להבין את מי להאשים בבעיות האבטחה המתמשכות של DeFi

תחום הפיננסים המבוזר ממשיך לצבור פופולריות חסרת תקדים, שכן השווי הכולל של הנכסים הנעולים במוצרי DeFi הוכפל ליותר מ -4 מיליארד דולר ביולי וכעת מִתקַרֵב רף של 5 מיליארד דולר. 

יחד עם זאת, ביקוש מוגבר ליישומים כאלה בקרב משתמשים ומפתחים הופך אותו ליעד לשחקנים גרועים, לאור פיתוי הגישה הישירה לקרנות. במהלך החודשים האחרונים גנבו האקרים מעל 27 מיליון דולר מפרויקטים של DeFi, והתקפות נוספות צפויות להגיע בעתיד הקרוב. אם זה המקרה, האם תחום DeFi מסתמך מאוד על Ethereum לצורך אבטחה, והאם השקת ETH 2.0 תביא לשיפורים נוספים בתחום זה.?

אפליקציות DeFi הן חילופי קריפטו חדשים עבור האקרים

בעוד שבשנים 2018–2019, חילופי הקריפטו היו היעד העיקרי להתקפות האקרים, אך בשנת 2020 זהו שוק הפיננסים המבוזר שנמצא על הרדאר. הדבר מתאפשר במידה רבה על ידי פרצות בחוזים חכמים של פלטפורמות ומנגנוני אבטחה לא מושלמים מבחינה טכנית. יחד עם זאת, כפי שמראה ההיסטוריה של פריצות, התוקפים משתמשים לא רק בפגיעות אלא גם ביכולות לגיטימיות שונות של בלוקצ’יין לביצוע פיגועים..

כך תקפו האקרים את אופין בתחילת אוגוסט, פרוטוקול שלטענת האירוניה מתמודד עם הגנת DeFi. כ- 371,000 $ נגנבו עקב ניצול של האסימון המקורי של הפרויקט, לפיו התקפה של הוצאה כפולה על אופציות מכר של Ethereum, שהעניקה גישה לכספי המשתמשים..

בעבר, פגיעות בקוד החוזה החכם הובילה לפריצה נוספת של פרויקט DeFi, בה נגנבו 25 מיליון דולר מפרוטוקול ההלוואות המבוזר Lendf.me ומחילופי הקריפטו המבוזרים Uniswap. שתי קבוצות המפתחים בנו תוספות משלהן על גבי פרוטוקול ERC-777, מה שהופך את החוזים החכמים לפגיעים להתקפות חוזרות. במהלך מתקפה כזו, האקרים מושכים כספים שוב ושוב עד לאישור או דחייה של העסקה המקורית שלהם.

פריצה נוספת התרחשה ב- 28 ביוני, שוב בגלל פגיעות בקוד. האקרים גנבו מעל 500,000 $ ב- ETH ובאלטקוינים אחרים מפלטפורמת האיזון באמצעות ניצול של מנגנון הדפלציה האסימונים שלו שמשמיד 1% מסכום העסקה בכל העברת כספים..

האם את’ריום אשם?

ככל הנראה, עקב אכילס של פרויקטים של DeFi הוא באגים ופגיעות בקודי החוזה החכמים, אבל מה או מי בדיוק אשם בכך? האם מפתחי DeFi אינם בודקים או בודקים כראוי קוד לפני השקת האפליקציות שלהם, או שהתקלה טמונה בארכיטקטורה של את’ריום, כלומר מעט תלוי בפלטפורמות?

מצד אחד, כפי שאמר בעבר בריאן קר, מנכ”ל פלטפורמת ההלוואות של DeFi, Kava Labs, לקוינטלגרף, הארכיטקטורה של בלוקצ’יין את’ריום אינה מסוגלת לענות על דרישות האבטחה של מגזר DeFi מכיוון שבדיקת באגים אפשריים כמעט ואינה אפשרית בשפת התכנות Solidity..

עם זאת, מרבית פלטפורמות ה- DeFi בנויות על מסגרת הבלוקצ’יין של Ethereum ולכן, הן מתנסות בקוד המקור המקורי, במיוחד אם תוצאת הניסויים הללו לא תיערך ביקורת יסודית לפני השקת הגרסה הסופית של המוצר, ועלולה לפתוח דלתות להאקרים.

שיאן אסקנדרי, מהנדס אבטחה ומבקר בחברת ConsenSys Diligence, אמר ל- Cointelegraph כי לרוב פריצות ה- DeFi קדמו שינויים שביצעו מפתחים זמן קצר לפני השקת הפלטפורמה. לדוגמה, ERC-20 לא יושם בצורה סטנדרטית, או שעיצובים אסימוניים חדשים הוסיפו פונקציות ששינו את התנהגות אסימון ה- ERC-20 וגרמו לבעיות בלתי צפויות. לדברי Eskandari, שינויים כאלה הובילו להתקפות בריכה של Balancer ולפריצה של Lendf.me.

זה מצביע על כך שבמקרים מסוימים, הצוותים העובדים על פלטפורמות מסוימות הם האשמים. בשיחה עם Cointelegraph ציין ארני היל, מנכ”ל Plutus DeFi – אגרגטור מלא של DeFi – שרוב מפתחי DeFi לא מקדישים מספיק תשומת לב לביטחון, שכן הם נמצאים בשלב המוקדם של פיתוח מוצרים: “היום המפתחים משלמים תשומת לב רבה יותר לצד הטכני ולהיוון, תוך התמקדות כיצד לבנות שירותי הלוואות על בלוקצ’יין, ולא על אבטחת חוזים חכמים. “

בנוסף, המורכבות של מוצרי DeFi משחקת איתם בדיחה אכזרית, לפי לארי סוקרניק, המשקיע בקבוצת המטבעות הדיגיטליים: “אתה משיג אנשים עם מוח גדול שצריך להכניס אותם לעבודה. וכשמוציאים אותם לעבודה, התוצאה היא לעתים קרובות מוצר מורכב, מבריק אך בלתי שמיש. “

צ’רלי לי, היוצר של Litecoin (LTC), טען בעבר כי ביזור אשם בכל דבר. ביזור למעשה היה הסיבה לפריצה לפרוטוקול האופציות של Opyn, מכיוון שהצוות לא יכול היה לשלוט בו או להשבית אותו באופן זמני במקרה של התקפה..

עם זאת, נוכחותם של האקרים היא תופעה טבעית, בהתחשב בכך שהתעשייה צעירה. עם זאת, עם התפתחות מגזר DeFi, על מפתחיו להיות מודעים מאוד לסיכוני האבטחה ההולכים וגדלים ולפעול להפחתתם, על פי היל:

“קנה המידה של השוק דורש שימוש במנגנוני הגנה רציניים יותר ושיתוף פעולה עם הרגולטורים והמבקרים. בסופו של יום, זו כבר לא רק רשת DApps, אלא שוק פיננסי של מיליארדי דולרים שנמצא בשלב המוקדם של התפתחותו, ומכאן שהפריצות הן בלתי נמנעות, כמו שהיה עם הדיגיטל. תעשיית הבנקאות לפני כמה שנים. ” 

על פי האחרונה להגיש תלונה פורסם על ידי חברת המחקר Dgen בשיתוף פעולה עם פרוטוקול DeFi עם קוד פתוח Aave, מאז שפרויקטים של DeFi הפכו למטרות פריצה, החלו היזמים לעבוד על ארגזי חול ומסגרות ברורות ליישוב סכסוכים. האנליסטים ציינו גם כי כל עוד קנה המידה נמצא בראש סדר העדיפויות הגבוה ביותר עבור מפתחי DeFi כרגע, פריצות גדולות הדומות לאירוע ה- DAO ב -2016 צפויות להתרחש שוב..

נושא אפשרי נוסף שעומד מאחורי פרויקטים של מימון מבוזר הוא שהם מסתמכים על ממצאי נתונים בכדי לספק נתונים קריטיים כמו מחירי נכסים. הצמיחה המואצת של פלטפורמות ומוצרי DeFi עם יכולת ההרכבה הייחודית שלהן יוצרת תלות הדדית ודורשת מקור מוצק של נתוני תמחור נכסים, כפי שהסביר פול קלודיוס, מייסד שותף של DIA – פלטפורמת Oracle קוד פתוח שוויצרי של DeFi – שאמר ל- Cointelegraph:

“נכון לעכשיו, לרוב פרויקטים של DeFi חסר פתרון נתוני תמחור שקוף, קוד פתוח ואמין. רבים אינם חולקים אפילו את המתודולוגיות המשמשות אורקלות לצורך נתוני תמחור. זה יוצר סיכונים משמעותיים מכיוון ששחקנים גרועים יכולים לנצל את הפגיעות הטכנולוגית והמתודולוגית עם מקורות נתונים לא אמינים. “

ביקורת, בדיקת נאותות וביטוח

אז האם יש צוותי DeFi שיכולים לעשות כדי להקל על סיכוני האבטחה, בהתחשב בכך שיש מוצרים רבים ששומרים בהצלחה על רמת אבטחה גבוהה עבור כספי המשתמשים שלהם.?

מארק זלר, מוביל אינטגרציה ב- Aave, הדגיש את החשיבות של ביצוע הליכי בדיקת נאותות לפני שהוסיף אסימון חדש לפלטפורמת DeFi בכדי לסייע במניעת פריצות גדולות בפרוטוקולים. הוא ציין גם כי פרויקטים העוסקים במימון מבוזר עשויים להשתמש בשירותי חברות הביטוח כדי להגן עוד יותר על כספי המשתמשים, אם כי זה לא תמיד מספיק.. 

דיבר על תפקיד הביטוח במאבק בפריצות, קיין וורוויק, מייסד פלטפורמת הנכסים הסינתטיים Synthetix, אמר כי ביטוח DeFi מוגבל מאוד והוסיף: “ל- DeFi עדיין יש סיכון משמעותי בזנב, כך שהביטוח צפוי להישאר יקר מאוד בטווח הקצר, אך ככל שהפרוטוקולים יתבגרו, העלויות צריכות לרדת […] מה שמאפשר פשוט יותר ושימושי יותר. ביטוח שיופיע. “

טוב שיש ביטוח אם ההתקפה כבר התרחשה, אך אם המשימה היא למנוע אותה, ביקורת ומעקב אחר עסקאות חשודות הם מה שפרויקטים של DeFi צריכים על מנת לאתר ולתקן נקודות תורפה ברשת לפני שנגרמים פגמי קוד על ידי האקרים. אנליסטים מציינים כי חילופי קריפטו ממלאים תפקיד משמעותי במעקב ובנעילת מטבעות קריפטוגרפיים שאולי הגיעו מפלטפורמות שנפרצו..

קשור: DeFi Hack: איזה מימון מבוזר צריך ולא צריך להיות?

ככל שהתעשייה מתרחבת, חשוב יותר ויותר למפתחי DeFi לשתף פעולה עם הרגולטורים ולעבוד על ארגזי חול ועל מסגרות ברורות המאפשרות ליישב סכסוכים ובוררות אם מתרחשת פריצה. על פי היל:

“קנה המידה של השוק דורש שימוש במנגנוני הגנה רציניים יותר ושיתוף פעולה עם הרגולטורים והמבקרים. בסופו של יום, זו כבר לא רק רשת DApps, אלא שוק פיננסי של מיליארדי דולרים שנמצא בשלב המוקדם של התפתחותו. “

האם ETH 2.0 יביא יותר ביטחון?

יש הסבורים כי לצד מדרגיות, שדרוגי הרשת יביאו אבטחה ל- DeFi, בעוד שאחרים אומרים כי מעבר 2.0 של Ethereum לאלגוריתם הוכחת המימוש יביא את תחום DeFi בסכנה גדולה עוד יותר. מבוסס על מחקר של האנליסט טארון צ’יטרה, משקיע Dragonfly Capital, Haseeb Qureshi הגיע למסקנה שפרוטוקולי DeFi מנוגדים למנגנון אבטחת הרשת המבוסס על אלגוריתם ה- PoS. הבעיה היא שכספים הנעולים בהלוואות DeFi אינם משתתפים בהימצאות ולכן הם נייר ערך.

אנליסטים של MolochDao מְאוּשָׁר שהמעבר ל- ETH 2.0 יכול לפתוח וקטורי התקפה חדשים ליישומי DeFi. עם זאת, יש צד חיובי בכך – התקפות על ETH 2.0 קלות יותר להרחבה מאשר התקפות על ETH 1.0.

קשור: בשימוש טוב: Ethereum צובר מספרים רציניים כדי לקבוע מידות

לפני ההשקה, תעשיית DeFi תעמוד בפני התקפות חדשות רבות, לדברי אנליסטים מבית Consensys, טאנר הובאן וטום בורגרס, במיוחד בשלבים הראשונים של המעבר לאת’ריום 2.0. הסיבה היא שבתחילת המעבר, מאמתים חייבים לחסום את ה- ETH שלהם עד שרשת ההוכחה לעבודה תמוזג לחלוטין עם שרשרת ההוכחה. זה יפחית את הנזילות, ועל פי מחברי המחקר, זה יכול להוביל לריכוזיות.

אז סביר להניח שמוצרי DeFi יתמודדו שוב עם פריצות גדולות, אך עם פיתוח כלי הביטוח והביקורת, כמו גם כניסה לשוק על ידי הרגולטורים העולמיים, זה בסופו של דבר יהפוך בטוח יותר. Ethereum 2.0 עשוי להוסיף זבוב משחה משחה, אך עם השקה איטית והדרגתית של המודל החדש ובדיקה מספקת, הסיכונים עשויים להיות ממוזערים.

Mike Owergreen Administrator
Sorry! The Author has not filled his profile.
follow me
Like this post? Please share to your friends:
map