Decentralizētais finanšu sektors turpina iegūt nepieredzētu popularitāti, jo DeFi produktos bloķēto aktīvu kopējā vērtība jūlijā dubultojās līdz vairāk nekā 4 miljardiem USD un tagad ir tuvojas 5 miljardu dolāru atzīmi.
Tajā pašā laikā pieaugošais lietotāju un izstrādātāju pieprasījums pēc šādām lietojumprogrammām padara to par sliktu dalībnieku mērķi, ņemot vērā tiešas piekļuves finansējumam vilinājumu. Dažu pēdējo mēnešu laikā hakeri no DeFi projektiem ir nozaguši vairāk nekā 27 miljonus ASV dolāru, un tuvākajā nākotnē ir paredzams, ka notiks vairāk uzbrukumu. Ja tas tā ir, vai DeFi sektors stingri paļaujas uz Ethereum drošībai un vai ETH 2.0 palaišana dos vairāk uzlabojumu šajā jomā?
DeFi lietotnes ir jaunas hakeru kriptogrāfijas apmaiņas
Lai gan 2018. – 2019. Gadā kriptogrāfijas apmaiņa bija hakeru uzbrukumu pirmais mērķis, 2020. gadā radarā ir decentralizētais finanšu tirgus. To lielā mērā padara iespējamu platformu viedo līgumu ievainojamība un tehniski nepilnīgi drošības mehānismi. Tajā pašā laikā, kā liecina uzlaušanas vēsture, uzbrucēji uzbrukumu veikšanai izmanto ne tikai ievainojamības, bet arī dažādas likumīgas blokķēdes iespējas.
Tā hakeri augusta sākumā uzbruka Opyn – protokols, kas ironiski apgalvo, ka nodarbojas ar DeFi aizsardzību. Aptuveni 371 000 USD tika nozagts, pateicoties projekta vietējā marķiera izmantošanai, kad tika veikts dubultu izdevumu uzbrukums Ethereum pārdošanas opcijām, piešķirot piekļuvi lietotāju līdzekļiem.
Iepriekš viedo līgumu koda ievainojamība noveda pie vēl viena DeFi projekta uzlaušanas, kur no Lendf.me decentralizētā kreditēšanas protokola un decentralizētās kriptogrāfijas apmaiņas Uniswap tika nozagti 25 miljoni ASV dolāru. Abi izstrādātāju komplekti uzbūvēja paši savus papildinājumus virs ERC-777 protokola, padarot viedos līgumus neaizsargātus pret atkārtotas iekļūšanas uzbrukumiem. Šāda uzbrukuma laikā hakeri atkārtoti izņem līdzekļus, līdz viņu sākotnējais darījums tiek apstiprināts vai noraidīts.
Vēl viens uzlaušana notika 28. jūnijā, atkal koda ievainojamības dēļ. Hakeri no Balancer platformas nozaga vairāk nekā 500 000 USD ETH un citus altkoīnus, izmantojot tā simbolisko deflācijas mehānismu, kas pēc katra naudas pārskaitījuma iznīcina 1% no darījuma summas..
Vai pie vainas ir Ethereum?
Acīmredzot DeFi projektu Ahileja papēdis ir kļūdas un ievainojamība viedo līgumu kodos, bet kas vai kas tieši par to vainojams? Vai tie ir DeFi izstrādātāji, kuri pirms savu lietotņu palaišanas nepārbauda vai nepārbauda kodu, vai vaina ir Ethereum arhitektūrā, kas nozīmē, ka maz kas ir atkarīgs no platformām?
No vienas puses, kā aģentūrai Cointelegraph iepriekš teica DeFi kreditēšanas platformas Kava Labs izpilddirektors Braiens Kerrs, Ethereum blokķēdes arhitektūra nespēj reaģēt uz DeFi nozares drošības prasībām, jo iespējamo kļūdu pārbaude Solidity programmēšanas valodā ir gandrīz neiespējama..
Tomēr lielākā daļa DeFi platformu ir veidotas uz Ethereum bloku ķēdes ietvara un tāpēc eksperimentē ar sākotnējo pirmkodu, it īpaši, ja šo eksperimentu rezultāts nav rūpīgi pārbaudīts pirms produkta galīgās versijas izlaišanas, kas potenciāli paver iespējas hakeriem.
ConsaySys Diligence drošības inženieris un revidents Šajans Eskandari pastāstīja Cointelegraph, ka lielāko daļu DeFi uzlaušanu pirms izmaiņām, kuras izstrādātāji veica neilgi pirms platformas palaišanas. Piemēram, ERC-20 netika ieviests standarta veidā, vai arī daži jauni marķieru noformējumi pievienoja funkcijas, kas mainīja ERC-20 marķiera darbību, izraisot neparedzamas problēmas. Pēc Eskandari teiktā, šādas izmaiņas izraisīja Balancer baseina uzbrukumus un Lendf.me uzlaušanu.
Tas liek domāt, ka dažos gadījumos pie vainas ir komandas, kas strādā pie noteiktām platformām. Sarunā ar Cointelegraph Plnie DeFi izpilddirektors Arnijs Hils – pilnas kaudzes DeFi agregators – atzīmēja, ka lielākā daļa DeFi izstrādātāju nepievērš pietiekamu uzmanību drošībai, jo viņi ir agrīnā izstrādes stadijā: “Šodien izstrādātāji maksā vairāk uzmanības jāpievērš tehniskajai pusei un kapitalizācijai, pievēršot uzmanību tam, kā kreditēšanas pakalpojumus veidot blokķēdē, nevis viedo līgumu drošībai. ”
Turklāt DeFi produktu sarežģītība ir nežēlīgs joks ar tiem, saskaņā ar Larry Sukernik, Digital Currency Group ieguldītājam: “Jūs saņemat cilvēkus ar lielām smadzenēm, kas jāvelta darbā. Un, kad viņi tiek izmantoti, rezultāts bieži ir sarežģīts, izcils, bet masveidā neizmantojams produkts. ”
Litecoin (LTC) radītājs Čārlijs Lī iepriekš apgalvoja, ka pie visa ir vainojama decentralizācija. Decentralizācija faktiski bija Opyn opciju protokola uzlaušanas iemesls, jo komanda uzbrukuma gadījumā nevarēja to kontrolēt vai īslaicīgi atspējot.
Tomēr hakeru klātbūtne ir dabiska parādība, ņemot vērā, ka nozare ir jauna. Tomēr, attīstoties DeFi nozarei, tā izstrādātājiem būtu ārkārtīgi jāapzinās augošie drošības riski un jāstrādā, lai tos mazinātu, norāda Hils:
“Tirgus mērogošana prasa nopietnāku aizsardzības mehānismu izmantošanu un sadarbību ar regulatoriem un auditoriem. Dienas beigās tas vairs nav tikai DApps tīkls, bet vairāku miljardu dolāru finanšu tirgus, kas atrodas tā attīstības sākumposmā, un līdz ar to ir neizbēgami, tāpat kā ar digitālo digitālo sistēmu banku nozarē pirms dažiem gadiem. ”
Saskaņā ar jaunāko Ziņot publicēja pētījumu kompānija Dgen sadarbībā ar atvērtā koda DeFi protokolu Aave, kopš DeFi projekti ir kļuvuši par uzlaušanas mērķiem, izstrādātāji sāka strādāt pie smilšu kastēm un skaidriem strīdu izšķiršanas ietvariem. Analītiķi arī atzīmēja, ka tikmēr, kamēr mērogošana DeFi izstrādātājiem ir visaugstākā prioritāte, visticamāk, atkārtosies arī galvenie uzlaušanas gadījumi, kas līdzīgi DAO 2016. gada incidentam.
Vēl viens iespējamais decentralizēto finanšu projektu jautājums ir tas, ka tie paļaujas uz datu orakuliem, lai sniegtu kritiskos datus, piemēram, aktīvu cenas. DeFi platformu un produktu ar to unikālo saliekamību straujais pieaugums rada savstarpēju atkarību un prasa drošu aktīvu cenu datu avotu, kā paskaidroja DIA – Šveices atklātā pirmkoda DeFi oracle platformas – līdzdibinātājs Pols Klaudijs, kurš sacīja Cointelegraph:
“Pašlaik lielākajai daļai DeFi projektu trūkst pārredzama, atvērtā koda un uzticama cenu datu risinājuma. Daudzi pat nedalās ar metodēm, kuras orākuli izmanto cenu noteikšanai. Tas rada ievērojamus riskus, jo slikti dalībnieki var izmantot gan tehnoloģisko, gan metodoloģisko ievainojamību ar neuzticamiem datu avotiem. ”
Revīzija, uzticamības pārbaude un apdrošināšana
Tātad, vai DeFi komandas var darīt, lai mazinātu drošības riskus, ņemot vērā to, ka ir daudz produktu, kas veiksmīgi uztur augstu drošības līmeni par saviem un lietotāju līdzekļiem?
Marks Zellers, Aave integrācijas vadītājs, uzsvēra, cik svarīgi ir veikt uzticamības pārbaudes procedūras pirms jauna marķiera pievienošanas DeFi platformai, lai palīdzētu izvairīties no lielākiem uzlaušanas protokolos. Viņš arī atzīmēja, ka projekti, kas nodarbojas ar decentralizētu finansēšanu, var izmantot apdrošināšanas sabiedrību pakalpojumus, lai vēl vairāk aizsargātu lietotāju līdzekļus, lai gan tas ne vienmēr ir pietiekami.
Runājot par apdrošināšanas lomu hakeru apkarošanā, Keins Vorviks, sintētisko aktīvu platformas Synthetix dibinātājs, teica ka DeFi apdrošināšana ir ļoti ierobežota, piebilstot: “DeFi joprojām ir ievērojams astes risks, tāpēc apdrošināšana, visticamāk, īstermiņā paliks ļoti dārga, taču, protokoliem beidzoties, izmaksām vajadzētu samazināties […], ļaujot vienkāršāk un lietderīgāk. apdrošināšana. ”
Apdrošināšana ir laba, ja uzbrukums jau ir noticis, bet, ja uzdevums ir to novērst, DeFi projektiem ir nepieciešama aizdomīgu darījumu pārbaude un izsekošana, lai atklātu un novērstu tīkla ievainojamības, pirms hakeri izmanto koda kļūdas. Analītiķi norāda, ka kriptogrāfijas apmaiņai ir nozīmīga loma tādu kriptovalūtu izsekošanā un bloķēšanā, kuras, iespējams, nākušas no uzlauztām platformām.
Saistīts: DeFi Hack: kādai jābūt un kādai jābūt decentralizētai finansēšanai?
Nozares mērogā kļūst arvien svarīgāk, lai DeFi izstrādātāji sadarbotos ar regulatoriem un strādātu gan ar smilšu kastēm, gan ar skaidriem ietvariem, kas pieļauj domstarpību izšķiršanu un šķīrējtiesu, ja notiek uzlaušana. Pēc Hila teiktā:
“Tirgus mērogošana prasa nopietnāku aizsardzības mehānismu izmantošanu un sadarbību ar regulatoriem un auditoriem. Dienas beigās tas vairs nav tikai DApps tīkls, bet vairāku miljardu dolāru finanšu tirgus, kas atrodas tā attīstības sākumposmā. ”
Vai ETH 2.0 nodrošinās lielāku drošību?
Daži uzskata, ka līdz ar mērogojamību tīkla jauninājumi nodrošinās drošību DeFi, bet citi saka, ka Ethereum 2.0 pāreja uz likmju pierādīšanas algoritmu DeFi nozari apdraudēs vēl vairāk. Balstoties uz analītiķa Taruna Čitras, Dragonfly Capital investora Haseeba Kureši, pētījumu nāca secinājumam, ka DeFi protokoli ir pretrunā tīkla drošības mehānismam, kas balstīts uz PoS algoritmu. Problēma ir tā, ka līdzekļi, kas bloķēti DeFi kreditēšanā, nepiedalās likmju veidošanā un tāpēc ir nodrošinājums.
MolochDao analītiķi apstiprināja ka pāreja uz ETH 2.0 varētu atvērt jaunus uzbrukuma vektorus DeFi lietojumprogrammām. Tomēr tam ir arī pozitīvā puse – uzbrukumus ETH 2.0 ir vieglāk mērogot nekā uzbrukumus ETH 1.0.
Saistītie raksti: Lietota lietošanai: Ethereum apkopo nopietnus skaitļus, lai iestatītu etalonus
Pirms ieviešanas DeFi nozarei draud daudz jaunu uzbrukumu, uzskata Consensys analītiķi Tanner Hoban un Tom Borgers, it īpaši pārejas uz Ethereum 2.0 pirmajos posmos. Iemesls ir tāds, ka pārejas sākumā validatoriem ir jāblokē savs ETH, līdz darba pierādīšanas ķēde ir pilnībā apvienota ar ķēdes pierādīšanas ķēdi. Tas samazinās likviditāti un, pēc pētījuma autoru domām, var izraisīt centralizāciju.
Tāpēc, visticamāk, DeFi produkti atkal saskarsies ar lieliem uzlaušanas gadījumiem, taču, izstrādājot apdrošināšanas un revīzijas rīkus, kā arī globālo regulatoru ienākšanu tirgū, tas galu galā kļūs drošāks. Ethereum 2.0 var pievienot savu mušu ziedē, taču, lēnām un pakāpeniski ieviešot jauno modeli un veicot pietiekamu testēšanu, visticamāk, riski tiks samazināti..