Sa ngayon, ang blockchain market sa kabuuan ay nasa simula pa lamang nito, at ang desentralisadong pananalapi (DeFi) merkado ay ang pinaka-promising bahagi nito. Ayon sa data ng DefiLlama, noong 2021, ang DeFi market ay may humigit-kumulang $200 bilyon na liquidity na naka-lock sa mga smart contract. Kung titingnan natin ang kapital na ito bilang isang paunang pamumuhunan, ang merkado na ito ay mukhang isang napaka-promising na pakikipagsapalaran. Hindi masyadong maraming mga pandaigdigang kumpanya ang maaaring magyabang ng naturang capitalization. Ngunit ang anumang batang merkado ay may mga problema sa pagngingipin. Sa DeFi, ang pangunahing isyu ay ang kakulangan ng mga kwalipikadong developer ng blockchain.
Napakabata pa ng industriyang ito at medyo maliit ang user base. Karamihan sa mga tao ay pinakamahusay na nakarinig tungkol sa DeFi nang walang anumang ideya tungkol sa kung ano ito. Ngunit habang nangyayari ito sa bawat bagong promising venture, mabilis itong lumilikha ng maraming speculative na interes. Sa kasamaang palad, ang paghahanda ng mga tauhan ay tumatagal ng mas matagal, lalo na pagdating sa mga matitinding larangan ng kaalaman gaya ng blockchain at pagbuo ng matalinong kontrata. Nangangahulugan ito na ang ilang mga koponan ng proyekto ay kailangang magkompromiso at kumuha ng hindi gaanong karanasan na mga tauhan.
Ang problemang ito ay hindi maiiwasan lumilikha ng lumalaking panganib ng mga butas sa seguridad sa code ng mga proyektong ito. At pagkatapos ay kailangan nating harapin ang mga kahihinatnan nito sa nawawalang kapital ng gumagamit. Para lamang sa maikling pag-unawa sa kung gaano kalaki ang problemang ito, masasabi kong humigit-kumulang 10% ng kabuuang liquidity na naka-lock ng DeFi ang ninakaw ng mga hacker. Hindi dapat ikagulat ang sinuman na mas gugustuhin ng pangunahing publiko na lumayo sa isang sistema ng pananalapi na nagdudulot ng mga panganib sa kanilang mga pondo.
Nauugnay: Paano nai-hack ang mga DeFi protocol?
Paano nagbago ang mga pagsasamantala ng DeFi kamakailan?
Matagal nang nakasentro ang mga pag-atake sa DeFi sa mga pag-atake sa muling pagpasok. Maaalala natin ang sikat Ang DAO hack ng 2016 na nagresulta sa pagkawala ng $150 milyon sa capital ng mamumuhunan at humantong sa hard fork ng Ethereum. Simula noon, maraming beses nang pinagsamantalahan ang kahinaang ito sa iba't ibang mga smart contract.
Ang function ng callback ay aktibong ginagamit ng mga protocol ng pagpapautang: Nagbibigay-daan ito sa mga matalinong kontrata na suriin ang balanse ng collateral ng mga user bago magbigay ng pautang. Nangyayari ang lahat ng prosesong ito sa loob ng isang transaksyon, na nagbigay ng solusyon sa mga hacker upang magnakaw ng pera mula sa naturang mga matalinong kontrata. Kapag nagpadala ka ng kahilingan na humiram ng mga pondo, susuriin muna ng callback function ang collateral balance, pagkatapos ay ibibigay ang loan kung sapat ang collateral at pagkatapos ay babaguhin ang collateral balance ng user sa loob ng smart contract.
Upang lokohin ang matalinong kontrata, ibabalik ng mga hacker ang tawag sa function ng callback upang simulan ang prosesong ito mula sa simula. Dahil ang transaksyon ay hindi pa natatapos sa blockchain, ang function ay nagbibigay ng isa pang pautang para sa parehong collateral na balanse. Kahit na ang solusyon sa problemang ito ay matagal nang nasa eksena, maraming proyekto pa rin ang nabibiktima nito.
Minsan, ang mga project team na may kaunting kasanayan sa pagsusulat ng mga smart contract ay nagpapasya na hiramin ang codebase ng isa pang open-source na proyekto ng DeFi para mag-deploy ng sarili nilang smart contract. Karaniwang ginagawa nila ito sa mga kagalang-galang na proyekto na na-audit at may malalaking user base at napatunayang ligtas na binuo. Ngunit maaari silang magpasya na gumawa ng maliliit na pagbabago sa hiniram na code upang magdagdag ng mga functionality na gusto nilang magkaroon sa kanilang matalinong kontrata, nang hindi man lang binabago ang orihinal na code. Maaari itong makapinsala sa lohika ng matalinong kontrata, na madalas na hindi napagtanto ng mga developer.
Ito ay kung ano pinahintulutan ang mga hacker na magnakaw ng humigit-kumulang $19 milyon mula sa Cream Finance noong Agosto 2021. Hiniram ng Cream Finance team ang code mula sa ibang DeFi protocol at nagdagdag ng callback token sa kanilang matalinong kontrata. Bagama't mapipigilan mo ang mga pag-atake sa muling pagpasok sa pamamagitan ng pagpapatupad ng pattern na "mga pagsusuri, epekto, pakikipag-ugnayan" na nagbibigay-priyoridad sa pagbabago ng balanse kaysa sa pag-iisyu ng mga pondo, nabigo pa rin ang ilang mga koponan na pangalagaan ang kanilang mga platform mula sa mga pagsasamantalang ito.
Ang mga pag-atake ng flash loan ay nagbibigay-daan sa mga hacker na magnakaw ng mga pondo sa iba't ibang paraan at lalong nagiging popular mula noong boom ng DeFi noong 2020. Ang pangunahing ideya ng mga pag-atake ng flash loan ay hindi mo kailangang magkaroon ng collateral upang humiram ng mga pondo mula sa isang protocol dahil ginagarantiyahan pa rin ang pagkakapantay-pantay ng pananalapi. sa pamamagitan ng katotohanan na ang utang ay kinuha at ibinalik sa loob ng isang transaksyon. At hindi ito magaganap kung hindi mo maibabalik ang utang na may interes sa isang transaksyon. Ngunit ang mga umaatake ay nakapagsagawa ng matagumpay na pag-atake ng flash loan sa maraming protocol.
Nauugnay: Kailangan: Isang napakalaking proyekto sa edukasyon upang labanan ang mga hack at scam
Sa paggawa ng mga ito, gumagamit sila ng maraming protocol para humiram at mag-drag ng liquidity hanggang sa huling aksyon kung saan pinalaki nila ang presyo ng isang token sa pamamagitan ng mga oracle o liquidity pool at ginagamit ito para manloko ng pump-and-dump at mawala nang may liquidity sa isang array ng ilang pangunahing iba't ibang cryptocurrencies tulad ng Ether (ETH), Nakabalot na Bitcoin (wBTC) at iba pa. Ang ilang mga sikat na pag-atake ng flash loan ay kinabibilangan ng Pag-atake ng Pancake Bunny, kung saan nawala ang protocol ng $200 milyon, at panibagong pag-atake ng Cream Finance, kung saan mahigit $100 milyon ang ninakaw.
Paano ipagtanggol laban sa mga pagsasamantala ng DeFi?
Para makabuo ng secure na DeFi protocol, sa isip, dapat ka lang magtiwala sa mga may karanasang developer ng blockchain. Dapat silang magkaroon ng isang propesyonal na pinuno ng pangkat na may kasanayan sa pagbuo ng mga desentralisadong aplikasyon. Marunong ding tandaan na gumamit ng mga ligtas na code library para sa pag-unlad. Minsan, ang hindi gaanong napapanahon na mga aklatan ay maaaring ang pinakaligtas na opsyon kaysa sa mga may pinakabagong mga base ng code.
Ang pagsubok ay isa pang mahalagang bagay dapat gawin ng lahat ng seryosong proyekto ng DeFi. Bilang CEO ng isang smart contract audit company, palagi kong sinisikap na sakupin ang 100% ng code ng aming mga kliyente at binibigyang-diin ang kahalagahan ng desentralisadong proteksyon ng mga pribadong key na ginagamit sa pagtawag sa mga function ng mga smart contract na may pinaghihigpitang pag-access. Pinakamainam na gumamit ng desentralisasyon ng pampublikong susi sa pamamagitan ng isang multisignature na pumipigil sa isang entity na magkaroon ng ganap na kontrol sa kontrata.
Sa huli, ang edukasyon ay isa sa mga susi na magpapahintulot sa mga sistemang pinansyal na nakabatay sa blockchain na maging mas secure at maaasahan. At ang edukasyon ay dapat na isa sa mga pangunahing alalahanin ng mga naghahanap ng trabaho sa DeFi dahil maaari itong mag-alok ng katakam-takam na mga gantimpala sa lahat ng maaaring gumawa ng mabubuhay na kontribusyon.
Ang artikulong ito ay hindi naglalaman ng payo sa pamumuhunan o mga rekomendasyon. Ang bawat hakbang sa pamumuhunan at pangangalakal ay nagsasangkot ng peligro, at ang mga mambabasa ay dapat magsagawa ng kanilang sariling pagsasaliksik kapag nagpapasya. Ang mga pananaw, saloobin at opinyon na ipinahayag dito ay nag-iisa ng may-akda at hindi kinakailangang sumasalamin o kumatawan sa mga pananaw at opinyon ng Cointelegraph. Dmitry Mishunin ay ang founder at CEO ng DeFi security at analytics company na HashEx at may matagal nang kadalubhasaan sa larangan ng blockchain security. Naglaan siya ng maraming oras sa mga aktibidad na pang-agham, tulad ng pananaliksik sa mga IT system, blockchain, at mga kahinaan sa DeFi. Sa ilalim ng pamamahala ni Dmitry, ang HashEx ay naging isa sa mga pinuno sa larangan ng matalinong pag-audit ng kontrata. Pinagmulan: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi