Habang ang sektor ng DeFi ay patuloy na nakakaakit ng pera at mga user, patuloy itong tinitingnan ng mga masasamang aktor mula sa buong mundo bilang isang kaakit-akit na target na hinog na para sa pagpili at hindi gaanong protektado.
Sa nakalipas na ilang buwan, sinusubaybayan ko ang ilan sa mga pinaka-kapansin-pansing pagsasamantala ng mga protocol ng DeFi, at kahit pito sa mga ito ay tila resulta lamang ng mga smart contract flaws.
Halimbawa, sinaktan at ninakawan ng mga hacker ang Wormhole, nagnakaw ng mahigit $300 milyon, Qubit Finance ($80 milyon), Meter ($4.4 milyon), Deus ($3 milyon), TreasureDAO (mahigit 100 NFT), at panghuli, Agave at Hundred Finance na, magkasama , nawalan ng $11 milyon sa kabuuan. Ang lahat ng mga pag-atakeng ito ay nagresulta sa pagnanakaw ng medyo malaking halaga ng pera, na nagdulot ng malaking pinsala sa mga proyekto.
Marami sa mga naka-target na protocol ang nakakita ng pagpapababa ng halaga ng kanilang cryptocurrency, kawalan ng tiwala ng mga user, pagpuna patungkol sa seguridad ng DeFi at mga matalinong kontrata, at mga katulad na negatibong kahihinatnan.
Anong mga uri ng pagsasamantala ang nangyari sa panahon ng mga pag-atake?
Natural, ang bawat isa sa mga kasong ito ay natatangi, at iba't ibang uri ng pagsasamantala ang ginamit para sa pagharap sa bawat indibidwal na proyekto, depende sa kanilang mga kahinaan at kapintasan. Kasama sa mga halimbawa ang mga error sa lohika, pag-atake sa muling pagpasok, pag-atake ng flashloan na may mga manipulasyon sa presyo, at higit pa. Naniniwala ako na ito ang resulta ng mga protocol ng DeFi na nagiging mas kumplikado, at habang ginagawa nila, ang pagiging kumplikado ng code ay nagiging mas mahirap na alisin ang lahat ng mga bahid.
Higit pa rito, napansin ko ang dalawang bagay habang sinusuri ang bawat isa sa mga pangyayaring ito. Ang una ay ang mga hacker ay nakakalusot sa napakalaking halaga sa bawat oras — milyon-milyong dolyar na halaga sa crypto.
Ang “payday” na ito ay nagbibigay ng insentibo sa mga hacker na gumugol ng anumang oras na kinakailangan sa pag-aaral ng mga protocol, kahit na buwan sa isang pagkakataon, dahil alam nilang sulit ang gantimpala. Nangangahulugan iyon na ang mga hacker ay naudyukan na gumugol ng mas maraming oras sa paghahanap ng mga kapintasan kaysa sa mga auditor.
Ang pangalawang bagay na napansin ay, sa ilang mga kaso, ang mga hack ay talagang napakasimple. Kunin ang pag-atake ng Hundred Finance bilang isang halimbawa. Na-hit ang proyekto gamit ang isang kilalang bug na karaniwang makikita sa Compound forks kung may idaragdag na token sa protocol. Ang kailangan lang gawin ng hacker ay maghintay hanggang sa maidagdag ang isa sa mga token na ito sa Hundred Finance. Pagkatapos nito, ang kailangan lang ay sundin ang ilang simpleng hakbang upang magamit ang pagsasamantala upang makuha ang pera.
Ano ang magagawa ng mga proyekto ng DeFi para protektahan ang kanilang sarili?
Sa pasulong, ang pinakamagandang bagay na magagawa ng mga proyektong ito upang maprotektahan ang kanilang sarili mula sa masasamang aktor ay ang pagtuunan ng pansin ang mga pag-audit. Ang mas malalim, mas mahusay, at isinasagawa ng mga nakaranasang propesyonal na alam kung ano ang dapat bigyang pansin. Ngunit, may isa pang bagay na maaaring gawin ng mga proyekto, bago pa man magsagawa ng mga pag-audit, at iyon ay upang matiyak na mayroon silang magandang arkitektura na nilikha ng mga responsableng developer.
Ito ay lalong mahalaga dahil karamihan sa mga proyekto ng blockchain ay open-source, na nangangahulugan na ang kanilang code ay may posibilidad na makopya at magamit muli. Pinapabilis nito ang mga bagay sa panahon ng pag-unlad, at ang code ay libre para sa pagkuha.
Ang problema ay kung ito ay lumabas na ito ay may depekto, at ito ay makokopya bago malaman ng orihinal na mga developer ang mga kahinaan at ayusin ang mga ito. Kahit na ipahayag at ipatupad nila ang pag-aayos, maaaring hindi makita ng mga kumopya nito ang balita, at mananatiling mahina ang kanilang code.
Magkano talaga ang maitutulong ng mga pag-audit?
Ang mga matalinong kontrata ay gumaganap bilang mga programang tumatakbo sa teknolohiya ng blockchain. Dahil dito, posibleng may mga depekto ang mga ito at may mga bug. Tulad ng nabanggit ko dati, mas kumplikado ang kontrata — mas malaki ang posibilidad na may isang depekto o dalawa ang dumaan sa mga pagsusuri ng mga developer.
Sa kasamaang-palad, maraming mga sitwasyon kung saan walang madaling solusyon upang maitama ang mga bahid na ito, kaya naman dapat maglaan ng oras ang mga developer at tiyakin na ang code ay ginawa nang maayos at ang mga bahid ay makikita kaagad o hindi bababa sa mas maaga hangga't maaari.
Dito pumapasok ang mga pag-audit, dahil kung susuriin mo ang code at idodokumento ang progreso ng pagbuo nito at ang mga pagsubok nang sapat, maaalis mo ang karamihan ng mga isyu nang maaga.
Siyempre, kahit na ang mga pag-audit ay hindi makakapagbigay ng 100% na garantiya na walang mga isyu sa code. Walang may kaya. Hindi sinasadya na ang mga hacker ay nangangailangan ng mga buwan upang malaman ang pinakamaliit na kahinaan na magagamit nila sa kanilang kalamangan — hindi ka makakagawa ng perpektong code at gawin itong kapaki-pakinabang, lalo na hindi pagdating sa bagong teknolohiya.
Ang mga pag-audit ay nakakabawas sa bilang ng mga isyu, ngunit ang tunay na problema ay ang marami sa mga proyektong natamaan ng mga hacker ay wala man lang mga pag-audit.
Kaya, sa sinumang mga developer at may-ari ng proyekto na nasa proseso pa rin ng pagbuo ay tandaan na ang seguridad ay hindi nagmumula sa pagpasa ng isang audit. Gayunpaman, tiyak na nagsisimula ito doon. Magtrabaho sa iyong code; tiyaking mayroon itong mahusay na disenyong arkitektura at ang mga mahuhusay at masigasig na developer ay gumagawa nito.
Siguraduhin na ang lahat ay nasubok at mahusay na dokumentado, at gamitin ang lahat ng mga mapagkukunan sa iyong pagtatapon. Ang mga bug bounty, halimbawa, ay isang mahusay na paraan upang masuri ang iyong code ng mga tao mula sa pananaw ng mga hacker, at ang isang bagong pananaw mula sa isang taong naghahanap ng paraan ay maaaring hindi mabibili ng salapi sa pag-secure ng iyong proyekto.
Guest post ni Gleb Zykov mula sa HashEx
Sinimulan ni Gleb ang kanyang karera sa software development sa isang research institute, kung saan nakakuha siya ng isang malakas na background sa teknikal at programming, pagbuo ng iba't ibang uri ng mga robot para sa Russian Ministry of Emergency Situations.
Nang maglaon, dinala ni Gleb ang kanyang teknikal na kadalubhasaan sa kumpanya ng mga serbisyo ng IT na GTC-Soft, kung saan nagdisenyo siya ng mga Android application. Lumipat siya upang maging nangungunang developer at pagkatapos, ang CTO ng kumpanya. Sa GTC, pinangunahan ni Gleb ang pagbuo ng maraming serbisyo sa pagsubaybay sa sasakyan at isang serbisyong tulad ng Uber para sa mga premium na taxi. Noong 2017 naging isa si Gleb sa mga co-founder ng HashEx – isang internasyonal na blockchain auditing at consulting company. Hawak ni Gleb ang posisyon ng Chief Technology Officer, na nangunguna sa pagbuo ng mga blockchain solution at smart-contract audit para sa mga kliyente ng kumpanya.
Pinagmulan: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/