DeFi секторы ақша мен пайдаланушыларды тартуды жалғастыруда, дүние жүзіндегі нашар актерлар оны таңдау үшін піскен және нашар қорғалған тартымды мақсат ретінде қарастыруды жалғастыруда.
Соңғы бірнеше ай ішінде мен DeFi хаттамаларының кейбір ең көрнекті эксплуатацияларын қадағалап жүрмін және олардың кем дегенде жетеуі ақылды келісімшарт ақауларының нәтижесі сияқты.
Мысалы, хакерлер Wormhole-ға шабуыл жасап, 300 миллион доллардан астам, Qubit Finance (80 миллион доллар), Meter (4.4 миллион доллар), Deus (3 миллион доллар), TreasureDAO (100-ден астам NFT) және ең соңында, Agave және Hundred Finance-ті ұрлады. , барлығы 11 миллион доллар жоғалтты. Осы шабуылдардың барлығы айтарлықтай қомақты ақшаның ұрлануына әкеліп соқты, бұл жобаларға үлкен зиян келтірді.
Көптеген мақсатты хаттамалар олардың криптовалютасының құнсыздануын, пайдаланушылардың сенімсіздігін, DeFi және смарт келісімшарттардың қауіпсіздігіне қатысты сынды және ұқсас теріс салдарды көрді.
Шабуылдар кезінде қандай эксплуатация түрлері орын алды?
Әрине, бұл жағдайлардың әрқайсысы бірегей және олардың осалдықтары мен кемшіліктеріне байланысты әрбір жеке жобаны шешу үшін әртүрлі эксплуатация түрлері қолданылды. Мысалдарға логикалық қателер, қайта кіру шабуылдары, баға манипуляциялары бар флеш несиелік шабуылдар және т.б. жатады. Бұл DeFi хаттамаларының күрделене түсуінің нәтижесі деп есептеймін, сондықтан кодтың күрделілігі барлық кемшіліктерді жоюды қиындатады.
Сонымен қатар, осы оқиғалардың әрқайсысын талдай отырып, мен екі нәрсені байқадым. Біріншісі, хакерлер әр жолы үлкен сомадан құтылып кетті - миллиондаған долларлық крипто.
Бұл «жалақы күні» хакерлерге хаттамаларды зерделеуге қажетті кез келген уақытты, тіпті айлар бойына жұмсауға ынталандырады, өйткені олар сыйақыға тұрарлық екенін біледі. Бұл дегеніміз, хакерлер аудиторларға қарағанда кемшіліктерді іздеуге көбірек уақыт жұмсауға ынталы.
Екінші ерекшелік, кейбір жағдайларда бұзулар өте қарапайым болды. Мысал ретінде Жүз қаржы шабуылын алайық. Протоколға белгі қосылса, әдетте Құрама шанышқыларда табуға болатын белгілі қате арқылы жобаға соққы берілді. Хакерге тек осы белгілердің бірі Жүз қаржыға қосылғанша күту керек. Осыдан кейін, ақшаға жету үшін эксплойтті пайдалану үшін бірнеше қарапайым қадамдарды орындау жеткілікті.
DeFi жобалары өздерін қорғау үшін не істей алады?
Алға қарай, бұл жобалар өздерін нашар актерлерден қорғау үшін жасай алатын ең жақсы нәрсе - аудиттерге назар аудару. Неғұрлым тереңірек болса, соғұрлым жақсы және не нәрсеге назар аудару керектігін білетін тәжірибелі мамандар жүргізеді. Бірақ, жобалар аудитке жүгінбестен бұрын жасай алатын тағы бір нәрсе бар, бұл олардың жауапты әзірлеушілер жасаған жақсы архитектурасы болуын қамтамасыз ету.
Бұл әсіресе блокчейн жобаларының көпшілігі ашық бастапқы болып табылатындықтан өте маңызды, яғни олардың коды көшіріліп, қайта пайдаланылады. Ол әзірлеу кезінде нәрселерді жылдамдатады және кодты қабылдау үшін тегін.
Мәселе мынада, егер ол ақаулы болып шықса және бастапқы әзірлеушілер осалдықтарды анықтап, оларды түзетпей тұрып көшіріледі. Олар түзетуді жариялап, жүзеге асырса да, оны көшіргендер жаңалықтарды көрмеуі мүмкін және олардың коды осал болып қалады.
Тексерулер қаншалықты көмектесе алады?
Ақылды келісімшарттар блокчейн технологиясында жұмыс істейтін бағдарламалар ретінде жұмыс істейді. Осылайша, оларда ақаулар болуы мүмкін және оларда қателер болуы мүмкін. Жоғарыда айтқанымдай, келісім-шарт неғұрлым күрделі болса, әзірлеушілердің тексеруінен бір-екі кемшіліктің өту ықтималдығы соғұрлым жоғары болады.
Өкінішке орай, бұл кемшіліктерді жоюдың оңай шешімі жоқ көптеген жағдайлар бар, сондықтан әзірлеушілер уақытын бөліп, кодтың дұрыс орындалғанына және кемшіліктер дереу немесе кем дегенде мүмкіндігінше ертерек анықталатынына көз жеткізуі керек.
Бұл жерде аудиттер басталады, өйткені егер сіз кодты сынап, оның әзірлену барысын және сынақтарды барабар құжаттасаңыз, көптеген мәселелерден ерте құтылуға болады.
Әрине, тіпті аудиттер де кодпен ешқандай мәселелер болмайтынына 100% кепілдік бере алмайды. Ешкім алмайды. Хакерлерге өздерінің пайдасына пайдалана алатын ең кішкентай осалдықты анықтау үшін айлар қажет болуы кездейсоқ емес - сіз тамаша кодты жасай алмайсыз және оны пайдалы ете алмайсыз, әсіресе жаңа технологияға қатысты емес.
Тексерулер мәселелердің санын азайтады, бірақ нақты мәселе - хакерлердің шабуылына ұшыраған жобалардың көпшілігінде тіпті ешқандай аудит болмаған.
Сонымен, әзірлеу процесінде жүрген кез келген әзірлеушілер мен жоба иелері қауіпсіздік аудиттен өту арқылы келмейтінін есте ұстаған жөн. Дегенмен, ол сөзсіз сол жерден басталады. Кодпен жұмыс жасаңыз; оның жақсы жобаланған архитектурасы бар екеніне және онда шебер және ынталы әзірлеушілер жұмыс істейтініне көз жеткізіңіз.
Барлығы тексерілгеніне және жақсы құжатталғанына көз жеткізіңіз және қолыңыздағы барлық ресурстарды пайдаланыңыз. Мысалы, қателер туралы бонустар сіздің кодыңызды хакерлердің көзқарасы бойынша адамдар тексеруінің тамаша тәсілі болып табылады және кіру жолын іздейтін адамның жаңа көзқарасы жобаңызды қорғауда баға жетпес болуы мүмкін.
HashEx-тен Глеб Зыковтың қонақ посты
Глеб өзінің еңбек жолын ғылыми-зерттеу институтында бағдарламалық қамтамасыз етуді әзірлеуден бастады, онда ол Ресейдің Төтенше жағдайлар министрлігіне арналған роботтардың әртүрлі түрлерін әзірлей отырып, күшті техникалық және бағдарламалау білімін алды.
Кейінірек Глеб өзінің техникалық тәжірибесін GTC-Soft IT сервистік компаниясына әкелді, онда ол Android қолданбаларын әзірледі. Ол жетекші әзірлеуші, содан кейін компанияның техникалық директоры болды. GTC-де Глеб көптеген көлік құралдарын бақылау қызметтерін және премиум-класс таксилеріне арналған Uber сияқты сервисті дамытуға жетекшілік етті. 2017 жылы Глеб HashEx – халықаралық блокчейн аудиторлық және консалтингтік компанияның тең құрылтайшыларының бірі болды. Глеб компанияның клиенттері үшін блокчейн шешімдерін және смарт-контракт аудиттерін әзірлеуге жетекшілік ететін бас технология директоры қызметін атқарады.
Дереккөз: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/