Selvittää, kuka on syyllinen DeFin jatkuviin turvallisuuskysymyksiin

Hajautettu rahoitusala on saavuttamassa ennennäkemättömän suosiota, kun DeFi-tuotteisiin lukittujen omaisuuserien kokonaisarvo kaksinkertaistui yli 4 miljardiin dollariin heinäkuussa ja on nyt lähestyy 5 miljardin dollarin merkki. 

Samanaikaisesti käyttäjien ja kehittäjien lisääntynyt tällaisten sovellusten kysyntä tekee siitä kohteeksi huonoille toimijoille, kun otetaan huomioon varojen suoran saatavuuden houkutus. Hakkerit ovat viime kuukausien aikana varastaneet yli 27 miljoonaa dollaria DeFi-projekteista, ja lähitulevaisuudessa odotetaan lisää hyökkäyksiä. Jos näin on, tukeeko DeFi-sektori vahvasti Ethereumia turvallisuuteen ja tuovatko ETH 2.0 -käynnistys lisää parannuksia tällä alueella?

DeFi-sovellukset ovat uusia salakirjoituksia hakkereille

Vaikka vuosina 2018–2019 salausvaihto oli hakkerihyökkäysten ykköskohde, vuonna 2020 tutkassa ovat hajautetut rahoitusmarkkinat. Tämän mahdollistavat suurelta osin alustojen älykkäiden sopimusten haavoittuvuudet ja teknisesti epätäydelliset turvamekanismit. Samalla, kuten hakkerointihistoria osoittaa, hyökkääjät käyttävät hyökkäysten lisäksi haavoittuvuuksien lisäksi myös blockchainin laillisia ominaisuuksia.

Näin hakkerit hyökkäsivät Opyniin elokuun alussa, protokolla, joka väittää ironisesti käsittelevänsä DeFi-suojausta. Noin 371 000 dollaria varastettiin projektin natiivimerkin hyödyntämisen vuoksi, jolloin Ethereum-myyntioptioita vastaan ​​toteutettiin kaksinkertainen kulutushyökkäys, joka antoi pääsyn käyttäjien varoihin..

Aikaisemmin älykkään sopimuskoodin haavoittuvuus johti toiseen DeFi-projektin hakkerointiin, jossa 25 miljoonaa dollaria varastettiin hajautetusta Lendf.me-lainaprotokollasta ja hajautetusta salauksenvaihto-Uniswapista. Molemmat kehittäjäsarjat rakensivat omat lisäosat ERC-777-protokollan päälle, jolloin älykkäät sopimukset ovat alttiita uudelleenkäynnistyshyökkäyksille. Tällaisen hyökkäyksen aikana hakkerit nostavat varoja toistuvasti, kunnes alkuperäinen tapahtuma hyväksytään tai hylätään.

Toinen hakkerointi tapahtui 28. kesäkuuta uudestaan ​​koodin heikkouden takia. Hakkerit varastivat yli 500 000 dollaria ETH: ta ja muita altcoineja Balancer-alustalta hyödyntämällä sen symbolista deflaatiomekanismia, joka tuhoaa yhden prosentin transaktiomäärästä jokaisella varainsiirrolla.

Onko Ethereum syyllinen?

Ilmeisesti DeFi-projektien Achilles-kantapää on virheitä ja haavoittuvuuksia älykkäissä sopimuskoodeissa, mutta mitä tai kuka syyttää tästä? Eivätkö DeFi-kehittäjät testaa tai tarkasta koodia oikein ennen sovellustensa käynnistämistä, vai onko syynä Ethereumin arkkitehtuuri, mikä tarkoittaa, että vähän riippuu alustoista?

Toisaalta, kuten DeFi-laina-alustan Kava Labs toimitusjohtaja Brian Kerr aiemmin kertoi Cointelegraphille, Ethereumin lohkoketjun arkkitehtuuri ei kykene vastaamaan DeFi-sektorin turvallisuusvaatimuksiin, koska mahdollisten virheiden testaaminen on lähes mahdotonta Solidity-ohjelmointikielellä.

Suurin osa DeFi-alustoista on kuitenkin rakennettu Ethereum blockchain -kehykseen ja siksi kokeilevat alkuperäistä lähdekoodia, varsinkin jos näiden kokeiden tulosta ei ole perusteellisesti tarkastettu ennen tuotteen lopullisen version julkaisua, mikä saattaa avata ovia hakkereille.

Shayan Eskandari, turvallisuusinsinööri ja tilintarkastaja ConsenSys Diligencessa, kertoi Cointelegraphille, että suurinta osaa DeFi-hakkeroista edelsi muutos, jonka kehittäjät tekivät vähän ennen alustan käynnistämistä. Esimerkiksi ERC-20: ta ei toteutettu tavanomaisella tavalla, tai jotkin uudet tunnussuunnitelmat lisäsivät toimintoja, jotka muuttivat ERC-20-tunnuksen käyttäytymistä aiheuttaen ennakoimattomia ongelmia. Eskandarin mukaan tällaiset muutokset johtivat Balancer-poolihyökkäyksiin ja Lendf.me-hakkerointiin.

Tämä viittaa siihen, että joissakin tapauksissa tietyillä alustoilla työskentelevät ryhmät ovat syyllisiä. Keskustelussa Cointelegraphin kanssa Plutus DeFi: n – täyden pinon DeFi-aggregaattorin – toimitusjohtaja Arnie Hill totesi, että useimmat DeFi-kehittäjät eivät kiinnitä riittävästi huomiota turvallisuuteen, koska he ovat tuotekehityksen alkuvaiheessa: “Tänään kehittäjät maksavat enemmän huomiota tekniseen puoleen ja kapitalisointiin keskittymällä siihen, miten luotonantopalvelut rakennetaan lohkoketjuun, eikä älykkäiden sopimusten turvallisuuteen. “

Lisäksi DeFi-tuotteiden monimutkaisuus on julma vitsi heidän kanssaan, mukaan Larry Sukernikille, Digital Currency Group -sijoittajalle: “Saat ihmisiä, joilla on iso aivot ja jotka on saatava töihin. Ja kun heidät otetaan käyttöön, tulos on usein monimutkainen, loistava, mutta massiivisesti käyttökelvoton tuote. “

Litecoinin (LTC) luoja Charlie Lee väitti aiemmin, että hajauttaminen on syyllinen kaikkeen. Hajauttaminen oli itse asiassa syy Opyn-vaihtoehtoprotokollan hakkerointiin, koska joukkue ei voinut hallita sitä tai poistaa sitä väliaikaisesti käytöstä hyökkäyksen sattuessa.

Hakkerit ovat kuitenkin luonnollisia, koska ala on nuori. Hillin mukaan DeFi-sektorin kehittyessä sen kehittäjien tulisi kuitenkin olla erittäin tietoisia kasvavista turvallisuusriskeistä ja pyrkiä vähentämään niitä:

– Markkinoiden skaalaus vaatii vakavampien suojamekanismien käyttöä ja yhteistyötä sääntelyviranomaisten ja tilintarkastajien kanssa. Päivän lopussa tämä ei ole enää vain DApps-verkosto, vaan monen miljardin dollarin rahoitusmarkkinat, jotka ovat kehityksen alkuvaiheessa, ja siten hakkeroinnit ovat väistämättömiä, samoin kuin digitaalisen digitaalisen verkon kohdalla. muutama vuosi sitten. ” 

Viimeisimmän mukaan raportti tutkimusyhtiö Dgen julkaisi yhteistyössä avoimen lähdekoodin DeFi-protokollan Aave kanssa siitä lähtien, kun DeFi-projekteista on tullut hakkerointikohteita, kehittäjät alkoivat työskennellä hiekkalaatikoiden ja selkeiden puitteiden kanssa riitojen ratkaisemiseksi. Analyytikot totesivat myös, että niin kauan kuin skaalaus on etusijalla DeFi-kehittäjille juuri nyt, vuoden 2016 DAO-tapahtuman kaltaiset suuret hakkeroinnit todennäköisesti toistuvat.

Toinen mahdollinen kysymys hajautettujen rahoitushankkeiden takana on, että ne luottavat datanäkymiin kriittisten tietojen, kuten omaisuuserien hintojen, toimittamiseksi. DeFi-alustojen ja tuotteiden nopea kasvu niiden ainutlaatuisella yhdistettävyydellä luo keskinäisiä riippuvuuksia ja vaatii vankan omaisuuserien hintatietolähteen, kuten selitti Paul Claudius, DIA: n perustaja – sveitsiläinen avoimen lähdekoodin DeFi oracle -alusta -, joka kertoi Cointelegraphille:

”Tällä hetkellä useimmista DeFi-projekteista puuttuu läpinäkyvä, avoimen lähdekoodin ja luotettava hintatietoratkaisu. Monet eivät edes jaa menetelmiä, joita oraakkelit käyttävät hintatietoihin. Tämä aiheuttaa huomattavia riskejä, koska huonot toimijat voivat hyödyntää sekä teknisiä että metodologisia haavoittuvuuksia epäluotettavilla tietolähteillä. “

Tarkastus, due diligence ja vakuutus

Joten, mitä DeFi-tiimit voivat tehdä tietoturvariskien lieventämiseksi, kun otetaan huomioon, että on monia tuotteita, jotka ylläpitävät onnistuneesti korkeaa turvallisuustasoa omilla ja käyttäjärahastoillaan?

Aaven integraatiojohtaja Marc Zeller korosti due diligence -menettelyjen suorittamisen tärkeyttä ennen uuden tunnuksen lisäämistä DeFi-alustalle, jotta vältettäisiin merkittävät hakkeroinnit protokollissa. Hän totesi myös, että hajautettua rahoitusta käsittelevät hankkeet voivat käyttää vakuutusyhtiöiden palveluja käyttäjien varojen suojaamiseksi edelleen, vaikka tämä ei aina riitä. 

Puhuessaan vakuutuksen roolista hakkeroinnin torjunnassa Kain Warwick, synteettisen omaisuuden alustan Synthetix perustaja, sanoi DeFi-vakuutus on hyvin rajallinen ja lisäsi: “DeFi: llä on edelleen merkittävä hännäriski, joten vakuutus pysyy todennäköisesti hyvin kalliina lyhyellä aikavälillä, mutta protokollien erääntyessä kustannusten tulisi laskea […], mikä mahdollistaa yksinkertaisempia ja hyödyllisempiä. vakuutus syntyy. “

Vakuutus on hyvä, jos hyökkäys on jo tapahtunut, mutta jos tehtävänä on estää se, DeFi-projektit tarvitsevat epäilyttävien tapahtumien tarkastamisen ja seurannan verkon haavoittuvuuksien havaitsemiseksi ja korjaamiseksi ennen kuin hakkerit hyödyntävät koodivirheitä. Analyytikot huomauttavat, että salausvaihdolla on merkittävä rooli hakkeroiduilta alustoilta mahdollisesti tulevien kryptovaluuttojen seuraamisessa ja lukitsemisessa.

Aiheeseen liittyvät: DeFi Hack: Mitä hajautetun rahoituksen pitäisi ja ei pitäisi olla?

Alan mittakaavassa DeFi-kehittäjien on yhä tärkeämpää tehdä yhteistyötä sääntelyviranomaisten kanssa ja työskennellä sekä hiekkalaatikoiden että selkeiden puitteiden parissa, jotka mahdollistavat riitojen ratkaisun ja välimiesmenettelyn, jos hakkerointi tapahtuu. Hillin mukaan:

– Markkinoiden skaalaus vaatii vakavampien suojamekanismien käyttöä ja yhteistyötä sääntelyviranomaisten ja tilintarkastajien kanssa. Päivän lopussa tämä ei ole enää vain DApps-verkosto, vaan monen miljardin dollarin rahoitusmarkkinat, jotka ovat kehityksen alkuvaiheessa. “

Tuo ETH 2.0 lisää turvallisuutta?

Jotkut uskovat, että skaalautuvuuden lisäksi verkkopäivitykset tuovat turvallisuutta DeFi: lle, kun taas toiset sanovat, että Ethereumin 2.0 siirtyminen panostuksen todistamisalgoritmiin asettaa DeFi-sektorin vielä suurempaan vaaraan. Perustuu analyytikko Tarun Chitran, Dragonfly Capital -sijoittajan Haseeb Qureshin tutkimukseen tuli johtopäätökseen, että DeFi-protokollat ​​ovat ristiriidassa PoS-algoritmiin perustuvan verkon suojausmekanismin kanssa. Ongelmana on, että DeFi-lainojen lukitsemat varat eivät osallistu panoksiin ja ovat siten vakuus.

MolochDao-analyytikot vahvistettu että siirtyminen ETH 2.0: een voi avata uusia hyökkäysvektoreita DeFi-sovelluksiin. Siinä on kuitenkin positiivinen puoli – hyökkäykset ETH 2.0: een on helpompi skaalata kuin hyökkäykset ETH 1.0: een.

Aiheeseen liittyviä: Hyödynnetään: Ethereum kerää vakavia numeroita vertailuarvojen asettamiseksi

Ennen käyttöönottoa DeFi-teollisuus joutuu kohtaamaan monia uusia hyökkäyksiä Consensysin analyytikkojen Tanner Hoban ja Tom Borgersin mukaan etenkin Ethereum 2.0: een siirtymisen ensimmäisten vaiheiden aikana. Syynä on se, että siirtymän alussa validoijien on estettävä ETH: nsa, kunnes työtodistusketju on sulautettu kokonaisuudessaan vaakaketjuun. Tämä vähentää likviditeettiä ja voi tutkimuksen tekijöiden mukaan johtaa keskitykseen.

Joten on todennäköistä, että DeFi-tuotteet kohtaavat jälleen suuria hakkerointeja, mutta vakuutus- ja tilintarkastustyökalujen kehittämisen sekä maailmanlaajuisten sääntelyviranomaisten markkinoille tulon myötä siitä tulee lopulta turvallisempaa. Ethereum 2.0 voi lisätä oman kärpänsä voiteeseen, mutta uuden mallin hitaalla ja asteittaisella käyttöönotolla ja riittävällä testauksella riskit todennäköisesti minimoidaan..

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map