כיום, שוק הבלוקצ'יין בכללותו נמצא בחיתוליו, וה- מימון מבוזר (DeFi) השוק הוא החלק המבטיח ביותר שלו. על פי נתוני DefiLlama, בשנת 2021, לשוק DeFi היו נזילות של כ-200 מיליארד דולר שננעלו בחוזים חכמים. אם אנו רואים את ההון הזה כהשקעה ראשונית, השוק הזה נראה כמו מיזם מבטיח ביותר. לא יותר מדי חברות גלובליות יכולות להתפאר בהיוון שכזה. אבל לכל שוק צעיר יש בעיות בקיעת שיניים. עם DeFi, הבעיה העיקרית היא מחסור במפתחי בלוקצ'יין מוסמכים.
התעשייה הזו צעירה מאוד ויש לה בסיס משתמשים קטן יחסית. רוב האנשים במקרה הטוב שמעו על DeFi מבלי שיש להם מושג על מה זה. אבל כפי שזה קורה עם כל מיזם חדש ומבטיח, זה יוצר במהירות הרבה עניין ספקולטיבי. למרבה הצער, הכנת כוח אדם לוקחת הרבה יותר זמן, במיוחד כשמדובר בתחומים עתירי ידע כמו בלוקצ'יין ופיתוח חוזים חכמים. המשמעות היא שכמה צוותי פרויקט יצטרכו להתפשר ולהעסיק כוח אדם פחות מנוסה.
בעיה זו בהכרח יוצר סיכון הולך וגובר של פרצות אבטחה בקוד של פרויקטים אלה. ואז אנחנו צריכים להתמודד עם ההשלכות שלה בהון משתמש אבוד. רק להבנה קצרה של כמה גדולה הבעיה הזו, אני יכול לומר שכ-10% מסך הנזילות הננעלת של DeFi נגנבו על ידי האקרים. זה לא צריך להפתיע אף אחד שציבור המיינסטרים יעדיף להתרחק ממערכת פיננסית שמהווה סכנות כאלה לכספים שלו.
מידע נוסף: כיצד נפרצים פרוטוקולי DeFi?
כיצד השתנו ניצולי DeFi לאחרונה?
התקפות על DeFi מתרכזות זה מכבר סביב התקפות כניסה חוזרות. אנחנו יכולים להיזכר במפורסם פריצת ה-DAO של 2016 שהביאה לאובדן של 150 מיליון דולר בהון המשקיעים והובילה ל-hard fork של Ethereum. מאז, הפגיעות הזו נוצלה פעמים רבות בחוזים חכמים שונים.
פונקציית ההתקשרות חוזרת מנוצלת באופן פעיל על ידי פרוטוקולי הלוואות: היא מאפשרת לחוזים חכמים לבדוק את יתרת הביטחונות של המשתמשים לפני מתן הלוואה. כל התהליך הזה מתרחש בתוך עסקה אחת, מה שנתן להאקרים פיתרון לגניבת כסף מחוזים חכמים כאלה. כאשר אתה שולח בקשה ללוות כספים, פונקציית ההתקשרות חוזרת בודקת תחילה את יתרת הביטחונות, לאחר מכן נותנת את ההלוואה אם הבטחונות היו מספקים ולאחר מכן משנה את יתרת הביטחונות של המשתמש בתוך החוזה החכם.
כדי לשטות בחוזה החכם, האקרים מחזירים את השיחה לפונקציית ה-callback כדי להתחיל את התהליך הזה מההתחלה. מכיוון שהעסקה לא הושלמה סופית בבלוקצ'יין, הפונקציה נותנת הלוואה נוספת עבור אותה יתרת בטחונות. למרות שהפתרון לבעיה זו נמצא במקום מספיק זמן, פרויקטים רבים עדיין נופלים קורבן לו.
לפעמים, צוותי פרויקטים עם מיומנות מועטה בכתיבת חוזים חכמים מחליטים לשאול את בסיס הקוד של פרויקט DeFi אחר בקוד פתוח כדי לפרוס חוזה חכם משלהם. בדרך כלל הם עושים זאת עם פרויקטים בעלי מוניטין שנבדקו ויש להם בסיסי משתמשים גדולים והוכחו שהם בנויים בצורה מאובטחת. אבל הם עשויים להחליט לבצע שינויים קלים בקוד המושאל כדי להוסיף פונקציונליות שהם רוצים שיהיו בחוזה החכם שלהם, אפילו מבלי לשנות את הקוד המקורי. זה יכול לפגוע בהיגיון של החוזה החכם, שלעתים קרובות מפתחים אינם מבינים.
זה מה אפשרו להאקרים לגנוב כ-19 מיליון דולר מאת Cream Finance באוגוסט 2021. צוות Cream Finance שאל את הקוד מפרוטוקול DeFi אחר והוסיף אסימון התקשרות חוזר בחוזה החכם שלהם. למרות שאתה יכול למנוע התקפות כניסה חוזרת על ידי יישום דפוס "בדיקות, השפעות, אינטראקציות" שמעדיפות את שינוי האיזון על פני הנפקת הכספים, חלק מהצוותים עדיין לא מצליחים להגן על הפלטפורמות שלהם מפני ניצול אלו.
התקפות הלוואות פלאש מאפשרות להאקרים לגנוב כספים בצורה שונה והן הפכו פופולריות יותר ויותר מאז תנופת ה-DeFi של 2020. הרעיון המרכזי של התקפות הלוואות פלאש הוא שלא צריך בטחונות כדי ללוות כספים מפרוטוקול מכיוון ששוויון פיננסי עדיין מובטח בכך שההלוואה נלקחת ומוחזרת בתוך עסקה אחת. וזה לא יתקיים אם לא תחזיר את ההלוואה בריבית בעסקה אחת. אבל תוקפים הצליחו לבצע התקפות הלוואות פלאש מוצלחות על פרוטוקולים רבים.
מידע נוסף: נחוץ: פרויקט חינוך ענק למלחמה בפריצות והונאות
בעשייתם, הם משתמשים במספר פרוטוקולים כדי ללוות ולגרור נזילות עד למערכה הסופית, שבה הם מגדילים את מחירו של אסימון דרך אורקלים או מאגרי נזילות ומשתמשים בו כדי לרמות משאבה-ו-dump ולהיעלם עם נזילות במערך. של כמה מטבעות קריפטוגרפיים גדולים שונים כגון Ether (ETH), ביטקוין עטוף (wBTC) ואחרים. כמה מתקפות הלוואות פלאש מפורסמות כוללות את התקפת ארנב פנקייק, שבו הפרוטוקול הפסיד 200 מיליון דולר, ו עוד התקפת קרם פיננסים, שבו נגנבו מעל 100 מיליון דולר.
כיצד להתגונן מפני ניצול DeFi?
כדי לבנות פרוטוקול DeFi מאובטח, באופן אידיאלי, עליך לסמוך רק על מפתחי בלוקצ'יין מנוסים. צריך להיות להם צוות מקצועי עם מיומנות בבניית יישומים מבוזרים. זה גם חכם לזכור להשתמש בספריות קוד בטוחות לפיתוח. לפעמים, הספריות הפחות מעודכנות יכולות להיות האפשרות הבטוחה ביותר מאלה עם בסיסי הקוד החדשים ביותר.
בדיקה היא עוד דבר מכריע כל פרויקטי DeFi הרציניים חייבים לעשות. כמנכ"ל של חברת ביקורת חוזים חכמים, אני תמיד מנסה לכסות 100% מהקוד של הלקוחות שלנו ומדגיש את החשיבות של הגנה מבוזרת על המפתחות הפרטיים המשמשים להתקשרות לפונקציות של חוזים חכמים עם גישה מוגבלת. עדיף להשתמש בביזור של המפתח הציבורי באמצעות ריבוי חתימה שמונעת מישות אחת לקבל שליטה מלאה על החוזה.
בסופו של דבר, חינוך הוא אחד המפתחות שיאפשרו למערכות פיננסיות מבוססות בלוקצ'יין להפוך לאבטחות ואמינות יותר. וחינוך צריך להיות אחד הדאגות המרכזיות של אלה שמחפשים תעסוקה ב-DeFi מכיוון שהוא יכול להציע תגמולים מעוררי תיאבון לכל מי שיכול לתרום תרומה בת קיימא.
מאמר זה אינו מכיל ייעוץ השקעות או המלצות. כל מהלך השקעה ומסחר כרוך בסיכון, ועל הקוראים לערוך מחקר משלהם בעת קבלת ההחלטה. הדעות, המחשבות והדעות המובעות כאן הן של המחבר בלבד ואינן משקפות או מייצגות בהכרח את דעותיו ודעותיו של קוינטלגרף. דמיטרי משונין הוא המייסד והמנכ"ל של חברת האבטחה והאנליטיקה DeFi HashEx ובעל מומחיות ארוכת שנים בתחום אבטחת הבלוקצ'יין. הוא הקדיש זמן רב לפעילויות מדעיות, כמו מחקר של מערכות IT, בלוקצ'יין ופגיעויות ב-DeFi. בניהולו של דמיטרי הפכה HashEx לאחת המובילות בתחום ביקורת חוזים חכמים. מקור: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi