Decentralizovaný finanční sektor roste závratným tempem. Před třemi lety činila celková hodnota uzamčená v DeFi pouhých 800 milionů dolarů. V únoru 2021 toto číslo vzrostlo na 40 miliard dolarů; v dubnu 2021 dosáhla milníku 80 miliard dolarů; a nyní se pohybuje nad 140 miliardami dolarů. Tak rychlý růst na novém trhu nemohl přitáhnout pozornost všech možných hackerů a podvodníků.
Podle zprávy společnosti zabývající se výzkumem kryptoměn od roku 2019 sektor DeFi ztratil zhruba 284,9 milionů dolarů na hacky a další exploitové útoky. Hacky blockchainových ekosystémů jsou ideálním prostředkem pro obohacení z pohledu hackerů. Protože jsou tyto systémy anonymní, mohou přijít o peníze a jakýkoli hack lze otestovat a vyladit bez vědomí oběti. V prvních čtyřech měsících roku 2021 dosáhly ztráty 240 milionů dolarů. A to jsou jen veřejně známé případy. Odhadujeme, že skutečné ztráty budou v miliardách dolarů.
Naši nejlepší obchodní roboti
Příbuzný:Shromáždění kryptoměn, exploitů a loupeží v roce 2020
Jak se kradou peníze z protokolů DeFi? Analyzovali jsme několik desítek hackerských útoků a identifikovali nejčastější problémy, které vedou k útokům hackerů.
Zneužití protokolů třetích stran a chyby obchodní logiky
Jakýkoli útok začíná především analýzou oběti. Technologie blockchain poskytuje mnoho příležitostí pro automatické ladění a simulaci hackerských scénářů. Aby byl útok rychlý a neviditelný, musí mít útočník potřebné programovací schopnosti a znalosti o tom, jak fungují chytré smlouvy. Typická sada nástrojů hackerů jim umožňuje stáhnout si vlastní plnou kopii blockchainu z hlavní verze sítě a poté plně vyladit proces útoku, jako by transakce probíhala ve skutečné síti.
Dále musí útočník prostudovat obchodní model projektu a použité externí služby. Chyby v matematických modelech obchodní logiky a služeb třetích stran jsou dva z problémů, které hackeři nejčastěji využívají.
Vývojáři chytrých smluv často vyžadují více dat relevantních v době transakce, než mohou v daném okamžiku vlastnit. Jsou proto nuceni využívat externí služby - například věštci. Tyto služby nejsou navrženy tak, aby fungovaly v důvěryhodném prostředí, takže jejich používání s sebou nese další rizika. Podle statistik za kalendářní rok (od léta 2020) představoval daný typ rizika nejmenší procento ztrát - pouze 10 hacků, což vedlo ke ztrátám v celkové výši přibližně 50 milionů dolarů.
Příbuzný:Radikální potřeba aktualizace bezpečnostních protokolů blockchainu
Kódovací chyby
Chytré smlouvy jsou ve světě IT relativně novým pojmem. Navzdory své jednoduchosti vyžadují programovací jazyky pro chytré smlouvy zcela jiné paradigma vývoje. Vývojáři často jednoduše nemají potřebné kódovací schopnosti a dělají hrubé chyby, které vedou k obrovským ztrátám pro uživatele.
Bezpečnostní audity eliminují pouze část tohoto typu rizika, protože většina auditorských společností na trhu nenese žádnou odpovědnost za kvalitu práce, kterou provádějí, a zajímá je pouze finanční aspekt. Kvůli chybám v kódování bylo hacknuto více než 100 projektů, což vedlo k celkovému objemu ztrát kolem 500 milionů dolarů. Strohým příkladem je hack dForce, ke kterému došlo 19. dubna 2020. Hackeři použili zranitelnost ve standardu tokenu ERC-777 ve spojení s reentrancy útokem a dostali 25 milionů dolarů.
Příbuzný:Výchozí audit pro projekty DeFi je nutností pro růst odvětví
Flash půjčky, manipulace s cenami a útoky minerů
Informace dodané do chytré smlouvy jsou relevantní pouze v době provedení transakce. Ve výchozím nastavení není smlouva imunní vůči potenciální externí manipulaci s informacemi obsaženými uvnitř. To umožňuje celé spektrum útoků.
Flash půjčky jsou půjčky bez zajištění, ale zahrnují povinnost vrácení vypůjčené kryptoměny v rámci stejné transakce. Pokud dlužník prostředky nevrátí, transakce se zruší (vrátí). Takové půjčky umožňují dlužníkovi získat velké množství kryptoměn a použít je pro své vlastní účely. Útoky bleskových půjček obvykle zahrnují manipulaci s cenami. Útočník může nejprve prodat velký počet vypůjčených tokenů v rámci transakce, čímž sníží jejich cenu, a poté provede řadu akcí s velmi nízkou hodnotou tokenu, než je koupí zpět.
Miner attack je analogie bleskového úvěrového útoku na blockchainy fungující na základě konsensuálního algoritmu proof-of-work. Tento typ útoku je složitější a nákladnější, ale může obejít některé ochranné vrstvy rychlých půjček. Funguje to takto: Útočník si pronajme těžební kapacity a vytvoří blok obsahující pouze transakce, které potřebují. V rámci daného bloku si mohou nejprve půjčit tokeny, manipulovat s cenami a poté půjčené tokeny vrátit. Vzhledem k tomu, že útočník tvoří transakce zadávané do bloku nezávisle na sobě, stejně jako jejich posloupnost, útok je ve skutečnosti atomový (do útoku nelze „vklínit“ žádnou jinou transakci), jako v případě rychlých půjček. Tento typ útoku byl použit k hacknutí více než 100 projektů se ztrátami celkem kolem 1 miliardy dolarů.
Průměrný počet hacků se v průběhu času zvyšuje. Na začátku roku 2020 jedna krádež představovala stovky tisíc dolarů. Do konce roku se částky zvýšily na desítky milionů dolarů.
Příbuzný:Využití chytrých smluv je etičtější než hacking ... nebo ne?
Neschopnost vývojáře
Nejnebezpečnější typ rizika zahrnuje faktor lidské chyby. Lidé se uchýlí k DeFi při hledání rychlých peněz. Mnoho vývojářů má špatnou kvalifikaci, ale přesto se snaží ve spěchu zahájit projekty. Chytré smlouvy jsou open source, a proto je hackeři snadno kopírují a pozměňují malými způsoby. Pokud původní projekt obsahuje první tři typy zranitelností, přelévají se do stovek klonovaných projektů. RFI SafeMoon je dobrým příkladem, protože obsahuje kritickou zranitelnost, která byla překryta více než stovkou projektů, což vedlo k potenciálním ztrátám přesahujícím 2 miliardy USD.
Tento článek byl spoluautoremVladislav Komissarov aDmitrij Mishunin.
Názory, myšlenky a názory zde vyjádřené jsou pouze autory autorů a nemusí nutně odrážet nebo představovat názory a názory společnosti Cointelegraph.