Քանի որ DeFi սեկտորը շարունակում է ներգրավել փող և օգտատերեր, վատ դերասաններն ամբողջ աշխարհից շարունակում են այն դիտել որպես գրավիչ թիրախ, որը հասուն է ընտրողների համար և վատ պաշտպանված:
Վերջին մի քանի ամիսների ընթացքում ես հետևում էի DeFi արձանագրությունների ամենաուշագրավ շահագործումներին, և դրանցից առնվազն յոթը կարծես միայն խելացի պայմանագրային թերությունների արդյունք են:
Օրինակ՝ հաքերները հարվածել և թալանել են Wormhole-ը՝ գողանալով ավելի քան 300 միլիոն դոլար, Qubit Finance (80 միլիոն դոլար), Meter (4.4 միլիոն դոլար), Deus (3 միլիոն դոլար), TreasureDAO-ն (ավելի քան 100 NFT), և վերջում՝ Agave and Hundred Finance-ը, որոնք միասին վերցրած։ , ընդհանուր առմամբ կորցրել է 11 մլն դոլար։ Այս բոլոր հարձակումները հանգեցրել են բավականին զգալի գումարների հափշտակման՝ խոշոր վնաս պատճառելով նախագծերին։
Նպատակային արձանագրություններից շատերը տեսել են իրենց կրիպտոարժույթի արժեզրկում, օգտատերերի անվստահություն, DeFi-ի և խելացի պայմանագրերի անվտանգության վերաբերյալ քննադատություն և նմանատիպ բացասական հետևանքներ:
Ի՞նչ տեսակի շահագործումներ են տեղի ունեցել հարձակումների ժամանակ:
Բնականաբար, այս դեպքերից յուրաքանչյուրը եզակի է, և յուրաքանչյուր առանձին նախագծի լուծման համար օգտագործվել են տարբեր տեսակի շահագործումներ՝ կախված դրանց խոցելիությունից և թերություններից: Օրինակները ներառում են տրամաբանական սխալներ, վերագրանցման հարձակումներ, ֆլեշ-վարկի հարձակումներ գների մանիպուլյացիաներով և այլն: Կարծում եմ, որ սա DeFi արձանագրությունների ավելի բարդ դառնալու արդյունքն է, և քանի որ դրանք անում են, կոդի բարդությունն ավելի ու ավելի է դժվարացնում բոլոր թերությունները վերացնելը:
Ավելին, այս դեպքերից յուրաքանչյուրը վերլուծելիս ես նկատեցի երկու բան. Առաջինն այն է, որ հաքերներին ամեն անգամ հաջողվում է հսկայական գումարներ կորցնել՝ միլիոնավոր դոլարների արժողությամբ կրիպտո:
Այս «վարձավճարը» հաքերներին խթան է տալիս ցանկացած անհրաժեշտ ժամանակ ծախսել արձանագրությունների ուսումնասիրության վրա, նույնիսկ ամիսներ շարունակ, քանի որ նրանք գիտեն, որ պարգևը արժե այն: Դա նշանակում է, որ հաքերները մոտիվացված են շատ ավելի շատ ժամանակ ծախսելու թերություններ փնտրելու համար, քան աուդիտորները:
Երկրորդ բանը, որն աչքի ընկավ, այն է, որ որոշ դեպքերում հաքերները իրականում չափազանց պարզ էին: Որպես օրինակ վերցրեք Հարյուր ֆինանսների հարձակումը: Նախագիծը հարված է հասցվել՝ օգտագործելով հայտնի սխալ, որը սովորաբար կարելի է գտնել Compound forks-ում, եթե արձանագրությանն ավելացվի նշան: Ընդամենը, ինչ պետք է անի հաքերին՝ սպասել, մինչև այս նշաններից մեկը կավելացվի Հարյուր Ֆինանսում: Դրանից հետո միայն անհրաժեշտ է հետևել մի քանի պարզ քայլերի՝ շահագործումն օգտագործելու համար՝ գումարին հասնելու համար:
Ի՞նչ կարող են անել DeFi նախագծերը իրենց պաշտպանելու համար:
Առաջ շարժվելով՝ լավագույն բանը, որ կարող են անել այս նախագծերը՝ վատ դերակատարներից պաշտպանվելու համար, աուդիտի վրա կենտրոնանալն է: Որքան ավելի խորը, այնքան լավ և իրականացվի փորձառու մասնագետների կողմից, ովքեր գիտեն, թե ինչի վրա պետք է ուշադրություն դարձնել: Սակայն կա ևս մեկ բան, որ նախագծերը կարող են անել, նույնիսկ նախքան աուդիտի դիմելը, և դա այն է, որ նրանք ունենան պատասխանատու մշակողների կողմից ստեղծված լավ ճարտարապետություն:
Սա հատկապես կարևոր է, քանի որ բլոկչեյն նախագծերի մեծ մասը բաց կոդով են, ինչը նշանակում է, որ դրանց ծածկագիրը հակված է պատճենելու և նորից օգտագործելու: Այն արագացնում է իրերը մշակման ընթացքում, և կոդը անվճար է վերցնելու համար:
Խնդիրն այն է, եթե պարզվի, որ այն թերի է, և այն պատճենվում է նախքան բնօրինակ մշակողները կհասկանան խոցելիությունը և ուղղեն դրանք: Նույնիսկ եթե նրանք հայտարարեն և իրականացնեն շտկումը, նրանք, ովքեր պատճենել են այն, կարող են չտեսնել նորությունները, և նրանց կոդը մնում է խոցելի:
Որքա՞ն կարող են իրականում օգնել աուդիտները:
Խելացի պայմանագրերը գործում են որպես բլոկչեյն տեխնոլոգիայի վրա աշխատող ծրագրեր: Որպես այդպիսին, հնարավոր է, որ դրանք թերի են և պարունակում են սխալներ: Ինչպես նախկինում նշեցի, որքան ավելի բարդ է պայմանագիրը, այնքան մեծ է հավանականությունը, որ մեկ կամ երկու թերություն սայթաքել է մշակողների ստուգումների միջոցով:
Ցավոք, կան շատ իրավիճակներ, երբ այս թերությունները շտկելու հեշտ լուծում չկա, այդ իսկ պատճառով ծրագրավորողները պետք է ժամանակ ծախսեն և համոզվեն, որ կոդը ճիշտ է արված, և որ թերությունները հայտնաբերվեն անմիջապես կամ գոնե որքան հնարավոր է շուտ:
Այստեղ է, որ գալիս են աուդիտները, քանի որ եթե դուք փորձարկեք կոդը և պատշաճ կերպով փաստաթղթավորեք դրա մշակման առաջընթացը և թեստերը, դուք կարող եք վաղաժամ ազատվել խնդիրների մեծամասնությունից:
Իհարկե, նույնիսկ աուդիտները չեն կարող ապահովել 100% երաշխիք, որ օրենսգրքի հետ կապված խնդիրներ չեն լինի: Ոչ ոք չի կարող։ Պատահական չէ, որ հաքերներին ամիսներ են պետք՝ պարզելու ամենափոքր խոցելիությունը, որը նրանք կարող են օգտագործել իրենց օգտին. դուք չեք կարող ստեղծել կատարյալ ծածկագիր և այն օգտակար դարձնել, հատկապես ոչ երբ խոսքը վերաբերում է նոր տեխնոլոգիաներին:
Աուդիտներն իսկապես նվազեցնում են խնդիրների քանակը, բայց իրական խնդիրն այն է, որ հաքերների կողմից հարվածի տակ ընկած շատ նախագծեր նույնիսկ ընդհանրապես որևէ աուդիտ չեն ունեցել:
Այսպիսով, ցանկացած ծրագրավորողների և նախագծերի սեփականատերերի համար, ովքեր դեռ մշակման գործընթացում են, պետք է հիշեն, որ անվտանգությունը չի առաջանում աուդիտ անցնելուց: Այնուամենայնիվ, դա, անշուշտ, սկսվում է այնտեղից: Աշխատեք ձեր կոդի վրա; համոզվեք, որ այն ունի լավ մշակված ճարտարապետություն, և որ հմուտ ու ջանասեր մշակողները աշխատում են դրա վրա:
Համոզվեք, որ ամեն ինչ փորձարկված է և լավ փաստաթղթավորված, և օգտագործեք ձեր տրամադրության տակ եղած բոլոր ռեսուրսները: Սխալների պարգևները, օրինակ, հիանալի միջոց են հաքերների տեսանկյունից մարդկանց կողմից ձեր ծածկագիրը ստուգելու համար, և ուղի փնտրող մեկի թարմ տեսակետը կարող է անգին լինել ձեր նախագիծն ապահովելու համար:
Գլեբ Զիկովի հյուրի գրառումը HashEx-ից
Գլեբը սկսել է իր կարիերան ծրագրային ապահովման մշակման ոլորտում գիտահետազոտական ինստիտուտում, որտեղ նա ձեռք է բերել ուժեղ տեխնիկական և ծրագրավորման նախապատմություն՝ մշակելով տարբեր տեսակի ռոբոտներ Ռուսաստանի Արտակարգ իրավիճակների նախարարության համար:
Ավելի ուշ Գլեբն իր տեխնիկական փորձը բերեց ՏՏ ծառայությունների GTC-Soft ընկերություն, որտեղ նա նախագծեց Android հավելվածներ: Նա անցավ դառնալով առաջատար ծրագրավորող, իսկ այնուհետև՝ ընկերության CTO: GTC-ում Gleb-ը ղեկավարել է բազմաթիվ տրանսպորտային միջոցների մոնիտորինգի ծառայությունների մշակումը և Uber-ի նման ծառայություն պրեմիում տաքսիների համար: 2017 թվականին Գլեբը դարձավ HashEx-ի համահիմնադիրներից մեկը՝ միջազգային բլոկչեյն աուդիտի և խորհրդատվական ընկերության: Գլեբը զբաղեցնում է գլխավոր տեխնոլոգիական տնօրենի պաշտոնը՝ գլխավորելով ընկերության հաճախորդների համար բլոկչեյն լուծումների և խելացի պայմանագրերի աուդիտի մշակումը:
Աղբյուր՝ https://cryptoslate.com/op-ed-the-latest-trends-in-hacker-attacks-and-how-to-deal-with-them/