Кибербезопасность в DeFi

Эксплойты и взломы в DeFi начинают становиться новой реальностью. Только в октябре мы стали свидетелями 11 крупных взломов на общую сумму почти 718 миллионов долларов украдено из Протоколы DeFi. 11 октября Mango market, платформа для кредитования, торговли и управления портфелем в Солане, была взломана и осушена 117 миллионов долларов. Кроме того, мы стали свидетелями нескольких случаев эксплойтов и взломов таких блокчейн-систем, как BNB, terra, Ronin network, Nomad bridge, Elrond и многих других.

Этот список можно продолжать и продолжать, и нельзя отрицать, что безопасность в DeFi остается серьезной проблемой и может быть отнесена к одному из самых больших споров десятилетия. Технология блокчейн — относительно новая отрасль, и многие говорят, что ландшафту нужно больше времени, чтобы работать на более сложной основе. Однако, если проблемы с безопасностью сохранятся такими же темпами, на рынке может не быть ничего, что можно было бы улучшить.

Безопасность DeFi; Краткий обзор

Поскольку новая технология все еще находится в зачаточном состоянии, рынок криптовалют подвержен уязвимостям. А с учетом того, что в DeFi инвестируется большое количество средств, почти естественно, что этот ландшафт является общей целью для хакеров и атак.

В эксплойте с перекрестным мостом, который произошел 6 октября 2022 г. Сеть BNB стала свидетелем атаки, которая привела к 570 миллионов долларов выводится из сети. Однако сеть заявила, что минимизировала потери до 100 миллионов долларов, отключив систему. Этот инцидент дополняет список серьезных атак DeFi за последние и нынешние годы, которые могут привести к убыткам на сумму более 2 миллиардов долларов США.

Криптовалюты и DeFi неоднократно использовались злоумышленниками, и количество злонамеренных действий, похоже, растет. Другие недавние атаки в 2022 году включают атаку на рынок Mango, Temple DAO, мост Eth и BSC платформы QAN и многие другие. Эти перечисленные платформы потеряли более 100 миллионов долларов США, 2,3 миллиона долларов и 1,89 миллиона долларов< /сильный> соответственно. Считается, что причиной большинства этих инцидентов являются скомпрометированные закрытые ключи, уязвимости в смарт-контрактах, неверные оценки пула ликвидности, попытки обмана и другие уязвимости, которые можно легко использовать.

Основные риски безопасности в DeFi

Несмотря на то, что в последнее время мы столкнулись с несколькими проблемами безопасности DeFi, большинство этих атак подпадают под одну и ту же цель. Ниже мы обсудим некоторые основные риски безопасности в децентрализованной финансовой системе.

Неточные расчеты притока ликвидности

Это один из самых распространенных способов эксплуатации DeFi. Ставка, являющаяся одной из наиболее распространенных функций DeFi в протоколах, может быть точкой входа в случае неправильных расчетов пула ликвидности. В идеале стейкинг позволяет пользователям получать поощрения, когда токены размещаются на определенный период.

Пулы ликвидности запрограммированы на использование существующих данных пула о стейкерах для определения общей стоимости доступных токенов, а не внешних оракулов. Хакеры нашли способы использовать это, вмешиваясь в баланс пула и получая доступ к стоимости пула.

Ковры

Вытягивание коврика – распространенный способ вымогательства и эксплуатации на рынке DeFi. Поскольку децентрализованное финансирование — это система, которая процветает за счет децентрализации и анонимности, мы видели, как создатели проектов, разработчики или даже отдельные лица использовали это, выводя деньги из протоколов.

Скомпрометированные закрытые ключи

Блокчейн-системы позволяют пользователям получать доступ к своим закрытым ключам или хранить их, а не обращаться к третьей стороне, как в случае с централизованными финансами. Скомпрометированные закрытые ключи являются распространенной причиной проблем с безопасностью в DeF и легкой точкой входа для злоумышленников, желающих использовать систему в своих интересах.

Закрытый ключ может быть легко взломан через скомпрометированный интерфейс метамаски, плохие методы генерации ключей или исходную фразу пользователя.

Ошибка кодирования

В системе DeFi было много громких краж из-за нарушения кода сети. Одной из самых распространенных была известная атака DAO в 2016 году, когда токены DAO на сумму 50 миллионов долларов были украдены из-за ошибки в смарт-контракте сети. Другим подобным случаем был В 2017 году из кошелька пользователя украдено эфира на 30 миллионов долларов из-за ошибки в коде.

Рекомендации по повышению безопасности DeFi

Не существует единого решения для повышения безопасности DeFi, и, учитывая, что система является относительно новой, вероятно, еще предстоит обнаружить еще больше лазеек. Однако существуют базовые методы обеспечения безопасности, которые большинство сетей DeFi могут использовать для укрепления своих сетей и подготовки к возможным атакам. Первым в списке будет улучшение смарт-контрактов для предотвращения уязвимостей.

Другими возможными практическими примерами являются тщательное исследование проектов DeFi, оптимизация всех важных сетевых взаимодействий по официальным каналам, использование защищенных от эксплуатации оракулов для полного покрытия сети и т. д. Наконец, существуют определенные риски, которые основатели или разработчики сети не могут контролировать, например скомпрометированный закрытый ключ, и поэтому мы можем сказать, что пользователи также играют решающую роль в безопасности сети.

Заключительные мысли

Как уже говорилось ранее, в DeFi нет золотых правил безопасности. Таким образом, вышеизложенное является основными практическими правилами. Едва ли существует полный список для решения всех проблем уязвимости DeFi. Кроме того, чем больше денег вкладывается в DeFi, тем выше уязвимость к большему количеству атак. В конечном счете, защита протокола DeFi потребует от нас полного понимания существующих лазеек. В дополнение к упомянутым выше факторам тщательный аудит безопасности может помочь понять внешние и внутренние угрозы в любой системе DeFi.