Καθώς ο τομέας DeFi συνεχίζει να προσελκύει χρήματα και χρήστες, κακοί ηθοποιοί από όλο τον κόσμο συνεχίζουν να τον βλέπουν ως έναν ελκυστικό στόχο που είναι ώριμος για την επιλογή και δεν προστατεύεται καλά.
Τους τελευταίους αρκετούς μήνες, παρακολουθώ μερικά από τα πιο αξιοσημείωτα exploits των πρωτοκόλλων DeFi, και τουλάχιστον επτά από αυτά φαίνεται να είναι αποτέλεσμα μόνο ελαττωμάτων έξυπνων συμβολαίων.
Για παράδειγμα, χάκερ χτύπησαν και λήστεψαν το Wormhole, κλέβοντας πάνω από 300 εκατομμύρια δολάρια, Qubit Finance (80 εκατομμύρια δολάρια), Meter (4.4 εκατομμύρια δολάρια), Deus (3 εκατομμύρια δολάρια), TreasureDAO (πάνω από 100 NFT) και, τέλος, Agave and Hundred Finance που μαζί , έχασε συνολικά 11 εκατομμύρια δολάρια. Όλες αυτές οι επιθέσεις είχαν ως αποτέλεσμα την κλοπή σημαντικών χρηματικών ποσών, προκαλώντας μεγάλες ζημιές στα έργα.
Πολλά από τα στοχευμένα πρωτόκολλα έχουν δει υποτίμηση του κρυπτονομίσματος τους, δυσπιστία από τους χρήστες, κριτική σχετικά με την ασφάλεια του DeFi και των έξυπνων συμβολαίων και παρόμοιες αρνητικές συνέπειες.
Τι είδους εκμεταλλεύσεις έγιναν κατά τη διάρκεια των επιθέσεων;
Φυσικά, κάθε μία από αυτές τις περιπτώσεις είναι μοναδική και χρησιμοποιήθηκαν διαφορετικοί τύποι εκμεταλλεύσεων για την αντιμετώπιση κάθε μεμονωμένου έργου, ανάλογα με τα τρωτά σημεία και τις ατέλειές τους. Παραδείγματα περιλαμβάνουν λογικά σφάλματα, επιθέσεις επανεισόδου, επιθέσεις flashloan με χειρισμούς τιμών και πολλά άλλα. Πιστεύω ότι αυτό είναι το αποτέλεσμα του ότι τα πρωτόκολλα DeFi γίνονται πιο περίπλοκα και, όπως συμβαίνει, η πολυπλοκότητα του κώδικα καθιστά όλο και πιο δύσκολο να ξεκαθαρίσουμε όλα τα ελαττώματα.
Επιπλέον, παρατήρησα δύο πράγματα κατά την ανάλυση καθενός από αυτά τα περιστατικά. Το πρώτο είναι ότι οι χάκερ κατάφεραν να ξεφύγουν με τεράστια ποσά κάθε φορά — αξίας εκατομμυρίων δολαρίων σε κρυπτογράφηση.
Αυτή η «ημερομηνία πληρωμής» δίνει στους χάκερ κίνητρο να περνούν όποια στιγμή χρειάζεται μελετώντας τα πρωτόκολλα, ακόμη και μήνες κάθε φορά, αφού γνωρίζουν ότι η ανταμοιβή θα αξίζει τον κόπο. Αυτό σημαίνει ότι οι χάκερ έχουν κίνητρο να περνούν πολύ περισσότερο χρόνο αναζητώντας ελαττώματα από τους ελεγκτές.
Το δεύτερο πράγμα που ξεχώρισε είναι ότι, σε ορισμένες περιπτώσεις, τα hacks ήταν πραγματικά εξαιρετικά απλά. Πάρτε για παράδειγμα την επίθεση στο Hundred Finance. Το έργο χτυπήθηκε χρησιμοποιώντας ένα πολύ γνωστό σφάλμα που μπορεί να βρεθεί συνήθως στα Compound forks εάν προστεθεί ένα διακριτικό στο πρωτόκολλο. Το μόνο που χρειάζεται να κάνει ο χάκερ είναι να περιμένει μέχρι να προστεθεί ένα από αυτά τα διακριτικά στο Hundred Finance. Μετά από αυτό, το μόνο που χρειάζεται είναι να ακολουθήσετε μερικά απλά βήματα για να χρησιμοποιήσετε το exploit για να φτάσετε στα χρήματα.
Τι μπορούν να κάνουν τα έργα DeFi για να προστατευτούν;
Προχωρώντας προς τα εμπρός, το καλύτερο πράγμα που μπορούν να κάνουν αυτά τα έργα για να προστατευτούν από κακούς παράγοντες είναι να επικεντρωθούν στους ελέγχους. Όσο πιο σε βάθος, τόσο το καλύτερο και διεξάγεται από έμπειρους επαγγελματίες που ξέρουν τι πρέπει να προσέξουν. Όμως, υπάρχει ένα άλλο πράγμα που μπορούν να κάνουν τα έργα, ακόμη και πριν καταφύγουν στους ελέγχους, και αυτό είναι να διασφαλίσουν ότι έχουν μια καλή αρχιτεκτονική που δημιουργήθηκε από υπεύθυνους προγραμματιστές.
Αυτό είναι ιδιαίτερα σημαντικό αφού τα περισσότερα έργα blockchain είναι ανοιχτού κώδικα, πράγμα που σημαίνει ότι ο κώδικάς τους τείνει να αντιγράφεται και να επαναχρησιμοποιείται. Επιταχύνει τα πράγματα κατά την ανάπτυξη και ο κώδικας είναι δωρεάν για λήψη.
Το πρόβλημα είναι αν αποδειχθεί ότι είναι ελαττωματικό και αντιγραφεί πριν οι αρχικοί προγραμματιστές καταλάβουν τα τρωτά σημεία και τα διορθώσουν. Ακόμα κι αν ανακοινώσουν και εφαρμόσουν την επιδιόρθωση, αυτοί που την αντέγραψαν ενδέχεται να μην δουν τις ειδήσεις και ο κώδικάς τους παραμένει ευάλωτος.
Πόσο μπορούν πραγματικά να βοηθήσουν οι έλεγχοι;
Τα έξυπνα συμβόλαια λειτουργούν ως προγράμματα που λειτουργούν με τεχνολογία blockchain. Ως εκ τούτου, είναι πιθανό να είναι ελαττωματικά και να περιέχουν σφάλματα. Όπως ανέφερα προηγουμένως, όσο πιο περίπλοκο είναι το συμβόλαιο - τόσο μεγαλύτερες είναι οι πιθανότητες να ξεφύγει ένα ή δύο ελάττωμα στους ελέγχους των προγραμματιστών.
Δυστυχώς, υπάρχουν πολλές περιπτώσεις όπου δεν υπάρχει εύκολη λύση για να διορθωθούν αυτά τα ελαττώματα, γι' αυτό οι προγραμματιστές θα πρέπει να αφιερώσουν το χρόνο τους και να βεβαιωθούν ότι ο κώδικας γίνεται σωστά και ότι τα ελαττώματα εντοπίζονται αμέσως ή τουλάχιστον όσο το δυνατόν νωρίτερα.
Εδώ μπαίνουν οι έλεγχοι, γιατί εάν δοκιμάσετε τον κώδικα και τεκμηριώσετε την πρόοδο της ανάπτυξής του και τις δοκιμές επαρκώς, μπορείτε να απαλλαγείτε από τα περισσότερα ζητήματα νωρίς.
Φυσικά, ακόμη και οι έλεγχοι δεν μπορούν να παρέχουν 100% εγγύηση ότι δεν θα υπάρξουν προβλήματα με τον κωδικό. Κανείς δεν μπορει. Δεν είναι τυχαίο ότι οι χάκερ χρειάζονται μήνες για να καταλάβουν τη μικρότερη ευπάθεια που μπορούν να χρησιμοποιήσουν προς όφελός τους — δεν μπορείτε να δημιουργήσετε τον τέλειο κώδικα και να τον κάνετε χρήσιμο, ειδικά όχι όταν πρόκειται για νέα τεχνολογία.
Οι έλεγχοι πράγματι μειώνουν τον αριθμό των θεμάτων, αλλά το πραγματικό πρόβλημα είναι ότι πολλά από τα έργα που χτυπήθηκαν από τους χάκερ δεν είχαν καν κανέναν έλεγχο.
Έτσι, σε οποιονδήποτε προγραμματιστή και ιδιοκτήτη έργων που βρίσκονται ακόμη στη διαδικασία ανάπτυξης πρέπει να θυμούνται ότι η ασφάλεια δεν προέρχεται από τη διεξαγωγή ελέγχου. Ωστόσο, σίγουρα ξεκινάει από εκεί. Εργαστείτε στον κώδικά σας. βεβαιωθείτε ότι έχει μια καλά σχεδιασμένη αρχιτεκτονική και ότι επιδέξιοι και επιμελείς προγραμματιστές εργάζονται σε αυτό.
Βεβαιωθείτε ότι όλα είναι ελεγμένα και καλά τεκμηριωμένα και χρησιμοποιήστε όλους τους πόρους που έχετε στη διάθεσή σας. Τα bounties bug, για παράδειγμα, είναι ένας πολύ καλός τρόπος για να ελέγξετε τον κώδικά σας από άτομα από την οπτική γωνία των χάκερ, και μια νέα οπτική γωνία από κάποιον που αναζητά έναν τρόπο πρόσβασης μπορεί να είναι ανεκτίμητη για την ασφάλεια του έργου σας.
Προσκεκλημένη ανάρτηση από τον Gleb Zykov από το HashEx
Ο Gleb ξεκίνησε την καριέρα του στην ανάπτυξη λογισμικού σε ένα ερευνητικό ινστιτούτο, όπου απέκτησε ισχυρό τεχνικό και προγραμματιστικό υπόβαθρο, αναπτύσσοντας διαφορετικούς τύπους ρομπότ για το ρωσικό Υπουργείο Καταστάσεων Έκτακτης Ανάγκης.
Αργότερα ο Gleb έφερε την τεχνική του εμπειρία στην εταιρεία υπηρεσιών πληροφορικής GTC-Soft, όπου σχεδίασε εφαρμογές Android. Προχώρησε για να γίνει ο κύριος προγραμματιστής και στη συνέχεια, ο CTO της εταιρείας. Στο GTC, η Gleb ηγήθηκε της ανάπτυξης πολυάριθμων υπηρεσιών παρακολούθησης οχημάτων και μιας υπηρεσίας παρόμοιας με την Uber για premium ταξί. Το 2017 ο Gleb έγινε ένας από τους συνιδρυτές της HashEx – μιας διεθνούς εταιρείας ελέγχου και συμβούλων blockchain. Ο Gleb κατέχει τη θέση του Chief Technology Officer, πρωτοστατώντας στην ανάπτυξη λύσεων blockchain και ελέγχων έξυπνων συμβολαίων για τους πελάτες της εταιρείας.
Πηγή: https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/