A decentralizált pénzügyi szektor rohamos ütemben növekszik. Három évvel ezelőtt a DeFi -ben bezárt teljes érték csupán 800 millió dollár volt. 2021 februárjára ez az érték 40 milliárd dollárra nőtt; 2021 áprilisában elérte a 80 milliárd dolláros mérföldkövet; és most 140 milliárd dollár felett van. Egy ilyen gyors növekedés egy új piacon nem vonhatja magára a hackerek és csalók mindenféle figyelmét.
A kriptográfiai kutatócég jelentése szerint 2019 óta a DeFi szektor mintegy 284,9 millió dollárt veszített hackeléssel és más kihasználási támadásokkal. A blokklánc -ökoszisztémák feltörése ideális eszköz a gazdagodásra a hackerek szempontjából. Mivel az ilyen rendszerek névtelenek, pénzük van veszíteniük, és minden hackelés tesztelhető és hangolható az áldozat tudta nélkül. 2021 első négy hónapjában a veszteség 240 millió dollár volt. És ezek csak a nyilvánosan ismert esetek. A valós veszteségeket több milliárd dollárra becsüljük.
A legjobb üzleti robotjaink
Összefüggő:A kriptográfiai feltörések, kihasználások és elrablások összesítése 2020-ban
Hogyan lopják el a pénzt a DeFi protokollokból? Több tucat hacker támadást elemeztünk, és azonosítottuk a hackerek támadásához vezető leggyakoribb problémákat.
Harmadik féltől származó protokollokkal való visszaélés és üzleti logikai hibák
Minden támadás elsősorban az áldozat elemzésével kezdődik. A Blockchain technológia számos lehetőséget kínál az automatikus hangoláshoz és a hacker forgatókönyvek szimulációjához. Ahhoz, hogy a támadás gyors és láthatatlan legyen, a támadónak rendelkeznie kell a szükséges programozási ismeretekkel és ismeretekkel az intelligens szerződések működéséről. A hacker tipikus eszköztára lehetővé teszi számukra, hogy letöltjék a blokklánc saját teljes példányát a hálózat fő verziójából, majd teljesen hangolják a támadás folyamatát, mintha a tranzakció valódi hálózatban történne.
Ezután a támadónak tanulmányoznia kell a projekt üzleti modelljét és a használt külső szolgáltatásokat. Az üzleti logika és a harmadik féltől származó szolgáltatások matematikai modelljeiben felmerülő hibák a hackerek által leggyakrabban használt két probléma.
Az intelligens szerződések fejlesztői gyakran több adatot igényelnek a tranzakció időpontjában, mint amennyi az adott pillanatban rendelkezésükre áll. Ezért kénytelenek külső szolgáltatásokat - például orákulumokat - igénybe venni. Ezeket a szolgáltatásokat nem megbízható környezetben való működésre tervezték, ezért használatuk további kockázatokkal jár. A naptári év (2020 nyara óta) statisztikái szerint az adott típusú kockázat a veszteségek legkisebb százalékát tette ki - mindössze 10 hackelést, ami körülbelül 50 millió dolláros veszteséget eredményezett.
Összefüggő:A blokklánc biztonsági protokolljainak frissítésének radikális igénye
Kódolási hibák
Az intelligens szerződések viszonylag új fogalom az IT világban. Az intelligens szerződések programozási nyelvei egyszerűségük ellenére teljesen más fejlesztési paradigmát igényelnek. A fejlesztők gyakran nem rendelkeznek a szükséges kódolási készségekkel, és súlyos hibákat követnek el, amelyek óriási veszteségeket okoznak a felhasználók számára.
A biztonsági auditok az ilyen típusú kockázatoknak csak egy részét szüntetik meg, mivel a piacon lévő könyvvizsgáló cégek többsége nem vállal felelősséget az általuk végzett munka minőségéért, és csak a pénzügyi szempontok érdeklik őket. Több mint 100 projektet feltörtek kódolási hibák miatt, ami a teljes veszteséget körülbelül 500 millió dollárra rúgta. Éles példa erre a dForce hack, amelyre 2020. április 19-én került sor. A hackerek egy ERC-777 token szabvány biztonsági rését használták fel egy visszatérő támadással együtt, és 25 millió dollárt megúsztak.
Összefüggő:A DeFi projektek alapértelmezett auditálása elengedhetetlen az ipar növekedéséhez
Gyorshitelek, ármanipuláció és bányász támadások
Az intelligens szerződéshez szolgáltatott információk csak a tranzakció végrehajtásakor relevánsak. Alapértelmezés szerint a szerződés nem mentes a benne található információk esetleges külső manipulációjától. Ez lehetővé teszi a támadások teljes spektrumát.
A gyorshitelek fedezet nélküli kölcsönök, de magukkal vonják a kölcsönvett kriptográfia visszaküldésének kötelezettségét ugyanazon ügyleten belül. Ha a hitelfelvevő nem adja vissza az összeget, a tranzakciót törlik (visszavonják). Az ilyen kölcsönök lehetővé teszik a hitelfelvevő számára, hogy nagy mennyiségű kriptovalutát kapjon, és saját céljaira használja fel. A gyorshiteles támadások jellemzően ármanipulációval járnak. A támadó először nagyszámú kölcsönzött tokent értékesíthet egy tranzakción belül, ezáltal csökkentheti azok árát, majd számos műveletet hajthat végre a token nagyon alacsony értékén, mielőtt visszavásárolja őket.
A bányász támadás a blokkláncok elleni gyorshitel-támadás analógja, amely a működésbizonyítási konszenzus algoritmus alapján működik. Ez a fajta támadás összetettebb és drágább, de megkerülheti a gyorshitelek egyes védelmi rétegeit. Ez így működik: a támadó bérel bányászati kapacitásokat, és blokkot képez, amely csak a szükséges tranzakciókat tartalmazza. Az adott blokkon belül először kölcsönözhetnek tokeneket, manipulálhatják az árakat, majd visszaadhatják a kölcsönzött tokeneket. Mivel a támadó a blokkba bevitt tranzakciókat és azok sorrendjét egymástól függetlenül alakítja ki, a támadás valójában atomi jellegű (más tranzakciót nem lehet „beékelni” a támadásba), mint a gyorshitelek esetében. Az ilyen típusú támadásokat több mint 100 projekt feltörésére használták fel, a veszteségek összértéke körülbelül 1 milliárd dollár.
A hackek átlagos száma az idő múlásával növekedett. 2020 elején egy lopás több százezer dollárt tett ki. Az év végére az összegek tízmillió dollárra emelkedtek.
Összefüggő:Az intelligens szerződéses kihasználások etikusabbak, mint a hackelés ... vagy sem?
Fejlesztői hozzá nem értés
A legveszélyesebb kockázati típus az emberi hibatényező. Az emberek a DeFi -hez fordulnak, hogy gyors pénzt keressenek. Sok fejlesztő rosszul képzett, de még mindig rohanva próbálnak projekteket indítani. Az intelligens szerződések nyílt forráskódúak, így a hackerek könnyen másolhatják és módosíthatják őket. Ha az eredeti projekt az első három típusú sebezhetőséget tartalmazza, akkor több száz klónozott projektre terjednek át. Az RFI SafeMoon jó példa, mivel egy kritikus sebezhetőséget tartalmaz, amelyet több mint száz projekt fedezett fel, és amelyek 2 milliárd dollár feletti potenciális veszteségeket okoznak.
A cikk társszerzőjeVladislav Komissarov ésDmitrij Mishunin.
Az itt kifejtett nézetek, gondolatok és vélemények egyedül a szerzők, és nem feltétlenül tükrözik vagy képviselik a Cointelegraph nézeteit és véleményét.
