Decentralizované finance (DeFi) jsou tu, aby zůstaly na hodnotě 100 miliard USD v celkové hodnotě uzamčené (TVL), což zdůrazňuje důkazy víry v tyto nové finanční nástroje. Tato investice se bude i nadále zvyšovat, ale zdá se, že s každým novým rekordem v TVL je hlášen další síťový útok s astronomickými ztrátami.
Kryptoměna klesla v roce 2020 o 57%, ale hackery DeFi prudce vzrostly, což společnosti a investory stálo miliardy amerických dolarů. Jen v březnu došlo během pěti dnů k několika útokům, přičemž Paid Network ztratila 180 milionů dolarů. Později v květnu ztratila společnost PancakeBunny více než 200 milionů dolarů při rychlém využití půjčky.
Naši nejlepší obchodní roboti
Je zřejmé, že v současných bezpečnostních protokolech blockchain je příliš mnoho mezer a hacků. Od tahání koberců až po phishingové podvody není zabezpečení a technologie tohoto prostoru tak vyspělé, jak je z čísel vychází. Existují však kritické postupy, které mohou vývojáři i uživatelé zavést, aby tuto mezeru zaplnili.
Decentralizovaná technologie je stále centralizovaná
Bez ohledu na to, jak decentralizovaný protokol tvrdí, že je, základní struktura je stále centralizovaná. Podíváme-li se na jednu z našich hlavních funkcí internetu, záznamy DNS, je každý název domény stále centralizovaný - vlastněný buď vládou, státem nebo společností, která má nad doménou nejvyšší autoritu, a pokud si zvolí, může ji vypnout.
Příkladem centralizace v rámci decentralizace jsou inteligentní smlouvy. Ti, kdo píší inteligentní smlouvy Ethereum nebo Binance, mají poslední slovo v obsahu kódu a existují způsoby, jak do chytrých smluv kódovat hanebné programy, jako jsou tahání koberců.
Během boomu výnosového zemědělství v létě 2020 jsme viděli vyskočit mnoho protokolů, které měly profitovat z peněz nalitých do DeFi, a to pokračovalo i v tomto roce. V březnu společnost TurtleDex provedla zatahání koberce, což bylo ve skutečnosti zadní vrátkem inteligentní smlouvy, která vyústila v odcizení investorů ve výši 2,5 milionu dolarů. Tato úmyslná funkce umožňuje vývojářům programovat podvody, které se poté provádějí v závislosti na dalších událostech v kódu, a TurtleDex je jedním z mnoha letošních projektů, které naprogramovaly tah koberců.
Příbuzný:Zemědělství s výnosy je módou, ale DeFi slibuje, že změní způsob naší interakce s penězi
Inteligentní audity kontraktů jsou dobrým způsobem, jak zabránit tahání koberců, ale i tehdy vidíme případy, kdy vývojáři přepnou auditovanou inteligentní smlouvu na neauditovanou. Případ Compounderu ukazuje, jak snadné je pro podvodný projekt získat vliv na známá a renomovaná jména v prostoru. Dokázali rychle vydělat na Harvest Finance a Yearn.finance, než vytáhli koberec svým uživatelům a odešli s miliony dolarů v kryptoměně.
Příbuzný:Výchozí audit pro projekty DeFi je nutností pro růst odvětví
Nejnovější trendy v hackování
Kromě tahání koberců existuje mnoho populárních útoků, které mohou způsobit rozpad celé společnosti, pokud nejsou připraveny. 51% útok - což je situace, kdy skupina těžařů ovládá více než 50% rychlosti hash sítě, což jim umožňuje vyloučit nebo manipulovat se záznamy transakcí za účelem provedení dvojitých výdajů nebo narušení blockchainu - je stále častý. Firo a Grin oba nedávno utrpěli 51% útoků.
Ani některé kryptoměnové projekty s předními velikostmi tržních kapitalizací stále nejsou zabezpečené. V únoru bylo oznámeno, že 200 dní transakcí XVG v síti Verge bylo vymazáno, což je ve skutečnosti „nejhlubší reorg, jaký kdy proběhl v top 100 kryptoměnách“.
Přijímáme tyto chyby jako součást blockchainového zážitku, ale jaká by byla reakce, kdyby se totéž stalo například velké bance? Pravděpodobně by došlo k mnohem více mediálním titulkům a rozruchům od uživatelů a klientů. Tyto události zůstávají v kryptoměnách bez povšimnutí, protože je zde méně uživatelů, ale s nedávným býčím trhem se to mění. Nevyhnutelně bude kladen větší důraz na bezpečnost veřejných blockchainů.
Postupy, jak zabránit hackerům, jako jsou tahání koberců
Bohužel pro vývojáře jsou hackery vždy možné při práci v kryptoměně. Otázkou není, jak zabránit hackerům, ale jak zabránit šanci na hacker. Některá vylepšení v hardwarových peněženkách - například peněženka Gnosis Safe s více podpisy - jsou klíčovými prvky ke zlepšení celkového zabezpečení.
Použití multisig peněženky umožňuje více uživatelům držet klíče pro stejnou peněženku a vyžaduje vzájemnou účast k provádění akcí na účtu. Protože taková peněženka vyžaduje vstup od více uživatelů, aby bylo možné obchodovat, je téměř nemožné provádět tahání koberců s tímto typem trezoru.
Dalším bezpečnostním postupem k zabránění tahání koberců jsou časové zámky. Mnoho decentralizovaných aplikací používá časové zámky, takže pokud se vývojář pokusí vylákat své uživatele, zobrazí se upozornění na odstranění fondů asi 12 až 24 hodin.
Tyto typy bezpečnostních postupů podpoří širší důvěru v DeFi a vytvoří kulturu kolem zabezpečení, která podpoří naše odvětví.
Zlepšení zabezpečení peněženky v kryptoměně
Zabezpečení peněženky nakonec spadá na vývojáře a uživatele implementující chytřejší postupy. Pravidelné bezpečnostní audity a interní bezpečnostní postupy mohou přispět k bezpečnějším peněženkám.
Zatímco audity zabezpečení jsou dobrým řešením, Uniswap a další automatizované decentralizované burzy založené na tvůrcích trhů (DEX) jsou bez oprávnění, proto není možné provádět pravidelné audity. Nejlepším postupem je porozumět specifikům kolem „fair launch“ coinů - projektů, které jsou spouštěny z DEX. Ačkoli mnoho z těchto projektů je vysoce kvalitních, je známo, že mnoho z nich má velké výhody. Open-source kód usnadňuje komukoli provádět vlastní audit a ověřovat, zda je inteligentní smlouva bezpečná, což dává uživatelům více nástrojů k procvičování dobrého zabezpečení.
Může se to zdát jako velký výkon požádat uživatele o procvičení dobrého zabezpečení, ale je to nutné pro přístup k mnoha výhodám kryptoměn a zejména DeFi. U tradičních bank je za bezpečnost zodpovědná banka, ale v kryptoměnách se zabezpečení odvíjí od praktik vývojářů a uživatelů.
Pokud zapomenete své bankovní heslo nebo pošlete peníze nesprávné osobě, můžete kontaktovat svou banku a zmírnit transakci, dokud nebude vyřešena. Pokud však v kryptoměně ztratíte klíče nebo pošlete peníze na špatnou adresu, neexistuje možnost zálohování. Jednou z mnoha výhod je samozřejmě to, že si nemusíte dělat starosti s tím, zda jsou vaše prostředky k dispozici v kryptoměnách, zatímco banky mohou zavřít své dveře a zavést kapitálové kontroly, jako tomu bylo v případě bankovní krize v Řecku v roce 2015.
Závěr
Jako vývojáři musíme implementovat křížové ověřování a audity zabezpečení spolu s vzájemnou odpovědností za vývoj stále vylepšených bezpečnostních postupů.
Uživatelé by měli zvážit provedení svých vlastních bezpečnostních protokolů a pochopit nuance v úložišti a potenciální scénáře hackerství. Dobrým postupem pro pasivní držitele kryptoměn je odpojení hardwarové peněženky od internetu nebo papírové peněženky, která je 100% offline a nevyžaduje žádnou synchronizaci online pro žádné aktualizace firmwaru.
Phishingové útoky, jeden z původních typů internetových hacků, jsou stále běžné a časté. Způsob, jak bojovat proti pokusům o phishing, je ověřit, zda je odesílatel pravý.
Nezadávejte své soukromé klíče ani úvodní fráze na žádném webu ani je neposílejte nikomu na veřejných kanálech nebo DM. Obecně byste měli zadat počáteční frázi, až když zpočátku nastavujete peněženku. Kromě toho byste měli zadat počáteční frázi, pouze pokud potřebujete obnovit peněženku po zapomenutí hesla, potřebujete importovat existující peněženku do nového zařízení nebo použít kompatibilní software peněženky. Obecně se doporučuje používat hardwarová zařízení peněženky, která nikdy nepropustí vaše semeno pro jakýkoli druh softwaru - v mnoha případech nelze doporučit ani důvěryhodnou aplikaci nebo software peněženky.
Jak pokračujeme v budování naší nové globální (většinou) ekonomiky DeFi, je zásadní zlepšit bezpečnost, aby přijetí hlavního proudu a kapitál mohl i nadále proudit do vesmíru, aby příští generace měla přístup k novým hranicím finanční nezávislosti.
Tento článek neobsahuje investiční rady ani doporučení. Každý investiční a obchodní tah zahrnuje riziko a čtenáři by měli při rozhodování provést vlastní průzkum.
Názory, myšlenky a názory zde vyjádřené jsou pouze autorem a nemusí nutně odrážet nebo nereprezentovat názory a názory společnosti Cointelegraph.