Хакерлер Defi әлем әрқашан жаңалықтарда. Defi хаттамалар тәуекелдерді басқару ережелерінің жиынтығын және дәстүрлі қаржыда бұрыннан қолданылған құралдарды пайдалана бастауы керек, дейді Кейт Құрбанова of Апостро.
Жалғыз осалдығы смарт келісім-шарттарда DeFi жобаларына миллиондаған пайдаланушы қаражаты түсуі мүмкін. Техникалық осалдықтар мен қателер хакерлер іздейтін алғашқы шабуыл векторлары болғанымен, DeFi хаттамаларынан қаражатты ұрлау үшін қолданылатын басқа құралдар туралы ұмытуға болмайды.
Ресми тексеру, стресс-тестілеу, аудиттер және модельдеу – DeFi хаттамаларында техникалық аудит және қателер мен жасырын осалдықтарды мұқият кодты тексеру кезінде таңдауға болатын тәжірибелер мен құралдардың үлкен тізімі бар.
Дегенмен, жоғарыда айтылғандардың бәрі хаттаманың қауіпсіздігіне кепілдік бермейді, өйткені кейбір осалдықтар өнімнің бизнес логикасындағы кемшіліктерден және сыртқы нарықтарға және DeFi құрылыс блоктарына тәуелділіктен туындайды. Бұл экономикалық осалдықтар деп аталатындар – олар қосымша экономикалық аудитті қажет етеді және жалпы алғанда ұстау әлдеқайда қиын, өйткені кеңістік үнемі дамып отырады және кез келген кодты жаңарту эксплуатацияның жаңа мүмкіндіктеріне әкелуі мүмкін.
Сондықтан, DeFi қауіпсіздік пайдаланушылар мен хаттамаларды экономикалық қауіптерден қорғау үшін ғарыш кеңістігінің деңгейін көтеру және тәуекелдерді басқарудың жақсы тәжірибесін қабылдау қажет.
Қылмыстық әрекеттер жалғасуда
Көптеген хаттамалар көптеген жылдар бойы эксплуатацияларға ұшырады, шабуылдардың ең көп тараған векторлары қазір құжатталған және түзетілген. Соған қарамастан, келісім-шарттың логикасына немесе хаттаманың іскерлік логикасына жанама әсер ету арқылы хаттаманы пайдаланудың жолдары әлі де бар. Бұл қосылған протоколдарға әсер ететін нарықтық немесе oracle манипуляциясы немесе кодты жаңарту арқылы жасалған ықтимал бэкдорларды үздіксіз бақылау болуы мүмкін.
Мұндай эксплойттар орындау барысында бірнеше хаттамаларды қолдануы мүмкін. Атап айтқанда, мүмкіндіктердің бірі хаттаманың баға оракулын манипуляциялау үшін жедел несиелік шабуылдарды пайдалану болады. Оны жақсырақ түсіну үшін біз бір нақты мысалды қарастыра аламыз.
Sream Finance Exploit
Бұл 2021 жылдың қарашасында болды және 130 миллион доллар шығынға әкелді. Шабуылдаушы өтімділікті арттырып, баға оракулын пайдалану арқылы yUSD бағасымен айла-шарғы жасады, бұл жүйені 1 yUSD 2 долларға тең деп санауға әкелді, ал шабуылдаушының yUSD-дағы 1.5 миллиард долларлық бастапқы депозиті тиісінше 3 миллиард долларды құрады. Содан кейін хакер өзінің yUSD депозитін 3 миллиард долларға айырбастап, Cream Finance өтімділігін (~ $1 миллион) төгу үшін 130 миллиард доллар пайданы пайдаланды.
Beanstalk
Жақында жасалған тағы бір бұзу Beanstalk басқару жүйесіндегі осалдықты пайдаланды. Хакер флеш-несие арқылы барлық басқару билігінің үштен екісін алу арқылы хаттаманы басқаруда бэкдорды пайдаланды. Бұл оларға өздері жасаған басқару ұсыныстарын тек бір күндік кідіріспен орындауға мүмкіндік берді (қарап шығу үшін қажет әдеттегі 7 күндік кешіктіруге қарағанда).
Қауіпсіз болып көрінетін ұсыныстар зиянды келісім болып шықты. Бұл жедел несие кезінде белсендірілді және 182 миллион доллар (пайдалану кезінде) хаттаманы құртады.
Екі шабуыл да хаттаманың бизнес логикасын оның артындағы экономиканы теріс пайдалану арқылы пайдаланды. Мұндай эксплуатациялар тәуекелдерді басқару құралдарының және тұрақты мониторингтің болуы қаншалықты маңызды екенін көрсетеді, өйткені олар мұндай мүмкіндіктерді оңай ұстап алады және алдын алады.
Hacks: қауіпсіздікті арттыру үшін тәуекелдерді басқару құралдарын қолдану
Мұндай шабуыл түрлеріне қарсы қосымша қауіпсіздік деңгейін қамтамасыз ету үшін DeFi хаттамалары дәстүрлі қаржы әлемінде көп жылдық тәжірибеде дәлелденген тәуекелдерді басқару ережелері мен құралдарды пайдалануды бастауы керек.
Мысалы, мұндағы әдістердің бірі хаттамаға транзакциялар бойынша уақытты кешіктіруді енгізу болады. Мұндай функция күдікті транзакцияларды протоколға кешіктіріп, әзірлеушілерге зиянды әрекет туралы ескертеді және егер бар болса, жағымсыз әсерді азайтуға уақыт береді. Мұны протоколға қауіп төндіретін транзакцияларды автоматты түрде кешіктіру немесе тоқтату үшін уақытты кешіктіруді бақылау құралдарымен біріктіру арқылы одан әрі жақсартуға болады.
Тағы бір тамаша тәжірибе өтімділікті шектеу – бір транзакцияда аударуға болатын қаражат санын шектеу. Бұл қарапайым пайдаланушыларға әсер етпесе де, өтімділікті шектеу хакерлерге шабуылды орындауды қиындатып, қымбаттатып, Cream Finance эксплойтіне ұқсас шабуылдарды кейінге қалдырады немесе алдын алады.
DeFi қауіпсіздік саласы дәстүрлі қаржының киберқауіпсіздік тәжірибесінен үлкен пайда көре алады, өйткені ол Web3 протоколдарының қауіпсіздігі мен күшті инфрақұрылымына жұмыс істеу үшін қосымша тәжірибе мен мамандарды әкеледі.
DeFi жүйесіндегі бұзылулар: келесі қадам
DeFi секторының жылдам өсуі қарапайым пайдаланушылар мен инвесторларды қызықтырса да, қауіпсіздік тәжірибесі мен шешімдерінің жоқтығы кеңірек қабылдау және институционалдық инвесторлар үшін басты кемшілік болып қала береді.
Жалпы аудитория өз қаражатының қауіпсіздігіне қатысты көбірек кепілдіктерді қажет етеді - дәстүрлі қаржыдан алынған білім мен тәжірибе DeFi сахнасын дамудың келесі деңгейіне көтере алады. Тәуекелдерді басқару құралдарын, операциялық қауіпсіздік тәжірибелерін, қауіпсіздік шектеулерін және үздіксіз мониторингті қабылдау – DeFi секторы дұрыс қолдану арқылы одан үлкен пайда көре алады.
Автор туралы
Кейт Құрбанова, блокчейн ардагері және биржалық трейдер серіктестіктің негізін қалаушы және COO болып табылады Апостро. Apostro — кодтағы ақымақ қате немесе oracle манипуляциясы арқылы эксплойт болсын, сыртқы қауіпсіздік қауіптерінен қорғайтын тәуекелдерді басқару протоколы.
TradFi, DeFi хакерлері немесе басқа нәрсе туралы айтатын нәрсе бар ма? Бізге жазыңыз немесе біздің пікірталасқа қосылыңыз Телеграм каналы. Сіз де бізді ұстай аласыз Tik Tok, Facebookнемесе Twitter.
Жауапкершіліктен бас тарту
Біздің веб-сайтта қамтылған барлық ақпарат адал ниетпен және жалпы ақпараттандыру мақсатында ғана жарияланады. Оқырман біздің веб-сайтымыздағы ақпаратты қабылдаған кез-келген іс-әрекет қатерлі түрде өздеріне байланысты.
Дереккөз: https://beincrypto.com/hacks-decentralized-finance-should-steal-ideas-from-traditional-finance/