Қазіргі уақытта блокчейн нарығы тұтастай алғанда өзінің бастапқы кезеңінде және орталықтандырылмаған қаржы (DeFi) нарық оның ең перспективалы бөлігі болып табылады. DefiLlama деректеріне сәйкес, 2021 жылы DeFi нарығында ақылды келісім-шарттарда 200 миллиард долларға жуық өтімділік болды. Бұл капиталды бастапқы инвестиция ретінде қарастыратын болсақ, бұл нарық өте перспективалы кәсіпорынға ұқсайды. Мұндай капиталдандырумен тым көп жаһандық компаниялар мақтана алмайды. Бірақ кез келген жас нарықтың тістері бар. DeFi көмегімен негізгі мәселе - білікті блокчейн әзірлеушілерінің жетіспеушілігі.
Бұл сала өте жас және салыстырмалы түрде шағын пайдаланушы базасы бар. Көптеген адамдар DeFi туралы оның не екенін білмей-ақ естіген. Бірақ бұл әрбір жаңа перспективалық кәсіпорында болатындай, ол тез арада көптеген алыпсатарлық қызығушылық тудырады. Өкінішке орай, кадрларды дайындау әлдеқайда көп уақытты алады, әсіресе блокчейн және смарт келісімшартты әзірлеу сияқты білімді қажет ететін салаларға келгенде. Бұл кейбір жобалық топтар ымыраға келуге және тәжірибесі аз қызметкерлерді жалдауға мәжбүр болады дегенді білдіреді.
Бұл мәселе сөзсіз қауіпсіздік саңылауларының өсу қаупін тудырады осы жобалардың кодында. Содан кейін біз жоғалған пайдаланушы капиталындағы оның салдарымен күресуіміз керек. Бұл мәселенің қаншалықты үлкен екенін қысқаша түсіну үшін мен DeFi құлыпталған жалпы өтімділігінің шамамен 10% хакерлер ұрлағанын айта аламын. Қалың жұртшылықтың өз қорларына қауіп төндіретін қаржы жүйесінен аулақ болуды қалайтыны ешкімді таң қалдырмауы керек.
Қатысты: DeFi протоколдары қалай бұзылады?
DeFi эксплойттері жақында қалай өзгерді?
DeFi-ге жасалған шабуылдар бұрыннан бері қайта кіру шабуылдарына негізделген. Біз атақты еске аламыз 2016 жылғы DAO бұзуы, нәтижесінде инвестор капиталынан 150 миллион доллар жоғалып, Ethereum-ның қатты шанышқысына әкелді. Содан бері бұл осалдық әртүрлі смарт келісімшарттарда бірнеше рет пайдаланылды.
Кері қоңырау шалу функциясы несие беру хаттамалары арқылы белсенді түрде пайдаланылады: ол ақылды келісімшарттарға несие бермес бұрын пайдаланушылардың кепіл балансын тексеруге мүмкіндік береді. Бұл процесс бір транзакция аясында жүзеге асады, бұл хакерлерге осындай ақылды келісімшарттардан ақша ұрлаудың уақытша шешімін берді. Қарыз қаражатын алуға сұрау жіберген кезде, кері шақыру функциясы алдымен кепіл балансын тексереді, содан кейін кепіл жеткілікті болған жағдайда несие береді, содан кейін смарт келісімшарт ішіндегі пайдаланушының кепіл балансын өзгертеді.
Ақылды келісім-шартты алдау үшін хакерлер бұл процесті басынан бастау үшін қоңырауды кері шақыру функциясына қайтарады. Блокчейнде транзакция аяқталмағандықтан, функция сол кепіл қалдығы үшін басқа несие береді. Бұл мәселенің шешімі ұзақ уақыт бойы сахнада болғанымен, көптеген жобалар әлі күнге дейін оның құрбаны болуда.
Кейде смарт келісім-шарттарды жазу дағдылары аз жоба командалары өздерінің смарт келісімшарттарын қолдану үшін басқа ашық бастапқы DeFi жобасының код базасын алуға шешім қабылдайды. Әдетте олар мұны аудиттен өткен және үлкен пайдаланушы базасы бар және сенімді түрде салынғаны дәлелденген беделді жобалармен жасайды. Бірақ олар бастапқы кодты өзгертпестен, ақылды келісім-шартта болғысы келетін функцияларды қосу үшін қарызға алынған кодқа шамалы өзгертулер енгізуді шеше алады. Бұл әзірлеушілер жиі түсінбейтін смарт келісімшарттың логикасына зиян келтіруі мүмкін.
Міне, бұл хакерлерге шамамен 19 миллион долларды ұрлауға мүмкіндік берді Cream Finance компаниясынан 2021 жылдың тамызында. Cream Finance командасы кодты басқа DeFi протоколынан қарызға алды және смарт келісімшартына кері қоңырау таңбалауышын қосты. Қаражаттарды шығаруға қарағанда балансты өзгертуге басымдық беретін «тексерулер, әсерлер, өзара әрекеттесулер» үлгісін енгізу арқылы қайта кіру шабуылдарының алдын алуға болатынына қарамастан, кейбір командалар әлі де өз платформаларын осы эксплуатациялардан қорғай алмайды.
Қарызға арналған жедел шабуылдар хакерлерге қаражатты басқа жолмен ұрлауға мүмкіндік береді және 2020 жылғы DeFi бумынан бері танымал бола бастады. Қарызға арналған жедел шабуылдардың негізгі идеясы - хаттамадан қарыз алу үшін кепілдікке ие болудың қажеті жоқ, өйткені қаржылық теңдік әлі де кепілдендірілген. несиенің бір транзакция ішінде алынуы және қайтарылуы арқылы. Ал бір мәміледе несиені пайызбен қайтара алмасаңыз, ол орын алмайды. Бірақ шабуылдаушылар көптеген хаттамаларға сәтті несиелік шабуылдар жасай алды.
Қатысты: Қажет: бұзу және алаяқтықпен күресу үшін жаппай білім беру жобасы
Оларды орындау кезінде олар өтімділікті соңғы әрекетке дейін қарызға алу және апару үшін бірнеше хаттамаларды пайдаланады, онда олар оракулдар немесе өтімділік пулдары арқылы токеннің бағасын арттырады және оны сорғы және демппен алаяқтық жасау және массивтегі өтімділікпен жоғалту үшін пайдаланады. Ether сияқты кейбір негізгі әртүрлі криптовалюталардың (ETH), Оралған Bitcoin (wBTC) және т.б. Кейбір танымал флэш несие шабуылдарына мыналар жатады Құймақ қоянының шабуылы, онда хаттама $200 млн жоғалтты және тағы бір Cream Finance шабуылы, онда 100 миллионнан астам доллар ұрланған.
DeFi эксплойттерінен қалай қорғануға болады?
Қауіпсіз DeFi протоколын құру үшін, ең дұрысы, тәжірибелі блокчейн әзірлеушілеріне ғана сену керек. Олар орталықтандырылмаған қосымшаларды құруда шеберлігі бар кәсіби топ жетекшісі болуы керек. Сондай-ақ әзірлеу үшін қауіпсіз код кітапханаларын пайдалануды есте ұстаған жөн. Кейде ең жаңа код базасы бар кітапханаларға қарағанда, азырақ жаңартылған кітапханалар ең қауіпсіз нұсқа болуы мүмкін.
Тестілеу болып табылады тағы бір маңызды нәрсе барлық маңызды DeFi жобалары орындалуы керек. Смарт келісімшарт аудиті компаниясының бас директоры ретінде мен әрқашан клиенттеріміздің кодын 100% қамтуға тырысамын және қолжетімділігі шектеулі смарт келісімшарттардың функцияларын шақыру үшін пайдаланылатын жеке кілттерді орталықтандырылмаған қорғаудың маңыздылығын атап өтемін. Бір субъектінің келісімшартты толық бақылауына жол бермейтін көп қолтаңба арқылы ашық кілтті орталықсыздандыруды қолданған дұрыс.
Сайып келгенде, білім блокчейнге негізделген қаржылық жүйелердің қауіпсіз және сенімді болуына мүмкіндік беретін кілттердің бірі болып табылады. Ал білім DeFi-де жұмыс іздеп жүргендердің басты мәселелерінің бірі болуы керек, өйткені ол өміршең үлес қоса алатын барлық адамдарға ауыз суаратын сыйақы ұсына алады.
Бұл мақалада инвестициялық кеңестер немесе ұсыныстар жоқ. Сауда-саттықтың кез-келген қадамы тәуекелді қамтиды, және шешім қабылдаған кезде оқырмандар өздері зерттеу жүргізуі керек. Мұнда айтылған пікірлер, ойлар мен пікірлер автордың өзі ғана және Коинтельеграфтың көзқарастары мен пікірлерін білдірмейді немесе білдірмейді. Дмитрий Мишунин DeFi қауіпсіздік және аналитикалық HashEx компаниясының негізін қалаушы және бас директоры болып табылады және блокчейн қауіпсіздігі саласында көп жылдық тәжірибесі бар. Ол көп уақытын IT жүйелерін, блокчейнді және DeFi-дегі осалдықтарды зерттеу сияқты ғылыми қызметке арнады. Дмитрийдің басшылығымен HashEx смарт келісімшарт аудиті саласындағы көшбасшылардың біріне айналды. Дереккөз: https://cointelegraph.com/news/the-development-of-blockchain-industry-and-how-to-defend-against-attacks-on-defi