereka berada pada tahap awal pengembangan produk: “Hari ini pembangun membayar lebih banyak perhatian kepada aspek teknikal dan penggunaan huruf besar, dengan memberi tumpuan kepada bagaimana membina perkhidmatan pinjaman pada blockchain, dan bukannya keselamatan kontrak pintar. “

Selain itu, kerumitan produk DeFi memainkan jenaka kejam dengan mereka, Menurut kepada Larry Sukernik, pelabur Kumpulan Mata Wang Digital: “Anda membuat orang yang mempunyai otak besar yang perlu berusaha. Dan ketika mereka bekerja, hasilnya sering menjadi produk yang kompleks, cemerlang, tetapi tidak dapat digunakan secara besar-besaran. “

Charlie Lee, pencipta Litecoin (LTC), sebelum ini mendakwa bahawa desentralisasi harus dipersalahkan untuk segalanya. Desentralisasi sebenarnya adalah alasan penggodaman protokol pilihan Opyn, kerana pasukan tidak dapat mengawal atau mematikannya sementara jika terjadi serangan.

Namun, kehadiran penggodam adalah kejadian semula jadi, memandangkan industri ini masih muda. Walaupun begitu, seiring dengan berkembangnya sektor DeFi, para pembangunnya harus sangat menyadari risiko keselamatan yang semakin meningkat dan berusaha untuk mengurangkannya, menurut Hill:

“Meningkatkan pasaran memerlukan penggunaan mekanisme perlindungan yang lebih serius dan kerjasama dengan pengawal selia dan auditor. Pada penghujung hari, ini bukan lagi hanya rangkaian DApps, tetapi pasaran kewangan bernilai berbilion dolar yang berada pada tahap awal perkembangannya dan, oleh itu, peretasan tidak dapat dielakkan, sama seperti yang dilakukan dengan digital industri perbankan beberapa tahun yang lalu. ”

Menurut yang terkini lapor diterbitkan oleh syarikat penyelidikan Dgen bekerjasama dengan protokol DeFi sumber terbuka Aave, sejak projek DeFi telah menjadi sasaran penggodaman, para pengembang mulai mengerjakan kotak pasir dan kerangka kerja yang jelas untuk penyelesaian sengketa. Penganalisis juga menyatakan bahawa selagi penskalaan menjadi keutamaan tertinggi bagi pemaju DeFi sekarang, peretasan utama yang serupa dengan kejadian DAO 2016 kemungkinan akan berlaku lagi.

Isu lain yang mungkin timbul di sebalik projek kewangan yang terdesentralisasi ialah mereka bergantung pada data untuk menyampaikan data kritikal seperti harga aset. Pertumbuhan platform dan produk DeFi yang semakin pesat dengan kompositnya yang unik mewujudkan saling bergantung dan memerlukan sumber data harga aset yang kukuh, seperti yang dijelaskan oleh Paul Claudius, pengasas bersama DIA – platform oracle DeFi sumber terbuka Switzerland – yang memberitahu Cointelegraph:

“Pada masa ini, kebanyakan proyek DeFi kekurangan solusi data harga yang transparan, sumber terbuka, dan dapat diandalkan. Ramai juga yang tidak berkongsi metodologi yang digunakan oleh oracle untuk data harga. Ini menimbulkan risiko besar kerana pelaku buruk dapat memanfaatkan kelemahan teknologi dan metodologi dengan sumber data yang tidak boleh dipercayai. “

Audit, usaha wajar dan insurans

Jadi, adakah yang boleh dilakukan oleh pasukan DeFi untuk mengurangkan risiko keselamatan, memandangkan terdapat banyak produk yang berjaya mengekalkan tahap keselamatan yang tinggi untuk dana mereka sendiri dan pengguna?

Marc Zeller, ketua integrasi di Aave, menekankan pentingnya menjalankan prosedur ketekunan wajar sebelum menambahkan token baru ke platform DeFi untuk membantu mengelakkan peretasan besar dalam protokol. Dia juga menyatakan bahawa projek yang berurusan dengan kewangan yang terdesentralisasi dapat menggunakan perkhidmatan syarikat insurans untuk melindungi dana pengguna, walaupun ini tidak selalu mencukupi.

Bercakap mengenai peranan insurans dalam memerangi peretasan, Kain Warwick, pengasas platform aset sintetik Synthetix, kata bahawa insurans DeFi sangat terhad, sambil menambah: “DeFi masih mempunyai risiko ekor yang signifikan, jadi insurans kemungkinan akan tetap sangat mahal dalam jangka pendek, tetapi ketika protokol matang, kos harus turun […] memungkinkan untuk lebih sederhana dan lebih berguna insurans akan muncul. “

Insurans bagus untuk dimiliki sekiranya serangan itu sudah terjadi, tetapi jika tugasnya adalah untuk mencegahnya, pengauditan dan pengesanan transaksi yang mencurigakan adalah apa yang diperlukan oleh projek DeFi untuk mengesan dan memperbaiki kerentanan dalam rangkaian sebelum kekurangan kod dieksploitasi oleh penggodam. Penganalisis menunjukkan bahawa pertukaran kripto memainkan peranan penting dalam mengesan dan mengunci cryptocurrency yang mungkin berasal dari platform yang diretas.

Berkaitan: Peretasan DeFi: Apa yang Harus dan Tidak Perlu Dibiayai oleh Desentralisasi?

Sebagai skala industri, semakin penting bagi pemaju DeFi untuk bekerjasama dengan pengawal selia dan bekerja di kedua kotak pasir dan kerangka kerja yang jelas yang memungkinkan untuk menyelesaikan pertikaian dan timbang tara jika berlaku peretasan. Menurut Hill:

Adakah ETH 2.0 akan membawa lebih banyak keselamatan?

Ada yang percaya bahawa seiring dengan peningkatan skalabilitas, peningkatan rangkaian akan membawa keamanan kepada DeFi, sementara yang lain mengatakan bahawa peralihan Ethereum 2.0 ke algoritma bukti-kepentingan akan menempatkan sektor DeFi dalam bahaya yang lebih besar. Berdasarkan kajian oleh penganalisis Tarun Chitra, pelabur Dragonfly Capital, Haseeb Qureshi datang kesimpulan bahawa protokol DeFi bertentangan dengan mekanisme keselamatan rangkaian berdasarkan algoritma PoS. Masalahnya adalah bahawa dana yang terkunci dalam pinjaman DeFi tidak mengambil bahagian dalam pertaruhan dan, oleh itu, adalah jaminan.

Penganalisis MolochDao disahkan bahawa perpindahan ke ETH 2.0 dapat membuka vektor serangan baru untuk aplikasi DeFi. Namun, ada sisi positifnya – serangan pada ETH 2.0 lebih mudah ditimbang daripada serangan pada ETH 1.0.

Berkaitan: Digunakan dengan Baik: Ethereum Menambah Nombor Berat untuk Menetapkan Tanda Aras

Sebelum dilancarkan, industri DeFi akan menghadapi banyak serangan baru, menurut penganalisis Consensys, Tanner Hoban dan Tom Borgers, terutama pada fasa pertama peralihan ke Ethereum 2.0. Sebabnya ialah pada awal peralihan, pengesah mesti menyekat ETH mereka sehingga rantaian bukti kerja digabungkan sepenuhnya dengan rantai bukti-kepentingan. Ini akan mengurangkan kecairan dan, menurut penulis kajian, boleh menyebabkan pemusatan.

Oleh itu, kemungkinan produk DeFi akan menghadapi peretasan besar lagi, tetapi dengan pengembangan alat insurans dan audit, serta kemasukan pasaran oleh pengawal selia global, akhirnya produk akan menjadi lebih selamat. Ethereum 2.0 dapat menambahkan lalat sendiri dalam salap, tetapi dengan peluncuran model baru yang perlahan dan beransur-ansur dan ujian yang mencukupi, risiko kemungkinan akan diminimumkan.