Zdecentralizowane finanse (DeFi) pozostają z ponad 100 miliardami dolarów w łącznej wartości zablokowanej (TVL), podkreślając dowody wiary w te nowe narzędzia finansowe. Ta inwestycja będzie nadal rosła, ale wydaje się, że z każdym nowym rekordem w TVL następuje kolejny atak sieciowy z astronomicznymi stratami.
Przestępczość kryptowalutowa spadła o 57% w 2020 r., ale liczba ataków hakerskich DeFi wzrosła, co kosztowało firmy i inwestorów miliardy dolarów. Tylko w marcu doszło do kilku ataków w ciągu zaledwie pięciu dni, a sieć płatna straciła 180 milionów dolarów. Później, w maju, PancakeBunny stracił ponad 200 milionów dolarów w wyniku wykorzystania pożyczki błyskawicznej.
Nasze najlepsze roboty biznesowe
Oczywiste jest, że w obecnych protokołach bezpieczeństwa blockchain jest zbyt wiele luk i hacków. Od wyciągania dywanów po oszustwa phishingowe, bezpieczeństwo i technologia tej przestrzeni nie są tak dojrzałe, jak wskazują na to liczby. Istnieją jednak krytyczne praktyki, które mogą wdrożyć zarówno programiści, jak i użytkownicy, aby zamknąć tę lukę.
Zdecentralizowana technologia jest nadal scentralizowana
Bez względu na to, jak zdecentralizowany jest protokół, podstawowa struktura jest nadal scentralizowana. Patrząc na jedną z naszych podstawowych funkcji Internetu, rekordy DNS, każda nazwa domeny jest nadal scentralizowana — należy do rządu, stanu lub firmy, która ma najwyższą władzę nad domeną i może ją wyłączyć, jeśli zechcą.
Przykładem centralizacji w ramach decentralizacji są inteligentne kontrakty. Ci, którzy piszą inteligentne kontrakty na Ethereum lub Binance, mają ostatnie słowo w tym, co jest w kodzie, i istnieją sposoby na zakodowanie nikczemnych programów, takich jak wyciąganie dywanów, w inteligentne kontrakty.
Podczas boomu w rolnictwie latem 2020 r. widzieliśmy wiele protokołów, aby czerpać zyski z pieniędzy napływających do DeFi i trwało to w tym roku. W marcu TurtleDex wykonał akcję wyciągania dywanów, która w rzeczywistości była backdoorem w inteligentnym kontrakcie, w wyniku którego inwestorom skradziono 2,5 miliona dolarów. Ta celowa funkcja pozwala programistom na programowanie oszustw, które są następnie wykonywane w zależności od innych zdarzeń w kodzie, a TurtleDex jest jednym z wielu tegorocznych projektów, które zaprogramowały ciągnięcie dywanu.
Związane z:Rolnictwo plonów to moda, ale DeFi obiecuje zmienić sposób, w jaki wchodzimy w interakcję z pieniędzmi
Audyty inteligentnych kontraktów to dobry sposób na zapobieganie szarpaniu, ale nawet wtedy widzimy przypadki, w których programiści zamieniają skontrolowaną inteligentną umowę na nieaudytowaną. Przypadek Compounder pokazuje, jak łatwo projekt oszustwa zyskuje wpływ na znane, renomowane nazwiska w przestrzeni. Byli w stanie szybko skorzystać z Harvest Finance i Yearn.finance, zanim rzucili się na swoich użytkowników i odeszli z milionami dolarów w krypto.
Związane z:Audyt domyślny projektów DeFi jest konieczny dla rozwoju branży
Najnowsze trendy w hackach
Oprócz ciągnięcia dywanów istnieje wiele popularnych ataków, które mogą doprowadzić do upadku całej firmy, jeśli nie są przygotowane. Atak 51% — kiedy grupa górników kontroluje ponad 50% szybkości hashowania sieci, pozwalając im na wykluczenie lub manipulowanie rekordami transakcji w celu wykonania podwójnych wydatków lub zakłócenia łańcucha bloków — jest nadal częsty. Firo i Grin ostatnio ucierpieli z powodu 51% ataków.
Nawet niektóre projekty kryptowalut z wiodącymi wielkościami kapitalizacji rynkowej nadal nie są bezpieczne. W lutym poinformowano, że 200 dni transakcji XVG w sieci Verge zostało usuniętych, co w rzeczywistości jest „najgłębszym reorgiem, jaki kiedykolwiek miał miejsce w 100 najlepszych kryptowalutach”.
Akceptujemy te błędy jako część doświadczenia blockchain, ale jaka byłaby reakcja, gdyby to samo stało się, na przykład, z dużym bankiem? Prawdopodobnie byłoby znacznie więcej nagłówków w mediach i oburzenia ze strony użytkowników i klientów. Wydarzenia te pozostają w dużej mierze niezauważone w kryptowalutach, ponieważ jest mniej użytkowników, ale wraz z niedawną hossą, to się zmienia. Nieuchronnie większa kontrola zostanie poświęcona bezpieczeństwu publicznych łańcuchów bloków.
Praktyki zapobiegające włamaniom, takim jak ciągnięcie dywanu
Niestety dla programistów, hacki są zawsze możliwe podczas pracy w krypto. Pytanie nie brzmi, jak zapobiegać włamaniom, ale jak zapobiegać włamaniom. Niektóre postępy w portfelach sprzętowych — jak na przykład portfel multisignature Gnosis Safe — są kluczowymi elementami poprawy ogólnego bezpieczeństwa.
Korzystanie z portfela multisig umożliwia wielu użytkownikom przechowywanie kluczy do tego samego portfela i wymaga wzajemnego uczestnictwa w wykonywaniu działań na koncie. Ponieważ taki portfel wymaga danych wejściowych od wielu użytkowników w celu dokonywania transakcji, prawie niemożliwe jest wykonywanie wyciągnięć dywanu za pomocą tego typu skarbca.
Inną praktyką bezpieczeństwa, która zapobiega wyciąganiu dywanów, są blokady czasowe. Wiele zdecentralizowanych aplikacji używa blokad czasowych, więc jeśli programista spróbuje wyrwać swoich użytkowników, otrzymasz ostrzeżenie na około 12 do 24 godzin, aby usunąć fundusze.
Tego rodzaju praktyki w zakresie bezpieczeństwa wzmocnią większe zaufanie do DeFi i stworzą kulturę wokół bezpieczeństwa, która przyczyni się do rozwoju naszej branży.
Poprawa bezpieczeństwa portfela w krypto
Bezpieczeństwo portfela ostatecznie sprowadza się do programistów i użytkowników wdrażających mądrzejsze praktyki. Regularne audyty bezpieczeństwa i wewnętrzne praktyki bezpieczeństwa mogą przyczynić się do zwiększenia bezpieczeństwa portfeli.
Chociaż audyty bezpieczeństwa są dobrym rozwiązaniem, Uniswap i inne zautomatyzowane zdecentralizowane giełdy oparte na animatorach rynku (DEX) są pozbawione uprawnień, dlatego nie można przeprowadzać regularnych audytów. Najlepszą praktyką jest zrozumienie specyfiki monet „uczciwego startu” — projektów uruchamianych z DEX-a. Chociaż wiele z tych projektów jest wysokiej jakości, wiele z nich zawiera poważne luki. Kod open source ułatwia każdemu samodzielny audyt i weryfikację, czy inteligentna umowa jest bezpieczna, dając użytkownikom więcej narzędzi do praktykowania dobrego bezpieczeństwa.
Poproszenie użytkownika o praktykowanie dobrego bezpieczeństwa może wydawać się dużym wyczynem, ale jest to wymagane, aby uzyskać dostęp do wielu korzyści płynących z kryptowalut, a zwłaszcza DeFi. W przypadku tradycyjnych banków za bezpieczeństwo odpowiada bank, ale w krypto bezpieczeństwo sprowadza się do praktyk deweloperów i użytkowników.
Jeśli zapomnisz hasła do banku lub wyślesz środki do niewłaściwej osoby, możesz skontaktować się z bankiem, aby złagodzić transakcję do czasu jej rozwiązania. Ale w krypto, jeśli zgubisz klucze lub wyślesz pieniądze na zły adres, nie ma opcji kopii zapasowej. Jedną z wielu zalet jest oczywiście to, że nie musisz się martwić, czy twoje fundusze są dostępne w kryptowalutach, podczas gdy banki mogą zamykać swoje drzwi i narzucać kontrolę kapitału, tak jak miało to miejsce podczas kryzysu bankowego w Grecji w 2015 roku.
Wniosek
Jako programiści musimy wdrażać walidacje krzyżowe i audyty bezpieczeństwa, a także rozliczać się nawzajem z opracowywania coraz lepszych praktyk bezpieczeństwa.
Użytkownicy powinni rozważyć wdrożenie własnych protokołów bezpieczeństwa i zrozumieć niuanse związane z przechowywaniem i potencjalnymi scenariuszami włamań. Dobrą praktyką dla pasywnych posiadaczy kryptowalut jest odłączenie portfela sprzętowego od Internetu lub portfela papierowego, który jest w 100% offline i nie wymaga synchronizacji online w celu aktualizacji oprogramowania układowego.
Ataki phishingowe, jeden z pierwotnych rodzajów włamań do Internetu, są nadal powszechne i częste. Sposobem na zwalczanie prób phishingu jest weryfikacja autentyczności nadawcy.
Nie wprowadzaj swoich kluczy prywatnych ani fraz początkowych na żadnej stronie internetowej ani nie wysyłaj ich do nikogo za pośrednictwem kanałów publicznych lub wiadomości DM. Ogólnie rzecz biorąc, frazę początkową należy wprowadzać tylko podczas początkowej konfiguracji portfela. Co więcej, powinieneś wpisać swoją frazę początkową tylko wtedy, gdy chcesz odzyskać portfel po zapomnieniu hasła, musisz zaimportować istniejący portfel na nowe urządzenie lub użyć kompatybilnego oprogramowania portfela. Ogólnie zaleca się korzystanie z urządzeń portfela sprzętowego, które nigdy nie przepuszczają twojego seeda do żadnego rodzaju oprogramowania — w wielu przypadkach nawet zaufana aplikacja portfela lub oprogramowanie nie może być zalecane.
Ponieważ nadal budujemy naszą nową globalną (głównie) gospodarkę DeFi, ważne jest, aby poprawić bezpieczeństwo, aby adopcja głównego nurtu i kapitał mogły nadal płynąć w przestrzeń, aby następne pokolenie mogło uzyskać dostęp do nowych granic niezależności finansowej.
Ten artykuł nie zawiera porad inwestycyjnych ani rekomendacji. Każdy ruch inwestycyjny i handlowy wiąże się z ryzykiem, a czytelnicy powinni przeprowadzić własne badania podczas podejmowania decyzji.
Poglądy, przemyślenia i opinie wyrażone tutaj są wyłączną własnością autora i niekoniecznie odzwierciedlają lub reprezentują poglądy i opinie Cointelegraph.
