Zdecentralizowany sektor finansowy rozwija się w zawrotnym tempie. Trzy lata temu całkowita wartość DeFi wynosiła zaledwie 800 milionów dolarów. Do lutego 2021 r. liczba ta wzrosła do 40 miliardów dolarów; w kwietniu 2021 r. osiągnął kamień milowy w wysokości 80 miliardów dolarów; a teraz wynosi ponad 140 miliardów dolarów. Tak szybki wzrost na nowym rynku nie mógł nie przyciągnąć uwagi wszelkiego rodzaju hakerów i oszustów.
Według raportu firmy badawczej zajmującej się badaniami kryptowalut, od 2019 r. sektor DeFi stracił około 284,9 mln USD w wyniku włamań i innych ataków wykorzystujących exploity. Hacki ekosystemów blockchain są idealnym sposobem wzbogacenia się z punktu widzenia hakerów. Ponieważ takie systemy są anonimowe, mają pieniądze do stracenia, a każdy atak może zostać przetestowany i dostrojony bez wiedzy ofiary. W pierwszych czterech miesiącach 2021 roku straty wyniosły 240 milionów dolarów. A to tylko znane publicznie przypadki. Szacujemy, że rzeczywiste straty to miliardy dolarów.
Nasze najlepsze roboty biznesowe
Związane z:Zebranie hacków, exploitów i napadów na kryptowaluty w 2020 roku
Jak kradnie się pieniądze z protokołów DeFi? Przeanalizowaliśmy kilkadziesiąt ataków hakerskich i zidentyfikowaliśmy najczęstsze problemy, które prowadzą do ataków hakerskich.
Niewłaściwe użycie protokołów firm trzecich i błędy logiki biznesowej
Każdy atak zaczyna się przede wszystkim od analizy ofiary. Technologia Blockchain daje wiele możliwości automatycznego dostrajania i symulacji scenariuszy hakerskich. Aby atak był szybki i niewidoczny, atakujący musi posiadać niezbędne umiejętności programistyczne i wiedzę na temat działania inteligentnych kontraktów. Typowy zestaw narzędzi hakera pozwala mu pobrać własną pełną kopię łańcucha bloków z głównej wersji sieci, a następnie w pełni dostroić proces ataku tak, jakby transakcja odbywała się w rzeczywistej sieci.
Następnie atakujący musi przestudiować model biznesowy projektu oraz wykorzystywane usługi zewnętrzne. Błędy w matematycznych modelach logiki biznesowej i usługach firm trzecich to dwa z najczęściej wykorzystywanych przez hakerów problemów.
Twórcy inteligentnych kontraktów często potrzebują więcej danych istotnych w momencie transakcji, niż mogą posiadać w danym momencie. Są więc zmuszeni do korzystania z usług zewnętrznych — na przykład wyroczni. Usługi te nie są przeznaczone do działania w środowisku pozbawionym zaufania, więc korzystanie z nich wiąże się z dodatkowym ryzykiem. Według statystyk za rok kalendarzowy (od lata 2020 r.) ten rodzaj ryzyka stanowił najmniejszy procent strat — tylko 10 hacków, co dało straty w wysokości ok. 50 mln USD.
Związane z:Radykalna potrzeba aktualizacji protokołów bezpieczeństwa blockchain
Błędy w kodowaniu
Inteligentne kontrakty to stosunkowo nowa koncepcja w świecie IT. Mimo swojej prostoty, języki programowania inteligentnych kontraktów wymagają zupełnie innego paradygmatu programistycznego. Deweloperzy często po prostu nie mają niezbędnych umiejętności kodowania i popełniają poważne błędy, które prowadzą do ogromnych strat dla użytkowników.
Audyty bezpieczeństwa eliminują tylko część tego rodzaju ryzyka, ponieważ większość firm audytorskich na rynku nie ponosi żadnej odpowiedzialności za jakość wykonywanej pracy i interesuje się jedynie aspektem finansowym. Ponad 100 projektów zostało zhakowanych z powodu błędów w kodowaniu, co doprowadziło do łącznej wielkości strat wynoszących około 500 milionów dolarów. Jaskrawym przykładem jest włamanie dForce, które miało miejsce 19 kwietnia 2020 r. Hakerzy wykorzystali lukę w standardzie tokena ERC-777 w połączeniu z atakiem na ponowne wejście i uciekli z 25 milionami dolarów.
Związane z:Audyt domyślny projektów DeFi jest konieczny dla rozwoju branży
Pożyczki błyskawiczne, manipulacje cenami i ataki górników
Informacje dostarczane do inteligentnego kontraktu mają znaczenie tylko w momencie realizacji transakcji. Domyślnie umowa nie jest odporna na potencjalną zewnętrzną manipulację zawartymi w niej informacjami. Dzięki temu możliwe jest całe spektrum ataków.
Pożyczki typu flash to pożyczki bez zabezpieczeń, ale wiążą się z obowiązkiem zwrotu pożyczonego krypto w ramach tej samej transakcji. Jeżeli pożyczkobiorca nie zwróci środków, transakcja jest anulowana (cofnięta). Takie pożyczki pozwalają pożyczkobiorcy otrzymywać duże ilości kryptowalut i wykorzystywać je do własnych celów. Zazwyczaj ataki na pożyczki błyskawiczne wiążą się z manipulacją ceną. Atakujący może najpierw sprzedać dużą liczbę pożyczonych tokenów w ramach transakcji, obniżając w ten sposób ich cenę, a następnie wykonać szereg działań przy bardzo niskiej wartości tokena przed ich odkupieniem.
Atak górników jest odpowiednikiem ataku pożyczkowego na blockchainy działające w oparciu o algorytm konsensusu proof-of-work. Ten rodzaj ataku jest bardziej złożony i kosztowny, ale może ominąć niektóre warstwy ochrony pożyczek flash. Tak to działa: atakujący wynajmuje moce wydobywcze i tworzy blok zawierający tylko te transakcje, których potrzebuje. W ramach danego bloku mogą najpierw pożyczać tokeny, manipulować cenami, a następnie zwracać pożyczone tokeny. Ponieważ atakujący samodzielnie tworzy transakcje, które są wprowadzane do bloku, a także ich sekwencję, atak jest w rzeczywistości atomowy (żadna inna transakcja nie może zostać „wciśnięta” w atak), jak w przypadku pożyczek typu flash. Ten rodzaj ataku został wykorzystany do zhakowania ponad 100 projektów, ze stratami wynoszącymi około 1 miliarda dolarów.
Z czasem średnia liczba hacków wzrasta. Na początku 2020 roku jedna kradzież stanowiła setki tysięcy dolarów. Pod koniec roku kwoty wzrosły do dziesiątek milionów dolarów.
Związane z:Eksploity związane z inteligentnymi kontraktami są bardziej etyczne niż hakowanie ... czy nie?
Niekompetencja programisty
Najbardziej niebezpiecznym rodzajem ryzyka jest czynnik błędu ludzkiego. Ludzie uciekają się do DeFi w poszukiwaniu szybkich pieniędzy. Wielu programistów ma słabe kwalifikacje, ale wciąż stara się uruchamiać projekty w pośpiechu. Inteligentne kontrakty są oprogramowaniem typu open source, dzięki czemu hakerzy mogą je łatwo kopiować i zmieniać w nieznaczny sposób. Jeśli oryginalny projekt zawiera pierwsze trzy typy luk w zabezpieczeniach, rozlewają się one na setki sklonowanych projektów. Dobrym przykładem jest RFI SafeMoon, ponieważ zawiera krytyczną lukę, która została nałożona na ponad sto projektów, prowadząc do potencjalnych strat sięgających ponad 2 miliardy dolarów.
Ten artykuł jest współautoremVladislav Komissarov iDmitrij Miszunin.
Poglądy, myśli i opinie wyrażone tutaj są wyłącznymi autorami i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.
