De gedecentraliseerde financiële sector groeit in een razend tempo. Drie jaar geleden was de totale waarde opgesloten in DeFi slechts $ 800 miljoen. In februari 2021 was het cijfer gegroeid tot $ 40 miljard; in april 2021 bereikte het een mijlpaal van $ 80 miljard; en nu staat het op meer dan $ 140 miljard. Zo'n snelle groei in een nieuwe markt kon niet anders dan de aandacht trekken van allerlei hackers en fraudeurs.
Volgens een rapport van crypto-onderzoeksbureau heeft de DeFi-sector sinds 2019 ongeveer $ 284,9 miljoen verloren aan hacks en andere exploitaanvallen. Hacks van blockchain-ecosystemen zijn voor hackers een ideale verrijking. Omdat dergelijke systemen anoniem zijn, hebben ze geld te verliezen en kan elke hack zonder medeweten van het slachtoffer worden getest en afgesteld. In de eerste vier maanden van 2021 bedroegen de verliezen $ 240 miljoen. En dit zijn slechts de algemeen bekende gevallen. We schatten de reële verliezen in miljarden dollars.
Onze beste handelsrobots
Verwant:Verzameling van crypto-hacks, exploits en overvallen in 2020
Hoe wordt geld gestolen uit DeFi-protocollen? We hebben enkele tientallen hackeraanvallen geanalyseerd en de meest voorkomende problemen geïdentificeerd die tot aanvallen van hackers leiden.
Misbruik van protocollen van derden en fouten in de bedrijfslogica
Elke aanval begint in de eerste plaats met een analyse van het slachtoffer. Blockchain-technologie biedt veel mogelijkheden voor het automatisch afstemmen en simuleren van hackscenario's. Om een aanval snel en onzichtbaar te laten zijn, moet de aanvaller beschikken over de nodige programmeervaardigheden en kennis van hoe slimme contracten werken. Met de typische toolkit van een hacker kunnen ze hun eigen volledige kopie van een blockchain downloaden van de hoofdversie van het netwerk en vervolgens het proces van een aanval volledig afstemmen alsof de transactie in een echt netwerk plaatsvindt.
Vervolgens moet de aanvaller het bedrijfsmodel van het project en de gebruikte externe services bestuderen. Fouten in wiskundige modellen van bedrijfslogica en services van derden zijn twee van de problemen waar hackers het meest misbruik van maken.
De ontwikkelaars van slimme contracten hebben vaak meer gegevens nodig die relevant zijn op het moment van een transactie dan ze op een bepaald moment kunnen hebben. Ze zijn daarom gedwongen om externe diensten te gebruiken, bijvoorbeeld orakels. Deze services zijn niet ontworpen om in een vertrouwde omgeving te werken, dus het gebruik ervan brengt extra risico's met zich mee. Volgens statistieken voor een kalenderjaar (sinds de zomer van 2020) was het gegeven type risico verantwoordelijk voor het kleinste percentage verliezen - slechts 10 hacks, resulterend in verliezen van in totaal ongeveer $ 50 miljoen.
Verwant:De radicale noodzaak om blockchain-beveiligingsprotocollen bij te werken
Codeerfouten
Slimme contracten zijn een relatief nieuw concept in de IT-wereld. Ondanks hun eenvoud vereisen programmeertalen voor slimme contracten een heel ander ontwikkelingsparadigma. De ontwikkelaars hebben vaak gewoon niet de nodige codeervaardigheden en maken grove fouten die leiden tot enorme verliezen voor gebruikers.
Beveiligingsaudits elimineren slechts een deel van dit soort risico's, aangezien de meeste auditbedrijven op de markt geen verantwoordelijkheid dragen voor de kwaliteit van het werk dat ze uitvoeren en alleen geïnteresseerd zijn in het financiële aspect. Meer dan 100 projecten werden gehackt vanwege codeerfouten, wat leidde tot een totaal verlies van ongeveer $ 500 miljoen. Een sterk voorbeeld is de dForce-hack die op 19 april 2020 plaatsvond. De hackers gebruikten een kwetsbaarheid in de ERC-777 tokenstandaard in combinatie met een reentrancy-aanval en kwamen weg met $ 25 miljoen.
Verwant:Standaardaudits voor DeFi-projecten zijn een must om de branche te laten groeien
Flash-leningen, prijsmanipulatie en mijnwerkersaanvallen
De informatie die aan het slimme contract wordt verstrekt, is alleen relevant op het moment van uitvoering van een transactie. Standaard is het contract niet immuun voor mogelijke externe manipulatie van de informatie die erin staat. Dit maakt een heel spectrum aan aanvallen mogelijk.
Flitsleningen zijn leningen zonder onderpand, maar houden de verplichting in om de geleende crypto binnen dezelfde transactie terug te geven. Als de lener het geld niet teruggeeft, wordt de transactie geannuleerd (teruggedraaid). Met dergelijke leningen kan de lener grote hoeveelheden cryptocurrencies ontvangen en deze voor eigen doeleinden gebruiken. Bij aanvallen op flitsleningen gaat het doorgaans om prijsmanipulatie. Een aanvaller kan eerst een groot aantal geleende tokens binnen een transactie verkopen, waardoor de prijs ervan daalt, en vervolgens een reeks acties uitvoeren tegen een zeer lage waarde van de token voordat hij ze terugkoopt.
Een mijnwerkeraanval is een analoog van een flitsleningaanval op blockchains die werken op basis van het proof-of-work consensusalgoritme. Dit type aanval is complexer en duurder, maar kan sommige beschermingslagen van flitsleningen omzeilen. Dit is hoe het werkt: de aanvaller huurt mijncapaciteiten en vormt een blok met alleen de transacties die hij nodig heeft. Binnen het gegeven blok kunnen ze eerst tokens lenen, de prijzen manipuleren en vervolgens de geleende tokens teruggeven. Aangezien de aanvaller onafhankelijk de transacties vormt die in het blok worden ingevoerd, evenals hun volgorde, is de aanval eigenlijk atomair (geen andere transactie kan in de aanval worden "geklemd"), zoals in het geval van flitsleningen. Dit type aanval is gebruikt om meer dan 100 projecten te hacken, met verliezen van in totaal ongeveer $ 1 miljard.
Het gemiddelde aantal hacks neemt in de loop van de tijd toe. Begin 2020 was één diefstal goed voor honderdduizenden dollars. Tegen het einde van het jaar waren de bedragen opgelopen tot tientallen miljoenen dollars.
Verwant:Slimme contractexploits zijn ethischer dan hacken ... of niet?
Incompetentie van de ontwikkelaar
Het gevaarlijkste type risico is de factor menselijke fouten. Mensen nemen hun toevlucht tot DeFi op zoek naar snel geld. Veel ontwikkelaars zijn slecht gekwalificeerd, maar proberen nog steeds projecten in een haast te lanceren. Slimme contracten zijn open source en dus gemakkelijk te kopiëren en op kleine manieren te wijzigen door hackers. Als het oorspronkelijke project de eerste drie soorten kwetsbaarheden bevat, lopen ze over in honderden gekloonde projecten. RFI SafeMoon is een goed voorbeeld, omdat het een kritieke kwetsbaarheid bevat die over meer dan honderd projecten is gelegd, wat heeft geleid tot potentiële verliezen van meer dan $ 2 miljard.
Aan dit artikel is bijgedragen doorVladislav Komissarov enDmitry Mishunin
De meningen, gedachten en meningen die hier worden geuit, zijn de enige van de auteurs en weerspiegelen of vertegenwoordigen niet noodzakelijk de meningen en meningen van CoinTelegraph.
