Kako DeFi sektor nastavlja da privlači novac i korisnike, loši akteri iz cijelog svijeta i dalje ga gledaju kao atraktivnu metu koja je zrela za branje i slabo zaštićena.
U posljednjih nekoliko mjeseci pratio sam neke od najznačajnijih eksploatacija DeFi protokola, a čini se da je najmanje sedam rezultat samo nedostataka pametnog ugovora.
Na primjer, hakeri su pogodili i opljačkali Wormhole, ukravši preko 300 miliona dolara, Qubit Finance (80 miliona dolara), Meter (4.4 miliona dolara), Deus (3 miliona dolara), TreasureDAO (preko 100 NFT) i na kraju, Agave i Hundred Finance koji zajedno , izgubio je ukupno 11 miliona dolara. Svi ovi napadi rezultirali su krađom prilično značajnih iznosa novca, nanijevši veliku štetu projektima.
Mnogi od ciljanih protokola doživjeli su devalvaciju svoje kriptovalute, nepovjerenje korisnika, kritike u pogledu sigurnosti DeFi-ja i pametnih ugovora i slične negativne posljedice.
Koje vrste eksploata su se desile tokom napada?
Naravno, svaki od ovih slučajeva je jedinstven, a za rješavanje svakog pojedinačnog projekta korištene su različite vrste eksploatacije, ovisno o njihovoj ranjivosti i manama. Primjeri uključuju logičke greške, napade ponovnog ulaska, flashloan napade s manipulacijama cijenama i još mnogo toga. Vjerujem da je to rezultat složenosti DeFi protokola, a kako to čine, složenost koda otežava otklanjanje svih nedostataka.
Nadalje, prilikom analize svakog od ovih incidenata primijetio sam dvije stvari. Prvi je da su hakeri svaki put uspevali da se izvuku sa ogromnim iznosima - milionima dolara u kripto.
Ovaj "dan plaćanja" daje hakerima podsticaj da provedu sve potrebno vrijeme proučavajući protokole, čak i mjesece, jer znaju da će nagrada biti vrijedna toga. To znači da su hakeri motivisani da provode mnogo više vremena tražeći nedostatke od revizora.
Druga stvar koja se isticala je da su u nekim slučajevima hakovi zapravo bili izuzetno jednostavni. Uzmimo za primjer napad Stotinu financija. Projekat je pogođen koristeći dobro poznatu grešku koja se obično može naći u Compound forks ako se token doda u protokol. Sve što haker treba da uradi je da sačeka dok se jedan od ovih tokena ne doda u Stotinu finansija. Nakon toga, sve što je potrebno je slijediti nekoliko jednostavnih koraka kako biste iskoristili exploit da biste došli do novca.
Šta DeFi projekti mogu učiniti da se zaštite?
U budućnosti, najbolja stvar koju ovi projekti mogu učiniti da se zaštite od loših aktera je da se fokusiraju na revizije. Što detaljnije, to bolje, a sprovode ga iskusni profesionalci koji znaju na šta treba obratiti pažnju. Ali postoji još jedna stvar koju projekti mogu učiniti, čak i prije nego što se pribjegnu reviziji, a to je da osiguraju da imaju dobru arhitekturu koju kreiraju odgovorni programeri.
Ovo je posebno važno jer je većina blockchain projekata otvorenog koda, što znači da se njihov kod obično kopira i ponovo koristi. Ubrzava stvari tokom razvoja, a kod je besplatan za preuzimanje.
Problem je ako se ispostavi da je pogrešan i da se kopira prije nego što originalni programeri otkriju ranjivosti i poprave ih. Čak i ako najave i implementiraju popravak, oni koji su ga kopirali možda neće vidjeti vijest, a njihov kod ostaje ranjiv.
Koliko zapravo revizije mogu pomoći?
Pametni ugovori funkcioniraju kao programi koji rade na blockchain tehnologiji. Kao takvi, moguće je da imaju nedostatke i da sadrže greške. Kao što sam ranije spomenuo, što je ugovor složeniji - veća je vjerovatnoća da će se neki nedostatak provući kroz provjeru programera.
Nažalost, postoje mnoge situacije u kojima ne postoji jednostavno rješenje za otklanjanje ovih nedostataka, zbog čega bi programeri trebali odvojiti vrijeme i pobrinuti se da je kod ispravno urađen i da se nedostaci uoče odmah ili barem što je prije moguće.
Ovdje dolaze revizije, jer ako testirate kod i dokumentirate napredak njegovog razvoja i testova na adekvatan način, možete se riješiti većine problema rano.
Naravno, čak ni revizije ne mogu dati 100% garanciju da neće biti problema sa kodom. Niko ne može. Nije slučajno da su hakerima potrebni mjeseci da otkriju najmanju ranjivost koju mogu iskoristiti u svoju korist – ne možete kreirati savršen kod i učiniti ga korisnim, posebno ne kada je u pitanju nova tehnologija.
Revizije zaista smanjuju broj problema, ali pravi problem je u tome što mnogi projekti koje su hakeri pogodili nisu ni imali nikakvu reviziju.
Dakle, svim programerima i vlasnicima projekata koji su još uvijek u procesu razvoja treba zapamtiti da sigurnost ne proizlazi iz prolaska revizije. Međutim, tu svakako počinje. Radite na svom kodu; pobrinite se da ima dobro dizajniranu arhitekturu i da na njemu rade vješti i marljivi programeri.
Uvjerite se da je sve testirano i dobro dokumentirano, te iskoristite sve resurse koji su vam na raspolaganju. Nagrade za greške, na primjer, su odličan način da ljudi provjere vaš kod sa tačke gledišta hakera, a nova perspektiva nekoga ko traži pristup može biti neprocjenjiv u osiguravanju vašeg projekta.
Gostovanje Gleba Zykova iz HashExa
Gleb je započeo svoju karijeru u razvoju softvera u istraživačkom institutu, gdje je stekao snažnu tehničku i programersku pozadinu, razvijajući različite tipove robota za rusko Ministarstvo za vanredne situacije.
Kasnije je Gleb svoju tehničku ekspertizu prenio u kompaniju za IT usluge GTC-Soft, gdje je dizajnirao Android aplikacije. On je postao vodeći programer, a potom i CTO kompanije. U GTC Gleb je vodio razvoj brojnih usluga praćenja vozila i usluge slične Uberu za premium taksije. Godine 2017. Gleb je postao jedan od suosnivača HashExa – međunarodne blockchain revizorske i konsultantske kompanije. Gleb je na poziciji glavnog tehnološkog direktora, koji predvodi razvoj blockchain rješenja i revizije pametnih ugovora za klijente kompanije.
Izvor: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/